1С: Сервер. Соединение с http сервисом. Как заблокировать?

Александр Прохорович, сеанс может и не зависает... Метрики собираться раз в минуту. Выходит, что нет такой настройки, которая могла бы запретить такое подключение? Получается, что можно запретить выполнение регламентных заданий, установить блокировку пользовательских сеансов, а соединение с http сервисом запретить нельзя...

1С: Сервер. Соединение с http сервисом. Как заблокировать?

Прошу прощения, за скомканную формулировку. Попробую описать порядок действий скрипта:

1. Устанавливаем блокировку регламентных заданий
2. Устанавливаем блокировку начала сеансов
3. Убиваем все текущие соединения
4. Накатываем обновление (загружаем конфигурацию/запускаем обновление)
5. Запускаем в режиме предприятия, выполняем обновление метаданных
6. Снимаем блокировки регламентных заданий
7. Снимаем блокировки начала сеансов.

Выполнение скрипта останавливается на 4 пункте, где нужен монопольный доступ к ИБ. Обычно в конфигураторе на этом моменте система выдает окошко, что ИБ занят и просит завершить сеансы/подождать или отменить обновление. Скрипт выводит, что есть активное подключение по http. Это значит, все установленные блокировки игнорируются для подключения к ИБ с приложением "Соединение с http сервисом".

Может ли rac установить такую блокировку соединений для ИБ в кластере, что бы ничего не мешало обновлению ИБ?

Отказоустойчивость/резервирование шлюза RDS?

На сколько я знаю, роли web access и connecion brocker резервируются "по особенному", в настройках коллекции необходимо настроить высокую доступность. Для этого потребуется отдельный SQL сервер, в нем будет храниться база с сеансами, которые могут перекидываться между cb.

Microsoft предлагает для внешнего доступа роль RDS Gateway с доступом из вне по https, что само по себе не плохо, но нужны сертификаты. У нас была развернута инфраструктура PKI для этих целей. Простымим словами это выглядит так:
Пользователи подключаются шлюзу удаленных рабочих столов (RDS Gateway) по https.
Там проходят авторизацию. Доступны разные варианты. Мы используем логин/пароль.
Далее шлюз направляет их к RDS Connection brocker, а тот, в свою очередь, направляет на хост.

А вот уже резервирование роль RDS Gateway, как оказалось достаточно просто реализуемо через NLB.

Надеюсь, я правильно понял ваш вопрос и чем то помог)

Отказоустойчивость/резервирование шлюза RDS?

Предлагаете все же пользоваться одним сервером шлюза? К сожалению, мне все таки надо организовать именно 2 экземпляра. Дело в том, что среда достаточно нагруженная и коллекция используется по всей стране, в разных часовых поясах. Сервер шлюза должен быть доступен почто что 24/7. Обновлять и обслуживать сервер шлюза - настоящая головная боль. Приходится согласовывать maintenance часы и работать почти ночью по выходным. Хочется немного снизить нагрузку на мой отдел и делать это в рабочее время, без лишней бюрократии)

Одна виртуальная сеть между двумя хостами ESXi в разных дата центрах. Реально ли такое?

poisons, Спасибо! Я и забыл что EoIP существует) Это временная мера

Одна виртуальная сеть между двумя хостами ESXi в разных дата центрах. Реально ли такое?

poisons, Вопрос, собственно, простой. Как это сделать?

Как бы вы распланировали терминальный сервер?

stul5tul, Ну, вирусов боятся - в интернет не ходить.
Можно же антивирус поставить с полным сканированием каждую ночь.
Пользователей можно дополнительно ограничить групповыми политиками.

Как бы вы распланировали терминальный сервер?

stul5tul, А что в этом такого?

Как бы вы распланировали терминальный сервер?

Есть один USB ключ 1С, остальное программные лицензии.

В первом конфиге текущего ТС я поднял на нем Hyper-V. Но поведение сервера меня очень пугало. Условно говоря: было поднято 2 виртуальные машины. Первая работала в качестве роутера. Были подняты роли DHCP, DNS и NAT (точное название служб не помню). Второй был просто сервером терминалов. Под две эти ВМ было выделено половина от все объема жесткого диска. Через пару недель работы место на диске закончилось. Память пожиралась с какими-то невероятными темпами. Я так и не разобрался в чем было дело. Развернул ТС "по-старинке" на физический хост. Собственно, с тех пор так и работает.

Старый тауер на колокейшн будет очень дорого. Его размещение в дата-центре я не рассматриваю вовсе.

Да, я с вами согласен, фалопомойка у меня на отдельном NAS севере. Какая-то RM коробка от Synology.

В целом, я так и рассматривал 2/3 в пользу терминальника. Правда у меня в голове была цифра что-то вроде 3/4. SSD я закладывал для хранения файловых баз 1С, а вы предлагаете на нем хранить учетки пользователей?

Я не большой знаток технологий виртуализации, но я что-то слышал что можно делать снимок snapshot виртуальной машины. А потом восстанавливать машину на любое время ее работы. Как в SQL. В общем была идея делать резервное копирование самих образов машин, а не информации хранящейся внутри. Возможно ли такое?
Отдельный backup сервер - это моя мечта. Но пока, надо существовать без него. 2 из 4-х HHD как раз были заложены для хранения бэкапов.

Как бы вы распланировали терминальный сервер?

Прошу прощения, не описал это в заглавном посте, но "железный" RAID в серверной архитектуре для меня вещь само-собой разумеющееся. Без него как бы и незачем.
Не все базы расположены на сервере 1С, а только самые большие. Часть баз все еще файловые, а они оперативку любят. Но вот кто больше оперативку любит, так это Chrome. Задача
ТС превратить из локальной машины тонкого клиента. Всю свою деятельность пользователи будут вести в терминале. От того и такой запас по оперативке.

Перенос локальных групповых политик на множество компьютеров. Как?

Да! Оно! Спасибо!

Перенос локальных групповых политик на множество компьютеров. Как?

Как я понял изменение параметров политик = изменение реестра. Только вот не все параметры политик есть в реестре. А как изменять политики из консоли не нашел..

Так, с linux все понятно. Как насчет кастомизации Windows?

Или всё же нужно из рабочих станций сделать "терминалы"?

По сути да. На рабочей станции нужно только оставить возможность подключенить Wi-Fi и VPN

Так, с linux все понятно. Как насчет кастомизации Windows?

А что помешало собрать сборку на Linux с автоподнятием VPN и автовходом в RDP? По мне так на Linux это сделать намного проще чем на винде...

Отсутствие какого-либо опыта работы с linux) Сначала мне тоже показалось, что так должно быть проще, но в момент погружения в тему оказалось сложно. Нужны драйвера на принтеры, т.к. их придется устанавливать локально и делать редирект на терминальный сервер. Такая операция тоже вызывала вопросы...

На винде есть возможность через групповые политики задать список РАЗРЕШЕННЫХ приложений...

Я сейчас тоже в сторону групповых политик копаю. За идею спасибо! Будет, конечно не так красиво как я предполагал, но главное, что б работало.

Так, с linux все понятно. Как насчет кастомизации Windows?

И поэтому мы добавим им геморроя с зависимостью от качества подключения к интернету, потому что продажник должен страдать, ага.

Сейчас так и работает. Продажники в том числе работают в 1С. Страданий не замечено. RDP клиент замечательно работает. Все-таки мы живем во времена LTE, хотя даже на 3G лично подключался и все работает.

Сделай ограниченную учетку, если не доверяешь людям

Какими инструментами возможно сделать это? Вопрос-то не в доверии, а в безопасности.

Кастомизация десктопного Linux?

Спасибо! Вроде то что нужно. Надо только разобраться как эту штуку устанавливать. Пока на виртуальный машине не видит жесткий диск...

Кастомизация десктопного Linux?

Понимаю о чем вы говорите, видимо я не корректно описал суть. На терминальном сервере установлена Windows Server 2012r2, а пользователи будут использовать linux только для подключения к терминальному серверу. Работа на клиентах не предполагается.

Кастомизация десктопного Linux?

UPD: Можно попробовать просто настроить одну тачку, а потом клонировать ее с последующим редактированием конфигов.

Вот это очень интересно. Спасибо за наводку.

Кастомизация десктопного Linux?

Вы делаете ошибку в том что раскидываетесь имеющимися мощностями и в результате будете вынуждены ещё и наростить мощностями на рдп сервере.

Прекрасно понимаю, о чем вы говорите. Но, на мой взгляд, с точки зрения корпоративной безопастности, надежнее хранить все документы и "результаты жизнедеятельности" пользователей централизовано на одном терминальном сервере. А на локальных машинах, лишить возможности пользователя что-то сохранять.

Придётся проработать систему деплоя и управления всем этим хозяйством - chef/ansible/etc.
Но в идеале организовать PXE загрузку рабочих станций, сразу снимает множество проблем с обслуживанием/обновлением системы.

К сожалению, PXE загрузка не возможна, потому что не все компьютеры в парке стационарные. Есть и ноутбуки, которые используются вне офиса. Если все очень упрощать, то мне нужна некая оболочка в виде кастомизированой ОС. В которой можно было бы подключиться к Wi-Fi вне офиса и запустить VPN подключение для доступа к терминальному серверу.

Ну и главное, не кидайтесь во все тяжкие - оттестируйте сначала всё на паре рабочих мест, в реальных условиях и будьте готовы что встретите огромное сопротивление и "диверсии" со стороны сотрудников.

И опять, я с вами согласен!

SIP через VPN. Почему нет регистрации?

Таки разобрался! Нужен был маршрут для MyPBX из сети 192.168.11.0/24.
Так же в настройках SIP аккаунта поставить птички "NAT" и "Разрешить удаленное подключение".

Спасибо всем, кто откликнулся!