Настройка server 2012 для 1с терминала
Во время поиска решения "как лучше настроить терминальный сервер" для нужд компании, в основном сталкивался с разрозненной информацией по каждой из проблем в отдельности, но единой статьи как настроить от и до так и не нашел. Данный материал является компиляцией различной информации.
Вводные
Настроенный и работающий AD
Наличие файлового сервера (Желательно на основе Windows server)
Установка системы
Во время установки системы важно учесть только один нюанс — дисковую систему необходимо разбить на два логических раздела. Первый (малый, 70 – 120 Гб) выделить для системных файлов, второй — под пользовательские данные.
На это есть две основные причины:
Системный диск малого размера быстрее работает и обслуживается (проверка, дефрагментация, антивирусное сканирование и так далее)
Пользователи не должны иметь возможность хранить свою информацию на системном разделе. В противно случае, возможно переполнение диска и, как результат, медленная и нестабильная работа сервера.
Установка служб удаленных рабочих столов
После перезагрузки открываем Диспетчер серверов и нажимаем Управление - Добавить роли и компоненты:
В окне «Выбор типа установки» выбираем Установка служб удаленных рабочих столов и нажимаем Далее:
В окне «Выбор типа развертывания» выбираем Быстрый запуск и нажимаем Далее:
В «Выбор сценария развертывания» — Развертывание рабочих столов на основе сеансов — Далее:
Еще раз Далее — при необходимости, ставим галочку «Автоматически перезапускать конечный сервер, если это потребуется» и кликаем по Развернуть.
Настройка лицензирования удаленных рабочих столов
Для корректной работы сервера, необходимо настроить службу лицензирования. Для этого открываем диспетчер серверов и кликаем по Средства - Terminal Services - Диспетчер лицензирования удаленных рабочих столов:
В открывшемся окне кликаем правой кнопкой мыши по нашему серверу и выбираем Активировать сервер:
В открывшемся окне дважды кликаем Далее - заполняем форму - Далее - Далее - Снимаем галочку «Запустить мастер установки лицензий» - Готово.
Снова открываем диспетчер серверов и переходим в «Службы удаленных рабочих столов»:
В «Обзоре развертывания» кликаем по Задачи - Изменить свойства развертывания:
В открывшемся окне переходим в Лицензирование - Выбираем тип лицензий - прописываем имя сервера лицензирования (в данном случае локальный сервер) и наживаем Добавить:
Применяем настройки, нажав OK.
Добавление лицензий
Открываем диспетчер серверов и кликаем по Средства - Terminal Services - Диспетчер лицензирования удаленных рабочих столов:
В открывшемся окне кликаем правой кнопкой мыши по нашему серверу и выбираем Установить лицензии:
В открывшемся окне нажимаем Далее - выбираем программу, по которой куплены лицензии, например, Enterprise Agreement - Далее - вводим номер соглашения и данные лицензии - выбираем версию продукта, тип лицензии и их количество - Далее - Готово.
Проверить статус лицензирования можно в диспетчере серверов: Средства - Terminal Services - Средство диагностики лицензирования удаленных рабочих столов.
Тюнинг терминального сервера
Ограничение сессий
По умолчанию, пользователи удаленных рабочих столов могут находиться в системе в активном состоянии без ограничения. Это может привести к зависаниям или проблемам при повторном подключении. Для решения возможных проблем установите ограничения на терминальные сессии.
Открываем диспетчер серверов и кликаем по Службы удаленных рабочих столов
Выбираем ранее созданную коллекцию сеансов, далее в разделе Свойства открываем меню Задачи > изменить свойства
В открывшемся окне в разделе Сеанс устанавливаем ограничения, их следует выбирать опираясь на особенности работы сотрудников для которых выполняется настройка сервера
Диски профилей пользователей + миграция профилей
Одной из задач при настройке терминального сервера является организация хранения данных пользователей работающих на нем.
1-й способ
Во многих компаниях используется миграция профилей пользователей. Это дает возможность перенести место хранения данных на специально выделенное место для данных задач. данный способ позволяет перемещать все персональные каталоги пользователя (Документы, Загрузки, Рабочий стол и др.)
Но не позволяет перемещать
Данные о профиле
В результате чего, в процессе работы терминального сервера происходит "захламление" реестра сервера, и крайне осложняет перенос конфигурации пользователя.
2-й способ
Использовать Диски профилей пользователя
Данная технология является крайне полезной для обеспечения более высокого уровня безопасности , так же позволяет легко, бесследно удалять старые профили пользователей, и переносить в случае необходимости настройки на другой терминальный сервер, так как все данные пользователя хранятся на отдельном VHDX Диске для каждого пользователя.
Проблемой данного метода является сложность изменения размера дискового пространства выделенного пользователю, и вносит изменение в конфигурацию оборудования сервера, что вызывает проблемы с лицензиями 1С, но об это будет дальше.
3-й способ
Скомбинировать лучшее из первых 2х методов. а именно.
Активируем Диски профилей пользователя, но данные каталогов пользователя перемещаем на файловый сервер.
Для активации дисков профилей пользователя необходимо перейти в Службы удаленных рабочих столов > в разделе Свойства открываем меню Задачи > изменить свойства > Диски профилей пользователя.
И так мы с Вами уже установили и лицензировали сервер терминалов для 1С на Windows server 2012.
Теперь нам нужно его настроить, таким образом, чтоб наши пользователи могли работать в 1С на этом сервере.
Конечно, данная тема также подымается и на курсе: Администратор 1С!
Настройку мы выполним как для доменной сети, когда работает Active Directory, так и без «AD».
Для начала покажу, как без контроллера домена все это сделать.
Предполагается что 1С Предприятие у Вас уже установлено, (этот шаг я пропускаю, так как установка 1С аналогична, без каких либо дополнительных настроек).
Теперь мы должны создать пользователей для сервера терминалов. Создавать мы их, конечно, будем на этом же сервере так как «AD» у нас не поднималась.
Настройка сервера терминалов для работы в 1С
Правый клик мышкой и создадим необходимое количество новых пользователей для работы на сервере терминалов.
Например, этот будут логины: PCN1, PCN2, PCN3… PCN27. Здесь главное не создавать уж слишком предсказуемые имена наподобие: User1, User2, User3. (Рекомендация для защиты сервера терминалов).
Пароли также создаем по всем требованиям локальной политики безопасности паролей, то есть верхний и нижний регистр букв с использование цифр, минимум семь символов.
Убираем птичку возле «Требовать смену пароля при следующим входе в систему».
Вместо этого ставим птичку возле «Запретить смену пароля пользователям».
И «Срок действия пароля не ограничен». Если ранее был создан надежный пароль, то и менять его постоянно нет смысла.
Далее нам нужно внести некоторые правки в свойствах пользователя, на вкладке «Членство в группах».
Как видите наш пользователь входит в группу «Пользователи». Нам нужно еще добавить этого пользователя в группу «Пользователи удаленного рабочего стола».
Настройка прав пользователя
Для этого клик по кнопке «Добавить», затем клик по кнопке «Дополнительно» и клик по кнопке «Поиск».
Затем в списке ищем «Пользователи удаленного рабочего стола» и клик по кнопке «Ок» и еще раз «Ок». Заем нужно применить изменения.
Удаленный рабочий стол
Теперь еще один момент!
Если Вы работаете в 1С на сервере терминалов в простом файловом варианте, тогда Вам потребуется выполнить еще одну небольшую настройку.
Нужно дать дополнительные права пользователям, которые будут работать в 1С на папку где лежит файловая информационная база.
Находим эту папку и делаем правый клик мышкой, затем идем на вкладку «безопасность».
Наши пользователи как видите на «скрине» не имеют права на «Запись» только чтение и исполнение.
Давайте это исправим!
Кликаем по кнопке «Изменить» выделим группу «Пользователи» и добавим птички возле:
«Полный доступ» и «Изменение», затем «Применить» и «Ок».
Настройка сервера терминалов для 1С, когда работает Active Directory.
Так, мы уже разобрались в настройках, когда контроллер домена у нас не поднят, теперь разберем когда все же служба «AD» работает.
Настройки, как и прежде, будем проводить на Windows server 2012 R2, но покажу и как настроить доступ, когда у Вас Windows server 2008.
Для начала идем на сервер где у Вас работает «AD».
Запускаем оснастку «Active Directory – пользователи и компьютеры» и создадим необходимое количество пользователей. Создание пользователей очень простое и мало чем не отличается от создания локальных пользователей на сервере, что мы сделали раньше.
Поэтому создание пользователей в «AD» я пропускаю, и мы идем далее.
Создаем новую группу, например «TS».
И включаем в эту группу наших уже созданных в «AD» пользователей.
Теперь идем на сервер терминалов (Выполним вход под учетной запись Администратора AD ).
Конечно! Сервер терминалов на этот момент уже должен быть включен в наш домен.
И так выполняем вход под учетной запись Администратора AD на сервере терминалов.
В окне справа находим группу «Пользователи удаленного рабочего стола».
Что это нам дает?
Если Вы хотите больше узнать о технической стороне 1С, тогда регистрируйтесь на первый бесплатный модуль курса: Администратор 1С >>>
В первой части мы успешно развернули роль "терминальный сервер Windows" и приступили к его конфигурированию. Разобрались в методах организации хранения данных пользователей и определились что из этого мы будем использовать. Давайте приступим к настройке.
Конфигурирование хранения персональных данных пользователей
Для активации дисков профилей пользователя необходимо перейти в Службы удаленных рабочих столов > в разделе Свойства открываем меню Задачи > изменить свойства > Диски профилей пользователя
Ставим флаг напротив "Включить диски профилей пользователей".
Указываем путь до каталога на файловом сервере, где будут храниться VXDX диски профилей, и указываем размер 1 гб (Больше места нам не нужно, так как в диске будет храниться совсем мало данных но и меньше 1 гб сделать нельзя) и нажимаем применить
В результате в указанном каталоге будет создан базовый диск на основе которого будут создаваться диски профилей
Устраняем проблему с хромом
При использовании дисков профилей в Google Chrome возникает ошибка Error COULD NOT GET TEMP DIRECTORY, это связанно с тем что хром не может получить доступ к общей папке TEMP, потому переместим ее в другое место и дадим на нее права
Вам нужно настроить объект групповой политики, который выполняет две функции:
Для каждого пользователя, который входит в систему, создает личную папку в папке C: TEMP Изменить переменные среды TEMP и TMP Есть две настройки, которые можно применить на уровне пользователя.
1 - Создание личной папки в папке TEMP:
2 - Модификация переменных окружения:
Далее нам необходимо настроить миграцию профилей
Открываем "Управление групповой политикой "
Создаем объект Групповой политики и связываем его с Подразделением в котором расположены пользователи терминального сервера
Далее переходим Конфигурация пользователя > политики > Конфигурация Windows > Перенаправление папки
По каждому из представленных каталогов ПКМ > Свойства
В окне выбираем пункты
Перенаправлять папки для всех пользователей в одно расположение.
Создать папку для каждого пользователя на корневом пути
Указываем корневой путь (!Важно: данный путь должен быть доступен пользователям на запись)
На вкладке параметры снимаем все галочки и выбираем "После удаления политики оставить папку в новом расположении"
В результате данной настройки в указанном корневом пути будут создаваться каталоги с правами для своего владельца на изменение а для других с запретом чтения
Настройка политики ограниченного использования программ
Одним из важнейших аспектов настройки сервера является его безопасность . Потому нам необходимо ограничить список функций и программ которые имеет право использовать пользователь на сервере.
Спрячем логические диски от пользователей
Конфигурация пользователя > политики > Административные шаблоны > Компоненты windows > Проводник > выбираем политику Скрыть выбранные диски из окна мой компьютер > ставим включено и выбираем Ограничить доступ ко всем дискам
Убираем все лишнее с рабочих столов пользователей
Для этого создадим следующие групповые политики
Ограничение функционала проводника
Очищаем меню пуск
Ограничение функционала проводника
Идем Конфигурация пользователя > Политики > Административные шаблоны > Компоненты Windows > Проводник и включаем следующие политики
Запрашивать подтверждение при удалении файлов
Отключить возможности библиотеки Windows, использующие данные индексированных файлов
Запретить изменение видеоэффектов для меню
Скрыть значок «Вся сеть» в папке «Сеть»
Удалить меню «Файл» из проводника Удалить вкладку «Оборудование»
Скрыть команду «Управление» из контекстного меню проводника
Удалить «Общие документы» из окна «Мой компьютер»
Удалить команды «Подключить сетевой диск» и «Отключить сетевой диск»
Удалить ссылку «Повторить поиск» при поиске в Интернете
Удалить вкладку «Безопасность» Удалить кнопку «Поиск» из проводника
Набор правил Определяется в зависимости от ваших потребностей. Данные правила выбраны как хорошо зарекомендовавшие себя для нагруженного терминального сервера
Очищаем меню пуск
Идем Конфигурация пользователя > Политики > Административные шаблоны > Меню "Пуск" и панель задач
В данном разделе, все зависит от ваших потребностей. как показывает практика рядовой пользователь меню пуск особо не пользуется, так что зачем ему оставлять лишние кнопки, посему можно запретить все.
Запрет запуска программ
Для решения данной задачи есть 2 способа
1-й способ
При помощи политики "Выполнять только указанные приложения Windows" Указать список всех exe приложений которые будут доступны"
Данный метод проще в настройке, и однозначно блокирует все приложения кроме указанных (те что относятся к windows тоже)
У данного метода есть несколько недостатков
сложность администрирования, так как не всегда удается указать все необходимые EXE для корректной работы приложения (например с CryptoPro, или публикациями приложений и т.д)
назовем их "Энтузиасты " , которые пытаются запускать приложения переименовав их исполнительный файл в один из разрешенных
Проблема с обновлением приложений (Зачем же разработчикам ПО оставлять старые названия своих exe, и правда Зачем? )
Отсутствие какого либо журнала заблокированных политикой приложений
Настраивается следующим образом
Создаем объект Групповой политики и связываем его с Подразделением в котором расположены пользователи терминального сервера
Идем Конфигурация пользователя > Административные шаблоны > Система > Находим политику "Выполнять только указанные приложения Windows"
Включаем политику > Нажимаем кнопку "Показать" > В таблицу вносим разрешенное приложение. Крайне рекомендую для каждого приложения делать отдельную политику, для облегчения администрирования.
Далее нам Желательно на рабочем столе разместить ярлыки запуска приложения
Идем Конфигурация пользователя > Настройка > Конфигурация Windows > Ярлыки > Создать > Ярлык
После чего задаем параметры. !ВАЖНО на вкладке "Общие параметры поставить "Выполнять в контексте. "
Ура политика создана
Так как не всем пользователям нужны одни и те-же программы и права, то нацеливаем политику на группу безопасности В фильтрах безопасности удаляем группу "Прошедшие проверку" а на ее место добавляем группу в которую включены все пользователи данного приложения"
после чего ВАЖНО не забыть на вкладке Делегирование добавить группе "Прошедшие проверку" право на чтение политики (Иначе работать не будет)
2-й способ
Используем функцию AppLocker
Важно применять эту политику на подразделение где лежит ваш терминальный сервер. это позволит вам более оперативно редактировать список разрешенных приложений, так же когда она настроена работать под пользователем возникают непонятные баги. в данный момент я полностью перешел на использование данного метода для большинства внедрений
Создаем Групповую политику и связываем ее с подразделением, где лежит ваш терминальный сервер
идем Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Политики управления приложениями >applocker > Исполняемые правила > Создать правила по умолчанию
после чего идем Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Политики управления приложениями >applocker и тыкаем "Настроить применение правил"
в свойствах ставим настроено и выбираем только аудит для правил исполняемых файлов
в результате при заходе пользователя и попытке запуска программ в журнале просмотра событий на терминальном сервере расположенном
Журналы приложений и служб > Microsoft > Windows > AppLocker > EXE и DLL будут появляется события содержащие сведения о запускаемых приложениях, которые мы будем использовать для дальнейшей настройки политики
Вернемся в исполняемые правила и создадим правило на основе отчета журнала событий
ПКМ > Новое правило
выберем действие Разрешить, и в данном случае мы хотим чтобы под всеми пользователями данное приложение могло быть запущенно, но так же мы можем создать в домене группу безопасности в которую включим пользователей для которых данное правило будет применяться, тогда на этом шаге следует ее указать
Выберем условие Путь
Скопируем путь из отчета о событии
в исключения мы добавлять ничего не будем так что далее > Создать
Шаги следует повторить для каждого события из журнала, отсеивая те которые мы хотим запретить
После чего в свойствах applocker следует переключить "Только аудит" на "Принудительное применение правил"
В результате данных действий мы имеем эффективное хранение данных пользователей, и первично настроенную безопасность терминального сервера
И вновь у меня закончились буквы) продолжим в следующей части, рассмотрим настройку 1с , разграничения доступа к базам, поднимем производительность 1с на терминальном сервере фактически в двое, в обще продолжим в следующей части
Наконец то я смог перебороть свою лень и написать третью часть. По итогу мы имеем настроенный терминальный сервер, с разграниченными доступами к данным и списками разрешенных программ. В данной части закончим тонкую настройку рабочих столов пользователей, как и обещал рассмотрим Установку, Настройку, и оптимизацию 1С, а так же разграничение доступа к БД. Приступим.
Очищаем рабочий стол от лишних ярлыков
Создадим Групповую политику с названием "Очистить рабочий стол" и свяжем ее с подразделением в котором расположены пользователи нашего сервера
Зададим параметры политики > Конфигурация пользователя > политики > административные шаблоны > Меню Пуск и панель задач там находим Скрыть общие группы программ в меню "Пуск"
в результате будут очищены все ярлыки с рабочего стола пользователя. теперь заполним его тем что нам нужно
Размещаем на рабочем столе пользователя необходимые ярлыки приложений
Создадим Групповую политику с названием "Публикация ярлыков" и свяжем ее с подразделением в котором расположены пользователи нашего сервера
Зададим параметры политики > Конфигурация пользователя > политики > Настройка > Конфигурация Windows > Ярлыки > ПКМ создать > ярлык
Заполняем открывшуюся форму, Данные можно скопировать с существующего ярлыка, нажав по нему ПКМ и выбрав свойства, в поле "Размещение" выбираем Рабочий стол
В результате на рабочем столе пользователя останутся только заданные нами ярлыки приложений, чтобы не совращать пытливые умы морем возможностей куда ткнуть.
Очищаем содержимое Меню ПУСК и задаем начальный макет
Создадим Групповую политику с названием "Настройка Меню Пуск" и свяжем ее с подразделением в котором расположены пользователи нашего сервера
Зададим параметры политики > Конфигурация пользователя > политики > административные шаблоны > Меню Пуск и панель задач > выбираем "Очистка списка недавно использовавшихся программ для новых пользователей" и переводим параметр в состояние Включена
Там же находим политику макет начального экрана, так же ее включим и укажем путь где мы в дальнейшем разместим файл макета
Создадим макет
Заходим на наш сервер под локальным администратором и настройте вручную нужный вид макета начального экрана, после чего запускаем PowerShell под правами администратора и выполняем команду Export-StartLayout -Path d:\123.xml где в параметре path указываем путь который мы задали ранее в политике
В результате мы имеем полностью готовые к работе рабочие места для сотрудников компании
Оптимизация 1С
Включаем высокую производительность
Так как 1с любит работать на 1м ядре то крайне зависима от производительности этого ядра, от сюда и такая любовь к высокочастотным процессорам.
идем Пуск > панель управления > оборудование > электропитание > выбираем высокая производительность
Отключаем DFSS для нормальной работы 1С
В ОС Windows Server 2012 бывает полезно выключать службу Dynamic Fair Share Scheduling (DFSS позволяет балансировать и распределять ресурсы между пользователями) чтобы повысить производительность 1С:Преприятие 8 в ряде случаев. На момент написания заметки платформа может неудачно взаимодействовать с Dynamic Fair Share Scheduling. Одним из таких признаков может быть долгое открытие конфигуратора в терминальном сервере. Предположительно эта служба Dynamic Fair Share Scheduling думает что 1С:Предприятие потенциально окажет негативное влияния сессией текущего пользователя, захватившего большое количество вычислительных ресурсов, на сессии других пользователей. Служба старается «предотвратить» чрезмерное использования например дисков одним пользователем, пытаясь организовать равномерное распределение дисковых операций I/O между сессиями.
Чтобы выключить балансировку ресурсов надо выполнить следующие шаги:
Шаг первый. Определить что служба включена, для этого открываем PowerShell и запускаем команду:
(gwmi win32_terminalservicesetting -N "root\cimv2\terminalservices").enabledfss
1 — включено, 0 — выключено.
Если получаем 0, то дополнительно действий не требуется.
Шаг второй. Если предыдущий шаг вернул 1, то продолжаем. После чего открываем реестр windows (regedit) и меняем в следующих ветках некоторые значения: *1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Quota System параметр EnableCpuQuota на 0.
2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSFairShare\Disk параметр EnableFairShare на 0. Этот параметр особенно сильно влияет.
После этого конфигуратор может открываться значительно быстрее в терминальном сервере. В реально произошедшем в нашей практике случае скорость открытия конфигурации с 40 секунд изменилась до 10 секунд (при наличии кэша конфигурации)
Для этого выполним команды
после чего проверим
Результатом должен вернуться 0
Это 2 основных пункта которые влияют на производительность 1с, осталось нам научиться понимать где узкое горлышко производительности
Отключаем ненужные службы
Откроем командную строку под правами администратора и выполним следующие комманды
sc config Themes start=disabled
sc config WSearch start=disabled
sc Stop WSearch
sc config CscService start=disabled
sc Stop CscService
Анализатор соответствия рекомендациям
Для некоторых серверных ролей Windows (в частности, терминальных) существует база успешных конфигураций. Придерживаясь советам данной базы можно повысить надежность и стабильность системы.
Для сервера удаленных рабочих столов, как правило, необходимо выполнить следующие рекомендации:
Оптимизируем настройку SMB протокола
Для этого запустим Powershell под администратором и выполним следующие команды
Set-SmbServerConfiguration -Smb2CreditsMin 128
Set-SmbServerConfiguration -Smb2CreditsMax 2048
Set-SmbServerConfiguration -AsynchronousCredits 64
Set-SmbServerConfiguration -CachedOpenLimit 5
Set-SmbServerConfiguration -DurableHandleV2TimeoutInSeconds 30
Set-SmbServerConfiguration -AutoDisconnectTimeout 0
Set-SmbServerConfiguration -DurableHandleV2TimeoutInSeconds 30
Srv.sys должен быть настроен на запуск по требованию.
Запустим CMD под администратором
sc config srv start=demand
Создание коротких имен файлов должно быть отключено
fsutil 8dot3name set 1
Мониторинг Загрузки сервера
в работе сервера с 1с как показала практика основным показателем является средняя длина очереди диска и загрузка ЦП
Смотрим очередь диска
Заходим Управление компьютером > Производительность > Средства наблюдения > Системный монитор > Добавить > выбираем "Физический диск" > средняя длина очереди диска > выбираем диск на котором лежат базы
Нормальным режимом работы является очередь не превышающая значения 1, все что выше уже будут заметны подтормаживания, при значениях выше 2.5 работа в 1 с становится не комфортной.
За данным параметром крайне важно следить так как высокая очередь на диск тянет за собой высокую загрузку ЦП (которому приходится ждать пока диск ответит)
Свободное место на разделе где хранятся файловые базы 1С
В том случае если базы данных хранится на другом сервере, например файловом, важно следить чтобы размер файла подкачки не превышал объём свободного места на этом логическом диске, в тот момент когда это произойдет скорость работы 1с упадет в несколько раз
Формирование списка баз 1С, для пользователей
Будем использовать уже заезженный метод формирования списка на основе NTFS прав, но внедрим немного своего
первым делом определимся с местом где будут лежать файлы запуска БД 1С и укажем путь до этого места, пусть это будет d:\access\1cestart.cfg
Откроем файл C:\ProgramData\1C\1CEStart\1cestart.cfg
и добавим в конец файла строку "CommonCfgLocation=d:\access\1cestart.cfg" после чего сохраним
на 160 строке указываем путь до расположения файловых баз 1с
на 163 задаем путь до подразделения домена в котором будут лежать у вас группы безопасности доступа к БД
после чего можем запустить скрипт и создать каталог для нашей базы 1С, После чего останется только положить БД в данный каталог и добавить пользователей в группу доступа 1с
На этом настройку терминального сервера 1с, можно считать законченно, как итог мы имеем сервер готовый к приему клиентов
Читайте также: