2. Подготовка сетевой среды


При внедрении MetaFrame в первую очередь вы должны подготовить сеть. Это очень важный и часто недооцениваемый этап; если его не выполнить, то развертывание MetaFrame может закончиться неудачей.

Подготовка сети включает в себя разнообразные изменения, которые необходимо сделать в существующей сетевой инфраструктуре, как описано в документе "Изменения в существующей инфраструктуре" стадии конструирования. Начните построение инфраструктуры MetaFrame со следующего:

2.1. Создание сетевых папок общего доступа

Вам необходимо создать все сетевые папки, задокументированные в разделе "Файловое хранилище" этапа конструирования:

2.2. Изменения в брэндмауэрах

Если конечные пользователи подключаются к Citrix MetaFrame Access Suite через интернет, то может потребоваться изменение настроек брэндмауэров.

Если вы собираетесь использовать Secure Gateway for MetaFrame 2.0, то для коммуникаций клиента с сервером нужно открыть только порт TCP 443.

Если для соединения ICA используется служба SSL Relay, то достаточно открыть только порт TCP 443.

Даже если на этапе конструирования вы назначили кого-то другого ответственным за настройку брэндмауэров, то вам следует самим совместно с другой стороной проверить правильность сделанных изменений. В конце концов, это ваш проект и вы отвечаете за конечный результат. Вам также следует задокументировать все вносимые изменения и включить их в полную проектную документацию.

Ниже приведен список портов TCP и UDP, которые имеют отношение к Citrix и которые, возможно, должны быть открыты на брэндмауэрах.

Порт Назначение
TCP - 80 Порт, по умолчанию используемый незащищенными серверами Web Interface и для поиска методом TCP+HTTP (порт (XML), а также незащищенный порт для службы выдачи билетов (STA) Secure Gateway.
TCP - 443 Порт по умолчанию для Secure Gateway for Windows, службы SSL Relay, соединений ICA, использующих поиск методом SSL+HTTPS, а также для защищенных соединений к серверу Web Interface.
Если вы используете Secure Gateway, то на внешнем брэндмауэре вы должны открыть только этот порт.
TCP - 1494 Порт по умолчанию для ICA, при необходимости может быть изменен. Этот порт не обязательно открывать, если вы будете использовать Secure Gateway for Windows.
UDP - 1604 Сегодня этот порт редко используется и необходим только в том случае, если вы не используете Web Interface или метод поиска TCP+HTTP
TCP - 2512 Используется службой IMA для межсерверных коммуникаций. Его нужно открыть только в том случае, если два сервера разделены WAN.
TCP - 2513 Порт, используемый для соединения консоли управления с хранилищем данных. Рекомендуется публиковать Management Console в сеансе MetaFrame XP, если доступ осуществляется по незащищенным соединениям.

Подробнее о часто используемых портах TCP/IP см. следующие статьи:

2.3 Настройки дуплекса и скорости портов

Когда я был маленьким, мой папа учил меня, что для того, чтобы что-то получилось правильно, это надо сделать вручную. Держа это в голове, при проектировании сетей я научился одной вещи - иногда нечто настолько незаметное, что об этом обычно даже не думают, может оказывать влияние на ощущения конечных пользователей больше, чем можно представить. Как-то работая над исследованием инфраструктуры одной компании я заметил одну проблему, исправил ее, и после внесения изменений мы стали получать письма, в которых люди спрашивали - что мы такое сделали для увеличения скорости сети? Люди почувствовали большую разницу! Так о чем я говорю?

Это "нечто" мы назваем несоотвествием дуплекса Ethernet. Эта проблема касается всех устройств Ethernet и широко распространена даже в хорошо сопровождаемых сетях. Несоответствие дуплекса вызывается разными настройками дуплекса на каждом конце соединения. Суммируя отличия полного дуплекса от полудуплекса можно сказать, что в полном дуплексе оба конца соединения могут посылать данные одновременно, а в полудуплексе только один конец может посылать данные. Если эти правила нарушены, вы столкнетесь с несоответствием дуплекса.

Так, если устройство настроено на автообнаружение или принудительно настроено на соединение с одной скоростью (например, 100Mbps/Full Duplex), а другой конец соединения подключен с другой скоростью (100Mbps/HalfDuplex), то у вас появится несоответствие дуплекса и сетевые коллизии. В случае коллизии все устройства сети Ethernet приостановятся на случайный промежуток времени перед повторной посылкой данных. Это сильно снижает производительность сети.

Решение проблемы с дуплексом состоит в ручной настройке сетевых устройств на полный дуплекс или полудуплекс, не допуская никакого автообнаружения. Из моего опыта следует, что автообнаружение ненадежно и не должно использоваться в промышленной среде. Я настоятельно рекомендую пройтись по всей сети и проверить настройки дуплекса, вручную установив параметры для каждого устройства Ethernet и порта коммутатора. Вы даже можете узнать настройки дуплекса вашего интернет-провайдера и настроить соответствующим образом свои маршрутизаторы.

Я делаю особый акцент на настрйках дуплекса, поскольку время, проведенное за настройкой скорости и дуплекса устройств и коммутатора поможет в дальнейшем избавиться от многих проблем с производительностью.

2.4 Добавление пользователей в среду Terminal Services

Теперь вам следует создать сетевые папки для профиля пользователя и домашнего каталога.

2.4.1 Домашний каталог Terminal Server

Поскольку MetaFrame XP поддерживает множество одновременных пользователей, для каждого пользователя поддерживается отдельная копия специфичных для приложений файлов INI. Все файлы INI, ассоциированные с приложениями Windows, ищутся в домашнем каталоге пользователя. Если пользователь инсталлирует приложение Windows, файлы INI создаются и модифицируются в этом каталоге. Если вы хотите, чтобы несколько пользователей использовали одно и то же приложение Windows, вы должны использовать команду change user /install для инсталляции всех файлов INI и DLL в системные каталоги MetaFrame XP, или вручную копировать и объединять нужную информацию в каждый пользовательский файл INI, находящийся в соответствующем домашнем каталоге.

Citrix MetaFrame XP требует, чтобы пользователь имел домашний каталог для хранения информационных файлов настроек приложений.

При добавлении пользователя в ферму MetaFrame вы должны указать каталог Terminal Server Home Directory, расположение которого задается в свойствах пользователя.

Щелкните радиокнопку Connect и выберите букву драйва, которую вы хотите назначить под домашний каталог пользователя, и введите в поле Terminal Services Home Directory значение \\servername\домашний_каталог_пользователя_ts\%username%

Важно! Вам следует спрятать этот драйв от пользователя с помощью применения системных политик (см. далее). Этот домашний каталог не должен использоваться конечным пользователем и лишь приводит к звонкам в службу техподдержки. Поэтому я рекомендую спрятать его.

2.4.2. Путь к терминальному профилю

Пользовательский профиль Windows NT 4.0 описывает конфигурацию Windows NT для индивидуального пользователя, включая среду пользователя и настройки предпочтений. Например, настройки, индивидуальные для каждого пользователя - установленные приложения, значки рабочего стола, цвета и т.п. - хранятся в профиле. Настройки профиля применяются к пользователю при каждом входе и обновляются при каждом корректном выходе.

Вам следует следить на размером папки профиля. Это можно делать разными способами - вы можете установить в групповых политиках дисковые квоты, я рекомендую исключить папку Internet Temporary Files из профиля. Политики будут обсуждаться далее в этом документе более подробно.

При добавлении пользователя в ферму MetaFrame вы должны указать путь к пользовательскому профилю в свойствах пользователя. Введите в поле Terminal Server Profile Path значение \\servername\папка_профилей\%username% (в утилите Users and Computers).

2.5. Создание необходимых групп пользователей

Теперь вы должны создать все группы пользователей, определенные на стадии конструирования. Я рекомендую создать как минимум следующие группы:

Имя пользователя/группы Назначение
CTX Admin Администратор MetaFrame с полными правами
CTX Admin (Read-Only) Администратор MetaFrame, который может только просматривать
CTX Users Все пользователи MetaFrame
CTX Outlook Users Пользователи Outlook
Disable Client Drive Mapping Используется для запрещения отображения клиентских драйвов. В эту группу вы добавите группу Everyone.
Enable Client Drive Mapping Используется для разрешения автоматического отображения клиентских дисков. Сюда вы добавите нужных пользователей и группы, которым требуется доступ к локальным дискам.
Disable Client Printing Используется для запрещения автоматического создания локальных клиентских принтеров. В эту группу вы добавите группу Everyone.
Enable Client Printing Используется для разрешения автоматического создания локальных клиентских принтеров. В эту группу вы добавите пользователей/группы, которым требуется печать на локальных автоматически создаваемых принтерах.
Enable Server to Client Redirection Группа пользователей, использующих редирект контента от сервера к клиенту
CTX IM Учетная запись для Installation Manager Service

 


Стадия реализации Содержание Установка операционных систем для MetaFrame XP