Тема конечно заезженная и можно кучу статей найти на эту тему, НО все они устарели. Нет конечно не совсем, на 99% все по прежнему — и установка и настройка оси, настройка сервера RDP, настройка TFTP и PXE, настройка thinkstation и прочее, прочее, прочее…. Эта статья наверное будет самой дерьмовой короткой среди них.

И так, что я имел на начало:
1. Сервер win2008 R2 на нем стоит AD, DHCP
2. 24 старых компа (на самом деле всего компов 150, из них я бы перевел в терминал 50 как минимум, ну а 24 — это просто тестовые)
3. Новый сервер без оси (Xeon E31225, 16ГБ RAM, RAID 10 4x3TB)
Задачи
1.сократить расходы на ежегодную покупку лицензий для этих старых ПК (Лицензии академические хоть и не дорогие 410-460р, но терминальные решения дешевле 300-310р)
2. Сократить расходы ежегодные на постоянную модернизацию компов
3. Упростить себе задачу администрирования

Не долго думая, я сказал себе, как оказалось в слух,
Окей, гугл! как же мне настроить тонкие клиенты на винде 2008?
Гугл отреагировал оперативно, и после не долгих поисков и фильтрации информации я нашел, все те статьи, на которые сослался выше. Я пользователь законопослушный, имею лицензию и на серверную часть и CAL лицензию, все сделал по правилам. Проверил подключение — все супер, загрузка на ПК Celeron-D, 512RAM DDR2 занимает 1 минуту с момента нажатия на кнопку power. Радости было полные штаны куча. Первое что проверил — работу групповых политик с AD на пользователях подключающихся через тонкого клиента — Все работало: настройка прокси, подключение сетевых дисков, ограничение доступа по группам и т.д.
Второе, что я решил сделать — естественно наставить минимум софта для пользователей терминала:
Firefox (можно и Opera но только не Chrome — сжирает как память так и процессор)
7zip
DoPDF
Kaspersky
Office 2016
Ставил именно в таком порядке. После установки все пожирающего зла Антивируса Касперского стал регулярно отваливаться сервер терминалов, — пришлось установить бесплатное решение от Avast. Далее установка шла без проблем.
После удовлетворения пришедшего в результате любования своим творением и скоростью работы и загрузки клиентов, я решил нарушить первое правило администрирования
Работает — не трогай! ни за какие коврижки!!! потом очень пожалеешь!!!
— установить все обновления какие только есть для 2008 R2 (б*я, я потом 2 дня му****лся пытаясь найти причину глюка!!!). Обновы ставились медленно, но верно к концу рабочего дня были все установлены и я радостный пошел домой.
Утром (ну как утром, 10:30) придя на работу, я решил по настраивать профили пользователей, чтоб они хранились не в папке c:\Users а например на сетевом диске, при этом были не перемещаемые (ну на сетевом напрямую так и не вышло), но остановился пока просто на хранении на отдельном диске (позднее планирую перенести на iSCSI, но это отдельная история рассказанная до меня) изменением параметра
ProfilesDirectory
в реестре в ветке
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList

Довольный собой как удав, я думал что работа завершена… и каково же было мое удивление, когда я заметил, что у пользователей входивших впервые в терминальную сессию не монтировались сетевые диски… стал грешить на rdesktop и его настройки… вовремя остановился и не убил свои настроенные конфиги по группам… решил проверить, работают ли AD политики на обычных компах — к моему облегчению на всех версиях оси от XP до 10 все работало… остается… сервер RDP… но что же в нем было изменено… многое… но я пошел от логичного microsoft… точнее его любви все совершенствовать и переставать поддерживать прошлые версии или просто добавлять кучу глюков…
Методом проб и ошибок проверки работоспособности политик после каждого обновления на чистой серверной винде, выяснил, что Win2008 R2 SP1 не принимает политики от другого сервера AD Win2008R2 SP1… причина — не понятно, принудительное обновление политик
gpupdate /force

не помогают… перерегистрация в домене тоже… в итоге пришлось переустанавливать сервер RDP и запретить обновления…
З.Ы. Спасибо тем кто дочитал эту нудятину статью до конца, но думаю кому — нибудь она будет полезна, хотя бы концентрацией полезных ссылок по этой теме
З.Ы. З.Ы. Так вот почему же устарели? да потому что все они написаны до 2014г. и там нет ни слова о возможных проблемах с GPO после обновлений!
З.Ы.З.Ы.З.Ы. в итоге экономия на лицензиях ПО составляет (с 23ПК) 7500р/год (для бюджетного учреждения это не мало!). Экономия на закупках ПК (планируемая) 50 000 р/год, учитывая что общегодовой бюджет 200 000, экономия более 1/4 это существенно
Как вы относитесь к терминальным решениям?

Проголосовало 70 человек. Воздержалось 17 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Поделиться с друзьями
-->

Комментарии (13)


  1. ifaustrue
    16.07.2016 00:08
    +2

    не выдержу, спрошу.
    Я правильно понял посыл статьи: «Если используете сервер терминалов на 2008 винде — отключайте обновления»?
    Ну то есть, вы даже не знаете какое конкретно обновление мешает нормальной работе в вашей среде? Т.е. все обновления отключать? Совсем?


    1. OLDest
      16.07.2016 00:11

      Проблема в том, что SP1 ставится 178 обновлениями. и точное какое обновление выяснить сил не хватило. проверял пачками по 10 шт. И после сообщения о том что винда теперь SP1 отвалилось чтение GPO.
      Посыл статьи — если у вас проблема аналогичная моей — знайте где капать.


      1. ifaustrue
        16.07.2016 00:16

        то что проблема в «первом сервиспаке» сильно сужает область поиска, помимо этого, отключение установки именно этого кумулятивного пакета, никак не мешает установке всех других сотен и тысяч мелких (но крайне важных для безопастности) апдейтов. Думаю это важное уточнение.


        1. OLDest
          16.07.2016 00:30

          на след. неделе выберу время и постараюсь найти конкретное обновление создающее эту проблему. Что удивительно — SP1 на AD никак не повлиял на применение политик на других осях с последними обновлениями от XP до 10


          1. paulsv77
            18.07.2016 11:42

            А установить систему, обновить, и потом настраивать терминалы и прочее?


            1. OLDest
              18.07.2016 11:46

              собственно так и делалось когда второй раз ставил сервак, все-равно не помогает.


    1. sp01
      18.07.2016 11:49

      В продакшене везде и всегда отключены обновления. Все обновления сначала проходят проверки на тесте, потом (у кого он есть) на пре-проде, и только потом, после кучи согласований, на продакшен переезжает.
      Касательно MS, все серваки получают обновления только после аппрува «верховного админа», только из внутреннего WSUS. Опять же после тестогово прогона на точной виртуальной копии сервака. Как-то так.


      1. OLDest
        18.07.2016 11:53

        тут я с вами полностью согласен, но точной копии сервака к сожалению нет.


  1. MagicEx
    16.07.2016 00:58
    +2

    Эмм, предыдущий patch tuesday — www.grouppolicy.biz/2016/06/broken-gpo-ms16-072
    Проблема возникла у многих, кто использует фильтрацию GPO по юзер группам и не читает ченжлоги\не тестит обновы. Даже на хабре была статья как пофиксить и как не допустить в дальнейшем.

    А вообще смысл данной статьи непонятен.
    «Я нашел в гугле статьи по настройке ТК, все сделал, потом отвалились GPO, переустановил, отключил обновы, гори огнем майкрософт»
    Какой-то крик души, больше подходящий для блога.


    1. OLDest
      16.07.2016 01:02

      Это не крик души, а помощь тем кто столкнется с подобным. При поиске информации по аналогичным проблемам я ничего не нашел. Ваша ссылка это еще 1 + к этой статье.
      В статье собраны ссылки на информацию позволяющие не искать инфу по иннету, а все найти в одном месте и быстро развернуть сервер терминалов и тонких клиентов за менее чем за час, начиная с установки винды. Я потратил много времени фильтруя информацию и отбирая то что мне нужно (включая iSCSI диски и их настройку).


  1. SyavaSyava
    16.07.2016 15:22
    +2

    Зря сразу в черновики не убрали, но ещё не поздно.
    Слабовата статья.
    Вашего тут, кроме трёх(!) чужих ссылок — только история неудачи с политиками, да и ту вы не смогли решить.
    Ну да ладно, раз уж вы хабр читаете реже, чем пишете сюда — ловите ссылку на исправление ваших политик:
    https://habrahabr.ru/post/304202/
    Ну и конечно совет «отключить обновления» выглядит эпично, но если уж пишете о проблеме — указывайте и её решение, как в посте по ссылке выше. А то нытьё одно получается, из серии «ниасилил».
    Ну и «детскости» хорошо бы поменьше — тут в основном взрослые люди собираются, так что как пример можете рассмотреть опять же указанную выше статью: коротко, чётко, по делу: суть проблемы, её решение с аргументацией, почему именно это решение, дополнительная информация по ссылкам для желающих.


    1. OLDest
      16.07.2016 19:59
      -1

      И так, четкий и серьёзный человек — проблема не в политика а в обновлении, комментарии ( как походе и статьи) вы до конца не читаете. Для тех кто в танке — повторяю, это не нытье а описание возникновения проблемы ( с указанием причины, на чем ставилась и как возникла) чтоб у таких как вы серьёзных людей не было вопросов на тему что на чем стояло и как устанавливалось. Совет отключить обновления — ниже если почитание говорится о первом сервиспаке, и я обещал найти конкретное обновление. статьи я очень редко пишу, и только на ту тему, решение которой не нашел сам или нашёл с большим трудом. Ссылки чужие — зачем переписывать чужое — это плагиат.
      З.Ы. чувство юмора отличает человека от живоьного


      1. SyavaSyava
        16.07.2016 20:51
        +2

        Воу, воу, полегче!
        Есть мнение, что не только чувство юмора отличает человека от животного, но и критичный взгляд на вещи, в том числе и на своё творчество.
        Кстати при чём тут чувство юмора — я не понял, или статья — это шутка такая? Наверное, у меня с ним (чувством юмора) совсем плохо с вашей точки зрения.
        Если же речь о «зачёркнутостях», множественных восклицательных знаках и нарочито-примитивном стиле изложения — то вы немного ошиблись ресурсом, на что и было указано. Я на досуге тоже люблю и фишки всякие почитать, и на лурк заглядываю, но на хабре ожидаешь встретить что-то не столь… юморное в вашем понимании.
        Что касается обновлений — то в статье (и в комментариях — я их прочитал, да) есть только «я установил 178 обновлений, у меня перестали применяться политики GPO, я всё переустановил и запретил обновления». Если вы собирались найти «виновника» — то и нужно было бы его искать, убрав до этого момента статью в черновики, а так — получилось то, что получилось. А в итоге на причину ваших бед вам указал уважаемый MagicEx, ну и ваш покорный слуга.
        Кстати, это пресловутое обновление в сервис-пак не входит, и вышло всего пару недель назад.
        Про чужие ссылки — да, переписывать чужое не стоит, а вот описать свой опыт — вполне. Если он конечно может дать что-то новое читателю.
        А у вас, ещё раз — есть три ссылки на совершенно избитые и тривиальные статьи из серии «Дальше»-«Дальше»-«Ок»-«Ок», и история провала с обновлениями.