Гуру IT помогите орг. Бездисковую загрузку ОС

[dim-soft]

60 это vesa - универсальные драйвера, но там еще куча видео драйверов практически для всего

[Black-Dragon]

andrewBuldozer555
Извините, что встрял в вашу тему, думал вы уже закончили.

Я готов перенести свои посты в новую тему, вы скажите, если надо.


diz
Большое спасибо за ответы.

В целом понятно, вы рекомендуете вообще бездисковые станции и даже без встроенных ОС. Ок. А что именно вы используете и\или рекомендуете использовать?
Каковы размеры подгружаемой ОС? (филиалы подключены по 1-2mbit/sec, количество ПК 10-20)

Что насчет локально подключаемых устройств, в частности принтеров? В смысле, нет ли проблем с драйверами и их наличием, в частности для принтеров HP и Canon?

При выборе решения вопрос максимальной экономии не стоит. Главное стабильность и безопасность. Это приоритеты. Если нет ничего сравнимого с обычным Windows XP клиентом с RDP, то я готов вообще отказаться от идеи "тонких" клиентов.
Повторюсь, стабильность работы и безопасность - приоритет. Соответственно, важна широкая признанность продукта.

Те же ОС ставятся и на "толстые" клиенты, опять же, достаточно выключить в BIOS внутренний HDD и загрузиться по PXE.

Я не сильно обращал внимание, загрузка по PXE сейчас абсолютно массовая вещь?
У нас не брендовые рабочие станции, местная сборка, в основном, на платах Foxconn с i945G - iG41 и встроенными сетевушками (причем без FDD, и USB Storage устройства запрещены в ОС, т.е. с флоппи или USB не загрузишься с помощью аналога RBDG).

И ещё, можно подробнее об индивидуальности настроек при наличии общего образа ОС? Где хранятся настройки?

Спасибо.

[Black-Dragon]

Да, и ещё, это что же получается, AD практически и не нужен? Только сервера в ней и будут?

Нафига я сейчас так активно читаю про инфраструктуру AD?!

[dim-soft]

если сильно большая структура то AD пригодиться
у меня например документы и профили хранятся в доменной DFS реплицируемой на 2 контроллера, на них же по DHCP
терминальные сервера собраны в кластер wtware - пока жив хотя бы 1 контроллер и 1 терминальный сервер терминалы будут грузиться и работать.

[diz]

А что именно вы используете и\или рекомендуете использовать?
Каковы размеры подгружаемой ОС? (филиалы подключены по 1-2mbit/sec, количество ПК 10-20)

Несколько мегабайт.

Что насчет локально подключаемых устройств, в частности принтеров? В смысле, нет ли проблем с драйверами и их наличием, в частности для принтеров HP и Canon?

Большинство нормально работают. У производителей терминальных решений есть списки совместимости. Хотя мы решили не мучать голову и в "терминальном" сегменте использовать только сетевые принтеры. Я считаю, что это очень правильное решение и в крупных компаниях вообще стоит отказаться от использования не-сетевых. Скажу сразу: не родные принт-серверы лучше не использовать, родные, впрочем, тоже, т.к. первые очень разнообразно глючат, а вторые стоят как весь сетевой принтер

Я не сильно обращал внимание, загрузка по PXE сейчас абсолютно массовая вещь?

Да, достаточно включить bios сетевой карты в настройках BIOS пк.

И ещё, можно подробнее об индивидуальности настроек при наличии общего образа ОС? Где хранятся настройки?

Это уже зависит от используемой системы. В терминалах на базе Linux это конечно же текстовый файл. Определение того, в какой терминал какую конфигу грузить, опеределяется по мак адресу терминала.

[Black-Dragon]

если сильно большая структура то AD пригодиться
у меня например документы и профили хранятся в доменной DFS реплицируемой на 2 контроллера, на них же по DHCP
терминальные сервера собраны в кластер wtware - пока жив хотя бы 1 контроллер и 1 терминальный сервер терминалы будут грузиться и работать.

Т.е. у вас КД и файловый сервер (для хранения профилей) совмещены? А какова конфигурация КД? И сколько терминальных клиентов?

И ещё, DFS обеспечивает LB автоматом? Или только переключение на резервный источник?
Это ведь тоже хорошее решение и довольно бюджетное, по сравнению с необходимостью покупки СХД! Весь вопрос в том, сколько пользователей может потянуть сервер, хранящий профили, если там в основном не сильно большие документы MS Office.
Например, если взять сервер с 10-ю SAS дисками в RAID10, сколько пользователей потянет?
Ещё вопрос, насколько большая дополнительная нагрузка возникает при репликации изменений в DFS?

[Black-Dragon]

Несколько мегабайт.

Немало. В филиале с 20-ю пользователями по утрам пользователям придется ждать до 10 минут!
А нет ли вот такого варианта: встроенная ОС с возможностью автообновления образа, при обнаружении обновлений на спецсервере обновлений, адрес которого один раз указывается при настройке ОС, и всё?!
Это было бы оптимально: быстрая загрузка и возможность оперативного и централизованного обновления!
На худой конец, чтобы была возможность пусть и ручного, но хотя бы удаленного обновления.

Большинство нормально работают. У производителей терминальных решений есть списки совместимости. Хотя мы решили не мучать голову и в "терминальном" сегменте использовать только сетевые принтеры. Я считаю, что это очень правильное решение и в крупных компаниях вообще стоит отказаться от использования не-сетевых. Скажу сразу: не родные принт-серверы лучше не использовать, родные, впрочем, тоже, т.к. первые очень разнообразно глючат, а вторые стоят как весь сетевой принтер

У нас к сожалению специфика работы такова, что хотя бы каждая пара сотрудников, обслуживающих клиентов, должна иметь принтер. Отсюда большое количество принтеров и отсутствие требования высокой производительности, отсюда всякие HP LJ 1015\1022, Canon LBP2900\3000.
Общее количество принтеров ужасающе большое - более 150 штук! Так что, замена принтеров не вариант.
Надо исходить из этого.
Нам что-нибудь светит в данном случае? Или только полноценные XP\7 на клиентах?

Это уже зависит от используемой системы. В терминалах на базе Linux это конечно же текстовый файл. Определение того, в какой терминал какую конфигу грузить, опеределяется по мак адресу терминала.

Спасибо за информацию.

Т.о. гипотетическая подделка MAC обеспечивает загрузку нужного образа. Но если у злоумышленника не будет реквизитов терминального пользователя, то дальше он не продвинется? Так?
А есть варианты, позволяющие в дальнейшем к login\password дополнительно внедрить смарткарты?
Было бы даже интереснее, если бы образ ОС не загружался, без аутентификации по смарт карте. Такое есть у кого-нибудь?

[diz]

у меня например документы и профили хранятся в доменной DFS реплицируемой на 2 контроллера, на них же по DHCP

Кстати, профили через DFS нормально реплицируются? Нет глюков?

А нет ли вот такого варианта: встроенная ОС с возможностью автообновления образа, при обнаружении обновлений на спецсервере обновлений, адрес которого один раз указывается при настройке ОС, и всё?!

Не знаю. Вспомнил, у ncomputing по такому принципу устроено, но ncomputing - плохое решение само по себе.

Отсюда большое количество принтеров и отсутствие требования высокой производительности, отсюда всякие HP LJ 1015\1022, Canon LBP2900\3000.

С LBP2900/3000 чаще всего жопа, а вот мыльницы HP работают.

Т.о. гипотетическая подделка MAC обеспечивает загрузку нужного образа.

Загружаемая из образа операционка обеспечивает только возможность запустить приложение терминального клиента. Разные конфиги для них нужны большей частью из-за настроек под разные терминальные железки (напр. выбор видеодрайвера, разрешения монитора и т.п.). Злоумышленнику будет сильно удобнее ломать терминальный сервер со своего ноутбука с полноценной ОС, в которой кроме терминального клиента будут дополнительные инструменты..

Было бы даже интереснее, если бы образ ОС не загружался, без аутентификации по смарт карте. Такое есть у кого-нибудь?

Вряд ли такое есть, т.к. это ни кому не нужно. Есть обычный пароль BIOS на вход ) И есть аутентификация на сервере терминалов (в AD) по смарт-карте, это намного лучше.

[Black-Dragon]

diz
В целом ясно.

Правильно ли я понял, что из-за принтеров (если их не заменять, а это явно лишено для нас смысла) альтернативы полноценным ОС у нас нет?
А нет ли Linux based решений, лояльных к драйверам данных производителей?
В общем, какие у нас варианты, кроме Windows клиентов?

[diz]

Правильно ли я понял, что из-за принтеров (если их не заменять, а это явно лишено для нас смысла) альтернативы полноценным ОС у нас нет?
А нет ли Linux based решений, лояльных к драйверам данных производителей?
В общем, какие у нас варианты, кроме Windows клиентов?

Я про Linux`овые решения и писал. Под windows embedded проблем быть не должно по идее. http://www.microsoft.com/windowsembedde ... fault.mspx
Терминалы целиком с наскока не внедрить. На руках должен быть список железа и список всех используемых и планируемых к внедрению железок и приложений, после этого надо будет определять, чем можно пожертвовать (или где отказаться от терминальных решений). После этого уже можно выбирать конкретное решение.

[Black-Dragon]

Под windows embedded проблем быть не должно по идее.

А по обслуживанию ОС тоже ничего особо делать не надо, и проблем с драйверами не будет?
Или Windows Embedded уже надо бы включать в домены, ставить антивирусники и т.п.?
И существуют ли компактные варианты Windows Embedded (до 10MB) для PXE загрузки? Используется ли такой вариант массово или это не принято для Windows?

Терминалы целиком с наскока не внедрить. На руках должен быть список железа и список всех используемых и планируемых к внедрению железок и приложений, после этого надо будет определять, чем можно пожертвовать (или где отказаться от терминальных решений). После этого уже можно выбирать конкретное решение.

Спасибо. Так и сделаю.
Внедрение терминальных сервисов я официально запланировал на 2012-2013, сейчас есть более насущные и важные задачи. Просто хотел понять основные моменты необходимой инфраструктуры и потенциальные проблемы внедрения.

Думаю, делать буду так, сначала в терминал загоним филиалы (ибо у них меньше и стандартнее перечень используемого ПО), потом уже ЦО. Причем, по ЦО вообще не уверен, стоит ли делать. Придет время, решим.
По железу, вроде ничего специфического нет, главным образом, (несетевые) принтеры HP и Canon, младшие мультифункционалки Canon (почти у всех принтеров и мультиков тот же картридж, выбор моделей был обусловлен именно этим и доступностью самих принтеров), несколько USB сканеров от HP, вроде всё.

[Black-Dragon]

Сходил по ссылке. Есть Windows Embedded XP Pro, то, что надо! У нас в основном XP. Только вот, есть ли смысл замены XP Pro на Embedded XP Pro?
Всё зависит от необходимости и степени обслуживания ОС. Если всё примерно так же (а раз это XP, то по идее нужен такой же патч-менеджмент, как и в полноценной!?), то особого смысла не вижу.

Сдается мне, придется оставлять на местах имеющиеся ОС и просто цеплять их по RDP к серверу TS. Хоть прикладное ПО на местах ставить необходимости не будет (но членство в домене и т.п. вещи, наверное оставить придется...)


Отсюда вопрос: пусть на клиентских ПК филиалов стоит полноценная XP Pro и:
- установлен пароль на BIOS, отсутствуют FDD и CDD
- физическая безопасность ПК обсепечивается на среднем (нормальном уровне)
- при загрузке ОС автоматом запускается RDP под одним для всех ПК филиала локальным пользователем,
- запуск всего остального запрещен локальными политиками,
- использование USB Storage устройств запрещено в ОС
- остановлена служба сервера (либо сняты привязки для соответствующей службы с сетевушек)
- включен встроенный сетевой экран с единственным исключением - RDP
- что-то ещё, сходу может упустил.

Насколько неправильно и опасно такой ПК не обновлять, не ставить на него антивирус, не включать в домен и пользовать доменные групповые политики и т.д.?
Просьба высказаться всем!

[andrewBuldozer555]

я же писал исторически - начал использовать wtware еще с 1.x версий тогда никаких "родных" DHCP не было.
4.9.x - участвовал в бета-тестировании на начальных этапах, когда её еще толком нельзя было использовать

поэтому DHCP от windows

версии PRO "вечные" но есть баннер

скажите пожалуйста версию wtware.4.9.20.ru уже использовали? Как она в действии? Стоит ли её ставить или всё таки версию 4.6.11?

[diz]

Если всё примерно так же (а раз это XP, то по идее нужен такой же патч-менеджмент, как и в полноценной!?), то особого смысла не вижу.

Смысл в том, что патч-менеджментом придется заниматься на одном образе.

Отсюда вопрос: пусть на клиентских ПК филиалов стоит полноценная XP Pro и:

Это "нестандартное" решение, а это означает, что его работоспособность целиком и полностью зависит от прямости рук и удачи внедрителя.

[dim-soft]

скажите пожалуйста версию wtware.4.9.20.ru уже использовали? Как она в действии? Стоит ли её ставить или всё таки версию 4.6.11?

да, особых косяков не обнаружено