Строим сетевую инфраструктуру для системы «1С:Предприятие»

Сергей Алаев

Строим сетевую инфраструктуру для системы «1С:Предприятие»

Ваших сотрудников не устраивает медленная работа системы «1С:Предприятие», и вы планируете перейти на клиент-серверное решение? Использование сервера терминалов и средств публикации приложений поможет справиться с этой проблемой, а также обеспечит возможность доступа к программе удаленных пользователей.

Прелюдия

Ни для кого не секрет, что 1С:Бухгалтерия получила широкое распространение в различных предприятиях и организациях. Развитие и укрупнение организации неизменно связано с ростом объемов хранимой и перерабатываемой информации, а также увеличением количества одновременно работающих пользователей с программой. Возникает ситуация, при которой обеспечить приемлемую производительность работы, используя способ хранения данных в виде файлов dbf, и передачи в процессе работы всей БД на клиентский компьютер, не представляется возможным.

Выход из этой ситуации заключается в том, чтобы сменить архитектуру на клиент-серверную. Для этого потребуется перейти на SQL-версию «1С:Предприятие» и Windows SQL‑сервер или использовать другие решения, например, установить сервер терминалов на базе Windows Server 2003.

Это также удобно, если планируется организация работы удаленных рабочих мест.

Использование средства публикации приложений на удаленные рабочие столы 2X ApplicationServer позволит передавать приложение как есть, без элементов рабочего стола и дополнительных окон, что избавит пользователя от лишних хлопот и, кроме этого, защитит передаваемые данные. Особенно это актуально, если для доступа к приложению работники будут использовать Интернет. Основные возможности 2X ApplicationServer:

• простая возможность публиковать как обычные, так и системные приложения;
• передача приложения без окон и полная интеграция с локальным рабочим столом и панелью задач удаленного пользователя;
• встроенные возможности фильтрации доступа к приложениям (например, по пользователям или IP-адресам);
• запуск пользователем множества копий опубликованных программ в рамках одной сессии с возможностью их полного восстановления;
• возможность запускать опубликованные Windows-приложения в среде Linux и Mac;
• SSL-шифрование передачи данных и другие.

Терминальный клиент, входящий в состав Windows («Удаленный рабочий стол») не обладает никакими дополнительными возможностями, кроме как запускать программу, прописанную в среде пользователя. Поэтому после установки и испытания 2X ApplicationServer в действии вы поймете, чем отличается работа со специализированными средствами терминальной работы и стандартными решениями от Microsoft.

Установка и настройка сервера терминалов

Желательно обновить Windows Server 2003 до SP1, чтобы иметь последнюю версию RDP-протокола передачи данных.

Для установки сервера терминалов запускаем мастер настройки сервера: «Пуск -> Настройка -> Панель управления -> Администрирование -> Управление данным сервером». Здесь нажимаем кнопку «Добавить или удалить роль». Мастер установки выведет список всех ролей нашего сервера. Среди них выберем «Сервер терминалов» и нажмем кнопку «Далее».

После установки сервера терминалов система автоматически перезагрузится.

Настроить новые подключения для служб терминалов, изменить параметры существующих подключений и удалить их позволяет компонент «Настройка служб терминалов» в разделе «Администрирование».

Здесь в свойствах существующего подключения необходимо на закладке «Параметры клиента» отключить следующие возможности: сопоставление LPT- и COM-портов, а наибольшую глубину цвета выставить в значение «16 бит». Этого вполне достаточно для компьютеров, входящих в локальную сеть организации.

Если будут работать компьютеры, использующие низкоскоростные способы подключения, например, по модему, этот параметр можно будет переопределить в настройках клиента 2Х-сервера. Все оставшиеся настройки на вкладках можно не трогать. Они позднее будут заданы в консоли 2X ApplicationServer (см. рис. 1).

Рисунок 1. Настройка сервера терминалов

Вам потребуется в течение 120 дней установить в разделе «Установка и удаление программ» «Панели управления» необходимый компонент – Terminal Server Licensing и активировать его. Именно на этот срок для клиентов будут выдаваться временные лицензии на подключение.

При этом целесообразно использовать схему лицензирования «На устройство».

Запускаем консоль «Лицензирование сервера терминалов» в разделе «Администрирование» и в списке серверов выбираем наш сервер. В меню «Действие» нажимаем «Активировать сервер», а далее следуем инструкциям мастера активации сервера терминалов.

Также советую отключить срабатывание механизма «Предотвращения выполнения данных» (Data Execution Prevention, DEP). Для этого открываем и редактируем в «Блокноте» файл C:\boot.ini. Ищем строку с параметром /noexecute и меняем его значение на AlwaysOff (/noexecute=AlwaysOff).

После этого необходимо перезагрузить систему. Это позволит предотвратить блокирование как самой программы 1С:Предприятие, так и драйверов некоторых принтеров, например, CANON Laser Shot LBP-1120, которые возможно будут использоваться удаленными пользователями по общему доступу.

Теперь можно приступить к установке 1С:Предприятия (в ходе инсталляции необходимо выбрать локальный режим установки, например, на диск D:\1C\Distrib) и стандартного ПО, необходимого для работы (архиваторы, кодеки, XML-парсера, Microsoft .NET-2.0 или старше, драйверы ключа HASP для 1С, версии не ниже 4.98, менеджера лицензий HASP от «Аладдина» (http://www.alladin.ru/catalog/hasp/hasp4), версии не ниже 8.20, MS Office, и прочее).

Менеджер лицензий устанавливать нужно с типом загрузки «Service» и отказаться от установки драйвера ключа, идущего в комплекте, так как он имеет более раннюю версию.

Конфигурации 1С устанавливаем в отдельные папки, например, D:\1C\Buh, D:\1C\Zarplata, D:\1C\Sklad.

Отдельно создадим папку D:\1C\Archive, куда будем делать копии баз данных.

Обратите внимание, что установку всех программ необходимо производить с помощью утилиты «Установка и удаление программ» (в «Панели управления»). В открывшемся окне нажмите кнопку «Установка новой программы» и следуйте дальнейшим указаниям мастера. Это делает программы доступными в терминальном режиме.

Все действия выполняются из-под учетной записи Администратора.

Добавление пользователей сервера терминалов

В разделе «Администрирование» заходим в «Управление компьютером» и выбираем раздел «Локальные пользователи и группы». В меню «Действие» добавляем учетные записи для пользователей программы 1С, имеющих право входа в терминалы. Логика следующая: по умолчанию все учетные записи входят в группу «Users», и пользователи не имеют достаточных прав выполнить ряд настроек в Windows Server 2003, требующих повышенных привилегий.

С целью экономии времени, пока находимся в нужном разделе администрирования, мы их сразу включаем в группу «Administrators» (Администраторы) и «Remote Desktop Users» (Пользователи сервера терминалов).

Добавление в группу «Администраторы» является временным. После того, как авторизуемся с помощью клиента 2Х-сервера из-под учетной записи каждого пользователя сервера терминалов и запустим удаленный «Рабочий стол» для настройки параметров пользовательского окружения (какие настройки – я опишу чуть позже), мы исключим членство пользователей в группе «Администраторы». В результате работники не смогут делать несанкционированные действия и менять настройки в Windows Server 2003.

Называть учетные записи пользователей можно как удобно, главное потом задать пароль на вход в систему. Дополнительные настройки для учетных записей заключаются в том, чтобы на закладке «Удаленное управление» снять галочку с флажка «Запрашивать разрешение пользователя» и установить переключатель в секции «Уровень управления» на «Взаимодействие с этим сеансом». Это позволит администратору 1С контролировать работу удаленных клиентов и в случае непредвиденных ситуаций корректно завершать или сбрасывать сеансы, а главному бухгалтеру – визуально наблюдать и непосредственно оказывать помощь своим подчиненным.

К пользователям 1С мы еще вернемся, теперь перейдем к главному.

Установка и настройка 2X ApplicationServer

Большего от встроенных оснасток настройки и управления сервером терминалов Windows 2003 ничего не требуется. Опытные администраторы, конечно, позаботятся о более «тонкой» настройке политики безопасности сервера, но оставшаяся часть работы заключается в конфигурировании 2X ApplicationServer.

Закачиваем ApplicationServer с сайта http://www.2x.com, предварительно зарегистрировавшись на нем, и приступаем к установке. Замечу, что компания позволяет бесплатно работать с продуктом 5 пользователям одновременно.

Продукт состоит из серверной (2XAppServer-LoadBalancer.msi) и клиентской частей.

Серверную часть устанавливаем на компьютер, работающий под управлением Windows Server 2003. В процессе установки инсталлятор предложит выбрать тип установки – выбираем «Single Terminal Server» и жмем кнопку «Next».

После установки запуститься «2X Console», где производится настройка и публикация приложений.

Весь этап конфигурирования заключается в прохождении всех строк в навигационном меню сверху – вниз.

Первая вкладка слева – «Terminal Servers». В окне свойств справа мы можем нажать на кнопку «Add» и ввести (лучше всего IP-адрес для скорейшего поиска) работающий сервер терминалов как по протоколу RDP, так и Citrix Server (ICA). По умолчанию здесь уже будет добавлен наш сервер, например, с IP-адреса 192.168.6.39.

Вкладка «Load Balancing» служит для настройки балансировщика загрузки нескольких терминальных серверов «2Х LoadBalancer». Здесь нас интересуют только строки «Reconnect to disconnected sessions» и «Limit user to one session per desktop». Выставите галочки, чтобы их задействовать. Это позволит правильно восстанавливать отключенные сеансы и экономить ресурсы сервера.

На вкладке «Publishing» происходит самое главное. А именно, публикация программ для терминального использования и назначение фильтров на доступ к ним. В окне свойств нажимаем кнопку «Add» и выбираем, что мы будем публиковать (см. рис. 2).

Рисунок 2. Список публикаций

Предоставленные средства позволяют организовать публикацию самостоятельных программ, установленных на Windows Server 2003, удаленные рабочие столы, предустановленные программные средства Windows Server 2003 (браузер Internet Explorer, системные утилиты, оснастки), отдельные файлы и объединять все это в группы. Выбираем первый пункт меню «Application» и нажимаем «Далее». В появившемся окне смотрим секцию «Server Settings», добавляем в строке «Target» файл запуска 1С:Предприятия (D:\1C\Distrib\BIN\1cv7.exe) и жмем «Далее». Автоматически заполнятся все оставшиеся настройки для публикации программы в терминальном доступе (см. рис. 3).

Рисунок 3. Публикация приложений

Переходим на закладку «Filtering» и активируем тип фильтра «User». Здесь надо добавить все ранее заведенные учетные записи пользователей, которые будут работать в программе 1С, а также учетную запись «Администратор».

Важно понять, что фильтр «User» 2Х-сервера не относится к встроенным средствам безопасности Windows Sever 2003, и, не добавив в него необходимые учетные записи (в том числе Администратора), программа не опубликует приложение пользователю программы.

Главный бухгалтер организации должен иметь возможность запускать оснастку управления сервером терминалов «Terminal Services Manager» для перехвата управления сессиями, а администратор Windows Server 2003 и 1С, дополнительно, удаленный «Рабочий стол» для администрирования и обновления программ.

Поэтому публикуем «Рабочий стол» Windows Server 2003 с добавлением в фильтре учетной записи «Администратор» и группы «Администраторы», а также утилиту C:\Windows\system32\tsadmin.exe. Фильтр для tsadmin.exe должен содержать учетные записи, используемые администратором системы и главным бухгалтером. Таким образом, пока учетные записи пользователей 1С входят в группу «Администраторы», мы имеем возможность запустить удаленный «Рабочий стол» и выполнить настройки окружения. А затем, исключив их из группы «Администраторы», завершим сеанс, чтобы в дальнейшем пользователи не смогли «видеть» и запускать его. Напротив, главный бухгалтер и администратор 1С всегда смогут воспользоваться удаленным «Рабочим столом» и оснасткой «Terminal Services Manager».

Если с опубликованными приложениями будут работать пользователи на компьютерах, использующих dial-up способ подключения и получающих IP-адреса от DHCP-сервера, то рекомендую не использовать фильтр «IP Address».

На следующей вкладке «Connection Settings» необходимо установить «2X Client Gateway Port». По умолчанию его значение «80». Обычно на серверах и в маршрутизаторах порты 80, 443 открыты для передачи данных. Если на вашем сервере Windows Server 2003 не будет использоваться IIS-служба (HTTP-сервер), то можно оставить все как есть.

Если IIS задействована, то установим значение «2X Client Gateway Port» равным «81», рядом нажимаем кнопку «Advanced…» и значение «Forward requests to 2X Publishing Agent and HTTP Server» в строке «HTTP Server(s)» меняем на «<IP-адрес Windows 2003>:80» (в нашем примере 192.168.6.39:80). Это обеспечит доступ к веб-серверу.

Для защищенного доступа к опубликованным приложениям необходимо на закладке «Client Gateway» в секции «Security» поставить галочку «Enable SSL on Port 443». В самом низу нажимаем кнопку «Generate new certificate», вводим данные для единого сертификата доступа и сохраняем его на сервере. После этого для соединения с 2Х-сервером можно использовать 443-порт с шифрованием передаваемых данных. Порт, прописанный в строке «2X Client Gateway Port», также будет доступен 2Х-клиентам в режиме доступа «SSL Mode».

На вкладке «Connection Settings» имеются различные настройки для перенаправления портов сервера терминалов, агента и вспомогательных служб 2Х. Желательно отключить «Broadcast 2X Client Gateway Address», чтобы сервер публикации не «засорял» сеть пакетами оповещения для быстрой настройки клиентов 2Х.

Вкладки «Information» и «Licensing» пропускаем, нажимаем внизу «ОК» и закрываем 2Х ApplicationServer. Система готова для работы, осталось установить и настроить на клиентских компьютерах 2X ApplicationServer Client.

Устанавливаем его на компьютерах пользователей. Для настройки клиента запускаем в меню «Tools» пункт «Options». На закладке General указываем основные параметры для подключения (см. рис. 4).

Рисунок 4. Настройка 2X ApplicationServer Client

На закладке «Local Resources» секции «Remote Computer Sound» выбираем «Do not play», чтобы не воспроизводить звуки через локальный адаптер звука, а в секции «Local devices» оставляем галочку только на «Disk drives» для подключения локальных дисков клиента в терминальную сессию. Все эти настройки заменяют настройки оснастки «Настройка служб терминалов» в Windows Server 2003.

На последней закладке «Advanced Settings» советую снять галочку с «Do not warn if server certificate is not verified», чтобы избавить пользователя от процедуры ознакомления с сертификатом доступа при запуске опубликованных приложений.

После настройки и запуска 2Х-клиента в рабочей области программа отобразит список всех опубликованных приложений, для которых в фильтре «User» консоли 2Х-сервера добавлены нужные учетные записи.

Для Администратора будут доступны 1С:Предприятие, Рабочий стол и Terminal Services Manager, а для рядовых операторов 1С фильтр должен блокировать последнюю программу.

Для создания ярлыка на локальном рабочем столе пользователя кликните правой кнопкой мышки по иконке 1С и выберите пункт «Create Shortcut» (см. рис. 5).

Рисунок 5. Создание ярлыка для 1С

Настройка печати и прав доступа пользователей к базам данных 1С

Запустим удаленный «Рабочий стол» из-под учетной записи всех пользователей сервера терминалов и произведем следующие настройки на сервере: в свойствах экрана отключим заставку, потом в «Панели управления» откроем «Электропитание» и выберем период «Никогда» для опции «Отключение дисков» (при отсутствии активности на сервере). Тут же, на закладке «Дополнительно», снимем галочку «Запрашивать пароль при выходе из ждущего режима». «Разрешить использование спящего режима» тоже отключаем. Далее, в свойствах «Моего компьютера» на закладке «Дополнительно», нажмем кнопку «Параметры», и в секции «Быстродействие», на закладке «Визуальные эффекты», поставим флажок «Обеспечить наилучшее быстродействие». Все эти настройки обеспечат быструю и бесперебойную работу сервера терминалов. Кроме того, в процессе работы с опубликованной программой создается иллюзия, что программа присутствует на клиентском компьютере, однако все, что происходит на экране, лишь транслируется сервером 2Х и грамотные настройки на сервере позволят удаленному пользователю «забыть», что он работает удаленно.

Теперь займемся принтерами. Разрешим общий доступ к локальным принтерам пользователей. И в опубликованном удаленном «Рабочем столе» устанавливаем ему его же локальный принтер, но уже как сетевой с помощью кнопки «Обзор» или указав прямой IP-адрес и имя принтера, например, \\192.168.5.12\hp LaserJet 1160.

Для более надёжной работы необходимо активировать учетную запись «Guest» на клиентских компьютерах и добавить её в свойствах принтера на закладке «Безопасность». Если у вас отсутствует закладка «Безопасность», то в свойствах «Проводника» уберите галку «Использовать простой общий доступ к файлам и принтерам».

Не закрывая удаленный «Рабочий стол», переносим «Мои документы» с Windows Server 2003 на локальный диск работника, присоединенный в терминальную сессию. Кликнем правой кнопкой мышки по значку «Мои документы», выберем свойства и нажмем кнопку «Переместить».

В обзоре присоединенные локальные диски будут выглядеть как сетевые диски, поэтому их не надо путать с локальными дисками сервера. Лучше переместить «Мои документы» с сервера в такую же папку «Мои документы» на локальной машине пользователя.

Теперь все отчеты из 1С будут по умолчанию сохраняться на локальной машине пользователя для дальнейшей с ними работы.

Небольшой совет: при выгрузке отчетности на дискету программа 1С предложит дисковод, размещенный на сервере (если таковой имеется), оператору надо сменить его на присоединенный локальный диск А:\ и создать на дискете папку, в которую будет осуществляться выгрузка, иначе 1С выведет сообщение об отсутствии дискеты.

Прежде чем выйти из удаленного «Рабочего стола», запустим оснастку «Управление компьютером» и в свойствах учетной записи на закладке «Членство в группах» удалим нашу принадлежность к группе «Администраторы». Нажмем кнопку «Пуск -> Завершение работы -> Завершение текущего сеанса» и выйдем из терминальной сессии.

Все вышеописанные действия необходимо проделать с оставшимися учетными записями пользователей сервера терминалов. После этого они не будут иметь административных прав на сервере. Соответственно, в консоли 2Х-сервера, в фильтре «User», опубликованного «Рабочего стола», удалим группу «Администраторы», запретив пользователям запускать его в клиенте 2Х.

Для разграничения доступа пользователей к базам данных 1С:Предприятия в свойствах папки D:\1C выберем «Безопасность», удалим все учетные записи и группы, оставив только «Администратор», «SYSTEM», «СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ», а потом добавим учетные записи пользователей 1С с полными правами. А в свойствах «Безопасности» каждого каталога с базами, находящихся на уровень ниже, мы будем удалять те учетные записи, пользователи которых не должны запускать определенные конфигурации 1С. Причем удаление прав и учетных записей надо производить, нажав на кнопку «Дополнительно» в закладке «Безопасность», отключив там галочку с пункта «Разрешить наследование разрешений от родительского объекта…». В появившемся диалоговом окне выбираем «Копировать» и удаляем лишние учетные записи. Для папки D:\1C\Archive строго оставляем только учетную запись администратора сервера, в функции которого входит резервное копирование данных.

Для управления сессиями сервера терминалов используется утилита «Terminal Server Manager». С её помощью можно отправлять сообщения подключенным пользователям, принудительно завершать и сбрасывать отключенные сессии, а также смотреть статистику сеансов.

Теперь 1С можно запускать непосредственно с рабочего стола пользователя. 2X установит терминальную сессию и само передаст программу как есть, без окон и удаленного рабочего стола.

Запускаем 1С и добавляем каждому пользователю путь к базе 1С, проверяем принтеры. В процессе работы оператор может запустить в рамках одной сессии неограниченное количество копий программы 1С и работать с несколькими конфигурациями одновременно, а также использовать другие программы, которые будут публиковаться, например, КонсультантПлюс и Гарант.

Если в вашей организации имеется proxy-сервер и используется firewall с SNAT, то, чтобы получить доступ к 2Х-серверу через Интернет, необходимо настроить на нем переадресацию портов на Windows Server 2003.

Приведу пример, как это сделать в Linux. В настройках firewall добавляем два правила:

iptables -t nat –I PREROUTING -p tcp -d <внешний IP-адрес proxy-сервера> --dport <выделенный порт на proxy-сервере, например, 10443> \

    -j DNAT --to-destination <IP-адрес Windows 2003 сервера>:3389

iptables –t filter –I FORWARD –s <IP Windows 2003 сервера> -d <внешний IP proxy-сервера> -p tcp --port <выделенный порт на proxy-сервере, например, 10443> -j ACCEPT

В настройках клиента 2Х, соответственно, надо прописать внешний IP-адрес proxy-сервера и порт 10443. Клиент 2Х-сервера под Linux представляет собой бинарный файл, запускаемый с нужными параметрами.

Например:

./appserverclient -s192.168.6.39 -a"1С Предприятие" -uAdministrator -ppassword

Обратите внимание, что наименование запускаемого приложения необходимо брать в кавычки.

Полный список всех параметров приведен в руководстве к 2Х-серверу.

При испытании Windows-клиента 2Х-сервера мною была выявлена следующая проблема: когда вы закрываете опубликованное приложение и в течение 20 секунд (столько времени 2Х-сервер сохраняет в памяти закрытый сеанс для быстрого повторного запуска) снова его запускаете, то раскладка клавиатуры не будет переключаться. Поэтому приходится ждать некоторое время, чтобы повторно запустить опубликованное приложение. Причем при первом запуске приложения никаких проблем с раскладкой нет. В Linux-версии 2Х-клиента данной проблемы замечено не было. Производитель советует в Windows Server 2003 использовать другое сочетание клавиш для переключения раскладки клавиатуры, нежели в локальном компьютере удаленного пользователя.

Какие-либо дополнительные ошибки, как, например, с Citrix ICA Client под Linux (при работе в нем на русской раскладке клавиатуры буква «Ы» всегда печатается заглавная, справедливости ради надо заметить, что маленькая «ы» получается при активированном CapsLock), связанные с работой 2Х-сервера и опубликованных приложений, также не обнаружены.

В заключение хочется сказать, что с выходом продукции компании 2X Software Ltd на рынке программ для Windows Terminal Services прибавился очень серьезный игрок – средство публикации приложений на удаленные рабочие столы 2X ApplicationServer.

На сегодняшний день возможности Metaframe от компании Citrix являются лидирующими в области эмуляции локальных окон (seamless windows) и публикации приложений, а «стандартная связка» службы терминалов и ее клиента «Remote Desktop Connection», работающие по протоколу RDP, до сих пор не может обеспечить дополнительные потребности организаций, внедряющих терминальные решения.

Недостатки 2X ApplicationServer текущей версии 4.3: выявленная при его использовании ошибка, приводящая к нестабильному переключению раскладки клавиатуры с латиницы на русский, а также отсутствие встроенной возможности сопоставлять локальные принтеры удаленных пользователей в терминальную сессию. Но с выходом 5 версии продукта производитель обещает исправить все эти недостатки.

В ходе написания статьи на сайте компании 2Х появилась новость о выходе 2X ApplicationServer v.5 Small Business Edition. Компания заявляет, что возможности нового продукта ничем не уступают решениям Citrix и нацелены на небольшие развивающиеся предприятия и предпринимателей.

Низкая ценовая политика, безопасный и полный доступ к приложениям, а также универсальный Printer Driver являются отличным решением для организации мобильных рабочих мест, удаленных офисов и обеспечивают полную избыточность удаленного управления и администрирования.

На этом всё. Удачи!

Комментарии могут оставлять только зарегистрированные пользователи