Ликург
Заметки | Тех.книги | Худ.книги |

Терминальный сервис: профили

При работе с профилями в терминальном кластере, можно столкнуться со следующими стратегическими проблемами:

1. На каждом узле скапливаются профили всех пользователей кластера. Со временем они растут в объеме. Сотрудники увольняются, приходят новые и все это копится в виде профилей.

2. Профили на разных узлах различаются, ПО может хранить настройки в профилях, что приводит к большим проблемам у пользователей и приносит большую головную боль администратору. Также пользователи начинают хранить свои файлы в профилях, если вы дадите им такую возможность (объяснять что нельзя бесполезно), а иногда хранить файлы в профилях просто необходимо.

3. Некоторые приложения работающие с БД, могут сохранять результаты промежуточных выборок из базы в виде временных файлов и осуществлять обработку этих массивов, что приводит к весьма существенной нагрузке диска и становится узким местом в производительности терминала. Типичный пример - это Oracle Forms.

4. Пользователям может понадобиться работать с персональными документами. Хранить их в локальном профиле нельзя, т.к. на разных узлах они разные. Хранить их в перемещаемом профиле не желательно, т.к. могут быть проблемы с синхронизацией. Также нужно продумать способ передачи файлов между рабочей станцией и терминальной сессией.

5. Desktop открытый без крайней необходимости, провацирует пользователей портить жизнь себе и особенно администратору.

Далее рассмотрим способы решения описанных выше проблем.

Удаление профилей

Локальные профили нужно удалять автоматическим заданием по расписанию. Восстановление профилей может осуществляться либо из шаблона "Default User" либо с сетевой версии перемещаемого профиля. Если вам повезло и вам не нужно хранить настройки в профиле, то это обеспечит единую конфигурацию для всех и автоматическое решение потенциальных проблем. Если вам нужно хранить настройки в профиле, то они могут восстанавливаться с перемещаемых профилей, при этом будет вычищаться лишний мусор, который копится в локальных профилях и не синхронизируется в перемещаемые профили. Также вы избавляетесь от лишних профилей пользователей распределившихся на другие узлы, ушедших в декрет и уволившихся.

Перемещаемые профили

Если на терминале используются приложения сохраняющие персональные настройки в профиле, то единственный выход, это использование перемещаемых профилей. Копии профилей будут храниться на файловом сервере, резервироваться его средствами, синхронизироваться на все узлы терминального кластера. На какой бы узел не распределился пользователь, он получит свои настройки с сетевой копии. Хранить документы пользователя в перемещаемом профиле не желательно, т.к. сессия пользователя может завершиться некорректно и последние изменения в файлах не успеют синхронизироваться на сетевой профиль. Так же синхронизация больших объемов документов может вызвать задержки при входе и выходе пользователей из сессии. Лучше монтировать в сессии пользователя персональный сетевой диск и перенаправлять каталог "Мои документы" на него.

Диск памяти

Если объем дисковых операций пользователей со своим профилем создает узкое место в производительности терминала, то это можно решить, разместив профили на диске памяти. Это существенно увеличит производительность приложений активно использующих файловую систему профиля и устранит узкие места в производительности терминала. Естественно вам потребуется существенно добавить память на сервер, а также обеспечить чистку профилей чтобы на диске памяти не было ничего лишнего. Также необходимо будет настроить квоты на уровне диска, чтобы один пользователь не мог забить вам весь диск. Желательно написать скрипт мониторинга места на данном диске, чтобы при приближении к критической отметке вы могли разрулить проблему до того как она коснется всех пользователей. Объем диска памяти нужно выбирать так, чтобы не нужно было слишком часто разруливать проблемы с местом.

Персональные файлы

Для обеспечения работы с персональными файлами на терминале можно рассмотреть два варианта. Превый - это использование персонального сетевого диска. Второй - это монтирование локального диска с рабочей станции. У каждого подхода есть свои плюсы и минусы.

Персональный сетевой диск. Подключение можно организовать скриптом запускаемым при входе в терминальную сессию. Также может подключаться к рабочей станции, создавая единое пространство для работы с документами или для передачи документов между рабочей станцией и сессией пользователя. К минусам можно отнести возможные серьезные затраты на поддержание огромных объемов данных пользователей на стороне файлового сервера. К плюсам можно отнести, резервируемость данных пользователей, надежность хранения, перемещаемость. Если нет возможности обеспечить достаточный объем персонального диска, то можно ограничить ресурс персонального диска на 100Мб и использовать для хранения самых важных документов и как шлюз для передачи файлов между терминалом и рабочей станцией.

Подключение локального диска рабочей станции. Можно реализовать через rdp файл, который использовать вместо ярлыка для входа в терминал. Плюс в том что пользователь может работать со своим локальным диском непосредственно и копировать на него файлы. Также плюс может быть в экономии сетевого трафика при работе с файлами, файловые операции инкаспулируются в RDP, который сжимает трафик при передаче. Минус в том, что далеко не все приложения способны видеть такой диск.

Desktop

Если нет крайней необходимости, то Desktop лучше не открывать пользователю. Терминал может запускать заданное приложение, не запуская при этом Desktop. Если у вас не одно приложение, то можно написать мелкую программу запуска нужных вам приложений. Можно даже написать hta скрипт, показывающий пользователям только нужные кнопки запуска приложений на базе членства в группах или других условиях. Также нужно понимать, что запуск другого приложения вместо Desktop не отменяет возможности его запуска пользователем. Применяя дополнительные ограничения через политики, можно серьезно затруднить несанкционированный запуск десктопа или других приложений.

Если нельзя никак избежать предоставления Desktop-а пользователю, то его необходимо максимально ограничить, чтобы пользователь не мог использовать терминал для запуска непредусмотренных приложений, не мог изменять конфигурацию профиля и т.п. При этом важно, заблокировать применение данной политики на админитраторов, чтобы не ограничить возможности управления сервером.