«Новый способ построения информационной инфраструктуры современного предприятия» Технические подробности WIT Networks Copyright 1993-2006 О терминальном доступе Простая идея – поручить серверу выполнение всех счетных и графических задач, обработку графических объектов, оставив терминальному клиенту только - Отрисовку изменений экрана - Передачу на сервер действий пользователя (нажатий клавиш, движений мыши) Сервер Тонкий клиент WIT Networks Copyright 1993-2005 1993-2006 Расширенные возможности терминальных серверов • Назначение приложений сессиям/клиентам • Подключение локальных дисков • Распределение в сети локально подключенных устройств (принтеров, сканеров, считывателей штрих-кодов) • Перенаправление звука для локального проигрывания • Серверные фермы и виртуализация приложений • Балансировка загрузки между серверами в «серверной ферме» • Работа с общим ClipBoard для локального компьютера и для терминальной сессии на сервере WIT Networks Copyright 1993-2005 Используемые в терминалах OS • Свободно распространяемые операционные системы с открытым кодом (Linux, FreeBSD…) • Варианты Windows для встроенных систем (Windows CE, Windows XP Embedded) WIT Networks Copyright 1993-2005 MS Windows CE Windows CE – это - знакомый графический интерфейс - Наличие Registry - API и архитектура, основанная на DLL Но есть отличия - Монолитное ядро (ROM-based система) - Особая модель драйверов устройств - Несовместимость с Win32 (Windows – программы НЕ ПОЙДУТ на WinCE) Мы используем Windows CE 5.0 WIT Networks Copyright 1993-2005 MS Windows XP Embedded Windows XP Embedded – это • Компонентная версия полной Windows XP Professional • Заметно сниженные требования к аппаратуре (128MB RAM, Pentium III <1GHz), не нужен жесткий диск • Полная совместимость с Win32 программами и драйверами устройств Минусы • Высокая стоимость лицензии • Запрет использования (от MicroSoft) в качестве полноценной операционной системы Мы используем Windows XP Embedded SP2 WIT Networks Copyright 1993-2005 Linux ОС с многими достоинствами • Система с открытым кодом (проверенные исходники, отсутствие неизвестных «дыр» и «закладушек») • Огромное количество доступных свободных программ Проблемы • Драйвера не под все «железо» Мы используем дистрибутив Red Hat Linux с ядром версии 2.6 WIT Networks Copyright 1993-2005 Аппаратная часть - VIA Tech VIA - уникальная фирма • VIA владеет патентом на производство x86 – совместимых процессоров • VIA производит чипсеты • VIA имеет собственную версию сетевого адаптера 10/100, звуковой подсистемы, встроенной в чипсет AGP-графики с аппаратным ускорением MPEG-декодирования • VIA разработала собственный компьютерный стандарт – форм-фактор ITX – основу для построения недорогих надежных встроенных устройств и barebone-систем WIT Networks Copyright 1993-2005 Аппаратная часть – VIA Tech Результатом совмещения этих опытов служит семейство материнских плат формата mini-ITX. Платы построены на 2ух чипсетах – PLE/KLE 133 и CLE266, которые работают с памятью соответственно форматов SDRAM и DDR и имеют полный набор компонентов полноценного PC WIT Networks Copyright 1993-2005 1993-2006 Авторизация по Smart-картам/ USB-ключам Используются ключи фирмы Aladdin Security Solutions - Часть системы безопасности доменов Windows 2000/ 2003 - Строгая двухфакторная аутентификация (полный отказ от системы имя пользователя + пароль) - Цифровые сертификаты (стандарта X.509) издаются сервером и имеют срок действия, могут быть аннулированы в любой момент времени - Ключи Aladdin могут использоваться для множества разных задач, как то – регистрация в домене, терминальный вход в сервер, безопасность электронной почты MS Outlook и документов MS Office, шифрация VPN-каналов WIT Networks Copyright 1993-2006 Терминалы WIT Networks 4 модели для различных секторов рынка Неофит Странник Хакер Профи Икс (Wireless) WIT Networks Copyright 1993-2005 WIT «Неофит» Наиболее простое в устройстве и эксплуатации бездисковое сетевое устройство. Работает под операционной системой Linux (удаленная загрузка ядра). Конфигурация: • Платформа VIA EPIA-V в корпусе Mini-ITX • 128MB SDRAM PC133 памяти • Удаленно загружаемое ядро на основе Linux 2.6.2 • клиенты ICA версии 7.00.77757, RDP - 1.2.0, VNC (Virtual Network Connection)-клиент Возможности: • открытие нескольких одновременных сеансов связи с серверами Windows 2000/ 2003 Terminal Server, CITRIX MetaFrame, VNCсерверами • автоматическое определение разрешающей способности монитора, сетевых настроек • сетевые UNIX-утилиты WIT Networks Copyright 1993-2005 WIT «Хакер» Профессиональная модель с расширенными возможностями. Допускает автономную работу и сохранение настроек. Конфигурация: • Платформа VIA EPIA-V в корпусе Mini-ITX • 128MB SDRAM PC133 памяти • FLASH - диск емкостью 32MB • операционная система Windows CE (5.0) • клиенты ICA версии 8.0, RDP - 5.5 Возможности: • открытие нескольких одновременных сеансов связи с Windows 2000/ 2003 Terminal Server, CITRIX MetaFrame • локальный выход в интернет, почтовый клиент, клиент Windows Messenger • просмотр файлов в форматах Adobe Acrobat, Microsoft Word, Microsoft Excel • подключение непосредственно к терминалу распределенных сетевых ресурсов - принт-серверов, shared-дисков • ftp-клиент WIT Networks Copyright 1993-2005 WIT «Странник» Единственное на рынке беспроводное решение! Конфигурация: • Платформа VIA EPIA-ML в корпусе Mini-ITX • 128MB DDR PC2100 памяти • FLASH - диск емкостью 128MB • беспроводный сетевой адаптер стандарта 802.11G+ • операционная система Linux • клиенты ICA версии 7.00.77757, RDP - 1.2.0, VNC (Virtual Network Console)-клиент Возможности: • открытие нескольких одновременных сеансов связи с серверами Windows 2000/ 2003 Terminal Server, CITRIX MetaFrame • работа в сетях стандарта 802.11a/b/g+, шифрование беспроводного канала связи, роуминг между точками доступа • локальный выход в интернет WIT Networks Copyright 1993-2005 WIT «Профи ИКС» Наиболее полная профессиональная версия с возможностями беспроводного подключения Конфигурация: • Платформа VIA EPIA-ML в корпусе Mini-ITX • 128MB DDR PC2100 памяти • FLASH - диск емкостью 256MB • операционная система Windows XP Embedded SP2 • клиенты ICA версии 9.0, RDP - 5.5 • авторизация по smart-картам Возможности: • Полнофункциональный клиент доступа к серверам Windows 2000/ 2003 Terminal Server, CITRIX MetaFrame • локальный выход в интернет, возможность добавления почтового клиента, Windows Messenger, ICQ WIT Networks Copyright 1993-2005 Сравнение терминалов Модель Неофит Хакер Странник Профи Икс Операционная система Загрузка ОС Smart Card авторизация Беспроводное подключение Работа с серверами Windows 2000/2003, CITRIX Linux По сети Нет Невозможно Есть Windows CE Локально Нет Нет Есть Linux Локально Нет Есть Есть Windows XP Embedded Локально Есть Есть (опционально) Есть WIT Networks Copyright 1993-2006 Различные прошивки терминалов WIT "Хакер" (MS Windows CE 5.00) Имидж Подключение USB Flash дисков (FAT/ FAT32) Коммуникатор Полный (рабочий стол) Терминальный (автоматическое подключение к серверу) при старте Разрешено Запрещено MSN Messenger ICQ Lite WIT «Профи Икс" (MS Windows XP Embedded SP2) Сетевое соединение Подключение USB Flash дисков (FAT/ FAT32/ NTFS) Коммуникатор LAN (встроенный сетевой адаптер) WLAN (беспроводная карточка WiFi) Разрешено Запрещено MSN Messenger ICQ 2003b Pro WIT Networks Copyright 1993-2006 Терминалы WIT Networks 4 модели для различных секторов рынка Неофит Странник $215 $265 Хакер Профи Икс (Wireless) $235 $355 ($380) WIT Networks Copyright 1993-2005 1993-2006 Безопасность работы в терминальном режиме • • По умолчанию, соединения с терминальным сервером шифруются по симметричному алгоритму RC4 с ключом 128 бит 2 системных параметра в Registry контролируют безопасность при передаче паролей 1) 2) HKLM/SYSTEM/CurrentControlSet/Control/Lsa/LMCompatibilityLevel Значения ключа 1: Использовать LM или NTLM, никогда не использовать NTLM2 2: Использовать LM или NTLM, NTLM2 – если возможно 3: Использовать только NTLM, NTLM2 – если возможно 4: Отказывать в LM -аутентификации (Windows NT 4 DC) – только NTLM2 5: Отказывать в LM И NTLM -аутентификации (Windows NT 4 DC) – только NTLM2 HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0 Необходимо добавить Value Name: NtlmMinClientSec Data Type: REG_WORD Value: 0x000000100x000000200x000800000x200000000x80000000- Message integrity Message confidentiality NTLM 2 session security 128-bit encryption 56-bit encryption Требуется перезагрузка сервера, чтобы выставленные параметры вступили в силу WIT Networks Copyright 1993-2005 1993-2006 ICA и RDP клиенты - В варианте Microsoft (RDP) существует для всех Windows, начиная с 3.11, а также Windows CE - В варианте CITRIX (ICA) – еще и на множестве других программных платформ (MacOS, Linux, Solaris, AIX, IRIX, OS/2…) При работе через TCP/IP используются номера портов - RDP клиент – порт 3389 Может быть изменен с помощью ключа registry для всех подключений HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp или для специфического соединения (предварительно сохраненного) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connection На клиенте номер порта задается редактированием файла *.cns (Client Connection Manager-> File - > Export), параметр «Server Port» - ICA клиент – порт 1494 Изменение номера порта делается с помощью утилиты командной строки icaport /PORT:XXX На клиенте просто добавляется номер порта через двоеточие после IP-адреса или имени сервера (как и в любом интернет-браузере) WIT Networks Copyright 1993-2005 1993-2006 Типичные сценарии применения терминалов • • • • Внутрифирменные информационные системы, использующие WWW-интерфейс; интранет Доступ к базам и информационным хранилищам, справочникам Плохо масштабируемые при работе через сеть приложения (типа 1С, устаревших баз, работающих по принципу файл-сервера) Организации с небольшим набором стандартно используемых приложений WIT Networks Copyright 1993-2005 «Бессерверное» применение Интернет WIT Networks Copyright 1993-2006 Применение «Неофита» WIT Networks Copyright 1993-2006 Клиент с «CITRIX» MS Windows 2000/2003 Solaris x86 IBM AIX Терминал с клиентом CITRIX ICA WIT Networks Copyright 1993-2006 Применение «Странника» и «Профи Икс Wireless» Беспроводная точка доступа стандарта 802.11a/b/g+ WIT Networks Copyright 1993-2006 «Серверная ферма» Внешнее дисковое хранилище Traffic Director WIT Networks Copyright 1993-2006 В каких случаях не получится использовать терминальные станции - Если необходима работа с большим разрешением экрана/ глубиной цвета (графические пакеты, обработка мультимедиа) - Не все программное обеспечение заработает в терминальном режиме сервера - Некоторые программы (средства разработки и пр.) требуют толстого ПК, а не тонкого клиента - Компьютерные игры WIT Networks Copyright 1993-2005 Примерные конфигурации серверов Сервер начального уровня – для работы 10-15 пользователей Pentium 4 Dual 3.0GHz 800MHz/ 1GB RAM/ 2x HDD 120GB Сервер среднего уровня – для подключения 20-50 пользователей 2x Pentium XEON 2Core/ 2GB RAM/ 3x HDD 73GB/ RAID Мощный сервер – для работы 50-100 терминальных клиентов 4x Pentium XEON MP 2.5GHz/ 4GB RAM/ 5x HDD 146GB/ RAID Серверные фермы… WIT Networks Copyright 1993-2005 Лицензирование мат.обеспечения 1) 2) в цену терминала включена лицензия на WinCE/ Windows XP Embedded; LINUX версия – бесплатна При подключении к Windows Terminal Services в дополнение к стандартной CAL-лицензии R18-00133(4) Windows Server CAL 2003 OLP NL User/ Device CAL $30 необходима также лицензия для терминального подключения R19-00133(4) Windows Terminal Svr CAL 2003 OLP NL User/ Device CAL 3) $83 Продукты терминального доступа CITRIX покупаются В ДОПОЛНЕНИЕ к лицензиям Microsoft (лицензия на 1 соединение) MW2ZPSS0001 Presentation Server 3.0/4.0, Standard - x1 Concurrent User Connection Packs $275 MW2ZPSA0001 Presentation Server 3.0/4.0, Advanced - x1 Concurrent User Connection Packs $330 MW2ZPSE0001 Presentation Server 3.0/4.0, Enterprise - x1 Concurrent User Connection Packs $375 WIT Networks Copyright 1993-2005 1993-2006 Терминалы позволяют экономить на лицензировании • Необходимо покупать столько лицензий, сколько одновременных приложений могут иметь запускать подключенные пользователи • Тем не менее, при сравнении с количеством приложений, которые нужно установить на персональных компьютерах, появляется экономия! WIT Networks Copyright 1993-2006 Спасибо! Ваши вопросы Наш стенд – 240D Демонстрация всех моделей WIT Networks Copyright 1993-2005