djcleric а ты клиентами к цитриксу по впн пытаешься на автологине подключаться или ручками вводишь доменные логин и пароль?
Добавлено: djcleric мы готовы к опубликованию приложения. Копируем необходимую нам базу на ЛО-КАЛЬНЫЙ диск сервера. ВНИМАНИЕ! Если Вы используете файл-серверную версию про-граммы, то максимальные преимущества терминального решения достигаются только при рас-положении базы данных на локальном дисковом массиве этого же сервера. Это происходит из-за того, что система Windows отключает кэширование дисковых операций при подключении к сетевому ресурсу более чем 1 пользователя. При расположении базы на локальном диске серве-ра никакого обращения по сети к ней не происходит и скорость работы становится максималь-ной. Не предоставляйте общего сетевого доступа к папке с базами данных, так как совместное использование ее по сети значительно замедлит работу. Т.е. с одной и той же базой все должны работать в терминальном режиме, независимо от ресурсов клиентской рабочей станции.
Итак: открываем Management Console и выделяем опцию «Applications». Щелкаем по ней правой клавишей и выбираем «Publish Application». Открывается мастер публикации. Задаем имя нашего приложения (произвольно), например, 1C-Terminal (чтобы не путать в дальнейшем с локальной установкой у клиента). Поле «Description» можно оставить пустым или добавить комментарий к этогму приложению. Полезно, если у нас будет много однотипных опублико-ванных приложений. Нажимаем «Next». Ставим галку «Application» и в поле «Command line» нажимаем «Browse». Выбираем наш сервер и указываем путь к запускаемому файлу (в нашем случае это 1cv7.exe или 1cv7s.exe). Путь «Working Directory» оставляем по умолчанию. Нажи-маем «Next». На следующем экране имеется возможность создать подпапку для окружения «Program Neighborhood». Используем эту возможность если нам необходимо разделить множе-ство публикуемых приложений. Иначе – оставляем поле пустым. Если мы хотим автоматически добавлять ярлыки запуска на рабочий стол и в меню «Пуск» наших клиентов (что очень удобно), то выставляем галки «Add to the client’s Start Menu» и «Add shortcut to the client’s Desktop». Галку «Place under Programs Folder…» не устанавливаем. Нажимаем «Next». Выбираем размер окна и цветовую гамму приложения. Для запуска приложения во весь экран (панель задач при этом остается!) выбираем Session window size «Full Screen» и Colors «High Color (16 bit). Галку «Hide Application title bar» снимаем, а «Maximize application at startup» - устанавливаем. Нажимаем «Next». Снимаем галку «Enable audio». При необходимости устанавливаем шифрование данных (используется, например, при реализации предоставления доступа к основной базе для филиалов через интернет (будет описано далее). Если мы включаем шифрование, скорее всего понадобится дополнительная лицензия для Citrix - Citrix Secure ICA Services. Устанавливаем галку «Printing» - Start this application without waiting for printers to be created». Нажимаем «Next». Определяем серверы для наших задач. В нашем случае сервер только один, поэтому выделяем его в левом поле и нажимаем «Add». Нажимаем «Next». Распределяем права пользователей на доступ к опубликованному приложению. Снимаем галку «Allow anonymous Connections» и добавляем нужные нам группы, например, «Администраторы домена» и «Пользователи домена». Если терминальный доступ необходимо предоставлять избранным пользователям, то удобнее всего создать в нашем домене (рабочей группе) дополнительную группу и помещать туда нужных пользователей. Нажимаем «Finish».
Мы создали опубликованное приложение. Если наш сервер приложений является контрол-лером домена (при наличии возможности их разделить – не стоит объединять роли контроллера домена и сервера приложений), то нам необходимо отредактировать политику безопасности, предоставив доступ к самому серверу группе пользователей, которой мы разрешили доступ к опубликованному приложению.
Для этого открываем консоль редактирования политики безопасности контроллера домена: «Пуск – Программы – Администрирование – Политика безопасности контроллера доме-на». Если подменю Администрирование в меню Пуск – Программы отсутствует, то его можно туда добавить, щелкнув правой клавишей по панели задач – Свойства – Дополнительно – Параметры меню «Пуск» - Ставим галку «Отображать меню Администрирование».
В консоли Политика безопасности контроллера домена раскрываем «Параметры безо-пасности – Локальные политики – Назначение прав пользователя» и изменяем политику «Локальный вход в систему». Добавляем туда группу, которой мы предоставили доступ к на-шему опубликованному приложению.
Теперь добавим администраторов Citrix. В Management Console выделяем Citrix Adminis-trators, правой клавишей «Add Citrix Administrator». В нашем домене находим группу Адми-нистраторы домена и добавляем ее. Нажимаем Next, и выбираем Full Administration. Нажи-маем Finish.
Начиная с Citrix Feature Release 2 права администраторов Citrix можно настраивать очень гибко, делегируя своим заместителям только необходимые права. Это очень полезно для пре-доставления ответственным за работу Citrix сотрудникам таких прав, как принудительное за-вершение сеансов пользователей при Вашем отсутствии. Более подробно – читайте по приве-денным в конце статьи ссылкам.
Все! Далее нам необходимо настроить клиентов.
Итак, рассмотрим два варианта: Клиенты локальной сети и Удаленные клиенты.
7. Настройка клиентов локальной сети.
Сам Citrix Metaframe имеет специальное средство - ICA Client Creator. Его описание мож-но найти по приведенным в конце статьи ссылкам. Мы рассмотрим тривиальный способ – установка клиентов из дистрибутива и последующая настройка для соединения. Еще раз акцентирую внимание на том, что данная статья не описывает максимальную автоматизацию подобного внедрения, а предназначена для получения опыта начального уровня. Дистрибутив клиента берем либо с дистрибутивных дисков Citrix, либо скачиваем последнюю версию с сайта производителя:
www.citrix.com Замечу лишь, что при обновлении клиента до версии 8.0.xx они почему-то потеряли возможность пользоваться в терминальных сессиях колесиком мышки. Сам автор использует версию клиента 6.30.1051, как наиболее стабильную (тестировалось исключительно по личному опыту и касается только версии Citrix XP for Windows 2000). Итак, заходим на клиентский компьютер с правами администратора и запускаем ica32.exe. В процессе выполняем стандартные действия по принятию лицензионного соглашения, указания пути и программной группы. Сравниваем, корректно ли установщик определил имя клиента и разрешаем использовать локальные имя и пароль клиента для аутентификации (отвечаем «Yes»). После установки – не соглашаемся перезагрузить компьютер – сделаем это чуть позже. Вместо этого открываем редактор реестра командой regedt32.exe (regedit.exe – не годится!) и находим ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing. Выделяем ее и выби-раем меню «Безопасность – Разрешения». Проходимся по всем перечисленным там пользовате-лям и группам, выставляя всем галочку «Полный доступ». Жмем «ОК» и выходим из програм-мы редактирования реестра. Перезагружаем клиента. Подразумевается, что в домене уже заве-дены учетные записи пользователей и клиентские компьютеры введены в домен. Заходим в систему с учетной записью пользователя, работающего на этом компьютере. Запускаем с рабо-чего стола или из меню «Пуск» Citrix Program Neighborhood. На предложение ввести имя и пароль жмем Cancel и соглашаемся, что хотим прервать подключение. Меню «Tools – ICA-Settings». Устанавливаем две нижние галочки – Pass-Through authentication и Use Local Cre-dentials for log on и жмем OK. Завершаем сеанс пользователя (Logoff) и вновь входим с его учетной записью. Снова открываем Citrix Program Neighborhood. Если наш значок «1C-Terminal» не появился автоматически, то следуем дальнейшим инструкциям. Выбираем Find New Application Set. Если ярлыка Find New Application Set не видно, тогда нажимаем кнопку «UP» и затем Find New Application Set.
Выбираем «Local Area Network», «Далее», кликаем по галочке справа на поле «Click be-low to locate the Application Set to add». Там должно вывалиться имя созданной нами фермы приложений.
Если этого не произошло (такое бывает, когда у нас в сети несколько серверов Ci-trix или по причине отсутствия мультиадресной рассылки информации о серверах), и мы получили сообщение о невозможности найти что-либо, то выполняем следующие действия: Кнопка «Server Location», Network Protocol – TCP/IP, Address List – Add… Вводим IP-адрес нашего сервера и нажимаем «ОК», затем снова «ОК». Опять кликаем по галочке справа на поле «Click below to locate the Application Set to add». Там должно вывалиться имя созданной нами фермы приложений.
Выбираем ее и жмем «Далее». Следующее окно оставляем без изменений (Colors – Use server Default, Windows Size – Seamless Window). «Далее» - «Готово». Найденная ферма появит-ся в нашем окне Citrix Program Neighborhood.
Правой клавишей кликаем по ней и выбираем «Set as default». Затем снова правой клави-шей – Application Settings – Logon Information. Проверяем, чтобы были установлены галки Local User и Pass-Through Autentication. Жмем «ОК» и дважды кликаем по нашей ферме. Ес-ли мы все сделали правильно – то в списке приложений появится наше опубликованное (1C-Terminal), а его ярлык будет автоматически добавлен на рабочий стол пользователя и в меню «Пуск – Citrix Program Neighborhood». Если вместо этого появилось окно запроса имени поль-зователя и пароля – закрываем все окна и перезагружаем компьютер. Если все нормально - за-крываем окно Citrix Program Neighborhood и запускаем в рабочего стола или из меню «Пуск» наше опубликованное приложение.
ВНИМАНИЕ! Приложения в терминальном режиме могут запускаться гораздо дольше обычного, зато работают потом намного быстрее. Поэтому, запустив приложение один раз, до-ждитесь его загрузки. Объясните это же пользователям, так как на опыте проверено, что жать они будут в ярлык до посинения, запуская все новые и новые сессии. В итоге все подвиснет. После запуска приложения в системном трее появляется значок подключения к серверу Citrix. Он и сигнализирует, что приложение уже запущено. Если же запуска не произошло в течение продолжительного времени (более минуты), то стоит проверить права на ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing. Об этом рассказывается в са-мом начале этой главы.
Итак, наше приложение 1C-Terminal запустилось и мы готовы к добавлению пользовате-лю рабочих баз данных. Тут все почти стандартно. Единственное замечание – при попытке прописать базу через «Обзор» система выдаст сообщение «ICA Client File Security». Ответим «Full Access» и «Never ask me again for any application». Данный вопрос задается, если поль-зователь является локальным администратором на своей рабочей станции или данный пользо-ватель имеет право на подключение к общим системным ресурсам <DriveLetter>$, так как по умолчанию в Citrix MF XP включен режим присоединения клиентских дисков. После этого можно спокойно прописывать все необходимые базы. Если базы у всех пользователей одинаковы и неизменны, можно импортировать каждому пользователю ветку реестра при входе, что позволит каждому новому пользователю автоматически получать список баз. Например, для системы 1С:Предприятие 7.7 список баз хранится в ветке реестра:
HKEY_CURRENT_USER\Software\1C\1Cv7\7.7\Titles. Сохраните ее, например, в файле Titles.reg и пропишите в Logon-script строку: regedit -s Titles.reg. Однако подобные вопросы автоматизации выходят за рамки данной статьи.
Итак, помните, что самый главный смысл терминального решения, если Вы ждете от него ускорения работы приложений, работающих, например с dbf-базами - это ЛОКАЛЬНОЕ расположение рабочих данных!
Все, можно работать.
8. Настройка удаленных клиентов
Теперь реализуем подключение удаленных клиентов через интернет к нашему серверу приложений. Для начала рассмотрим методику настройки подключения к самому серверу, а затем настроим клиентов. Подразумевается, что сеть с настроенным нами сервером приложений имеет интернет подключение с выделенным ВНЕШНИМ IP адресом. О его наличии необходимо проконсультироваться у провайдера.
На сервере нам необходимо указать так называемый «альтернативный адрес», с которым будут работать удаленные клиенты. Это тот самый внешний IP-адрес. Открываем командную строку и вводим команду:
Altaddr /SET <IP-address>, где <IP-address> - наш внешний IP-адрес.
Например, Altaddr /SET 195.131.101.xxx
Затем необходимо открыть необходимые нам порты на пакетном фильтре (Firewall), а также проверить, чтобы наш сервер имел выход наружу по технологии NAT, либо напрямую. Порты, которые мы должны открыть:
Входящие соединения:
Источник: IP-удаленных клиентов (или Any, если мы его не знаем, или он динамиче-ский).
Порты источника: >1024
Получатель: Наш внешний IP
Порты получателя: UDP-1604, TCP-1494.
Исходящие соединения:
Источник: Внутренний IP нашего сервера (если он напрямую не подключен к интернет)
Порты источника: UDP-1604, TCP-1494.
Получатель: IP-удаленных клиентов (или Any, если мы его не знаем, или он динамиче-ский).
Порты получателя: > 1024
Если наш сервер подключен к интернет с использованием технологии NAT, то необхо-димо организовать перенаправление пакетов по указанным портам с внешнего интерфейса ин-тернет на внутренний интерфейс сервера. Т.е. необходимо указать, что сигналы, приходящие на порт 1604 по протоколу UPD и на порт 1494 по протоколу TCP – необходимо перенаправлять на те же порты внутреннего IP-адреса сервера. Применяйте для этого средства, при помощи которых Вы организовали реализацию технологии NAT – почти наверняка они там присутствуют. Ранее автором была написана статья по реализации этого решения – технологии общего доступа в интернет, защиты при помощи межсетевого экрана и организации доступа внутрь сети извне при помощи продукта WinRoute Pro 4.2. On-line редакция статьи находится здесь:
http://www.kuban.ru/forum_new/forum10/modpage/FAQ/wr/index.shtml После произведенных настроек необходимо настроить удаленных клиентов. Их настройка практически аналогична локальной сети, за исключением описанных ниже моментов:
На этапе выбора адреса для подключения выбираем «Wide Area Network», «Далее», Кнопка «Server Location», Network Protocol – TCP/IP, Address List – Add… Вводим ВНЕШ-НИЙ IP-адрес нашего подключения в основном офисе, Затем опцию «Firewalls» и устанав-ливаем галку «Use Alternate address for firewall connection». Нажимаем «ОК», затем снова «ОК». Кликаем по галочке справа на поле «Click below to locate the Application Set to add». Если мы корректно настроили межсетевой экран, то должно вывалиться имя созданной нами фермы приложений. Далее все также, как и при настройке клиентов локальной сети. Рекомен-дуется после добавления нашей фермы приложений кликнуть по ней правой клавишей мыши, перейти на закладку Default Option и установить четыре самых верхних галки (Use data com-ression, Use cache for bitmap, Queue mouse movement and keystrokes, Turn off desktop inte-gration for this application set), а также выставить параметр SpeedScreen Latency Reduction в положение «ON», и установив справа две галки: «Mouse click feedback» и «Local Text Echo»
Настройки глубины цвета выбираем, исходя из ширины нашего канала и необходимости экономии трафика. Для создания минимального трафика и обеспечения максимально возможной скорости на тонких каналах связи выбираем 16 или 256 цветов. Для наиболее комфортного вида – не менее 16 бит. На работе самой программы это никак не отразится – будет лишь изменена отображаемая цветовая гамма.
Помним, что клиенты удаленного офиса должны также иметь либо прямое подключение к интернет, либо использовать технологию NAT, а на межсетевом экране должно быть разре-шено подключение этих клиентов на порты UDP-1604 и TCP-1494 для внешнего IP-адреса ос-новной сети, где расположен сервер терминалов.
В завершении хотелось бы привести полезную ссылку. Несмотря на то, что во время на-писания статьи автор не пользовался приведенным ниже ресурсом, а основывался на личном опыте, все равно крайне рекомендуется его изучить, так как данная статья является средством Step-by-Step, а информация по приведенной ниже ссылке – наиболее полным руководством по продуктам Citrix в России. Все мы так или иначе ее использовали при изучении данной техно-логии.
http://citrix.1th.ru/admin3/index.html для впн клиентов лучше использовать настройку клиентской части как для (смотри в статье)
8. Настройка удаленных клиентов,
