Настройка тонкого клиента на windows server 2020 r2: Разворачиваем сеть тонких клиентов Thinstation с подключением к серверу Windows Server 2012 R2 Remote Desktop Services
Публикации
Пользователи сервиса могут работать с приложениями не только в веб-браузере, но и в тонком клиенте «1С:Предприятия».
В этой статье будет рассказано о том, как установить и использовать тонкий клиент на компьютере, работающем под управлением операционной системы Windows.
Содержание
1. Определение нужной версии тонкого клиента
Вначале необходимо определить, какая версия тонкого клиента вам нужна.
- Запустите приложение сервиса в любом браузере.
Нажмите кнопку (Сервис и настройки) в правом верхнем углу окна приложения:
- Выберите в выведенном меню пункт О программе.
В верхней строке окна О программе будет указано, под какой версией платформы «1С:Предприятие 8» работает приложение. Вам необходим тонкий клиент той же версии.
2. Скачивание тонкого клиента
Скачайте нужную версию тонкого клиента. Вот ссылки на скачивание программ установки тонкого клиента для используемых в сервисе 1cfresh.com версий платформы «1С:Предприятие 8» и различных версий Windows:
Если интернет-браузер не спросил, куда поместить скачанный файл, то файл будет сохранен в папке, назначенной в настройках браузера по умолчанию. Как правило, эта папка называется Загрузки или Downloads.
3. Установка тонкого клиента
Установите тонкий клиент с помощью скачанного файла установки:
- Запустите скачанный exe-файл тонкого клиента.
Если будет выведено окно Доступ к веб-серверу, введите в него свои логин и пароль в сервисе и нажмите кнопку OK.
- Тонкий клиент будет установлен и затем будет запущен автоматически.
4. Настройка тонкого клиента
Для удобства работы с тонким клиентом «1С:Предприятия 8» рекомендуется включить режим отображения списка информационных баз в виде дерева (это достаточно сделать один раз):
- Запустить тонкий клиент.
- Нажать в окне Запуск 1С:Предприятия кнопку Настройка…
- Установить флажок Отображать в виде дерева.
- Нажать кнопку OK.
После этого в списке информационных баз тонкого клиента будет расположена группа 1cfresh.com с пунктами:
- вызова доступных вам приложений сервиса 1cfresh.com;
- Личный кабинет (1cfresh.com) — вход в ваш личный кабинет в сервисе;
- Завершить сеансы (1cfresh.com) — сброс сведений о вашем подключении к сервису. При следующем входе с помощью тонкого клиента в любое приложение сервиса или в личный кабинет сервиса у вас будут запрошены логин и пароль (подробнее см. по ссылке).
5. Запуск приложений с помощью тонкого клиента
Чтобы запустить приложение с помощью тонкого клиента:
Щелкните ярлык тонкого клиента на рабочем столе Windows:
В окне Запуск 1С:Предприятия откройте группу 1cfresh.com, выделите в ней нужное приложение и нажмите кнопку 1С:Предприятие.
Если будет выведено окно Доступ к OpenID провайдеру, введите в него ваши логин и пароль в сервисе и нажмите кнопку OK.
- Приложение будет запущено и вы сможете с ним работать.
Желаем приятной и успешной работы в сервисе!
См. также:
Настройки тонкого клиента
Основные настройки тонкого клиента храняться в конфигурационном файле. В этом разделе описан полный список всех параметров, которые вы можете установить для настройки конфигурации соединений и оборудования.
О том как можно редактировать конфигурационный файл читайте в инструкции Интерфейсы управления тонким клиентом.
Настройка подключений к терминальному серверу, создание виртуальных рабочих столов и запуск дополнительных приложений.
Настройка общих параметров RDP сессии, таких как имя и пароль пользователя, используемые раскладки клавиатуры и автозапуск программ.
Тонкие клиенты thinBox стандартно поддерживают вывод звука через HDMI подключение или встроенный 3,5mm jack. Подключение микрофона возможно через USB гарнитуру или внешнюю USB звуковую карту.
Пользователь может получить доступ к дисководу, USB-дискам, Flash картам и CDROM, которые подключены к USB выходам тонкого клиента. Возможно перенаправление дисков на терминальный сервер двумя методами:
- Перенаправление дисков, подключенных к тонкому клиенту по протоколу RDP;
- Запустить на тонком клиенте службу поддержки «Сети Microsoft». В этом случае любой пользователь с любого компьютера в локальной сети может получить доступ к диску.
Подробную информацию о работе с дисками можно посмотреть в инструкции по подключению USB дисков и CDROM.
Существует три способа подключения принтера к терминальному серверу:
- Подключение принтера, подключенного к USB выходу тонкого клиента, по протоколу RDP. Так, как это делает стандартный RDP (mstsc.exe).
- Принтер, подключенный к тонкому клиенту через USB можно сделать доступным в локальной сети. В этом случае тонкий клиент работает в режиме эмуляции аппаратного принт сервера;
- Подключение сетевого принтера, находящегося в локальной сети по протоколу RDP. Это особенно важно для удаленных офисов, если по какой-то причине невозможно сделать VPN.
Подробнее о различиях читайте в инструкции по подключению принтера.
Тонкий клиент thinBox имеет 4 порта USB 2.0, которые предоставляют универсальные возможности подключения к периферийным устройства. К тонкому клиенту можно подключить планшетный сканер, смарткарту для авторизации в Windows, разнообразные сканеры штрих кодов, весы, кассовые аппараты, терминалы приема платежей и другое промышленное оборудование.
В тонкий клиент thinBox встроен браузер Google Chromium для доступа к сайтам без использования терминального сервера.
Включается строчкой в конфигурационном файле:
application=chrome
В тонкий клиент thinBox встроен SIP клиент linphone. Удобнее всего использовать для SIP телефонии отдельную USB гарнитуру. Linphone использует два звуковых устройства. Через одно (HDMI выход или 3,5mm jack) воспроизводится звонок. Через второе (отдельная USB гарнитура или внешняя USB звуковая карта) происходит разговор.
Существует несколько способов удаленного управления тонким клиентом: управление через web интерфейс; управление при помощи графического конфигуратора и управление при помощи утилит WTWare.
Прочие настройки, не вошедшие в предыдущие разделы, такие как: настройка сетевого имени тонкого клиента, таймаут подключения, варианты переключение раскладок клавиатуры и т.д.
Как сделать тонкий клиент из старого компьютера
Просмотр комментариев
Или как запилить тонкий клиент без особых трудностей и мего познаний в области администрирования.
Итак, что бы сделать тонкий клиент из обычного компьютера много усилий не надо. Для минимального понимания данной статьи нужно иметь хотя бы мутное отдаленное представление о:
-
Тонкий клиент -
PXE -
RDP -
Thinstation -
TFTP -
DHCP
Время идет, железо устаревает физически и морально, на покупку новых компов в организации у руководства денег как обычно нет, на этот случай есть возможность «вдохнуть жизнь» в музейный хлам. Для тонкого клиента подойдет любой раритет с частотой одноядерного процессора от 1 ГГц и ОЗУ 128 Мб, и самая важная деталь это материнская плата с сетевокй картой поддерживающие загрузку PXE. Жесткий диск, дисковод нам не понадобятся вообще, мы же будем делать настоящий тонкий клиент, а не жалкую пародию! 😉
Есть второй способ описанный в статье Как сделать тонкий клиент из старого компьютера (способ 2)
Подготовка тонкого клиента и дополнительного оборудования.
Конечно сначала соберите более или менее живой агрегат из барахла, как уже говорил выше жесткий диск нам не понадобится вообще, что касается дисковода и другой переферии, тут уже все зависит от поставленной задачи с которой должен справляться наш тонкий клиент, мне на работе из переферии хватило только монитр, клавиатура, мышь, USB устройства руководство посчитало излишним (естественно кроме клавиатуры и мыши), т.к. стремление сделать систему более замкнутой превзашло хотения юзверей (как не странно я с ними в этом согласился, все функции съемных носителей заменяет почта и внутренняя файлопомойка, а тем кому нужно работать с большими файлами и производительность от ПК не переводились на тонкие клиенты вообще). После того как убедились что железка работает необходимо в БИОСе произвести настройку загрузки с сетевой карты и отключить все остальные методы загрузки. Делается это по разному на различных мат. платах, но суть сводится к одному.
Для работы тонкого клиента необходим сервер который будет выступать в роли удаленного рабочего места к которому наш тонкий клиент подключется. Подробно останавливаться на рассмотрении всех типов удаленного рабочего места я не буду, остановимся на самом популярном Сервере терминалов от Microsoft. Будем считать что у вас уже имеется сервер на котором развернут Сервер терминалов, к примеру, на Windows Server 2008 R2. Если нет надобности подключать пользователей за пределами организации, тогда будем рассматривать настройку подключения только «внутри». Пусть у нашего сервера терминалов внутренний IP 192.168.0.5.
DHCP
Теперь настроим DCHP для раздачи ip адресов нашим тонким клиентам и дополнительных параметров. Как настроить DHCP на Windows Server 2008 можно прочесть здесь, для Linux Server вот здесь. В этой статье я укажу только то, что необходимо донастроить уже к готовой схеме.
Для настройки в Windows Server 2008 R2: перейдем в параметры области
Выбираем Настроить параметры и добавляем парметр:
066 Имя узла сервера загрузки и укажем IP адрес нашего TFTP сервера (в нашем случае 192.168.0.4)
067 Имя файла загрузки, впишем pxelinux.0
и не забудьте рестартануть службу DHCP.
Настройка в Ubuntu Server:
будет позже
TFTP сервер
Настройки TFTP серврвера в Windows Server 2008 R2 здесь, в Ubuntu Server 14.04 LTS здесь. Также можно поспользоваться программой tftpd32 для Windows систем
Дистрибутив Thinstation
Ознакомиться с возможностями данного дистрибутива можете на сайте разработчика http://thinstation.github.io/thinstation/. Для того что бы получить рабочий дистрибутив с возможностью загрузки с сервера TFTP необходимо его собрать, я не буду рассматривать как это делается, а воспользуюсь уже готовым собранным дистрибутивом с возможностью загрузки по сети PXE версия сборки 5.1.1 01.05.13 (зеркало) собранная с опцией allmodules (за это отдельная благодарность nik0el). Скачаваем архив и распаковываем, теперь надо раскидать файлы. Я рассмотрю на примере настроеннго TFTP сервера в Windows Server 2008 R2.
Закинем все файлы и папки как есть в C:\TFTPRoot
Теперь приступим к настройкам основных файлов, которые вы будите править под себя:
thinstation.conf.network — отвечает за дефолтные настройки подключения для всех тонких клиентов
thinstation.conf.sample —
thinstation.hosts — указывает индивидуальные настройки
thinstation.conf.group-… — вместо точек указано название группы (1280@75 — разрешение и частота, user — имя тонкого клиента присвоенного в файле thinstation.hosts и т.д.)
Ниже приведу немного отредактированные параметры которые согласно нашим ip адресам:
thinstation.conf.network
SCREEN=0
WORKSPACE=1SESSION_0_TITLE=»Terminal Server»
SESSION_0_TYPE=rdesktop
SESSION_0_SCREEN=1
SESSION_0_RDESKTOP_SERVER=192.168.0.5
SESSION_0_RDESKTOP_OPTIONS=»-u ‘user'»
SESSION_0_AUTOSTART=On#SESSION_#_TITLE=»Big Bad Server Donald»
#SESSION_#_TYPE=freerdp
#SESSION_#_SCREEN=1
#SESSION_#_SCREEN_POSITION=2
#SESSION_#_FREERDP_SERVER=192.168.1.1
#SESSION_#_FREERDP_OPTIONS=»-u username -p password»
#SESSION_#_AUTOSTART=OffRDESKTOP_SOUND=Off
RDESKTOP_FDD=Off
RDESKTOP_CDROM=Off
RDESKTOP_HDD=Off
RDESKTOP_USB=Off
RDESKTOP_1394=Off
RDESKTOP_COM3=Off
RDESKTOP_COM4=Off
RDESKTOP_SLOWLINK=On
RDESKTOP_COMPRESSION=On
RDESKTOP_COLOR_DEPTH=»16″
#RDESKTOP_DOMEN=mydomen
RDESKTOP_USB_NO_MOUNT_DIR=OnFREERDP_USB_NO_MOUNT_DIR=On # Mount USB Drive On/Off
FREERDP_USB=Off # Mount USB Drive On/Off
FREERDP_SOUND=On # Audio, On/Off
FREERDP_KEYMAP=419 # Keymap number
FREERDP_CONSOLE=Off # Conect to console, On/Off
FREERDP_SLOWLINK=Off # Slow Network Link, On/Off
FREERDP_COMPRESSION=Off # RDP Compression, On/Off
FREERDP_CDROM=Off # CDROM Drive present, On/Off
FREERDP_CDROM_SATA=Off # SATA CDROM present, On/Off
FREERDP_FDD=Off # Floppy Drive present, On/Off
FREERDP_USBFDD=Off # USB Floppy present, On/Off
FREERDP_HDD=Off # HDD Drive present, On/Off
FREERDP_1394=Off # FireWare HDD present, On/Off
FREERDP_COM3=Off # Redirect COM1, On/Off
FREERDP_COM4=Off # Redirect COM2, On/OffKEYBOARD_MAP=en_us
TIME_ZONE=»Europe/Moscow»
AUDIO_LEVEL=67
AUTOPLAYCD=On
DAILY_REBOOT=On
CUSTOM_CONFIG=off
RECONNECT_PROMPT=menu
NET_TELNETD_ENABLED=On
SCREEN_RESOLUTION=»1024×768″
SCREEN_HORIZSYNC=»30-65″
SCREEN_VERTREFRESH=»75″
SCREEN_COLOR_DEPTH=»16″
MOUSE_PROTOCOL=IMPS/2
MOUSE_RESOLUTION=100
MOUSE_ACCELERATION=»1″
X_DRIVER_OPTION1=»swcursor On»
PRINTER_0_NAME=parallel
PRINTER_0_DEVICE=/dev/printers/0
PRINTER_0_TYPE=P
PRINTER_1_NAME=usb
PRINTER_1_DEVICE=/dev/usb/lp0
PRINTER_1_TYPE=U
thinstation.hosts
# NAME MAC GROUP #COMMENT #thinstation01 0013D409A812 1024@75 cdrom fdd usb #192.168.0.21 user 000A5E1ADCAA 1280@60 cdrom usb #192.168.0.10
здесь мы присваиваем имя для мак адреса тонкого клиента и указываем группы настроек в примере это группа с настройками монитора, привода и usb портов.
Злоключение
Теперь убедитесь, что сервера запущены и работают. Стартуйте тонкий клиент, после загрузки дистрибутива и его полного запуска откроется окно ввода имени пользователя и пароля для входа на наш сервер терминалов. Я в примере использовал для подключения клиент rdesktop, а так их порядка 10 разновидностей которые можно выбрать и настроить под себя.
Есть второй способ описанный в статье Как сделать тонкий клиент из старого компьютера (способ 2)
HP Flexible Thin Clients — практика / Хабр
Модельный ряд HP Flexible Thin Clients предлагает несколько тонких клиентов с различной конфигурацией и производительностью. На тонких клиентах используется несколько операционных систем: HP ThinPro, HP Smart Zero Core, Windows Embedded.
Далее я опишу процесс настройки тонких клиентов на базе ОС HP Smart Zero Core с рекомендациями.
Основной модельный ряд t5565/t5565z и t5570/t5570e представляют из себя одно устройство, тонкие клиенты отличаются между собой базовой ОС, размером флеш накопителя и оперативной памяти. После появления t510 от прежней маркировки отказались, и тонкие клиенты можно отличить только по парт номеру.
t520 отличается от своих предшественников. Установлен процессор AMD, используется разъем для блока питания как в линейке ноутбуков Probook/ElitBook, отсутствуют порты PS/2.
Документацию для t5565/t5570/t510 можно загрузить здесь, а для t520 здесь.
HP ThinPro и HP Smart Zero Core основаны на Ubuntu Linux.
Начиная с версии 5.0, HP ThinPro и HP Smart Zero Core объединили, сейчас для скачивания доступна версия 5.2.
Модель t5570/t5570e с ОС Windows стоит дороже своих аналогов на Linux, но при желании вы можете установить HP ThinPro или HP Smart Zero Core.
Если зайти на страницу загрузки ПО для t5565/t5565z вам предложат скачать только HP Smart Zero Core 4.4. Вы можете смело скачать образ версии 5.2 для t510 и установить.
На t5565/t5565z установить Windows не получится, флешка маловата. Заменить флешку на практике экономически не выгодно, это превысит стоимость тонкого клиента.
Для управления парком тонких клиентов предлагается использовать HP Smart Zero Client Service.
Механизм распространения обновлений и настроек очень простой: тонкий клиент обращается на http сервер и скачивает профиль или обновления для компонентов ОС. Для обнаружения http сервера используется DHCP сервер или широковещательная рассылка.
Установка
Загрузить дистрибутив размером 19 мб можно здесь. Для установки необходим «сервер» с Windows XP и выше, также необходимо установить Internet Information Services (IIS) и .NET Framework 3.5.
Установите Profile Editor и Automatic Intellidgence. Intellidgence Delivery Service я не использую.
В процессе установки Automatic Intellidgence создается веб узел HP Automatic Update.
Создайте на DHCP сервере «ссылку» на HP Automatic Update, за это отвечает String параметр 137.
Профиль по умолчанию
Запустите Profile Editor и создайте профиль по умолчанию.
Обратите внимание на наличие галочки «показывать все параметры».
Все ваши параметры будут подсвечены зеленым цветом.
Если вы только начали работу с HP Smart OS:
1 — Укажите версию вашего образа.
2 — Укажите протокол (RDP, Citrix, VMware View, WEB Browser).
3 — Укажите хост.
Индивидуальный профиль
Для создания индивидуального профиля, поместите файл в папку MAC, в имени используйте MAC адрес тонкого клиента.
Устранение проблем
Механизм распространения обновлений и настроек очень простой, если у вас не загружаются обновления или новый профиль, проверьте права доступа к файлам на http сервере. Я не мог понять почему не загружаются обновления, оказалось что нет прав на чтение файлов.
HP Smart Zero Core 4.4 Administrator Guide
В данный момент у пользователей установлено примерно 100 шт. t5565/t5570/t510. На все тонкие клиенты установлена ОС HP Smart Zero Core 4.4. Все тонкие клиенты используются для подключения к RDSH Windows Server 2008 R2.
Установка
Последнюю версию Smart Zero Core Image Z6X44017 Rev. 1(13 Jun 2014) можно скачать здесь.
1 — Создайте установочную флешку.
2 — Подключите флешку и перезагрузите тонкий клиент.
3 — После перезагрузки тонкий клиент проверит наличие сервера HP Automatic Update, загрузит профиль и обновления, а если его нету запустит wizard и предложит вам выбрать протокол и хост.
Для каждого протокола предлагается свой стиль оформления. После выборе RDP вы будете наблюдать следующий рабочий стол.
Установка обновлений
Рекомендую обновить клиент который будет использоваться:
1 — FreeRDP Client 1.1 Rev. 1(26 Mar 2014).
2 — VMware Horizon Client 3.2 1(15 Dec 2014).
3 — Citrix Receiver with True Graphics 13.1.3 Rev.1(30 Apr 2015).
4 — Вместе с новыми пакетами необходимо установить MultiMedia Service Pack 1.0.
Обновления также можно скачать здесь. На этом ftp сервере можно обнаружить тестовые сборки пакетов.
Распакуйте архив и разместите xar файл в каталог с пакетами на сервер HP Automatic Update. Чтобы установить пакет на все тонкие клиенты используйте каталог auto-update\Packages.
Для установки пакета только на тонкие клиенты t510 используйте каталог auto-update\t510\Packages, с другими моделями поступайте аналогично.
После перезагрузки, начнется скачивание и установка.
Рекомендации по профилю
1 — Если на хосте работает служба Windows Audio, при отсутствии гарнитуры тонкий клиент будет воспроизводить звук используя внутренний динамик. Рекомендую звук отключить, при необходимости пользователи смогут его включить.
За отключение звука отвечают ключи root/Audio/OutputMute и root/Audio/RecordMute.
2 — Пользователи блокируются после первого ввода не правильного пароля, это происходит если используется шифрование SSL(TLS 1.0). Когда используется RDP Security Layer таких проблем с блокировкой нет.
Чтобы принудительно установить шифрование RDP Security Layer, необходимо воспользоваться справкой по freerdp клиенту.
Добавьте аргумент /sec:rdp в следующий ключ root/ConnectionType/freerdp/connections/{UUID}/ExtraArgs.
Более подробно про уровни шифрования можно прочитать здесь.
3 — Проверку сертификата хост сервера можно отключить, за это отвечает ключ root/ConnectionType/freerdp/connections/{UUID}/certificateCheck.
4 — Настройте время, за это отвечает ветка root/time.
5 — Установите пароль администратора, за это отвечает ключ root/users/root/password.
6 — Настройте VNC сервер, за это отвечает ветка root/vncserver.
7 — Укажите домен по умолчанию, за это отвечает root/zero-login/defaultCredentials/domain.
HP ThinPro 5.2 Administrator Guide
Установка
Скачать образ T6X52011 Rev.1(5 Jun 2015) можно здесь.
Вы можете записать установочную флешку, или воспользоваться сервером HP Automatic Update.
Обновление
Используя HP Automatic Update чтобы обновить ОС 4.4 до версии 5.x, необходимо установить пакет ThinPro Upgrade to 5.x Prerequisite Thinstate Addon for 4.x. Если вы не установите Prerequisite Addon, тонкий клиент перестанет загружаться и ОС придется восстанавливать используя флешку.
Разместите образ T6X52011.dd.gz в папке auto-update\Images чтобы обновить все тонкие клиенты, или в папку auto-update\t510\Images чтобы обновить только t510, с другими моделями поступайте аналогично.
Если вы хотите обновить только один тонкий клиент
1 — Создайте индивидуальный профиль, и в ветке root/auto-update настройте следующие ключи:
ManualUpdate = «1».
ServerURL = «server-name-or-ip:18287».
path = «auto-update/Custom/Z6X52011».
protocol = «http».
2 — В каталоге auto-update/Custom/Z6X52011 создайте необходимую структуру каталогов и файлов:
Каталог Image с образом ОС.
Каталог Packages с апдейтами.
Каталог PersistentProfile и файл profile.xml.
файл index.txt разместите в корне.
Перезагрузите тонкий клиент, новый образ будет загружен и установлен.
Оформление HP Smart Zero Core 5.х для RDP.
Отличия от 4.4
Это только мои наблюдения:
1 — 5.х загружается заметно дольше.
2 — Изменили стиль оформления, добавили «панель задач».
3 — Используя переходник DVi-HDMI я не могу подключить HDMI монитор если установлена ОС 4.4, в 5.2 это исправили.
4 — Если кликнуть на кнопку питания, в случаи 4.4 и протокола RDP выполняется дисконнект сессии. В случаи 5.2 при клике на кнопку питания тонкий клиенты выключится, если вам нужно работать с несколькими учетными записями, нововведение очень не удобно.
Если вы решите вернуть версию 4.4
Скопируйте образ 44017 обратно в папку Image, после перезагрузки начнется скачивание и установка.
Если тонкие клиенты установлены в удаленных офисах и каналы связи не отличаются качеством, HP идет к вам на помощь и предлагает инструмент HP Velocity.
HP Velocity Technology Overview
HP Velocity Version 2.1.0 Administrator Guide
В маркетинговых роликах HP Velocity выглядит очень интересно.
Установка
1 — Обновите пакет Velocity на тонких клиентах.
2 — Установите Velocity на хост машины.
Пакет с обновлением 2.1 для тонкого клиента можно скачать здесь, а серверную част для терминального сервера или виртуальных десктопов здесь. В составе пакета для хостов включены msi дистрибутивы для х86 и х64, документация, и adm шаблон для групповых политик.
После установки, на хосте вы сможете запустить HP Velocity Management.
Практика
На предприятии где я работаю, тонкие клиенты подключаются к серверам на одной площадке, плохие каналы связи по умолчанию отсутствуют. HP Velocity я установил на все терминальные сервера с параметрами по умолчанию, шаблоны для групповых политик не использую.
Вопрос: Зачем я установил HP Velocity?
Ответ: Используя HP Velocity Management, на закладке Flow Information можно наблюдать загрузку процессора тонкого клиента.
Считаю что локальный принтер это зло для службы поддержки и лишние расходы для бизнеса.
Медленно но уверено начали менять на сетевые принтера.
Очень я не хотел подключать принтера к тонким клиентам, но желание заменить старые ПК победило.
В качестве службы печати используется Common UNIX Printing System.
Принтера которые я смог подключить: HP 1022, HP 1102, HP 1160, HP 2015, Samsung 2171N.
Принтера которые отказались печатать: HP 1320, Samsung SCX-4200, Canon LBP 2900/3000.
Подключение принтера
Для подключения USB принтера к тонкому клиенту необходимо установить пакет CUPS Printer Support .
HP Smart Zero Core 5.х содержит данный пакет по умолчанию.
После установки пакета CUPS, в меню Additional Configuration появится новый пункт Printers.
Запустите wizard и добавьте ваш принтер.
Перенаправление принтера (High-level redirection)
По умолчанию перенаправление включено. В случаи необходимости отключить перенаправление используйте ключ root/ConnectionType/freerdp/connections/{UUID}/printerMapping.
После соединение с вашим хостом, вы обнаружите в устройствах принтер.
Обратите внимание на драйвер перенаправленного принтера. Рекомендуется название драйвера задать в настройках принтера, драйвер должен быть заранее установлен на хост.
Принт сервер
Чтобы несколько пользователей могли печатать на один принтер, необходимо настроить принт сервер на тонком клиенте.
Откройте настройки принт сервера и разрешите печать из интернета.
Перезагрузите ваш тонкий клиент и откройте веб управление службой печати, http ://server-name-or-ip:631.
Подключение CUPS принтера к Windows
Для просмотра списка расшаренных принтеров перейдите по ссылке http ://server-name-or-ip:631/printers.
1 — Установите на Windows машину компонент Internet Printing Client.
2 — Подключите сетевой принтер используя адрес принтера http ://server-name-or-ip:631/printers/printername.
Если принтер не хочет печатать с родным драйвером, попробуйте подсунуть ему драйвер «MS Publisher Imagesetter».
В руководстве к версии 4.4 на странице 48 можно найти раздел посвященный оформлению рабочего стола, а для версии 5.2 на странице 73. Лично я нечего не понял, лед тронулся после прочтение этой публикации.
Стиль оформления состоит из 3х файлов: bgConfig.rtf, zero-login.rtf, desktop.qss. Конфигурационные файлы находятся здесь /etc/hptc-zero-login/styles/, данный каталог содержит несколько стилей оформления: default, firefox, freerdp, rdesktop, view, xen. Скопируйте себе эти файлы, так вам будет проще разобраться. Переключитесь в режим администратора, запустите Х терминал, и скопируйте содержимое на флешку.
Я решил добавить на рабочий стол логотип компании и контакты службы поддержки
1 — Изменил файл bgConfig.rtf из стиля freerdp.
bgConfig.rtfglobal {
color: 515151;
}
text {
name: Remote Desktop text;
text: Remote Desktop;
color: white;
font: DejaVuSans-ExtraLight;
max-height: 200;
max-width: 600;
alignment: left vcenter;
font-size: 200;
position: 100,100;
}
text {
name: Support text;
text: Support 911;
color: white;
font: DejaVuSans-ExtraLight;
font-size: 20;
max-width: 70%;
position: 0%,100%;
alignment: left bottom;
padding: 20;
}
image {
name: Logo;
source: /etc/hptc-zero-login/styles/demo/logo.png;
size: 200×50;
proportional: true;
position: 100%,100%;
alignment: right bottom;
padding: 20;
}
2 — Сделал логотип с прозрачным фоном в формате png.
3 — Создал новый профиль для тонких клиентов, в профиль я импортировал логотип и файлы стиля, новые файлы сохранятся на тонком клиенте в каталоге etc/hptc-zero-login/styles/demo/. В ключе реестра root/zero-login/styledir/freerdp, необходимо указать каталог нового стиля.
После применения нового профиль получилось вот что. Контакты суппорта слева, логотип справа.
Если вы не желаете останавливаться на достигнутом, и хотите установит дополнительное ПО на тонкий клиент.
Используйте Х терминал и команду «sudo mount -o rw,remount /» чтобы перемонтировать файловую систему с правами на запись, затем используйте dpkg или apt-get для установки пакетов.
Для работы apt-get необходимо отредактировать файл /etc/apt/sources.list, по умолчанию репозитории пакетов закомментированы.
Файл sources.list приобретет следующий вид:
deb us.archive.ubuntu.com/ubuntu precise main restricted universe multiverse
deb us.archive.ubuntu.com/ubuntu precise-updates main restricted universe multiverse
deb ports.ubuntu.com/ubuntu-ports precise main restricted universe multiverse
deb ports.ubuntu.com/ubuntu-ports precise-updates main restricted universe multiverse
Чтобы настроить работу apt-get через прокси сервер, создайте файл /etc/apt/apt.conf с следующим содержимым:
Acquire::http::Proxy «http:// server-name-or-ip:port»;
Пример установки Midnight Commander:
sudo apt-get update
sudo apt-get install mc
Страница 18 (руководство 4.4) и страница 44 (руководство 5.2)
By default, smart cards will be redirected using high-level redirection, allowing them to be used to log in to the session and other remote applications.
This technology requires drivers for the smart card reader driver to be installed on the client. By default, the CCID and Gemalto drivers are installed, which adds support for the majority of smart card readers available. Additional drivers can be installed by adding them to /usr/lib/pkcs11/.
Обещали работу из коробки, но на практике нечего у меня не работало
Долго у меня не получалось настроить проброс токена «BIFIT iBank 2 Key», пока я не добавил аргумент /smartcard:»*» в ключ root/ConnectionType/freerdp/connections/{UUID}/ExtraArgs. Ключ приобрел следующий вид /sec:rdp /smartcard:»*».
Токен начал работать с банком №1, с банком №2 работать не захотел
Диагностика
За работу смарт карт отвечает служба pcscd, в состав SmartOS 4.4 и 5.2 включена версия 1.7.4.
Чтобы проверить работу токена необходимо:
1 — остановить службу /etc/init.d/pcscd stop
2 — запустите службу в режиме отладки pcscd -d -f
После подключения токена вы увидите процесс его загрузки.
По какой то причине, токен периодически не загружается, выявить закономерность у меня не получилось.
Установка драйверов
Токен для банка №2 и №3 не определяется в системе пока не установлены драйвера.
Драйвер необходимо скачать на сайте банка или портале iBank2.RU, на момент написания статьи для скачивания была доступна версия 1.08.
пример:
sudo mount -o rw,remount /
sudo apt-get remove pcscd
sudo apt-get update
sudo iBank2Key-Driver-Linux-x86-1.08.sh
Без предварительного удаления службы pcscd, токены не будут определяются. Также чтобы подстраховаться я удалял каталоги /usr/lib/pcsc/ и /usr/lib/pkcs11/.
В тонкие клиенты 5565/5570 установлен процессор VIA Nano u3500 (1 GHz), в t510 установлен процессор VIA Eden X2 U4200 (1 GHz, 2 cores).
Подключение к RDSH Windows Server 2008 R2
На сервере активен протокол RemoteFX, про RemoteFX я писал здесь.
Конфигурация RemoteFX:
Screen capture rate = Highest (best quality).
Screen Image Quality = Highest (best quality).
VIA Nano u3500 заметно уступает VIA Eden X2 U4200, это хорошо видно при работе в Autocad LT 2012.
Более подробно про Autocad LT 2012Autocad LT 2012 необходим для редактирования плоских фигур.
Некоторые пользователи работают на терминальном сервере ws2008R2 и используют RemoteApp Autocad LT 2012.
Autocad LT 2012 установлен на отдельный виртуальный сервер ws2012R2, в этом случаи можно запустить две копии приложения.
Чтобы создать нагрузку на сервер и клиент, я начинал рисовать круг и менял ему радиус по горизонтали несколько минут.
Чтобы снизить нагрузку с процессора сервера и клиента можно и нужно отключить RDP Compression.
В ключе root/ConnectionType/freerdp/connections/{UUID}/compression установите значение 0.
Отключение сжатия дает заметный эффект, но про снижение нагрузки на процессор сервера говорить рано.
Подключение к RDSH Windows Server 2012 R2
VIA Nano u3500 приятно удивил, в сравнении с подключением к ws2008R2, загрузка процессора тонкого клиента заметно ниже.
При работе в Autocad LT 2012 все плавно и быстро в отличии от ws2008R2.
t510 и более ранние модели HP больше не отгружает.
t520 J9A27EA HP ThinPro
320$ — Россия
346$ — Украина
362$ — Молдова
t520 G9F08AA Windows Embedded Standard 7
425$ — Россия
433$ — Украина
Это розничная цена за 1 шт, и цена не самая интересная.
Чтобы получить интересную цену от HP, нужен проект, мне озвучивали условие в 60 шт.
Если вы не тяните на проект или просто хотите сэкономить, можно рассмотреть вариант покупки БУ тонких клиентов t5570/t510, стоимость БУ t510 примерно 120$ за 1 шт.
Предприятие на котором я работаю больше половины тонких клиентов приобрело БУ. Комплект поставки минимальный, тонкий клиент и блок питания. Отдельно пришлось покупать адаптеры DVI-VGA. Один тонкий клиент ремонтировали по гарантии.
Спустя 2 года, тонкими клиентами HP я доволен, плюсов больше чем минусов.
Модельный ряд меняется медленно, не спеша в течении нескольких лет можно заменить проблемные ПК, и в итоге получится одинаковый парк устройств.
Огорчает ценовая политика, трудно объяснить руководству необходимость покупки тонких клиентов по цене, сопоставимой с ценой некоторых ноутбуков.
Настройка тонкого клиента rdp ТОНК с MS WinCE6
В MS Windows Server 2008 в Terminal Services изменился процесс аутентификации пользователей и устройств при подключении к RDP сессии – появился ряд нововведений. Одним из них является Network Layer Authentication, которое позволяет аутентифицировать клиента до установления полнофункциональной RDP сессии. Однако операционные системы семейства MS Windows Compact Embedded не поддерживают сценарий Network Layer Authentication с применением цифровых сертификатов, в связи с этим на терминальном сервере функцию Network Layer Authentication необходимо отключить.
Для того чтобы отключить NLA на сервере MS Windows Server 2008 Terminal Server необходимо:
1. Открыть консоль «Server Manager».
2. В консоли Service Manager в левой части экрана раскрыть дерево Roles->Remote Desktop Services->RD Session Host Configuration: <ComputerName>.
3. В консоли Service Manager в левой части экрана выбрать пункт RD Session Host Configuration: <Computer Name>, затем в рабочей средней части экрана нажатием правой кнопки мыши на пункте RDP-Tcp вызвать контекстное меню и из него выбрать пункт Properties.
4. В открывшемся окне RDP-Tcp Properties перейти на вкладку General.
5. На вкладке General снять отметку «Allow connections only from computers running Remote Desktop with Network Layer Authentication». При этом нужно убедиться, что пункт Security Layer установлен в Negotiate.
6. Нажать Ok. Настройка сервера завершена.
Как правильно настроить аутентификацию на MS Windows Server 2008 Terminal
Server с тонкого клиента, работающего под управлением MS Windows CE6:
1. Запустить Connection Manager, для этого выбрать Start->Settings->Connection Manager.
2. В открывшемся окне нажать кнопку Add.
3. Далее в выпадающем списке выбрать Microsoft RDP Client и нажать Ok.
4. Указать имя соединения и имя или IP адрес терминального сервера и нажать Next.
5. Выбрать пункт Desktop, нажать Next.
6. Нажать Finish.
7. В окне Connection Manager и на рабочем столе появилось созданное подключение.
8. Подключить ключ eToken Pro Java с сертификатом пользователя к тонкому клиенту. Подключать eToken к тонкому клиенту необходимо до установления терминальной сессии.
9. Выбрать это подключение и нажать кнопку Connect.
10. Ввести имя пользователя в поле User Name, поле пароль оставить пустым. Так же необходимо включить отметку «Remember my password». Нажать OK.
11. Подключившись к терминальной сессии, Вы увидите вариант аутентификации по смарт-карте. Необходимо выбрать данный способ аутентификации.
12. Введите пин-код смарт-карты и нажмите Enter.
13. Осуществляется вход в терминальную сессию.
В дальнейшем, подключение к терминальному серверу с использованием аппаратных средств аутентификации возможно как с использованием ярлыка рабочего стола, так и менеджера терминальных соединений.
Автор настоящей инструкции настройки тонкого клиента:
Роман Совалов,
менеджер по работе с партнерами Aladdin Software Security R.D.
E-mail: [email protected]
Тел. +7(495)223-0001
Каким образом организовать работу пользователей в связке WS2012r2 + zero-клиенты?
Что было прежде:
Два сервера ws2k3 с поднятыми службами терминалов, ~60 бездисковых ноу-нейм тонких клиентов под управлением thinstation 2.1. В зависимости от vlan’а, в котором обитает тонкий клиент, dhcp раздавал разный конфиг thinstation (в зависимости от vlan’а пользователь логинился либо на первый, либо на второй сервер, которые отличались заведенными пользователями, правами доступа и приложениями). AD в офисе тогда еще не было.
Что сейчас:
AD заведено. Старые железки померли. Привезли одну новую, потенциально справляющуюся со всем зоопарком приложений и пользователей. WS2k3 ставиться на нее отказался, зато поставился WS2012r2. С целым зоопарком нововведений в службах удаленных рабочих столов разобраться мне так и не удалось.
Что хочется:
1) Обойтись без закупки новых тонких клиентов и/или ПО. Лицензия на WS2012r2 + CAL + MS Office уже влетает в слишком большие деньги.
2) Иметь возможность настроить со стороны сервера два раздельных «пула» с настройками, ярлыками, закладками браузера и прочим. Грубо говоря, чтобы юзер Вася из отдела продаж не мог видеть файлов или пользоваться специфическим софтом юзера Пети из отдела рекламы. В идеале — чтобы для конечного пользователя вообще казалось, что они на разных компьютерах.
3) Сохранить возможность загрузки ТК по сети и обеспечить максимальную прозрачность всего процесса. Ранее это выглядело так: пользователь нажимает кнопку включения на тонком клиенте, наблюдает черные буковки на экране во время загрузки, [после установки соединения rdp] вбивает данные своей учетки и работает (или наблюдает ошибку доступа, если, например, пытается залогиниться с тонкого клиента не своего отдела).
4) Иметь возможность пробрасывать в свой удаленный рабочий стол usb-флешки.
Решения навскидку:
1. «Классический» терминальный сервер. Thinstation или аналог грузится по сети на терминальный сервер. На терминальном сервере стоит абсолютно все ПО и лежат абсолютно все файлы обоих «пулов». Групповыми политиками спускаются настройки, ярлыки, закладки браузера И настраиваются access-листы для закрытия доступа к файлам «чужого» отдела.
Проблема: да я понятия не имею, как поднять этот классический терминальный сервер. Session-based RDS тянет с собой еще кучу непонятных сервисов типа session broker host, rds getaway и веб-интерфейс, на котором через файлик, по задумке Microsoft, должны коннектиться терминальные пользователи. Проблема в том, что тонкий клиент не умеет делать такое, а при попытке соединения с сервером напрямую (по ip или хостнейму, например) пользователь получает ошибку типа «необходимо быть в группе пользователей удаленного рабочего стола». Вариант вроде загрузки супер-легкого linux’а со старт-ап скриптом, открывающим браузер на нужной страничке на весь экран для конечного пользователя слишком сложен: а) ввести логин/пароль, б) тыкнуть в определенный ярлык на страничке, в) дождаться соединения и снова ввести логин/пароль — сразу начнутся крики «верните как было». Плюс я не могу ручаться, что линукс нормально откроет этот rdp-файл (а не скачает его, например, как это делает тот же chrome под windows, или не выдаст ошибку). Где-то видел возможность прямого перенаправления соединения с session broker host до терминального сервера (то есть то же самое, что делает этот файлик, по сути), но это требует изменения реестра, а на терминальном сервере его менять что-то не хочется.
2. VDI. Вот здесь с серверной стороны все просто и понятно: создается два пула виртуальных машин, каждый из которых использует свой собственный пред-настроенный образ ОС со своим специфическим софтом и прочими прелестями.
Проблема: насколько я понял, пробросить usb в виртуальную машину невозможно без дополнительных телодвижений вроде usb-over-ip. Изменение реестра на session broker host, как указано в прошлом пункте, убьет возможность создания двух разных типов виртуальных машин, т.к. session broker host будет без вопросов редиректить все соединения на какую-то одну коллекцию виртуалок. То есть все плюсы решения убиваются.
Подводных камней может быть и больше, и меньше — я очень плохо разбираюсь во всех нововведениях по части терминальных сервисов. Буду очень признателен, если кто-нибудь подскажет мне, как лучше всего организовать подобную инфраструктуру. Ну или хотя бы подтолкнуть в нужном направлении, а то от обилия различных программных решений в сфере терминальных/виртуальных рабочих столов глаза разбегаются.
Тонкий клиент Win2008 R2 (AD+TFTP)+thinkstation+Win2008 R2 (RDP) / Хабр
Тема конечно заезженная и можно кучу статей найти на эту тему, НО все они устарели. Нет конечно не совсем, на 99% все по прежнему — и установка и настройка оси, настройка сервера RDP, настройка TFTP и PXE, настройка thinkstation и прочее, прочее, прочее…. Эта статья наверное будет самой дерьмовой короткой среди них.
И так, что я имел на начало:
1. Сервер win2008 R2 на нем стоит AD, DHCP
2. 24 старых компа (на самом деле всего компов 150, из них я бы перевел в терминал 50 как минимум, ну а 24 — это просто тестовые)
3. Новый сервер без оси (Xeon E31225, 16ГБ RAM, RAID 10 4x3TB)
Задачи
1.сократить расходы на ежегодную покупку лицензий для этих старых ПК (Лицензии академические хоть и не дорогие 410-460р, но терминальные решения дешевле 300-310р)
2. Сократить расходы ежегодные на постоянную модернизацию компов
3. Упростить себе задачу администрирования
Не долго думая, я сказал себе, как оказалось в слух,
Окей, гугл! как же мне настроить тонкие клиенты на винде 2008?
Гугл отреагировал оперативно, и после не долгих поисков и фильтрации информации я нашел, все те статьи, на которые сослался выше. Я пользователь законопослушный, имею лицензию и на серверную часть и CAL лицензию, все сделал по правилам. Проверил подключение — все супер, загрузка на ПК Celeron-D, 512RAM DDR2 занимает 1 минуту с момента нажатия на кнопку power. Радости было полные штаны куча. Первое что проверил — работу групповых политик с AD на пользователях подключающихся через тонкого клиента — Все работало: настройка прокси, подключение сетевых дисков, ограничение доступа по группам и т.д.
Второе, что я решил сделать — естественно наставить минимум софта для пользователей терминала:
Firefox (можно и Opera но только не Chrome — сжирает как память так и процессор)
7zip
DoPDF
Kaspersky
Office 2016
Ставил именно в таком порядке. После установки все пожирающего зла Антивируса Касперского стал регулярно отваливаться сервер терминалов, — пришлось установить бесплатное решение от Avast. Далее установка шла без проблем.
После удовлетворения пришедшего в результате любования своим творением и скоростью работы и загрузки клиентов, я решил нарушить первое правило администрирования
Работает — не трогай! ни за какие коврижки!!! потом очень пожалеешь!!!
— установить все обновления какие только есть для 2008 R2 (б*я, я потом 2 дня му****лся пытаясь найти причину глюка!!!). Обновы ставились медленно, но верно к концу рабочего дня были все установлены и я радостный пошел домой.
Утром (ну как утром, 10:30) придя на работу, я решил по настраивать профили пользователей, чтоб они хранились не в папке c:\Users а например на сетевом диске, при этом были не перемещаемые (ну на сетевом напрямую так и не вышло), но остановился пока просто на хранении на отдельном диске (позднее планирую перенести на iSCSI, но это отдельная история рассказанная до меня) изменением параметра
ProfilesDirectory
в реестре в ветке
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList
Довольный собой как удав, я думал что работа завершена… и каково же было мое удивление, когда я заметил, что у пользователей входивших впервые в терминальную сессию не монтировались сетевые диски… стал грешить на rdesktop и его настройки… вовремя остановился и не убил свои настроенные конфиги по группам… решил проверить, работают ли AD политики на обычных компах — к моему облегчению на всех версиях оси от XP до 10 все работало… остается… сервер RDP… но что же в нем было изменено… многое… но я пошел от логичного microsoft… точнее его любви все совершенствовать и переставать поддерживать прошлые версии или просто добавлять кучу глюков…
Методом проб и ошибок проверки работоспособности политик после каждого обновления на чистой серверной винде, выяснил, что Win2008 R2 SP1 не принимает политики от другого сервера AD Win2008R2 SP1… причина — не понятно, принудительное обновление политик
gpupdate /force
не помогают… перерегистрация в домене тоже… в итоге пришлось переустанавливать сервер RDP и запретить обновления…
З.Ы. Спасибо тем кто дочитал эту нудятину статью до конца, но думаю кому — нибудь она будет полезна, хотя бы концентрацией полезных ссылок по этой теме
З.Ы. З.Ы. Так вот почему же устарели? да потому что все они написаны до 2014г. и там нет ни слова о возможных проблемах с GPO после обновлений!
З.Ы.З.Ы.З.Ы. в итоге экономия на лицензиях ПО составляет (с 23ПК) 7500р/год (для бюджетного учреждения это не мало!). Экономия на закупках ПК (планируемая) 50 000 р/год, учитывая что общегодовой бюджет 200 000, экономия более 1/4 это существенно
Лучший тонкий клиент 2020 года: компьютеры малого форм-фактора для облачных вычислений и др.
Тонкие клиенты? В 2020? Мы почти слышим, как вы задаете вопрос — разве они не вымерли много лет назад? Что ж, не совсем так — тонкие клиенты по-прежнему проще в развертывании, управлении и обслуживании, чем их аналоги на полнофункциональных ПК.
Вы можете не только обновлять и поддерживать все тонкие клиенты в вашей сети с центрального сервера, но также можете отправлять обновления приложений и управлять антивирусами, не прибегая к физическому обслуживанию компьютеров ваших сотрудников.
Тонкие клиенты немного интереснее, чем они были 10 лет назад, сегодня они представлены в нескольких формах и размерах — от уникальных треугольных корпусов до мини-джойстиков HDMI, которые подключаются к телевизорам или мониторам.
Конечно, вы можете искать традиционный простой черный ящик, и мы также перечислили множество из них в нашем списке лучших тонких клиентов 2020 года.
- Хотите, чтобы ваша компания или услуги были добавлены в этот список. руководство покупателя? Пожалуйста, отправьте свой запрос по электронной почте [email protected] с URL-адресом руководства по покупке и темой.
(Изображение предоставлено в будущем)
1 Тонкий клиент Beelink L55, мини-ПК
На бумаге это лучший мини-ПК на сегодняшний день
ЦП: Intel Core i3-5005, 2C / 4T, 2 ГГц, 3 МБ | Графика: Intel HD Graphics 5000 | RAM: 8 ГБ DDR3 | Хранение: 256 ГБ | Порты: 3x USB3.0, 1x USB-C, 1x HDMI, аудиоразъем, RJ-45 Gigabit Ethernet | Возможности подключения: 802.11 a / b / g / n / ac, двухдиапазонный Wi-Fi 2,4 ГГц / 5 ГГц, двойная беспроводная антенна, Bluetooth 4.0
ЦП с возможностью подключения
DisplayPort plus HDMI
Порты LAN с двумя гигабитами
Нет кард-ридера
USB 2.0
Если вам нужна комбинация «тонкий клиент / мини-ПК», то у L55 от китайского поставщика Beelink, который запускает версию Windows 10 без вредоносного ПО, есть несколько хитростей в рукаве. Еще до того, как вынуть его из коробки, его спецификация отлично подходит для чтения — Core i3 PCU и 512 ГБ включены в пакет менее 300 долларов.Он сияет в отделе подключения, с парой видеопортов с поддержкой 4K в сочетании с двумя портами LAN и большим объемом системной памяти и хранилища, чем вы можете встряхнуть USB-накопитель. Кстати, устаревшие порты USB 2.0 — одно из немногих неудобств.
Прочтите полный обзор: Мини-ПК с тонким клиентом Beelink L55
(Изображение предоставлено Intel)
2. Intel Ghost Canyon NUC
ЦП: Intel Core i5 9-го поколения — i9 | Графика: Intel UHD Graphics 630 | RAM: 8 ГБ — 64 ГБ DDR4 | Хранилище: 128 ГБ SSD — 2 ТБ + 2 ТБ
Доступно для небольших конфигураций
Возможность обновления
Отличная производительность
Может быть довольно дорогим в самых высоких конфигурациях
Intel NUC прошла долгий путь от своего скромного начала.Например, в то время как предыдущий Hades Canyon не имел оперативной памяти или хранилища, в новом Ghost Canyon есть и то, и другое. Фактически, теперь он не только предлагает больше предложений с точки зрения технических характеристик, но и имеет широкие возможности настройки, так что вы можете настроить его по своему вкусу, прежде чем нажимать кнопку покупки. Благодаря чипам Intel Core 9-го поколения, до 64 ГБ памяти и до 4 ТБ двойной памяти, мы все за это. Единственная загвоздка в том, что теперь это тоже дороже. Более низкие конфигурации по-прежнему вполне доступны и являются отличным вариантом для экономных.Однако вы можете держаться подальше от самых высоких конфигураций.
(Изображение предоставлено: Future)
3. Настольный мини-ПК Acute Angle AA B4
Уникальный треугольный дизайн
ЦП: Intel Celeron N3450 / 4C / 4T, 2 МБ, 1,1 ГГц | Графика: Графика: Intel HD Graphics 500 | Хранение: 64 ГБ + 128 ГБ SSD | Порты: 3x USB3.0, 1x HDMI, аудиоразъем, RJ-45 Gigabit Ethernet | Возможности подключения: Intel Wireless-AC 3165, Bluetooth 4.0
Отличное соотношение цены и качества
Уникальный дизайн и отделка
Нет частей, доступных пользователю
Нет кард-ридера
Единственное, что интереснее названия этого мини-ПК, — это его дизайн, который больше похож на то, что вы можете найти в художественной галерее, чем в серверной. Несмотря на великолепный дизайн и качественную отделку, Acute Angle AA B4 на самом деле имеет довольно хорошее соотношение цены и качества на задней стороне, на бумаге, относительно скромных характеристик внутри. Мы просто хотим, чтобы SSD внутри использовался для установки операционной системы Windows 10, поскольку это сделало бы его настоящей кражей.
Прочтите полный обзор: Настольный мини-ПК Acute Angle AA B4
(Изображение предоставлено: Будущее)
4. ПК с тонким клиентом Minix NEO J50C
Может управлять парой мониторов 4K через USB Type-C
CPU: Intel Pentium Silver J5005 | Графика: Intel UHD Graphics 605 | RAM: 4 ГБ DDR4 | Накопитель: Samsung BHTD4R 32 ГБ 128 ГБ Minix | Порты: 3x USB 3.0, 1x USB-C, 1 x HDMI, аудиоразъем, RJ-45 Gigabit Ethernet | Возможности подключения: 802.11ac, двухдиапазонный Wi-Fi, Bluetooth 4.1
Хорошо продуманный
Работает на USB-C
Дорого за то, что предлагает
Нет кард-ридера
Хорошо сбалансированная рабочая станция с продуманным дизайном, портативный Minix NEO выделяется из толпы своей способностью управлять парой мониторов 4K — благо для поклонников производительности, у которых есть установки с несколькими мониторами в разных местах. Он также может питаться от соединения USB Type-C, что означает, что вы можете реально подключить его с помощью зарядного устройства или смартфона в дороге, что будет удобно для использования на торговых выставках или конференциях.Он поставляется с установленной Windows 10, которая, к счастью, не слишком сильно замедляется из-за установленного хранилища eMMC. Мы надеемся на обновление SSD в будущем.
Прочтите полный обзор: ПК с тонким клиентом Minix NEO J50C
(Изображение предоставлено: Будущее)
5. Mii Mini PC
Mini Mii, который не разбивает банк
CPU: Intel Celeron Четырехъядерный процессор J4205 с тактовой частотой до 2,6 ГГц | Графика: Intel UHD Graphics 505 | RAM: 8 ГБ LPDDR4 | Хранение: 128 ГБ SSD | Порты: 4 порта USB 3.0, 2 x HDMI, аудиоразъем, Gigabit LAN, слот для SD-карты | Возможности подключения: 802.11ac Wi-Fi, Bluetooth 4.2
Доступный
SSD вместо eMMC
Отличные возможности подключения
Не могу открыть корпус
Mii Mini PC — тонкий клиент, который выглядит как типичный Android или Windows TV Box, но он предлагает гораздо больше под капотом. Он поставляется с Windows 10, установленной на его SSD-накопителе, что сразу делает его более быстрым, чем конкурирующие устройства в этой категории, которые вместо этого полагаются на хранилище eMMC.Это нашло отражение в наших тестах, где Mii Mini показал скорость чтения и записи SSD, которая почти достигла теоретических ограничений передачи SATA — впечатляющие скорости записи 515 Мбит / с и 530 Мбит / с.
Прочтите полный обзор: Mii Mini PC
(Изображение предоставлено: Будущее)
6. Тонкий клиент AcePC AK7
Доступный тонкий клиент подходит для установки с двумя экранами
CPU: Intel Celeron J3455 четырехъядерный 2.3 ГГц | Графика: Intel HD Graphics 500 | Накопитель: 64 ГБ eMMC Samsung CJNB4R | Порты: 2 x USB 3.0, 2 x USB 2.0, 2 x HDMI, аудиоразъем, Gb Ethernet, картридер TF | Возможности подключения: 802.11ac Wi-Fi, Bluetooth 4.2
Отличное соотношение цены и качества
Два порта HDMI
Шумный при работе
По-прежнему использует USB 2.0
Если не обращать внимания на жужжащий звук, исходящий от внутреннего вентилятора, это доступный тонкий клиент — лучший выбор для поклонников установки с несколькими мониторами. Его порты включают два интерфейса HDMI, расположенные на задней панели, для подключения нескольких мониторов.Внутри находится интегрированный графический процессор Intel HD Graphics 500, который, по крайней мере, сможет управлять одним монитором 4K и другим с более низким разрешением. AK7 поставляется без лишнего программного обеспечения, что всегда является бонусом, и достаточно опасен, чтобы его можно было поднять и бросить в сумку или незаметно поставить в углу офиса.
Прочтите полный обзор: ПК с тонким клиентом AcePC AK7
(Изображение предоставлено: Будущее)
7. ПК с тонким клиентом CHUWI GBox Pro
Привлекательный безвентиляторный дизайн
ЦП: Atom X7- E39504C / 4T, 2M, 2 ГГц | Графика: Intel HD Graphics 505 | Накопитель: 64 ГБ eMMC Sandisk DF4064 | Порты: 2x USB2.0, 2x USB3.0, 1x USB-C, 1x HDMI, аудиоразъем, RJ-45 Gigabit Ethernet | Возможности подключения: Intel 3165, 802.11 a / b / g / n / ac, двухдиапазонный Wi-Fi 2,4 ГГц / 5 ГГц, Bluetooth 4.0
Современный дизайн
Можно добавить еще один жесткий диск
Дорого по сравнению с тем, что он предлагает
Плохой процессор производительность
CHUWI Gbox Pro сталкивается с рядом серьезных конкурентов в своем списке, поэтому вам следует проверять его, только если вы не видели ничего, что привлекло ваше внимание.У него, пожалуй, один из самых привлекательных дизайнов среди всех тонких клиентских ПК, он работает бесшумно и не содержит дополнительных программ. Нам также понравился его старый порт VGA. Но всему этому мешает низкая производительность процессора Atom, чему не способствует 64-гигабайтное встроенное хранилище eMMC, которое страдает от некачественной скорости чтения и записи.
Прочтите полный обзор: CHUWI Gbox Pro
(Изображение предоставлено: Будущее)
8. Azulle Access3 Mini PC
Учитывайте, только если необходим форм-фактор
CPU: Intel Celeron J4105 quad- ядро 2.6 ГГц | Графика: Intel UHD Graphics 600 | RAM: 4 ГБ LPDDR4 | Порты: 2 x USB 3.0, microUSB, аудиоразъем, Gigabit LAN, microSD | Возможности подключения: 802.11ac Wi-Fi, Bluetooth 4.2
Относительно дешево
Удивительно мощный процессор
Неверный форм-фактор
32 ГБ памяти слишком мало
Помните HDMI-джойстики? Да, они все еще существуют. К сожалению, мини-ПК Azulle Access3 оставляет желать лучшего, но это вполне осуществимый вариант, если вам абсолютно необходимо выбрать этот формат.Он работает бесшумно благодаря отсутствию вентилятора внутри, а устройство достаточно компактно, чтобы положить его в карман, чтобы взять с собой в дорогу, и оно прочно выдерживает удары и царапины. Итак, что дает? К сожалению, производительность процессора и хранилища очень низка, и нам не нравится, как флешка болтается в воздухе из-за отсутствия крепления VESA. Кроме того, его короткий кабель питания делает поездку очень утомительной.
Прочтите полный обзор: Azulle Access3 Mini PC
(Изображение предоставлено Dell)
9.WYSE 3000 3040 Тонкий клиент
Самый маленький и легкий тонкий клиент Dell
ЦП: Intel Atom X5-Z8350-2 1,44 ГГц | Графика: Встроенная | RAM: 2 ГБ LPDDR4 | Хранение: флэш-память 8 ГБ | Порты: 3 порта USB 2.0, 1 порт USB 3.0, 1 комбинированный аудиоразъем для микрофона, 2 порта DisplayPort, 1 разъем RJ45 | Возможности подключения: 10 Мбит / 100 Мбит / 1 Гбит медный RJ45 (проводной Ethernet)
Отличные возможности подключения
Поддерживает два монитора
Надежные функции безопасности
Скромный процессор
Это самый маленький клиент Dell начального уровня, несмотря на его компактный дизайн поставляется с множеством вариантов подключения.Вы можете подключить два монитора, что делает его идеальным для определенных сценариев, когда вам нужно много места на экране, не требуя больших вычислительных мощностей. Он поставляется с установленной ThinOS, которая является ОС, заботящейся о безопасности, и внутри нее много вычислительных ресурсов для выполнения в широком диапазоне сценариев использования.
(Изображение предоставлено HIRUNS)
10. Мини-ПК T5 Intel Z8350 Компьютерная флешка с Windows 10 Pro
ПК на флешке, которая может отображать контент 4K
CPU: Intel Z8350 1.От 44 ГГц до 1,92 ГГц | Графика: Intel HD Graphics | ОЗУ : ОЗУ 4 ГБ DDR3 | Хранение: 64 ГБ eMMC | Порты: 2 x USB 2.0 и 3.0 | Возможности подключения: Встроенный 2.4G / 5G AC WiFi и Bluetooth 4.2
Поддержка видео 4K
5GHz AC Wi-Fi Поддержка
Коренастый дизайн
4K иногда заикается
Второй компьютер в HDMI-накопителе в нашем списке, мы поддерживаем наш вышеупомянутый комментарий о том, что форм-фактор в лучшем случае может раздражать.Тем не менее, если посмотреть дальше, то, по крайней мере, видно, что хорошие вещи могут быть в небольших упаковках. Встроенная встроенная графика позволяет отображать видео 4K, что делает мини-ПК T5 интересным вариантом для потоковой передачи (или показа предварительно установленного) контента на мониторе или телевизоре, что может пригодиться на торговой выставке. Он также обеспечивает широкие возможности подключения, со встроенным Wi-Fi на 2,4 и 5 ГГц переменного тока для потоковой передачи контента поблизости.
.
Лучший тонкий клиент 2020 года: компьютеры малого форм-фактора для облачных вычислений и др.
Тонкие клиенты? В 2020? Мы почти слышим, как вы задаете вопрос — разве они не вымерли много лет назад? Что ж, не совсем так — тонкие клиенты по-прежнему проще в развертывании, управлении и обслуживании, чем их аналоги на полнофункциональных ПК.
Вы можете не только обновлять и поддерживать все тонкие клиенты в вашей сети с центрального сервера, но также можете отправлять обновления приложений и управлять антивирусами, не прибегая к физическому обслуживанию компьютеров ваших сотрудников.
Тонкие клиенты немного интереснее, чем они были 10 лет назад, сегодня они представлены в нескольких формах и размерах — от уникальных треугольных корпусов до мини-джойстиков HDMI, которые подключаются к телевизорам или мониторам.
Конечно, вы можете искать традиционный простой черный ящик, и мы также перечислили множество из них в нашем списке лучших тонких клиентов 2020 года.
- Хотите, чтобы ваша компания или услуги были добавлены в этот список. руководство покупателя? Пожалуйста, отправьте свой запрос по электронной почте [email protected] с URL-адресом руководства по покупке и темой.
(Изображение предоставлено в будущем)
1 Тонкий клиент Beelink L55, мини-ПК
На бумаге это лучший мини-ПК на сегодняшний день
ЦП: Intel Core i3-5005, 2C / 4T, 2 ГГц, 3 МБ | Графика: Intel HD Graphics 5000 | RAM: 8 ГБ DDR3 | Хранение: 256 ГБ | Порты: 3x USB3.0, 1x USB-C, 1x HDMI, аудиоразъем, RJ-45 Gigabit Ethernet | Возможности подключения: 802.11 a / b / g / n / ac, двухдиапазонный Wi-Fi 2,4 ГГц / 5 ГГц, двойная беспроводная антенна, Bluetooth 4.0
ЦП с возможностью подключения
DisplayPort plus HDMI
Порты LAN с двумя гигабитами
Нет кард-ридера
USB 2.0
Если вам нужна комбинация «тонкий клиент / мини-ПК», то у L55 от китайского поставщика Beelink, который запускает версию Windows 10 без вредоносного ПО, есть несколько хитростей в рукаве. Еще до того, как вынуть его из коробки, его спецификация отлично подходит для чтения — Core i3 PCU и 512 ГБ включены в пакет менее 300 долларов.Он сияет в отделе подключения, с парой видеопортов с поддержкой 4K в сочетании с двумя портами LAN и большим объемом системной памяти и хранилища, чем вы можете встряхнуть USB-накопитель. Кстати, устаревшие порты USB 2.0 — одно из немногих неудобств.
Прочтите полный обзор: Мини-ПК с тонким клиентом Beelink L55
(Изображение предоставлено Intel)
2. Intel Ghost Canyon NUC
ЦП: Intel Core i5 9-го поколения — i9 | Графика: Intel UHD Graphics 630 | RAM: 8 ГБ — 64 ГБ DDR4 | Хранилище: 128 ГБ SSD — 2 ТБ + 2 ТБ
Доступно для небольших конфигураций
Возможность обновления
Отличная производительность
Может быть довольно дорогим в самых высоких конфигурациях
Intel NUC прошла долгий путь от своего скромного начала.Например, в то время как предыдущий Hades Canyon не имел оперативной памяти или хранилища, в новом Ghost Canyon есть и то, и другое. Фактически, теперь он не только предлагает больше предложений с точки зрения технических характеристик, но и имеет широкие возможности настройки, так что вы можете настроить его по своему вкусу, прежде чем нажимать кнопку покупки. Благодаря чипам Intel Core 9-го поколения, до 64 ГБ памяти и до 4 ТБ двойной памяти, мы все за это. Единственная загвоздка в том, что теперь это тоже дороже. Более низкие конфигурации по-прежнему вполне доступны и являются отличным вариантом для экономных.Однако вы можете держаться подальше от самых высоких конфигураций.
(Изображение предоставлено: Future)
3. Настольный мини-ПК Acute Angle AA B4
Уникальный треугольный дизайн
ЦП: Intel Celeron N3450 / 4C / 4T, 2 МБ, 1,1 ГГц | Графика: Графика: Intel HD Graphics 500 | Хранение: 64 ГБ + 128 ГБ SSD | Порты: 3x USB3.0, 1x HDMI, аудиоразъем, RJ-45 Gigabit Ethernet | Возможности подключения: Intel Wireless-AC 3165, Bluetooth 4.0
Отличное соотношение цены и качества
Уникальный дизайн и отделка
Нет частей, доступных пользователю
Нет кард-ридера
Единственное, что интереснее названия этого мини-ПК, — это его дизайн, который больше похож на то, что вы можете найти в художественной галерее, чем в серверной. Несмотря на великолепный дизайн и качественную отделку, Acute Angle AA B4 на самом деле имеет довольно хорошее соотношение цены и качества на задней стороне, на бумаге, относительно скромных характеристик внутри. Мы просто хотим, чтобы SSD внутри использовался для установки операционной системы Windows 10, поскольку это сделало бы его настоящей кражей.
Прочтите полный обзор: Настольный мини-ПК Acute Angle AA B4
(Изображение предоставлено: Будущее)
4. ПК с тонким клиентом Minix NEO J50C
Может управлять парой мониторов 4K через USB Type-C
CPU: Intel Pentium Silver J5005 | Графика: Intel UHD Graphics 605 | RAM: 4 ГБ DDR4 | Накопитель: Samsung BHTD4R 32 ГБ 128 ГБ Minix | Порты: 3x USB 3.0, 1x USB-C, 1 x HDMI, аудиоразъем, RJ-45 Gigabit Ethernet | Возможности подключения: 802.11ac, двухдиапазонный Wi-Fi, Bluetooth 4.1
Хорошо продуманный
Работает на USB-C
Дорого за то, что предлагает
Нет кард-ридера
Хорошо сбалансированная рабочая станция с продуманным дизайном, портативный Minix NEO выделяется из толпы своей способностью управлять парой мониторов 4K — благо для поклонников производительности, у которых есть установки с несколькими мониторами в разных местах. Он также может питаться от соединения USB Type-C, что означает, что вы можете реально подключить его с помощью зарядного устройства или смартфона в дороге, что будет удобно для использования на торговых выставках или конференциях.Он поставляется с установленной Windows 10, которая, к счастью, не слишком сильно замедляется из-за установленного хранилища eMMC. Мы надеемся на обновление SSD в будущем.
Прочтите полный обзор: ПК с тонким клиентом Minix NEO J50C
(Изображение предоставлено: Будущее)
5. Mii Mini PC
Mini Mii, который не разбивает банк
CPU: Intel Celeron Четырехъядерный процессор J4205 с тактовой частотой до 2,6 ГГц | Графика: Intel UHD Graphics 505 | RAM: 8 ГБ LPDDR4 | Хранение: 128 ГБ SSD | Порты: 4 порта USB 3.0, 2 x HDMI, аудиоразъем, Gigabit LAN, слот для SD-карты | Возможности подключения: 802.11ac Wi-Fi, Bluetooth 4.2
Доступный
SSD вместо eMMC
Отличные возможности подключения
Не могу открыть корпус
Mii Mini PC — тонкий клиент, который выглядит как типичный Android или Windows TV Box, но он предлагает гораздо больше под капотом. Он поставляется с Windows 10, установленной на его SSD-накопителе, что сразу делает его более быстрым, чем конкурирующие устройства в этой категории, которые вместо этого полагаются на хранилище eMMC.Это нашло отражение в наших тестах, где Mii Mini показал скорость чтения и записи SSD, которая почти достигла теоретических ограничений передачи SATA — впечатляющие скорости записи 515 Мбит / с и 530 Мбит / с.
Прочтите полный обзор: Mii Mini PC
(Изображение предоставлено: Будущее)
6. Тонкий клиент AcePC AK7
Доступный тонкий клиент подходит для установки с двумя экранами
CPU: Intel Celeron J3455 четырехъядерный 2.3 ГГц | Графика: Intel HD Graphics 500 | Накопитель: 64 ГБ eMMC Samsung CJNB4R | Порты: 2 x USB 3.0, 2 x USB 2.0, 2 x HDMI, аудиоразъем, Gb Ethernet, картридер TF | Возможности подключения: 802.11ac Wi-Fi, Bluetooth 4.2
Отличное соотношение цены и качества
Два порта HDMI
Шумный при работе
По-прежнему использует USB 2.0
Если не обращать внимания на жужжащий звук, исходящий от внутреннего вентилятора, это доступный тонкий клиент — лучший выбор для поклонников установки с несколькими мониторами. Его порты включают два интерфейса HDMI, расположенные на задней панели, для подключения нескольких мониторов.Внутри находится интегрированный графический процессор Intel HD Graphics 500, который, по крайней мере, сможет управлять одним монитором 4K и другим с более низким разрешением. AK7 поставляется без лишнего программного обеспечения, что всегда является бонусом, и достаточно опасен, чтобы его можно было поднять и бросить в сумку или незаметно поставить в углу офиса.
Прочтите полный обзор: ПК с тонким клиентом AcePC AK7
(Изображение предоставлено: Будущее)
7. ПК с тонким клиентом CHUWI GBox Pro
Привлекательный безвентиляторный дизайн
ЦП: Atom X7- E39504C / 4T, 2M, 2 ГГц | Графика: Intel HD Graphics 505 | Накопитель: 64 ГБ eMMC Sandisk DF4064 | Порты: 2x USB2.0, 2x USB3.0, 1x USB-C, 1x HDMI, аудиоразъем, RJ-45 Gigabit Ethernet | Возможности подключения: Intel 3165, 802.11 a / b / g / n / ac, двухдиапазонный Wi-Fi 2,4 ГГц / 5 ГГц, Bluetooth 4.0
Современный дизайн
Можно добавить еще один жесткий диск
Дорого по сравнению с тем, что он предлагает
Плохой процессор производительность
CHUWI Gbox Pro сталкивается с рядом серьезных конкурентов в своем списке, поэтому вам следует проверять его, только если вы не видели ничего, что привлекло ваше внимание.У него, пожалуй, один из самых привлекательных дизайнов среди всех тонких клиентских ПК, он работает бесшумно и не содержит дополнительных программ. Нам также понравился его старый порт VGA. Но всему этому мешает низкая производительность процессора Atom, чему не способствует 64-гигабайтное встроенное хранилище eMMC, которое страдает от некачественной скорости чтения и записи.
Прочтите полный обзор: CHUWI Gbox Pro
(Изображение предоставлено: Будущее)
8. Azulle Access3 Mini PC
Учитывайте, только если необходим форм-фактор
CPU: Intel Celeron J4105 quad- ядро 2.6 ГГц | Графика: Intel UHD Graphics 600 | RAM: 4 ГБ LPDDR4 | Порты: 2 x USB 3.0, microUSB, аудиоразъем, Gigabit LAN, microSD | Возможности подключения: 802.11ac Wi-Fi, Bluetooth 4.2
Относительно дешево
Удивительно мощный процессор
Неверный форм-фактор
32 ГБ памяти слишком мало
Помните HDMI-джойстики? Да, они все еще существуют. К сожалению, мини-ПК Azulle Access3 оставляет желать лучшего, но это вполне осуществимый вариант, если вам абсолютно необходимо выбрать этот формат.Он работает бесшумно благодаря отсутствию вентилятора внутри, а устройство достаточно компактно, чтобы положить его в карман, чтобы взять с собой в дорогу, и оно прочно выдерживает удары и царапины. Итак, что дает? К сожалению, производительность процессора и хранилища очень низка, и нам не нравится, как флешка болтается в воздухе из-за отсутствия крепления VESA. Кроме того, его короткий кабель питания делает поездку очень утомительной.
Прочтите полный обзор: Azulle Access3 Mini PC
(Изображение предоставлено Dell)
9.WYSE 3000 3040 Тонкий клиент
Самый маленький и легкий тонкий клиент Dell
ЦП: Intel Atom X5-Z8350-2 1,44 ГГц | Графика: Встроенная | RAM: 2 ГБ LPDDR4 | Хранение: флэш-память 8 ГБ | Порты: 3 порта USB 2.0, 1 порт USB 3.0, 1 комбинированный аудиоразъем для микрофона, 2 порта DisplayPort, 1 разъем RJ45 | Возможности подключения: 10 Мбит / 100 Мбит / 1 Гбит медный RJ45 (проводной Ethernet)
Отличные возможности подключения
Поддерживает два монитора
Надежные функции безопасности
Скромный процессор
Это самый маленький клиент Dell начального уровня, несмотря на его компактный дизайн поставляется с множеством вариантов подключения.Вы можете подключить два монитора, что делает его идеальным для определенных сценариев, когда вам нужно много места на экране, не требуя больших вычислительных мощностей. Он поставляется с установленной ThinOS, которая является ОС, заботящейся о безопасности, и внутри нее много вычислительных ресурсов для выполнения в широком диапазоне сценариев использования.
(Изображение предоставлено HIRUNS)
10. Мини-ПК T5 Intel Z8350 Компьютерная флешка с Windows 10 Pro
ПК на флешке, которая может отображать контент 4K
CPU: Intel Z8350 1.От 44 ГГц до 1,92 ГГц | Графика: Intel HD Graphics | ОЗУ : ОЗУ 4 ГБ DDR3 | Хранение: 64 ГБ eMMC | Порты: 2 x USB 2.0 и 3.0 | Возможности подключения: Встроенный 2.4G / 5G AC WiFi и Bluetooth 4.2
Поддержка видео 4K
5GHz AC Wi-Fi Поддержка
Коренастый дизайн
4K иногда заикается
Второй компьютер в HDMI-накопителе в нашем списке, мы поддерживаем наш вышеупомянутый комментарий о том, что форм-фактор в лучшем случае может раздражать.Тем не менее, если посмотреть дальше, то, по крайней мере, видно, что хорошие вещи могут быть в небольших упаковках. Встроенная встроенная графика позволяет отображать видео 4K, что делает мини-ПК T5 интересным вариантом для потоковой передачи (или показа предварительно установленного) контента на мониторе или телевизоре, что может пригодиться на торговой выставке. Он также обеспечивает широкие возможности подключения, со встроенным Wi-Fi на 2,4 и 5 ГГц переменного тока для потоковой передачи контента поблизости.
Обзор лучших предложений на сегодня
Intel NUC9I9QNX NUC 9 Extreme…
DELL WYSE 3040 Тонкий клиент, …
.
Настройка OpenVPN Server в Windows 2012 R2 — Жизнь в приложениях, ОС и коде!
В эти выходные мой друг попросил моего совета по настройке VPN для его бизнеса, чтобы позволить удаленным сотрудникам подключаться и получать доступ к файловому серверу офиса и другим внутренним данным.
Требования действительно заключались в использовании Windows Server (простота управления) с возможностью для ноутбуков MacOSX подключаться к нему через VPN.
Пару лет назад у меня была аналогичная установка, которую я использовал для подключения к моей домашней сети с помощью собственного MacBook Pro, но на этот раз я решил задокументировать ее, чтобы помочь другим.
Итак, для этой настройки мы будем использовать следующее программное обеспечение для настройки этого решения:
Сервер (под управлением Windows Server 2012 R2)
Клиент (под управлением MacOSX 10.11 El Capitan)
На момент написания, следующие последние стабильные версии и версии, которые устанавливаются как часть этого руководства, следующие:
При желании вы можете скачать обе эти версии с моего сайта!
После установки это позволит клиентскому компьютеру (ноутбуку MacOSX) подключиться к VPN с использованием конфигурации раздельного туннеля; использование разделенного туннеля гарантирует, что только трафик, предназначенный для сети VPN, будет маршрутизироваться через VPN, ваше интернет-соединение и другой трафик будут маршрутизироваться локально, что увеличит скорость и производительность — Опять же, это было еще одним требованием, прежде чем выполнять это сами, пожалуйста, поймите последствия такой настройки для безопасности.
Установка программного обеспечения OpenVPN Server
Теперь мы войдем на рабочий стол Windows Server 2012 R2, а затем запустим установщик OpenVPN Server (openvpn-install-2.3.10-I601-x86_64.exe), появится следующий экран, нажмите Далее , чтобы запустить установка…
Затем вам будет представлено лицензионное соглашение, прочтите и нажмите кнопку Я согласен , чтобы продолжить…
Затем вас попросят выбрать, какие компоненты установить, вам нужно будет убедиться, что вы выбрали ВСЕ компоненты, это очень важно, иначе вы не получите Easy-RSA и другие утилиты, которые нам понадобятся, когда вы это сделаете, тогда нажмите Далее …
Выберите, где вы хотите установить программное обеспечение и где будет храниться конфигурация, я просто принял значения по умолчанию, а затем нажмите Установить …
Во время установки вам будет предложено установить виртуальный адаптер TAP NIC, это виртуальное сетевое устройство, которое требуется серверу OpenVPN, вам нужно будет нажать Установить здесь…
После завершения установки вам нужно будет нажать Далее …
Установка
завершена, нажмите Завершить , и мы перейдем к настройке сервера.
Настроить easy-rsa
easy-rsa — это утилита интерфейса командной строки для создания и управления PKI CA. С точки зрения непрофессионала, это означает создание корневого центра сертификации, а также запрос и подписание сертификатов, включая вспомогательные центры сертификации и списки отзыва сертификатов (CRL).
Если вам интересно, исходный код, дополнительную информацию об утилите и средство отслеживания проблем можно найти на странице проекта GitHub.
В любом случае, нужно настроить easy-rsa, открыть командную строку и ввести следующие команды:
кд \ cd "C: \ Program Files \ OpenVPN \ easy-rsa" init-config.летучая мышь
Запуск сценария init-config.bat создаст новый файл vars.bat в нашем каталоге easy-rsa, этот файл будет содержать нашу конфигурацию. Итак, теперь нам нужно открыть следующий каталог с помощью проводника Windows:
C: \ Program Files \ OpenVPN \ easy-rsa
Теперь, используя Блокнот (или другой текстовый редактор), отредактируйте командный файл с именем vars.bat , нам нужно настроить некоторые переменные…
Измените следующие настройки (ближе к концу файла) в соответствии с вашими требованиями:
установить KEY_COUNTRY = US установить KEY_PROVINCE = CA установить KEY_CITY = SanFrancisco установить KEY_ORG = OpenVPN установите KEY_EMAIL = mail @ host.домен установить KEY_CN = changeme установить KEY_NAME = changeme установить KEY_OU = changeme установить PKCS11_MODULE_PATH = changeme установить PKCS11_PIN = 1234
Mine теперь выглядит следующим образом — эти значения являются только значениями по умолчанию, которые будут предварительно заполнены при использовании сценариев сборки, и, учитывая, что KEY_CN и KEY_NAME будут уникальными для каждого запроса сборки, я изменил их только для на самом деле справочные заметки — это будет выводиться, поэтому в будущем будет действовать как заметка для вас (администратора):
установить KEY_COUNTRY = GB установить KEY_PROVINCE = Суффолк установить KEY_CITY = Ипсвич установить KEY_ORG = ALLN установите KEY_EMAIL = ballen @ bobbyallen.мне установить KEY_CN = Уникальное / имя машины set KEY_NAME = Использовать то же, что и обычное имя! установить KEY_OU = ICT установить PKCS11_MODULE_PATH = changeme установить PKCS11_PIN = 1234
Для тех, кто страдает параноиком безопасности среди нас, вы также можете посмотреть на увеличение значения переменной KEY_SIZE с 1024 до, например, 2048, но это замедлит производительность согласования TLS — ваш вызов действительно!
Затем вы должны сохранить изменения в файле и затем с помощью командной строки выполнить следующие команды:
кд \ cd "C: \ Program Files \ OpenVPN \ easy-rsa" вары.летучая мышь чистый-all.bat
Создание сертификатов CA и сервера
Отлично, теперь мы создадим CA (центр сертификации), выполнив следующую команду:
build-ca.bat
При запросе ввода вы сможете принять значения по умолчанию (как мы установили ранее в файле vars.bat , но помните, что мы должны указать KEY_CN (общее имя), и при запросе имени оно должно соответствовать Общее название.
Учитывая, что мы создаем центр сертификации, и стандартной практикой является называть этот файл сертификата «ca», при запросе общего имени и имени используйте «ca», как показано на скриншоте ниже:
Теперь нам нужно создать файл сертификата серверов, и, опять же, мы сделаем его максимально простым, поэтому мы установим «Общее имя» для файла сертификата серверов как « server », и снова имя будет сопоставьте это (обратите внимание, что имя передается в качестве первого аргумента на сервере ключей сборки .bat звонок):
build-key-server.bat сервер
В дополнение к последнему созданному сертификату ‘ca’ на этот раз вас спросят, хотите ли вы подписать, а затем зафиксировать сертификат (в обоих случаях, как показано на скриншоте ниже, выберите да (введите ‘y’ и нажмите Enter для обоих !):
Сертификаты заказчика здания
Для каждого клиента VPN, который подключается к VPN, им необходимо будет подключиться с помощью сертификата SSL, и поэтому необходимо запустить следующий процесс для каждого клиентского устройства , которое будет подключаться к VPN .
Как правило, вы можете сгенерировать и использовать сертификат SSL для каждого пользователя, который можно использовать на нескольких машинах, но должен быть сгенерирован один сертификат SSL для каждого устройства, чтобы в случае потери портативного компьютера или другого устройства или украденный, связанный сертификат может быть отозван с сервера, чтобы предотвратить несанкционированный доступ к вашей сети.
Итак, для каждого нового клиентского устройства выполните следующую команду и затем введите требуемую информацию:
кд \ cd "C: \ Program Files \ OpenVPN \ easy-rsa" вары.летучая мышь build-key.bat {machine_name}
Как и раньше, при запросе «Common Name» и «Name» используйте имя машины, поэтому в данном случае «bobby-macbookpro», как показано на снимке экрана ниже:
Создание параметров Диффи Хеллмана
Чтобы завершить настройку шифрования, мы должны теперь сгенерировать параметры Диффи Хеллмана, мы делаем это, набирая следующую команду:
build-dh.bat
Результат выполнения указанной выше команды должен выглядеть следующим образом: —
Чтобы узнать больше о протоколе Диффи Хеллмана, прочтите статью в Википедии.
Скопируйте сгенерированные сертификаты в каталог «config»
При использовании easy-rsa для создания сертификатов, которые они сгенерировали и хранят в: C: \ Program Files \ OpenVPN \ easy-rsa \ keys, следующие файлы из этого каталога необходимо скопировать в C: \ Program Files \ OpenVPN. Каталог \ config:
- ca.crt
- dh2024.pem
- server.crt
- server.key
По завершении мы должны запустить службу OpenVPN в диспетчере служб, как показано здесь:
Имейте в виду: По умолчанию служба OpenVPN настроена на запуск вручную, поэтому, если ваш сервер перезагружается, вам нужно будет вручную запустить эту службу, прежде чем клиенты VPN смогут повторно подключиться.Если вы хотите установить для него значение «Автоматический», щелкните правой кнопкой мыши имя службы, выберите свойства и затем настройте запуск как «Автоматический».
Настройка OpenVPN сервера
Теперь, когда у нас есть сертификат и создание центра сертификации, мы настроим сервер OpenVPN.
Давайте скопируем образцы файлов конфигурации в каталог «config», чтобы дать нам основу для начала нашей конфигурации:
скопируйте "C: \ Program Files \ OpenVPN \ sample-config \ server.ovpn "" C: \ Program Files \ OpenVPN \ config " скопируйте "C: \ Program Files \ OpenVPN \ sample-config \ client.ovpn" "C: \ Program Files \ OpenVPN \ config"
Теперь мы можем редактировать «клонированные» образцы файлов конфигурации, из которых после полной настройки в соответствии с нашими предпочтениями мы будем затем использоваться в нашей производственной среде.
Итак, с помощью текстового редактора (например, NotePad) отредактируйте файл server.ovpn:
Блокнот
"C: \ Program Files \ OpenVPN \ config \ server.ovpn"
Нам нужно указать расположение сертификатов, которые мы сгенерировали ранее, поэтому найдите следующий блок:
# Можно использовать любую систему управления ключами X509.# OpenVPN также может использовать файл ключей в формате PKCS # 12 # (см. директиву "pkcs12" на странице руководства). ca ca.crt сертификат server.crt key server.key # Этот файл следует держать в секрете # Параметры Диффи Хеллмана. # Создайте свой собственный с помощью: # openssl dhparam -out dh3048.pem 2048 dh dh3048.pem
и замените пути, чтобы они соответствовали, как показано здесь:
# Можно использовать любую систему управления ключами X509. # OpenVPN также может использовать файл ключей в формате PKCS # 12 # (см. директиву "pkcs12" на странице руководства).ca "C: \ Program Files \ OpenVPN \ config \ ca.crt" сертификат "C: \ Program Files \ OpenVPN \ config \ server.crt" key "C: \ Program Files \ OpenVPN \ config \ server.key" # Этот файл следует хранить в секрете # Параметры Диффи Хеллмана. # Создайте свой собственный с помощью: # openssl dhparam -out dh3048.pem 2048 dh "C: \ Program Files \ OpenVPN \ config \ dh2024.pem"
Сохраните файл — приступим к настройке конфигурации клиента!
Настроить файл конфигурации OpenVPN клиента
Подобно конфигурации сервера, нам просто нужно отредактировать файл конфигурации клиента и установить удаленный IP / имя хоста нашего сервера OpenVPN.
Затем файл конфигурации OpenVPN клиента используется на клиентских машинах для настройки клиента OpenVPN для подключения к удаленному серверу VPN.
Имейте в виду: Если вы отредактируете это с помощью Блокнота в Windows, окончания строк будут отформатированы как CLRF, что вызовет проблемы при попытке загрузить его на Mac, поэтому рекомендуется использовать редактор с поддержкой LF для редактирования или конвертируйте файл с помощью dos2unix при первом использовании на вашем компьютере MacOSX / Linux.
Давайте отредактируем файл и установим адрес удаленного сервера:
Блокнот
"C: \ Program Files \ OpenVPN \ config \ client.ovpn"
Найдите следующую строку:
удаленный мой-сервер-1 1194
и замените его своим общедоступным IP-адресом или именем хоста, которое ваши клиенты будут использовать для подключения к вашему серверу OpenVPN, например:
удаленный vpn.mydomain.com 1194
Сохраните файл, и мы почти готовы начать тестирование !!
Настройка переадресации портов и исключений правил межсетевого экрана
Мы почти готовы начать тестирование, но прежде, чем мы это сделаем, предполагая, что у вас есть маршрутизатор / брандмауэр между вашим сервером и Интернетом, вам необходимо сначала открыть порт 1194 / UDP (не забудьте включить его. на программном брандмауэре Windows Server 2012 R2, если вы еще этого не сделали!) и убедитесь, что трафик перенаправляется на ваш сервер, без этого клиенты VPN не смогут подключиться и использовать недавно настроенную службу VPN.
С точки зрения «передовой практики» рекомендуется изменить порт UDP по умолчанию в конфигурациях вашего сервера и клиента и убедиться, что брандмауэр / маршрутизатор также обновлены. Это усложняет хакерам определение того, какие службы работают на вашем сервере. сервер.
Настройка клиента OpenVPN (TunnelBlick) на MacOSX
Теперь, когда у нас настроены сервер и сеть, нам нужно установить TunnelBlick на клиентском устройстве MacOSX.
Установка TunnelBlick настолько проста, что я не буду описывать ее здесь, но как только вы ее установили, давайте продолжим …
Прежде всего, нам нужно создать каталог в нашем домашнем каталоге для хранения сертификатов клиента и CA, которые мы вскоре скопируем с нашего сервера.
Я бы порекомендовал вам создать в корне вашего домашнего каталога каталог под названием «OpenVPN Client Config», вы можете сделать это в терминале следующим образом:
mkdir ~ / OpenVPN \ Client \ Config
Теперь скопируйте следующий файл со своего сервера:
- C: \ Program Files \ OpenVPN \ config \ client.ovpn
- C: \ Program Files \ OpenVPN \ easy-rsa \ keys \ ca.cert
- C: \ Program Files \ OpenVPN \ easy-rsa \ keys \ bobby-macbookpro.crt
- C: \ Program Files \ OpenVPN \ easy-rsa \ keys \ bobby-macbookpro.ключ
В новый каталог конфигурации клиента OpenVPN в вашем домашнем каталоге, например:
Теперь нам нужно внести некоторые незначительные изменения в пути сертификатов в файле client.ovpn , поэтому с помощью текстового редактора откройте файл на Mac и обновите пути сертификатов, чтобы они соответствовали вашей среде, например:
# Параметры SSL / TLS. # Подробнее см. В файле конфигурации сервера # описание. Лучше использовать # отдельная пара файлов .crt / .key # для каждого клиента.Единый ca # файл можно использовать для всех клиентов. ca "/ Пользователи / ballen / Конфигурация клиента OpenVPN / Конфигурация OpenVPN / ca.crt" cert "/ Пользователи / ballen / Конфигурация клиента OpenVPN / bobby-macbookpro.crt" ключ "/ Пользователи / ballen / Конфигурация клиента OpenVPN / bobby-macbookpro.key"
Сохраните файл и закройте текстовый редактор, затем нам нужно установить нашу новую конфигурацию, дважды щелкнув значок client.ovpn , как показано на скриншоте выше.
При двойном щелчке по значку будет предложено следующее: нажмите «Только я»:
После добавления конфигурации вы получите уведомление об успехе, как показано здесь:
Первое подключение к VPN
Теперь, когда конфигурация добавлена в TunnelBlick, с помощью значка TunnelBlick в правом верхнем углу вы сможете подключиться к нему:
TunnelBlick теперь должен успешно подключиться к VPN…
Теперь, когда вы подключены к своей VPN, проверьте его IP-адрес сервера:
.
пинг 10.8.0.1
Чтобы отключиться от него, просто щелкните значок TunnelBlick и выберите «Отключить клиента»…
В моем следующем посте (в противном случае этот пост будет огромным) я расскажу о расширенной конфигурации сервера, чтобы позволить вашим VPN-клиентам «видеть» вашу внутреннюю сеть и вашу внутреннюю сеть, чтобы «видеть» ваших VPN-клиентов. Это будет двунаправленная передача данные напр. доступ к общим сетевым ресурсам в сети и другим услугам, предоставляемым в офисной сети.
.