Интернет на терминальном сервере. Информация к размышлению

🔥 Война против Украины и геноцид украинцев

Он назвал это "спецоперация"...
Прямо сейчас, на твоих глазах совершается величайшее преступление 21-го века. С 24 февраля 2022 года мы украинцы переживаем вой серен, голод, взрывы, вражьи пытки, похищения детей, насилия и смерти. Горе и страдания принесли с собой "асвабадители"...

2 062

Цель статьи

По возможности охватить весь комплекс вопросов, которые необходимо будет решить системному администратору для того, чтоб обеспечить пользователям комфортную работу в интернет на терминальном сервере. Очень желательно, чтоб эти вопросы решались на этапе проектирования сервера

Железо

Однозначно, чем больше памяти используется на терминальном сервере, тем лучше. Очень хорошо если есть перспективы ее туда добавить

Дисковая система должна быть достадочно быстрой, чтобы обеспечивать быстрое чтение/запись в кеш браузера. Хорошо, когда система установлена на RAID10 из 4-х или 6-ти дисков плюс BBU, что позволит безопасно использовать кеширование на уровне контроллера, что в свою очередь отразится на быстродействии

Софт

В качестве системы терминального сервера рассматривается Windows Server x64, что позволит работать с объёмом памяти больше 4Гб

Все пользователи только доменные. КД вынести на отдельный сервер

Наличие антивируса, которому вы доверяете обязательно на терминальном сервере

В качестве браузера можно брать любой (они сейчас уже все растолстели). Важно установить резак рекламы, что ощутимо увеличит скорость загрузки контента. Запрещать ли js — решайте сами

Политики

Терминальный сервер стоит на NAT’ом и никто не должен ходить в интерент мимо прокси-сервера

На прокси-сервере должна быть настроена авторизация пользователя в КД через механизм авторизации, который поддерживает прокси. Например squid умеет ldap, ntlm или kerberos. Все современные браузеры могут авторизироваться в КД используя данные механизмы. На крайний случай подойдет и basic. Важно, чтоб пользователь без пароля не мог выйти в интернет

На КД создать разные OU. В первый поместить тех, кому разрешено использование интернет, во второй тех, кому не разрешено. В настройках первого OU нужно указать адрес/порт прокси сервера, а также скрыть вкладку настроек прокси IE. Таким образом браузеры, которые берут настройки прокси из настроек сделаных в OU (IE, chrome, opera) не покажут пользователю сооветствующую вкладку

Выход пользователя в интернет с локального рабочего места мимо прокси запрещен или запрещен в принципе. Тут кому как угодно

Антивирус для прокси-сервера обязателен. Желательно другого производителя, чем тот, который на терминальном сервере

0 0 голоса

Оцените статью

Александр Черных

Системный администратор с 2000 года
Участник Хабр Q&A и cyberforum
Кейсы

Еще по теме:

4 комментариев

Старые

Новые Популярные

Межтекстовые Отзывы

Посмотреть все комментарии