Самоучитель системного администратора. 5-е изд

Работа в глобальной сети 
229 
дешевых рабочих станций, чем мощный сервер. Тем более, что скорость выполне-
ния задач все равно окажется не столь высокой, как ожидается. Во-первых, данные 
передаются по сети, на что требуется дополнительное время. Во-вторых, к серверу 
терминалов одновременно подключается (и нагружает его) множество рабочих 
станций — иначе зачем он нам нужен? 
Использование графических утилит для подключения к Linux 
Если в вашей ОС Linux установлена графическая оболочка, то существуют про-
граммы, позволяющие работать в ней удаленно. Одним из наиболее частых реше-
ний является бесплатный пакет VNC, который позволяет использовать в качестве 
сервера и клиента системы Windows и Linux в любом сочетании. Другими словами, 
из Linux вы можете подключаться к Windows-клиентам и наоборот. 
Подключение филиалов 
У многих предприятий есть удаленные филиалы. Такие филиалы могут находиться 
в пределах одного города, одной страны или вообще за пределами страны. Очень 
часто есть необходимость работы всех компьютеров филиалов в составе единой 
сети. Для этого локальные сети филиалов должны быть объединены 
туннелем
. 
Создать туннель можно с помощью VPN. Здесь возможны два решения: либо про-
граммное, либо аппаратное. Первое заключается в настройке VPN-серверов, и оно 
описано в уже упомянутой ранее книге «Серверное применение Linux, 3-е изд.». 
Второе подразумевает использование уже готовых VPN-маршрутизаторов. Между 
этими маршрутизаторами создается туннель, по которому осуществляется обмен 
данными двух локальных сетей. Преимущество такого решения — надежность 
(решения, заложенные в маршрутизаторы хорошо отработаны), стабильность рабо-
ты (в маршрутизаторах используются UNIX-подобные операционные системы), 
быстрота восстановления канала в случае обрыва связи и т. д. 
Если в качестве пограничных компьютеров используются Linux-системы, то соз-
дать безопасное объединение локальных сетей очень просто. Сначала организуется 
безопасное соединение сетей, а после этого настраивается туннель и правила 
фильтрации. 
Информацию о настройке самого туннеля между двумя Linux-системами вы без 
проблем найдете или в Интернете, или в книге «Серверное применение Linux,
3-е изд.», потому сейчас на этом мы подробно останавливаться не будем. 
Контроллер домена «только для чтения» 
Сейчас наличием филиалов или территориально удаленных подразделений (напри-
мер, складов) никого не удивишь. Филиалы могут находиться как в пределах горо-
да, так и по всей стране. 
К сожалению, центральный офис не всегда бывает достижим. Случается всякое — 
от выхода из строя сетевого оборудования до банального отключения в централь-
ном офисе электричества. Что делать в этом случае? 

230 
Глава 5 
Тут поможет размещение в филиале дополнительного контроллера домена. Однако 
в филиале гораздо сложнее обеспечить необходимый уровень безопасности серве-
ра, а при наличии физического доступа к системе злоумышленнику не составит 
особого труда скомпрометировать ее. Впрочем, начиная с Windows Server 2008, 
появилась возможность установки контроллера домена «только для чтения» — 
RODC (Read-Only Domain Controller). RODC в некоторой мере похож на Backup 
Domain Controller — контроллер в домене Windows NT 4.0, в который также нельзя 
было вносить изменения. 
Вот чем отличается RODC от обычного контроллера домена: 
односторонняя репликация
— данные копируются на RODC с других кон-
троллеров. Если программа пытается внести изменения в базу, хранящуюся на 
RODC, то операция записи будет транслироваться на «обычные» контроллеры и 
выполняться там; 
ограниченный набор атрибутов
— на RODC кэшируется только часть атрибу-
тов каталога. Настройками на контроллере-хозяине схемы администратор может 
изменить состав этих атрибутов, но часть их помечена как критические, и не 
подлежит репликации на RODC. На RODC также можно установить сервер DNS 
в режиме «только для чтения»; 
возможность хранения данных аутентификации
— администратор может на-
строить список учетных записей, для которых данные аутентификации будут 
храниться (кэшироваться) на RODC. Эти пользователи смогут входить в домен
и т. п. даже в случае отсутствия соединения с центральным офисом. В случае же 
компрометации RODC администратор будет знать, к каким учетным записям 
злоумышленник мог получить доступ, и сможет принять необходимые меры; 
делегирование прав локального администратора
— на «обычных» контрол-
лерах домена локальный администратор является администратором домена. Для 
выполнения задач обслуживания RODC (установка драйверов и аналогичные 
операции, требующие наличия прав администратора) предусмотрено, что любая 
учетная запись, включенная в группу локальных администраторов, будет об- 
ладать правами локального администратора, но не получит никаких прав по 
управлению доменом. 
П
РИМЕЧАНИЕ
В случае взлома RODC злоумышленник может настроить репликацию на него допол-
нительных атрибутов службы каталогов, которые не копируются в филиал в нормаль-
ных условиях по соображениям безопасности. При взаимодействии с контроллером на 
Windows 2008 последний откажет в операции копирования. Если же связь будет уста-
новлена с контроллером на основе Windows 2003 Server, то 
данные будут скопирова-
ны
. Поэтому в целях безопасности необходимо устанавливать RODC в домене, режим 
которого переведен на уровень Windows 2008/2016. 
Установка RODC не представляет никакой сложности. Администратору необходи-
мо начать установку контроллера домена (командой 
dcpromo
или из консоли управ-
ления). Далее на соответствующем шаге мастера указать, что необходимо устано-
вить контроллер в режим «только для чтения», а затем выбрать политику реплика-

Работа в глобальной сети 
231 
ции паролей учетных записей. Обычно достаточно согласиться с предложением 
мастера операций — настройки по умолчанию подходят в большинстве случаев. 
Подробно об установке RODC вы можете прочитать в книге У. Станека «Microsoft 
Windows Server 2012 R2: хранение, безопасность, сетевые компоненты. Справочник 
администратора» издательства «БХВ-Петербург»
1
. 
Решение DirectAccess 
В операционных системах Windows 7 (профессиональный и максимальный выпус-
ки), Windows 8/10 и Windows 2008 R2, 2012/2012 R2, 2016 (для домена режима 
Windows 2008 Server рассматриваемая технология требует также наличия разверну-
той структуры сертификатов) появилась возможность подключения извне к ресур-
сам внутренней сети предприятия без операций создания VPN — с использованием 
возможностей системы безопасности протокола IPv6. 
Преимущества решения DirectAccess — в отсутствии каких-либо пользовательских 
операций для подключения к локальной сети. Например, ноутбук из локальной сети 
переносится в глобальную сеть и по-прежнему продолжает работать с внутренним 
ресурсом. Можно сказать, что при работе в Интернете автоматически создается 
туннель к ресурсам локальной сети. 
Настройка DirectAccess предполагает выполнение ряда операций. Подробно об 
этом можно прочесть в руководстве по адресу: 
http://technet.microsoft.com/ru-ru/ 
library/dd630627%28WS.10%29.aspx
(главная страница технологии доступна по ад-
ресу: 
http://www.microsoft.com/en-us/server-cloud/windows-server/directaccess.aspx
). 
Особенностью технологии DirectAccess является постоянный контроль над клиент-
ской системой со стороны IT-служб предприятия. Поскольку компьютер-клиент 
DirectAccess должен быть членом домена, а туннель подключения к домену всегда 
работает при наличии доступа в Интернет, то к компьютеру постоянно применяют-
ся действующие на предприятии технологии управления: выполняются групповые 
политики, обновляются антивирусные базы данных и т. п. 
Сегодня технология DirectAccess пока не нашла широкого распространения в на-
шей стране. Причина в том, что DirectAccess основана на возможностях протокола 
IPv6, а этот протокол в нашей стране пока практически не используется. 
Терминальный доступ 
При удаленном подключении к офису пользователи хотят воспользоваться всеми 
сервисами, которые реализованы в локальной сети. Однако недостаточное качество 
каналов связи зачастую не позволяет эффективно работать во многих приложениях. 
Одним из вариантов решения этой проблемы является использование 
терминаль-
ных служб
. 
1
См. 
http://www.bhv.ru/books/book.php?id=192896
. 

232 
Глава 5 
Принцип действия терминальных служб состоит в том, что все вычисления произ-
водятся на мощном удаленном компьютере (его называют 
терминальным серве-
ром
), а пользовательский компьютер при этом играет роль «удаленной консоли». 
Данные и команды, которые пользователь вводит с клавиатуры или мышью, пере-
даются на терминальный сервер, где они обрабатываются, а пользователю возвра-
щаются лишь графические изменения в интерфейсе. Иными словами, пользова-
тельский компьютер практически использует только монитор, клавиатуру и мышь. 
В результате при работе в типовой офисной программе терминальный клиент
в среднем передает по сети около 500 байтов данных в секунду, что позволяет пол-
ноценно работать с удаленным компьютером, используя модемные соединения или 
медленные каналы связи. 
П
РИМЕЧАНИЕ
Подробно настройка терминального сервера описана в 
главе 8
. Там мы настроим 
виртуальный сервер терминалов для доступа к популярной бухгалтерской программе 
«1С:Предприятие» и другим приложениям. Процесс настройки для физического сер-
вера ничем не отличается. 
Терминальные серверы от Microsoft 
В 1995 году компания Citrix выпустила продукт под названием Winframe, который 
стал первым терминальным сервером на базе Windows NT. В 1998 году, после за-
ключения между Microsoft и Citrix договора о кросс-лицензировании, вышли вер-
сии Windows NT Server Terminal Server Edition (TSE) и Citrix MetaFrame (продукт 
Citrix расширял возможности терминального сервера Windows NT TSE). В «поко-
лении W2K» терминальные службы включены в поставку всей линейки серверов 
Windows Server 20
xх
. 
Терминальные клиенты 
В качестве клиентов терминала могут служить практически любые компьютеры, 
причем сами терминалы 
не нуждаются в модернизации
. Поскольку все вычисления 
выполняются на сервере, то при необходимости нужно наращивать или обновлять 
только
его мощности. 
Одновременно использование терминалов снижает административные затраты на 
сопровождение. У пользователя становится меньше возможностей повлиять на ста-
бильность работы системы, а администраторы начинают управлять «всем из одного 
места». Терминальные системы более безопасны, поскольку устранение уязвимости 
на сервере ведет к аналогичному результату для всех его клиентов, и практически 
не оставляют никаких «вольностей» пользователю — ведь контролю администра-
тора поддается практически все. 
Кроме того, стоимость терминальных устройств существенно ниже стоимости пол-
нофункциональных компьютеров. Терминалы могут быть выполнены как на без-
дисковой основе (Linux-терминалы, например, можно загрузить по сети с сервера), 
так и на основе загрузки с тех или иных аналогов жесткого диска (например, с Disk 

Работа в глобальной сети 
233 
On Module
1
и т. п. — объем ядра Linux вместе с программой подключения к RDP-
серверу составляет менее 8 Мбайт). 
П
РИМЕЧАНИЕ
«Тонкие» клиенты на базе Linux обычно содержат возможности подключения к раз-
личным терминальным службам (по протоколам Citrix ICA, RDP, Tarantella, X, Telnet, 
tn5250 и т. п.). Пользователи могут бесплатно загрузить как исходные коды, так и гото-
вые образы программ для любого варианта загрузки: с флешки, с CD, по сети и т. п. 
(см., например, 
http://thinstation.sourceforge.net/
). 
Если в качестве клиента терминального сервера используется компьютер на 
Windows 7, то необходимое программное обеспечение для подключения к серверу 
на нем уже установлено, и программа подключения к удаленному рабочему столу 
вызывается командой меню 
Пуск | Стандартные | Связь
. Однако желательно
обновить ее до последней версии (например, с выпуском Windows Server 2008 сме-
нилась версия протокола подключения). Имеющиеся версии можно продолжать 
использовать, но все же лучше бесплатно загрузить обновления с сайта вендора. 
Обратите внимание, что для подключения к терминалу необходимо быть на нем 
либо администратором, либо членом группы 
Пользователи удаленного рабочего 
стола
. Поскольку эта группа первоначально пуста, то в нее нужно добавить соот-
ветствующих пользователей. 
Еще одно место, где контролируется право работы в терминале, — это параметр 
учетной записи пользователя, разрешающий такое подключение. По умолчанию 
это право 
включено
для каждой учетной записи. Но администраторы могут задейст-
вовать этот параметр для индивидуальных запретов или разрешений. 
Режимы терминальных служб 
Существуют два варианта подключения к рабочему столу удаленного компьютера: 
Подключение к рабочему столу
(ранее — 
административный режим
) исполь-
зуется 
только
для удаленного управления сервером или рабочей станцией. При 
подключении к рабочему столу сервера одновременно могут работать не более 
двух человек, причем обладающих на этом сервере административными права-
ми
2
.
В таком режиме не требуется дополнительных лицензий; 
в 
терминальном режиме
(ранее назывался 
режимом приложений
) для подклю-
чения необходимы дополнительные специальные лицензии, но количество 
1
Disk on Module (DOM) — устройство, выполняющее функции жесткого диска, но реализованное на 
модуле памяти (как правило, энергонезависимой — флеш-памяти). Наиболее распространенной реа-
лизацией DOM является карта CompactFlash с адаптером CF для интерфейса IDE, SATA или USB. От 
обычного SSD устройство отличается тем, что устанавливается непосредственно на материнскую плату. 
2
К рабочей станции можно удаленно подключиться только администратору, при этом текущий поль-
зователь от рабочего стола отключается. Ограничение это, скорее, лицензионное, поскольку в Интер-
нете можно найти решения, снимающие ограничения на количество удаленных сессий и фактически 
превращающие рабочую станцию в терминальный сервер. 

234 
Глава 5 
одновременных подключений не ограничено, причем работать на сервере могут
и пользователи с обычными, не административными правами. 
Лицензирование терминальных служб 
Для использования 
терминальных служб
необходимы специальные лицензии, ко-
торые приобретаются отдельно от сервера. Существуют различные схемы лицензи-
рования, на которых мы не будем останавливаться. Лицензии достаточно дорогие, 
и это обстоятельство вполне способно обеспечить благожелательное отношение 
к вам продавца при обращении за консультациями. 
Лицензии специфичны для каждого выпуска — иными словами, лицензии от сер-
вера Windows 2003 не подойдут для Windows Server 2008/2012/2016. Приобретаться 
они должны для каждого подключения — независимо от того, подключается ли 
рабочая станция Windows 7/8/10 или бездисковая Linux-система. 
Необходимость приобретения лицензий предполагает установку в локальной сети 
(и активацию) специального 
сервера лицензий
. При работе в составе домена 
Windows сервер лицензий необходимо устанавливать на контроллере домена. Если 
использовать вариант установки 
Enterprise
, то сервер терминальных лицензий
будет обнаруживаться клиентами автоматически (с использованием службы ката-
логов) в любом домене леса, но только в пределах сайта. 
Сервер лицензий обязательно должен быть активирован через сайт изготовителя. 
Так же активируются и клиентские лицензии. В случае необходимости админист-
раторы легко найдут в Сети любые рекомендации по выполнению такой операции. 
Без активации лицензий сервер создает временные лицензии, которые можно
использовать в течение 90 дней. Но и постоянные лицензии также не выдаются 
клиентам на неограниченный срок — они периодически обновляются, чтобы вос-
становить лицензии, «отданные» компьютерам, которые уже больше не работают 
в сети (например, вышли из строя). 
С
ОВЕТ
После установки лицензий имеет смысл выполнить резервное копирование сервера, 
чтобы можно было восстановить лицензии. 
Особенности использования приложений
на терминальном сервере 
Режим терминального сервера не предназначен для работы программ, вызывающих 
интенсивную нагрузку на процессор. Соответственно, не рекомендуется использо-
вать этот режим для мультимедийных и аналогичных приложений — такие задачи 
целесообразнее решать на локальных системах. Терминальный сервер предназна-
чен, прежде всего, для обычных офисных программ. 
Установка прикладных программ в режиме приложений должна использовать спе-
циальные условия. Эти условия реализуются автоматически при запуске установки 
через утилиту установки и удаления программ, расположенную в панели
управле-
ния (или когда установка производится файлом 
setup
или 
install
). 

Работа в глобальной сети 
235 
После установки приложения имеет смысл проанализировать внесенные в автоза-
грузку изменения. Например, многие программы выводят в системной области па-
нели задач некие индикаторы. Так, антивирусная программа показывает наличие и 
состояние защиты на компьютере, и т. п. В большинстве случаев такие индикаторы 
только отнимают лишние ресурсы системы и могут быть отключены в целях
повышения производительности. 
Для корректной работы приложений в режиме терминального сервера должен вы-
полняться ряд условий: отсутствие записи данных в каталоги самой программы
и т. п. Эти требования стали предъявляться и к программам, предназначенным для 
установки в Windows 7/8/10, а также в Windows Server 2008/2012/2016, поэтому
такие условия обычно выполняются. Но на практике можно встретить любую си-
туацию. Исправить ее можно включением специальных сценариев (подробности 
можно уточнить в сопроводительной документации). 
Безопасность терминальных сессий 
Терминальный сервер, как сервер публичного доступа, обычно нуждается в более 
строгих ограничениях, чем персональный компьютер пользователя. 
П
РИМЕЧАНИЕ
Конечно, как и при всяких настройках, администратору нужно предвидеть возможные 
опасности и разумно реализовывать только необходимые ограничения. Если вы вклю-
чите 
все
те ограничения, параметры которых присутствуют в групповых политиках для 
терминального сервера от Microsoft, то нормально работать в терминальной сессии не 
сможет ни один пользователь. 
Поскольку терминальный сервер предоставляется многим пользователям, то адми-
нистратору крайне важно сохранить его работоспособность, не давая пользовате-
лям устанавливать лишнее программное обеспечение, менять настройки и т. п. Мы 
не будем останавливаться на описании возможных административных настроек, 
отметим только, что для терминального сервера очень развиты опции тюнинга
через политики безопасности, — в политиках безопасности можно установить 
практически любые ограничения, и администратору нужно найти лишь золотую 
середину. 
В частности, пользователей нужно ограничить применением только заданного
перечня программ. Следует запретить им доступ к локальным ресурсам сервера, не 
разрешать выполнение ресурсоемких операций, лишить права устанавливать новые 
программы и т. п. Приведем далее небольшой список возможных ограничений. 
П
РИМЕЧАНИЕ
Желательно создать в службе каталогов (OU, Organization Unit) специальное подраз-
деление, в которое и переместить терминальный сервер. Для этого OU следует на-
значить собственную групповую политику, где и определить необходимые ограниче-
ния. 
Ограничить список программ, которые разрешено запускать пользователям тер-
минала. 

236 
Глава 5 
Ограничить перечень устройств, к которым предоставляется доступ пользовате-
лю терминала. Например, исключить доступ к CD-ROM, сменным дискам и т. д. 
Без необходимости не стоит разрешать пользователю подключать как диски 
своего компьютера, так и любых других систем (для исключения запуска про-
грамм с этих носителей). 
Желательно отключить возможность установки пользователем программ с ис-
пользованием Windows Installer. 
Рекомендуется запретить просмотр и поиск 
любых
ресурсов (например, про-
смотр сети, поиск принтеров, поиск файлов и т. п.). 
Желательно настроить административные шаблоны для таких задач, как Про-
водник, меню 
Пуск
, панель управления и т. п., ограничив состав возможностей 
только необходимыми функциями. 
П
РИМЕЧАНИЕ
Как известно, операцию поиска в Проводнике можно вызвать быстрыми клавишами 
+. Чтобы заблокировать эту возможность, создайте файл с некоторым пояс-
няющим текстом (например, текстовый или в формате HTML) и установите для строки 
реестра системы: 
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search 
следующие 
параметры: 
SearchAssistant=REG_SZ: 
<путь к файлу>
и 
CustomizeSearch=REG_SZ: 
<путь к файлу>
. Теперь при попытке выполнить операцию поиска пользователь уви-
дит только содержание этого файла. 
В общем случае следует руководствоваться принципом: чем более публичным
является терминальный сервер, тем большие ограничения должны налагаться на 
его использование в целях предупреждения не всегда разумных инициатив пользо-
вателей. 
Подключение к консоли терминального сервера 
Если вы работали за консолью сервера, войдя в систему локально с клавиатуры, а 
потом попытались подключиться для удаленного управления, то по умолчанию
будет создана новая сессия — со своим экраном, а не с тем, который вы оставили. 
Это не всегда удобно для администраторов — иногда им необходимо увидеть со-
общения, которые отображаются после старта системы (например, сообщения от 
системы контроля серверной платформы или предупреждения о неудачном запуске 
службы), осуществлять задачи управления, доступ к которым сохранен на локаль-
ном столе, или просто продолжить работу с документом, который остался открыт, 
когда вам неожиданно пришлось уйти с рабочего места. 
Для работы с экраном консоли нужно запустить клиента подключения к удаленно-
му рабочему столу с ключом 
/console
: 
MSTSC /console 
Этот ключ можно указать в параметрах (свойствах) ярлыка подключения. Кроме 
того, есть возможность переключиться в консольную сессию, уже работая в терми-
нале. Среди команд терминала есть утилита SHADOW, позволяющая подключить-

Работа в глобальной сети 
237 
ся к любой терминальной сессии. Сессия консоли всегда имеет нулевой номер,
поэтому достаточно выполнить команду: 
SHADOW 0 
В отличие от запуска подключения с ключом 
MSTSC /console
, эта команда не смо-
жет подключить к консоли, если с последней предварительно не был выполнен 
вход в систему. 
Подключение администратора к сессии пользователя 
Администратор терминального сервера (точнее, тот пользователь, которому такое 
право дано протоколом RDP. По умолчанию — это только администраторы терми-
нального сервера, но при необходимости такое положение можно изменить, вос-
пользовавшись оснасткой управления параметрами RDP-протокола) имеет возмож-
ность подключиться к пользовательской сессии. Этот режим обычно служит для 
оказания помощи пользователям терминального сервера — администратор получа-
ет возможность наблюдать за чужим экраном и демонстрировать пользователю вы-
полнение операций, вызвавших у него затруднение. 
Подключение осуществляется через задачу управления терминальными сессиями 
исполнением соответствующей команды меню свойств. По умолчанию на такое 
подключение система запрашивает подтверждение у пользователя. Однако можно 
легко установить настройки, позволяющие подключиться и без такого согласия. 
Иными словами, администратор может подсмотреть этим способом за пользовате-
лем, причем последний не будет и подозревать о наличии такого контроля. 
Эти настройки определяются в параметрах по умолчанию для терминальной сес-
сии. 
Публикация приложений в терминале 
Часто пользователи подключаются к терминальному серверу для работы только
в каком-либо конкретном приложении. Существуют специальные технологии пуб-
ликации одного приложения, лидером таких решений являются продукты Citrix. 
Публикация приложения позволяет работать в нужной программе без ее установки 
на локальную систему. 
Для терминалов Microsoft можно реализовать такие настройки подключения, кото-
рые внешне соответствуют подключению к одной задаче. В версии терминальных 
серверов Windows Server достаточно в свойствах подключения на вкладке 
Про-
граммы
указать параметры вызываемой задачи (рис. 5.10). После этого при под-
ключении пользователя к терминальному серверу автоматически запускается ука-
занное приложение. Если пользователь завершает работу в приложении, то вслед за 
его закрытием прерывается и подключение к терминальному серверу. 
Настройку запускаемого приложения администраторы обычно используют для
таких пользователей, как бухгалтеры, — чтобы подключение к терминальному сер-
веру для них воспринималось просто как запуск бухгалтерской программы 
«1С:Предприятие». 

238 

жүктеу/скачать 20,51 Mb.

Достарыңызбен бөлісу: