Vdi и тонкие клиенты для удаленной работы | блог касперского

Что такое виртуальные рабочие столы?

По большому счету, виртуализация рабочих столов — это попытка разделить «рабочее пространство» сотрудника и физическое устройство, с которого он работает. Компания организует в своей инфраструктуре вычислительный кластер (или арендует мощности), разворачивает платформу виртуализации и поднимает виртуальные машины для каждого сотрудника. В образе виртуальной машины имеется весь необходимый сотруднику софт.

Специалисты могут подключаться к своим виртуальным рабочим столам (и доступным им корпоративным ресурсам) с любых устройств — стационарных компьютеров, тонких клиентов, ноутбуков, планшетов. В принципе, можно использовать даже телефон — если удастся подключить к нему клавиатуру, мышь и монитор (некоторые энтузиасты реально работают в такой конфигурации).

  • Простота обслуживания: на СХД хранятся заранее сконфигурированные образы виртуальных машин для каждого сотрудника или для рабочих групп со схожими обязанностями. Управляется все это централизованно, снижая нагрузку на IT-службу.
  • Масштабируемость: если сотруднику внезапно потребовались вычислительные мощности или увеличение объема оперативной памяти, то ему не придется менять оборудование — администратор «отгрузит» нужные ресурсы.
  • Отказоустойчивость: если устройство, с которого сотрудник подключается к виртуальной машине, выйдет из строя, то он просто подключится с другого, не потеряв ни данные, ни время.
  • Безопасность. Особенно в случае использования технологии удаленных рабочих столов в паре с тонкими клиентами. Как вы понимаете, с точки зрения «Лаборатории Касперского» это главное преимущество. Поэтому его мы рассмотрим подробнее.

Warning

Службы DHCP и TFTP должны функционировать на одной машине!

При выходе из строя сервера или неполадках в сети тонкие клиенты превращаютсяв бесполезные ящики.

Знакомимся: thinstation

Текущей стабильной версией Thinstation является 2.2.2 (от 10 августа2008 года). Основу дистрибутива составляет ядро 2.6.16.5, XOrg 6.9/XFree864.3.99.902, Glibc 2.3.5, GCC 3.4.4, Вlackbox 0.70.1/IceWM 1.2.25, пакетсистемных программ Busybox 1.1.

Похожее:  11 лучших аутентификаторов для Android, iOS, Windows и macOS | Блог Касперского

3, набор драйверов для различных видео и сетевыхкарт, прикладные программы RDesktop, Telnet, Citrix ICA, NoMachine NX, 2XThinClient, VMWare View Open client, SSH, OpenVPN. Помимо указанных пакетов,есть возможность укомплектовать загрузочный образ дополнительными программами,драйверами и патчами.

Кстати, многие предпочитают использовать более ранниеверсии Thinstation, поскольку они занимают меньше места и на старыхсистемах работают чуть быстрее. Единственный минус: для самостоятельной сборкизагрузочного образа понадобится старая версия Glibc.

Как работают управляемые формы и тонкий клиент 1с – взгляд "из-под капота"

Механизмы платформы 1Сv8Бесплатно (free)

При переходе на платформу 8.3.20 мы столкнулись с ошибкой “Повторяющийся псевдоним “Ссылка” Ссылка AS Ссылка,Presentation AS Presentation,Ссылка AS Ссылка” в ряде типовых конфигураций. Причём, эта проблема оказались неизвестна ни Яндексу, ни Гуглу. Путём мучительных экспериментов нам удалось найти решение. Пока я ещё не уверен, действительно это решение или обходной костыль, а настоящая проблема — в чём-то другом, но это решение работает в ситуации, когда всё сломалось, а проблему надо решать срочно.
Предположительная причина: платформа 8.3.20 более строго относится к типизации данных в запросах, чем предыдущие версии, вываливая в случае несоблюдения новшеств малопонятные ошибки.

08.04.2022   
4375   
Kernelbug   
24    

Локализация thinstation

Оригинальный Thinstation локализован лишь частично, и, скорее
всего, возникнет желание устранить эту проблему. Для этого как раз необходим
девелоперский пакет. Первым делом следует пересобрать ядро, активировав в
разделах DOS/FAT/NT Filesystems, Network File Systems и Native Language
Support все модули, в которых фигурируют кодировки CP1251 и 866. Далее ищем
в packages/base/etc/udev/scripts три скрипта floppy.sh, ide.sh, usb.sh,
отвечающие за монтирование файловых систем. Добавляем запись “-o iocharset=cp1251,codepage=866”
к командам внутри sh-файлов. Например, строка для FAT:

mount -t vfat -o iocharset=cp1251,codepage=866 /dev/$devpath /mnt/disc/$name/$name

В поставке есть и другие скрипты и конфигурационные файлы, которые
потребуется поправить в случае необходимости. Для Samba в smb.conf.tpl и
smb.conf также меняем кодировку:

unix charset=cp1251
display charset=cp1251
dos charset=866

Локаль следует указать и в строке запуска rdesktop, например, для
ru_RU.KOI8-R добавляем “-P KOI8-R”.

Настройка dhcp- и tftp-сервера

Для загрузки PXE-образа с удаленной машины нам потребуется корректноработающие DHCP- и TFTP-сервисы. ОС значения не имеет, – это может быть *nix илиWindows, главное, чтобы кто-то корректно ответил на DHCP-запрос, отправленныйсетевой картой, и выдал файлы по TFTP. Первым делом инсталлируем нужные пакеты(пример для Ubuntu):

$ sudo apt-get install xinetd tftpd tftp

Затем обеспечиваем автозапуск сервисов. Для запуска TFTP через xinetd создаемконфиг на основе шаблона:

$ sudo cp /etc/xinet.d/time /etc/xinet.d/tftp

Правим:

$ sudo vi /etc/xinet.d/tftp

Настройка аутентификации openid connect используя keykloack при подключении к 1с

Информационная безопасностьМобильная разработкаv8::Mobile1cv8.cfБесплатно (free)

Что приходит первое в голову при словах «1С Предприятие»?
Даже тем, кто далек от ИТ, представляется большущий компьютер (а тем, кто недалек, стойка двух-юнитных серверов), рядом слушает музыку сервера (как вариант просто музыку) сисадмин, за стеной в опен-спейсе менеджеры принимают заказы и бухгалтерия, сдающая отчетность. «Зарплата, зарплата!»: слышны их радостные крики. «И кадры»: уточняет HR. Да, все верно. Это 1С.
Кто в теме, напомнит про крики не совсем приятные: «Все тормозит! Сделайте что-нибудь, #тыжпрограммист». И борющихся за живучесть ИТ-шников. В обычном офисном потоке дел, редко кто задумывается о безопасности. А тех, кто задумывается, прошу под кат…

05.06.2020   
5366   
capitan   
34    

Настройка сервера терминалов в win2k8

Остался последний шаг – настроить сервис, к которому будем подключаться.Установка роли службы терминалов производится через ссылку “Добавить роли” в”Диспетчере сервера”. Отмечаем “Службы терминалов”, затем в списке необходимыеслужбы ролей, как минимум, “Сервер терминалов” и “Лицензирование службтерминалов”.

Не забываем о новой фиче, которая появилась в Win2k8 – “Веб-доступк службе терминалов” (TS Web Access), при использовании которой пользователимогут подключаться к TS, используя веб-браузер, и получать список доступныхприложений RemoteApp.

Чтобы воспользоваться этой возможностью, достаточно присборке Thinstation установить Firefox. При выборе метода аутентификациивыбираем “Не требовать проверку подлинности на уровне сети”. В этом случае ксерверу смогут подключаться клиенты с любой версией, в частности, не будетпроблем с Rdesktop, который полностью поддерживает лишь RDP 5 (частичнонекоторые функции RDP 5.1 и 6)

, а для Win2k8 “родным” протоколом является RDP 6.Далее следуем указаниям мастера, выбирая наиболее подходящие параметры. На этапе”Группы пользователей” добавляем учетные записи пользователей и группы, которымразрешен доступ к TS. По завершении установки отправляем терминальный сервер вребут.

Сетевая загрузка для старых машин

Возможность выбора сетевой загрузки в BIOS появилась относительно
недавно, и старые компьютеры такой возможности не имеют. Чтобы не
использовать сменные носители или хард, лучше перепрошить ПЗУ сетевой карты.
Готовый образ можно взять на сайте
rom-o-matic.net.
Достаточно выбрать в “Choose NIC/ROM type” марку чипа, используемого на
сетевой карте, и в списке “Choose ROM output format” формат файла. Кроме
версий для ПЗУ (.rom), имеются образы для записи на дискету, болванку и
USB-flash, а также для использования с загрузчиками LILO/GRUB/SYSLINUX. Если
с сетевой картой не повезло, и ее прошивку обновить нельзя, то можно
попробовать перепрошить BIOS материнской платы (если он на
Flash-микросхеме), интегрировав в него PXE-код, взятый с сайта
rom-o-matic.net.

Собираем свою версию thinstation

Для сборки нам потребуется рабочий GNU/Linux, его необязательно устанавливатьна живую машину, достаточно и виртуальной. Забираем архив с сайта проекта ираспаковываем:

$ tar xzvf Thinstation-2.2.2.tar.gz$ cd Thinstation-2.2.2

Конфигурация для сборки клиента находится в файле build.conf. Ничего сложногофайл собой не представляет, внутри находятся закомментированные строки,соответствующие модулям (драйверам) и пакетам. Кто хоть раз собирал ядро Linux,сразу поймет, что к чему. Причем, здесь все на порядок проще. Например:

module agpgart

Если требуется загрузить модуль с внешнего источника или создать динамическизагружаемый драйвер, то вместо “module” пишем “module_pkg”. Для удобства всезаписи разбиты по группам (видео, сетевые карты и т.п.) и детальнопрокомментированы. Зная, какое оборудование установлено на клиентскихкомпьютерах, можно без труда отредактировать настройки. Смотрим на установки поумолчанию:

$ cat build.conf | grep -v ^# | grep -v ^$module pcm # PCMCIA Cardsmodule serial # Serial Device Supportmodule acpi # Advanced Configuration and Power Interface supportpackage rdesktop # X RDP client for Windows Terminal Services (ver 1.5)

В образ, созданный из дефолтного конфига, включена поддержка популярногожелеза: сеть – Realtek 8139, SIS900, VIA Rhine, видео – VESA, S3, NVIDIA, ATI,Vmware; из файловых систем доступны FAT32, NTFS, ext2, ext3. Для первогознакомства с дистрибутивом этого вполне достаточно, но для применения в рабочейсреде его придется подгонять под себя.

Список параметров внутри достаточно большой, поэтому следует терпеливо ивнимательно пройтись по всем настройкам, разобраться и активировать только то,что действительно необходимо. Лишнее включать не стоит, это увеличит размеробраза, а значит, система будет дольше распаковываться при загрузке и заберетбольше ОЗУ у клиентов.

Терминальная сеть

Вначале определимся с назначением тонких клиентов и местом Thinstationв процессе организации подобного сервиса. В типичной сети компании применяетсясхема, ставшая усилиями Microsoft уже стандартной: ОС загружается с локальногожесткого диска, там же могут храниться и все необходимые пользователю данные.

Номенеджеры, маркетологи, секретари и прочий офисный планктон, которым для работытребуются средства интернета, текстовый редактор и пара программ для созданияотчетов и работы с базой данных, используют мощности современного компьютерадалеко не полностью (от силы на 10%). На этом можно и нужно экономить.

Архитектура тонких клиентов предусматривает загрузку ОС и всех необходимыхданных по сети. Такой подход имеет ряд преимуществ, которые становятся очевидныуже в сетях среднего размера:

  • централизованное администрирование;
  • быстрое развертывание (рабочее место можно организовать буквально за
    5-10 минут);
  • повышение безопасности корпоративных данных (за счет того, что вся
    информация хранится на сервере, снижается риск хищения данных и вредоносного
    действия вирусов, кроме того, заметно упрощается процедура резервного
    копирования);
  • большее время наработки на отказ (в первую очередь, в связи с
    минимальным количеством механических компонентов);
  • снижение нагрузки на сеть (во время терминальной сессии передаются
    только данные о нажатии клавиш, движениях мыши и обновлениях экрана);
  • отсутствие привязки пользователя к конкретному рабочему месту, юзер
    может получить доступ к своему виртуальному рабочему столу с любого
    терминала, подключенного к серверу (даже из своего дома, используя VPN).

Основная экономия достигается за счет минимизации затрат на приобретениелицензий на пользовательское программное обеспечение и выбора минимальнойаппаратной конфигурации клиентской части. На рабочем столе пользователя можетстоять как старый комп, по всем параметрам непригодный для большинстваповседневных задач (процессор не ниже Pentium 100, объем оперативной памяти неменее 16 Мб), так и специализированное устройство (например, на базе процессораVIA Eden или AMD Geode).

С вступлением и “железочными” делами закончили, перейдем к софту. ДистрибутивThinstationразработан специально для создания тонких клиентов и оснащен всеми необходимымиприложениями, обеспечивающими подключение к сервисам по основным протоколамудаленной работы:

Citrix ICA, Microsoft RDP, VNC, NX NoMachine, 2X ThinClient,VMWare View Open client, X11, Telnet, SSH. Систему можно загружать по сети спомощью Etherboot/PXE или внешнего носителя (FDD/CD/HDD/CF/USB-flash). Всенастройки производятся централизованно при помощи конфигурационных файлов, чтоупрощает управление терминалами.

Установка платформы «1с:предприятие 8»

Для разных операционных систем минимальный набор компонентов следующий:

При запуске
1C:EDT самостоятельно находит и добавляет в свои
настройки все версии платформы, которые установлены на компьютере. Если этого не произошло или если вы устанавливали платформу в то
время, когда
1C:EDT была запущена, вы можете самостоятельно
добавить новую версию платформы в параметрах
1C:EDT.

Файлы настроек thinstation

При загрузке клиент Thinstation считывает ряд конфигурационных файлов(thinstation.conf.*). Параметры, которые в них описываются, в общем-то,одинаковы, отличается лишь их назначение:

Этап 1. публикация базы.


Для подключения к базе в режиме тонкого клиента нужно выполнить публикацию базы

После того, как база была опубликована, достаточно будет скопировать ссылку доступа в буфер обмена (клик правой кнопкой мыши на ссылке – Копировать адрес ссылки) и вставить ее при добавлении базы в приложение Тонкий клиент.

Этап 2. установка и настройка приложения 1с:предприятие 8. тонкий клиент.

После скачивания приложения Тонкий клиент по ссылке, произведите его установку:


По окончанию установки на Рабочем столе появится ярлык “1C Предприятие” для запуска приложения.

При первом запуске появится окно для добавления базы в список для запуска, в дальнейшем базы можно добавлять через кнопку “Добавить”

При добавлении базы используется ссылка, взятая с Личного кабинета по описанию в Этап 1.


В списке появилась база, готовая к запуску.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *