«Новый способ построения информационной инфраструктуры современного предприятия»

реклама
«Новый способ построения
информационной
инфраструктуры современного
предприятия»
Технические подробности
WIT
Networks Copyright 1993-2006
О терминальном доступе
Простая идея – поручить серверу выполнение всех счетных и
графических задач, обработку графических объектов,
оставив терминальному клиенту только
- Отрисовку изменений экрана
- Передачу на сервер действий пользователя (нажатий
клавиш, движений мыши)
Сервер
Тонкий клиент
WIT
Networks Copyright 1993-2005
1993-2006
Расширенные возможности
терминальных серверов
• Назначение приложений сессиям/клиентам
• Подключение локальных дисков
• Распределение в сети локально подключенных устройств
(принтеров, сканеров, считывателей штрих-кодов)
• Перенаправление звука для локального проигрывания
• Серверные фермы и виртуализация приложений
• Балансировка загрузки между серверами в «серверной
ферме»
• Работа с общим ClipBoard для локального компьютера и для
терминальной сессии на сервере
WIT
Networks Copyright 1993-2005
Используемые в терминалах OS
• Свободно распространяемые операционные
системы с открытым кодом (Linux, FreeBSD…)
• Варианты Windows для встроенных систем
(Windows CE, Windows XP Embedded)
WIT
Networks Copyright 1993-2005
MS Windows CE
Windows CE – это
- знакомый графический интерфейс
- Наличие Registry
- API и архитектура, основанная на DLL
Но есть отличия
- Монолитное ядро (ROM-based система)
- Особая модель драйверов устройств
- Несовместимость с Win32 (Windows – программы НЕ ПОЙДУТ
на WinCE)
Мы используем Windows CE 5.0
WIT
Networks Copyright 1993-2005
MS Windows XP Embedded
Windows XP Embedded – это
• Компонентная версия полной Windows XP Professional
• Заметно сниженные требования к аппаратуре (128MB
RAM, Pentium III <1GHz), не нужен жесткий диск
• Полная совместимость с Win32 программами и
драйверами устройств
Минусы
• Высокая стоимость лицензии
• Запрет использования (от MicroSoft) в качестве
полноценной операционной системы
Мы используем Windows XP Embedded SP2
WIT
Networks Copyright 1993-2005
Linux
ОС с многими достоинствами
• Система с открытым кодом (проверенные исходники,
отсутствие неизвестных «дыр» и «закладушек»)
• Огромное количество доступных свободных программ
Проблемы
• Драйвера не под все «железо»
Мы используем дистрибутив Red Hat Linux с ядром
версии 2.6
WIT
Networks Copyright 1993-2005
Аппаратная часть - VIA Tech
VIA - уникальная фирма
• VIA владеет патентом на производство x86 – совместимых
процессоров
• VIA производит чипсеты
• VIA имеет собственную версию сетевого адаптера 10/100,
звуковой подсистемы, встроенной в чипсет AGP-графики с
аппаратным ускорением MPEG-декодирования
• VIA разработала собственный компьютерный стандарт –
форм-фактор ITX – основу для построения недорогих
надежных встроенных устройств и barebone-систем
WIT
Networks Copyright 1993-2005
Аппаратная часть – VIA Tech
Результатом совмещения этих опытов
служит семейство материнских плат
формата mini-ITX. Платы построены
на 2ух чипсетах – PLE/KLE 133 и
CLE266, которые работают с памятью
соответственно форматов SDRAM и
DDR и имеют полный набор
компонентов полноценного PC
WIT
Networks Copyright 1993-2005
1993-2006
Авторизация по Smart-картам/
USB-ключам
Используются ключи фирмы Aladdin Security Solutions
- Часть системы безопасности доменов Windows
2000/ 2003
- Строгая двухфакторная аутентификация (полный
отказ от системы имя пользователя + пароль)
- Цифровые сертификаты (стандарта X.509)
издаются сервером и имеют срок действия, могут
быть аннулированы в любой момент времени
- Ключи Aladdin могут использоваться для
множества разных задач, как то – регистрация в
домене, терминальный вход в сервер,
безопасность электронной почты MS Outlook и
документов MS Office, шифрация VPN-каналов
WIT
Networks Copyright 1993-2006
Терминалы WIT Networks
4 модели для различных секторов рынка
Неофит
Странник
Хакер
Профи Икс
(Wireless)
WIT
Networks Copyright 1993-2005
WIT «Неофит»
Наиболее простое в устройстве и эксплуатации бездисковое
сетевое устройство. Работает под операционной системой
Linux (удаленная загрузка ядра).
Конфигурация:
• Платформа VIA EPIA-V в корпусе Mini-ITX
• 128MB SDRAM PC133 памяти
• Удаленно загружаемое ядро на основе Linux 2.6.2
• клиенты ICA версии 7.00.77757, RDP - 1.2.0, VNC (Virtual Network
Connection)-клиент
Возможности:
• открытие нескольких одновременных сеансов связи с серверами
Windows 2000/ 2003 Terminal Server, CITRIX MetaFrame, VNCсерверами
• автоматическое определение разрешающей способности
монитора, сетевых настроек
• сетевые UNIX-утилиты
WIT
Networks Copyright 1993-2005
WIT «Хакер»
Профессиональная модель с расширенными возможностями.
Допускает автономную работу и сохранение настроек.
Конфигурация:
• Платформа VIA EPIA-V в корпусе Mini-ITX
• 128MB SDRAM PC133 памяти
• FLASH - диск емкостью 32MB
• операционная система Windows CE (5.0)
• клиенты ICA версии 8.0, RDP - 5.5
Возможности:
• открытие нескольких одновременных сеансов связи с Windows
2000/ 2003 Terminal Server, CITRIX MetaFrame
• локальный выход в интернет, почтовый клиент, клиент
Windows Messenger
• просмотр файлов в форматах Adobe Acrobat, Microsoft Word,
Microsoft Excel
• подключение непосредственно к терминалу распределенных
сетевых ресурсов - принт-серверов, shared-дисков
• ftp-клиент
WIT
Networks Copyright 1993-2005
WIT «Странник»
Единственное на рынке беспроводное решение!
Конфигурация:
• Платформа VIA EPIA-ML в корпусе Mini-ITX
• 128MB DDR PC2100 памяти
• FLASH - диск емкостью 128MB
• беспроводный сетевой адаптер стандарта 802.11G+
• операционная система Linux
• клиенты ICA версии 7.00.77757, RDP - 1.2.0, VNC (Virtual Network
Console)-клиент
Возможности:
• открытие нескольких одновременных сеансов связи с серверами
Windows 2000/ 2003 Terminal Server, CITRIX MetaFrame
• работа в сетях стандарта 802.11a/b/g+, шифрование
беспроводного канала связи, роуминг между точками доступа
• локальный выход в интернет
WIT
Networks Copyright 1993-2005
WIT «Профи ИКС»
Наиболее полная профессиональная версия с возможностями
беспроводного подключения
Конфигурация:
• Платформа VIA EPIA-ML в корпусе Mini-ITX
• 128MB DDR PC2100 памяти
• FLASH - диск емкостью 256MB
• операционная система Windows XP Embedded SP2
• клиенты ICA версии 9.0, RDP - 5.5
• авторизация по smart-картам
Возможности:
• Полнофункциональный клиент доступа к серверам Windows
2000/ 2003 Terminal Server, CITRIX MetaFrame
• локальный выход в интернет, возможность добавления почтового
клиента, Windows Messenger, ICQ
WIT
Networks Copyright 1993-2005
Сравнение терминалов
Модель
Неофит
Хакер
Странник
Профи
Икс
Операционная
система
Загрузка
ОС
Smart Card
авторизация
Беспроводное
подключение
Работа с
серверами
Windows
2000/2003,
CITRIX
Linux
По сети
Нет
Невозможно
Есть
Windows CE
Локально
Нет
Нет
Есть
Linux
Локально
Нет
Есть
Есть
Windows XP
Embedded
Локально
Есть
Есть
(опционально)
Есть
WIT
Networks Copyright 1993-2006
Различные прошивки терминалов
WIT "Хакер" (MS Windows CE 5.00)
Имидж
Подключение USB Flash
дисков (FAT/ FAT32)
Коммуникатор
Полный (рабочий
стол)
Терминальный (автоматическое
подключение к серверу) при старте
Разрешено
Запрещено
MSN Messenger
ICQ Lite
WIT «Профи Икс" (MS Windows XP Embedded SP2)
Сетевое соединение
Подключение USB Flash
дисков (FAT/ FAT32/ NTFS)
Коммуникатор
LAN (встроенный
сетевой адаптер)
WLAN (беспроводная
карточка WiFi)
Разрешено
Запрещено
MSN Messenger
ICQ 2003b Pro
WIT
Networks Copyright 1993-2006
Терминалы WIT Networks
4 модели для различных секторов рынка
Неофит
Странник
$215
$265
Хакер
Профи Икс
(Wireless)
$235
$355
($380)
WIT
Networks Copyright 1993-2005
1993-2006
Безопасность работы в
терминальном режиме
•
•
По умолчанию, соединения с терминальным сервером
шифруются по симметричному алгоритму RC4 с ключом 128 бит
2 системных параметра в Registry контролируют безопасность
при передаче паролей
1)
2)
HKLM/SYSTEM/CurrentControlSet/Control/Lsa/LMCompatibilityLevel
Значения ключа
1: Использовать LM или NTLM, никогда не использовать NTLM2
2: Использовать LM или NTLM, NTLM2 – если возможно
3: Использовать только NTLM, NTLM2 – если возможно
4: Отказывать в LM -аутентификации (Windows NT 4 DC) – только NTLM2
5: Отказывать в LM И NTLM -аутентификации (Windows NT 4 DC) – только NTLM2
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
Необходимо добавить
Value Name: NtlmMinClientSec
Data Type: REG_WORD
Value:
0x000000100x000000200x000800000x200000000x80000000-
Message integrity
Message confidentiality
NTLM 2 session security
128-bit encryption
56-bit encryption
Требуется перезагрузка сервера, чтобы выставленные параметры вступили в силу
WIT
Networks Copyright 1993-2005
1993-2006
ICA и RDP клиенты
- В варианте Microsoft (RDP) существует для всех Windows,
начиная с 3.11, а также Windows CE
- В варианте CITRIX (ICA) – еще и на множестве других
программных платформ (MacOS, Linux, Solaris, AIX, IRIX,
OS/2…)
При работе через TCP/IP используются номера портов
-
RDP клиент – порт 3389
Может быть изменен с помощью ключа registry для всех подключений
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
или для специфического соединения (предварительно сохраненного)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connection
На клиенте номер порта задается редактированием файла *.cns (Client Connection Manager-> File - >
Export), параметр «Server Port»
-
ICA клиент – порт 1494
Изменение номера порта делается с помощью утилиты командной строки icaport /PORT:XXX
На клиенте просто добавляется номер порта через двоеточие после IP-адреса или имени сервера (как и в
любом интернет-браузере)
WIT
Networks Copyright 1993-2005
1993-2006
Типичные сценарии
применения терминалов
•
•
•
•
Внутрифирменные информационные системы,
использующие WWW-интерфейс; интранет
Доступ к базам и информационным
хранилищам, справочникам
Плохо масштабируемые при работе через сеть
приложения (типа 1С, устаревших баз,
работающих по принципу файл-сервера)
Организации с небольшим набором
стандартно используемых приложений
WIT
Networks Copyright 1993-2005
«Бессерверное» применение
Интернет
WIT
Networks Copyright 1993-2006
Применение «Неофита»
WIT
Networks Copyright 1993-2006
Клиент с «CITRIX»
MS Windows
2000/2003
Solaris x86
IBM AIX
Терминал с клиентом CITRIX ICA
WIT
Networks Copyright 1993-2006
Применение «Странника» и
«Профи Икс Wireless»
Беспроводная точка доступа стандарта 802.11a/b/g+
WIT
Networks Copyright 1993-2006
«Серверная ферма»
Внешнее дисковое хранилище
Traffic Director
WIT
Networks Copyright 1993-2006
В каких случаях не получится
использовать терминальные
станции
- Если необходима работа с большим разрешением
экрана/ глубиной цвета (графические пакеты,
обработка мультимедиа)
- Не все программное обеспечение заработает в
терминальном режиме сервера
- Некоторые программы (средства разработки и пр.)
требуют толстого ПК, а не тонкого клиента
- Компьютерные игры
WIT
Networks Copyright 1993-2005
Примерные конфигурации серверов
Сервер начального уровня – для работы 10-15 пользователей
Pentium 4 Dual 3.0GHz 800MHz/ 1GB RAM/ 2x HDD 120GB
Сервер среднего уровня – для подключения 20-50
пользователей
2x Pentium XEON 2Core/ 2GB RAM/ 3x HDD 73GB/ RAID
Мощный сервер – для работы 50-100 терминальных клиентов
4x Pentium XEON MP 2.5GHz/ 4GB RAM/ 5x HDD 146GB/
RAID
Серверные фермы…
WIT
Networks Copyright 1993-2005
Лицензирование мат.обеспечения
1)
2)
в цену терминала включена лицензия на WinCE/ Windows XP
Embedded; LINUX версия – бесплатна
При подключении к Windows Terminal Services в дополнение к
стандартной CAL-лицензии
R18-00133(4) Windows Server CAL 2003 OLP NL User/ Device CAL
$30
необходима также лицензия для терминального подключения
R19-00133(4) Windows Terminal Svr CAL 2003 OLP NL User/ Device CAL
3)
$83
Продукты терминального доступа CITRIX покупаются В
ДОПОЛНЕНИЕ к лицензиям Microsoft (лицензия на 1 соединение)
MW2ZPSS0001
Presentation Server 3.0/4.0, Standard - x1 Concurrent User Connection Packs
$275
MW2ZPSA0001
Presentation Server 3.0/4.0, Advanced - x1 Concurrent User Connection Packs
$330
MW2ZPSE0001
Presentation Server 3.0/4.0, Enterprise - x1 Concurrent User Connection Packs
$375
WIT
Networks Copyright 1993-2005
1993-2006
Терминалы позволяют экономить
на лицензировании
• Необходимо покупать столько лицензий, сколько
одновременных приложений могут иметь запускать
подключенные пользователи
• Тем не менее, при сравнении с количеством
приложений, которые нужно установить на
персональных компьютерах, появляется экономия!
WIT
Networks Copyright 1993-2006
Спасибо!
Ваши вопросы
Наш стенд – 240D
Демонстрация всех моделей
WIT
Networks Copyright 1993-2005
Скачать