ОСОБЕННОСТИ РЕАЛИЗАЦИИ ДОМЕНА С ТОНКИМИ КЛИЕНТАМИ НА БАЗЕ MICROSOFT WINDOWS SERVER 2012 R2

IMPLEMENTATION FEATURES OF DOMAIN BASED ON MICROSOFT WINDOWS SERVER 2012 R2 WITH THIN CLIENTS

Vladimir Nikolaev

candidate of Science, assistant professor of the department “Applied informatics and mathematics”, Russian Presidential Academy of National Economy and Public Administration of the Orel Branch,

Russia Orel

АННОТАЦИЯ

Рассмотрены некоторые вопросы развертывания домена на базе операционной системы Windows Server 2012 R2. Особое внимание уделено особенностям организации удаленного доступа к серверу персональных компьютеров с операционными системами семейства MS Windows и тонких клиентов Xubuntu. Приводятся результаты опыта практической реализации аппаратно-программной среды для централизованной системы управления базой данных.

ABSTRACT

Some aspects of the deployment of domain on base Windows Server 2012 R2 considered. Particular attention is paid to features of remote access to server of Windows-based personal computers and Xubuntu thin clients. Practical results of implementing experience of hardware and software for centralized database management system included.

Ключевые слова: домен; контроллер; тонкий клиент; удаленный доступ.

Keywords: domain; controller; thin client; remote access.

Летом 2015 года фирма Microsoft объявила об окончании поддержки операционной системы Windows Server 2003. Таким образом, серверная линейка операционных систем (ОС) фирмы в настоящее время включает в себя различные дистрибутивы версий Windows Server 2008 и Windows Server 2012. Учитывая, что в серверной операционной системе Windows Server 2012 R2 реализован ряд новых возможностей, было принято решение о развертывании домена в одной из бюджетных медицинских организаций города Орла на её базе.

В результате предыдущей попытки создания централизованной системы управления медицинскими учреждениями Орловской области в медицинском учреждении была создана локальная вычислительная сеть (ЛВС), использующая оптоволоконные линии связи между корпусами и «витую пару» внутри корпусов. Сеть включала в себя около 30 персональных компьютеров (ПК) с различными версиями ОС MS Windows XP, Windows 7 и Windows 8. Кроме того, имелось более 250 тонких клиентов ICL ThinRAY Th222 с операционной системой ICLinux, созданной на базе программного обеспечения с открытым исходным кодом. Имелся внешний оптоволоконный кабель, назначением которого было подключение ЛВС учреждения к серверам городского информационно-аналитического центра. Компьютеры, подключенные к сети, использовали статические немаршрутизируемые адреса и образовывали единый сегмент. Коммутационное оборудование было собрано в стойку и находилось в помещении, которое в дальнейшем использовалось в качестве серверной. Программное обеспечение централизованной базы данных отсутствовало, в связи с чем ПК использовались в повседневной работе учреждения, а все тонкие клиенты были отключены от сети.

Для развертывания собственного домена учреждения была произведена закупка двух серверов Desten Computers, программного обеспечения MS Windows Server 2012 R2 и лицензий на подключение клиентов к серверу базы данных, а также медицинской информационной системы «ИнтраМед», представляющую собой централизованную базу данных.

В настоящее время существует две версии [1] ОС Windows Server 2012: редакция Windows Server 2012 Standard Edition и редакция Windows Server 2012 Datacenter Edition. Кроме того, в процессе установки любой из редакций инсталлятор предлагает выбрать вариант без графической оболочки под названием Server Core. Исходя из предполагаемого количества гостевых сеансов и удобства обслуживания, для обоих серверов была выбрана версия Windows Server 2012 R2 SE с графической оболочкой. Дистрибутивы Windows Server 2012 существуют только в 64-разрядной версии. На сервере, выполняющем функции первичного контроллера домена, были также развернуты роли DHCP-сервера и DNS-сервера. На сервере базы данных дисковая подсистема была реализована в виде RAID 10, обеспечивающем высокую отказоустойчивость и производительность. Управление сервером базы данных осуществлялось удаленно с контроллера домена. Управление компьютерами реализовано по умолчанию в консоли диспетчера серверов (Server Manager) ОС Windows Server 2012 R2 [6]. Управление доменом, в частности, настройка параметров сервера и добавление серверных ролей, также осуществляется из этой консоли.

Для обновления клиента подключения ПК с Windows XP SP2 и SP3 к удаленному рабочему столу RDC 6.1 (Remote Desktop Connection) с сайта Microsoft необходимо скачать и установить обновление KB952155. Теперь для подключения к удаленному рабочему столу сервера базы данных на ПК c ОС Windows XP, Windows 7 и Windows 8 в окне консоли RDC необходимо указать имя сервера, пройти процедуру аутентификации пользователя и, при желании, выполнить ряд настроек соединения.

Установленная на тонких клиентах ОС ICLinux, использующая своеобразный табличный интерфейс, создавала ряд технических и организационных проблем. Было принято решение заменить ОС на один из поддерживаемых дистрибутивов ОС Linux. Основные аппаратные характеристики тонких клиентов Th222, а именно: объем оперативной памяти – 2 Гбайта, модуль твердотельного диска – 4 Гбайта, резко сузили количество возможных вариантов. Были проведены попытки установить на тонкий клиент следующие распространенные в России дистрибутивы Linux: CentOS, PuppyRUS, Linux Mint, Ubuntu, Xubuntu. Без проблем установились только два последних. Однако, только дистрибутив Xubuntu работал на тонком клиенте без каких-либо ощущаемых задержек, что и предопределило выбор. Генеральным спонсором проекта Xubuntu является компания Canonical Ltd. Следует отметить, что выбранный дистрибутив Xubuntu 14.04 LTS (Trusty Tahr) использует так называемую «лёгкую» графическую среду Xfce и основан на дистрибутиве Ubuntu, который в свою очередь основан на Debian GNU/Linux. LTS означает долгосрочную поддержку (Long Time Support) – до 2019 года. Опыт последующей работы в информационной системе подтвердил тот факт, что даже пользователи с минимальными навыками работы на компьютерах не испытывали серьёзных затруднений при работе на тонких клиентах с ОС Xubuntu.

Наличие на тонких клиентах твердотельного диска с ограниченным объемом предопределило отказ от раздела подкачки (swap) при установке операционной системы Xubuntu. Тестирование показало, что при одновременной работе установленных приложений средняя загрузка оперативной памяти была не более 50 %. Также с целью экономии ресурса твердотельного диска после установки системы в браузере Firefox в разделе настроек на вкладке «Сеть» был подтвержден отказ от кэширования скачиваемого контента.

Установленная версия Xubuntu занимала на диске приблизительно 3,5 гигабайта. С целью увеличения свободного дискового пространства для данных пользователя были удалены программы, не используемые пользователем или запуск которых нежелателен. В частности, были удалены игры, плейер, электронная таблица Gnumeric, графический редактор GIMP, программа подключения к удаленным файловым системам Gigolo и ряд других. Таким образом, тонкие клиенты обеспечивали основные задачи пользователя: работу с файлами в формате DOC с помощью текстового редактора AbiWord, чтение файлов в формате PDF с помощью встроенной программы просмотра, выход в Интернет с помощью браузера Firefox для доступа к личному кабинету врача и участия в вебинарах. Для удобства работы администратора был установлен менеджер пакетов Synaptic. После удаления неиспользуемых пакетов занятый объем диска составлял около 70 %.

Для организации удаленного доступа к серверу базы данных на тонких клиентах была установлена программа Remmina – клиент удаленного доступа с лицензией СПО, поддерживающий, в частности, протокол RDP (Remote Desktop Protocol – протокол удаленного рабочего стола). Настройка удаленного подключения аналогична выполняемой на Windows-машинах.

Создание первичного контроллера домена выполняется во время установки роли Active Directory Domain Services (AD DS) – доменные службы «активного каталога» (обычно используется вариант «доменные службы Active Directory»). Во время этого процесса выбирается имя домена, пароль для режима восстановления службы каталога, путь к каталогам базы данных AD DS. Одновременно на сервер устанавливается роль сервера DNS. Если все предварительные требования соблюдены, то уровень сервера повышается до контроллера домена. Следует заметить, что работа в домене Windows Server 2012 R2 предполагает наличие нескольких вторичных контроллеров домена, появление которых предполагалось в ходе дальнейшего развития информационной системы учреждения.

Существовавшая ЛВС использовала статическую адресацию с маской IP-адреса 255.255.254.0, позволяющую использовать более 500 адресов. Для организации работы локальной вычислительной сети домена на контролере домена была установлена роль DHCP-сервера [3]. Для динамической адресации компьютеров в сети, в основном – тонких клиентов, была выделена часть диапазона IP-адресов из имеющегося адресного пространства. Сервера, шлюзы и служебные ПК получили статические адреса. Кроме того, часть диапазона адресов сети была зарезервирована за системой видеонаблюдения.

Управление пользователями и компьютерами домена в Windows Server 2012 R2 осуществляется из консоли административного центра AD (Active Directory Administrative Center – ADAC) [7]. Консоль позволяет создавать, блокировать и удалять учетные записи пользователя и группы пользователей, управлять политикой паролей пользователя и другими его характеристиками, добавлять компьютеры в домен и удалять их. Эти же действия можно выполнять из командной оболочки PowerShell с помощью команд. Все пользователи информационной системы были разделены на группы в соответствии с организационной структурой медицинского учреждения.

Редактор групповых политик используется в Windows Server 2012 R2 для задания конфигураций пользователей или компьютеров (Group Policy Objects, GPO – объекты групповой политики). Параметрами можно управлять с помощью консоли управления групповыми политиками или с помощью командной оболочки PowerShell. Панель управления групповой политикой (Group Policy Management Console, GPMC) запускается из Диспетчера серверов. GPMC позволяет настроить четыре типа сценариев: при включении и завершении работы компьютера и при входе и выходе пользователя из системы. Аутентификация пользователей в системе осуществлялась в соответствии с принадлежностью к группе. При входе пользователя в систему выполнялся сценарий запуска базы данных. Система управления базой данных осуществляла авторизацию пользователя по индивидуальной паре логин/пароль. В соответствии с выполняемыми функциями пользователя в учреждении выполнялся его доступ к определенной части базы данных с соответствующими правами.

Служба удаленных рабочих столов (Remote Desktop Service) была развернута на сервере базы данных [5]. Для этого из панели диспетчера серверов в мастере добавления ролей и компонентов выбирается «Установка служб удаленных рабочих столов». В качестве сценария развертывания было выбрано «Развертывание рабочих столов на основе сеансов». После завершения развертывания RDS в левой части панели диспетчера серверов появляется соответствующий пункт. При его выборе в центральной части панели графически отображается обзор развертывания, отражающий развертывание служб ролей посредника подключений, веб-доступа, узла сеансов, а также роль лицензирования, шлюза, узла виртуализации удаленных рабочих столов. Узел сеансов содержит коллекцию приложений RemoteApp – это список опубликованных приложений сервера, к которым пользователь имеет удаленный доступ. Для веб-доступа к ним на компьютере клиента в строке браузера необходимо ввести: https ://dbserver.domain.local/rdweb, где domain.local – домен учреждения, а dbserver – имя сервера RDS (в нашем случае это - сервер базы данных). С целью сохранения конфиденциальности конкретные доменные имена не приводятся. Посредник подключений осуществляет балансировку нагрузки в случае наличия нескольких серверов (фермы) службы удаленных сеансов, что предполагает дальнейший рост информационной системы. Выбранная модель лицензирования – на пользователя (per Users) – соответствует политике управления пользователями. Служба шлюза удаленного стола обеспечивает подключение к внутренним ресурсам домена через Интернет. Из соображений безопасности такой доступ был запрещен. Узел виртуализации рабочих столов работает совместно со встроенным в Windows Server 2012 R2 менеджером виртуальных машин Hyper-V, известным как гипервизор. Из соображений дальнейшего роста системы гипервизор на сервере базы данных был установлен, тем более, что аппаратные ресурсы сервера это позволяли.

Кроме установки основных ролей и служб на серверах был активирован ряд вспомогательных, например, служба теневого копирования и служба времени.

По мере развертывания домена была подтверждена правильность принятых программно-аппаратных решений. Подобный комплекс решений по системной интеграции был принят при разработке и внедрении информационной системы, предполагающей одноранговую сеть с использованием интранет-технологий [2; 4]. Особенностью рассматриваемой информационной системы было наличие большого количества тонких клиентов. Выбор ОС Xubuntu обеспечил их подключение к домену на базе Windows Server 2012 R2 и надежную работу компьютеров как в случае работы с локальными файлами, так и при выходе в Интернет. Реализована возможность подключения тонких клиентов и Windows-машин к удаленному рабочему столу сервера базы данных и их работа с медицинской информационной системой ИнтраМед.

Список литературы:

1. Microsoft Windows Server 2012. Полное руководство: Пер. с англ. – М.: ООО «И.Д. Вильямс», 2013. С. 45–83.
2. Свид. о гоc. рег. прогр. для ЭВМ №2012611726 РФ. Система управления комплексной безопасностью образовательных учреждений / Степанов Ю.С., Никулин А.И., Николаев В.В. Поступл. 7.11.2011; регистр. 15.02.2012, Реестр программ для ЭВМ. – 25 с.
3. [3]Станек У.Р. Microsoft Windows Server 2012 R2: хранение, безопасность, сетевые компоненты. Справочник администратора: Пер. с англ. – М.: Изд-во «Русская редакция»; СПб.: «БХВ-Петербург», 2015. С. 237–279.
4. Степанов Ю.С., Барсуков Г.В., Николаев В.В. Разработка информационно-аналитического обеспечения системы управления защищенностью образовательных учреждений с учетом оптимизации уровня их комплексной безопасности // Информационные системы и технологии: в 3 т. Орел: ФГОУ ВПО «Госуниверситет – УНПК», 2011. Т. 1. С. 127–129.
5. Minasi M., Greene K., Booth Ch. et al. Mastering Windows Server 2012 R2. Indianapolis, Indiana: John Wiley & Sons, Inc., 2014. P. 883–927.
6. Tulloch M. Installing and Configuring Windows Server 2012. Training Guide. Redmond, Washington: Microsoft Press, 2012. P. 83–129.
7. Zacker C. Exam Ref 70-140: Installing and Configuring Windows Server 2012. Hoboken, NJ: John Wiley & Sons Inc., 2013. P. 406–425.