Глава 13: Оптимизация, мониторинг и устранение неполадок

Когда сервер настроен и работает, администраторам следует управлять его средой для достижения оптимальной производительности.

Администраторы должны выявлять узкие места и устранять их. Поскольку все изменения делаются на сервере, администратору следует его оптимизировать. Если приложения предоставляются с возможностью переназначения дисков и принтеров, в технологии тонкого клиента возникает третий уровень сложности. Пользователям требуется сообразительный администратор, способный решать проблемы с такими приложениями и их печатью.

Оптимизация ресурсов

Windows 2000 и Terminal Services автоматически не настраиваются на оптимальную конфигурацию в многопользовательской среде. Windows 2000 требует от нас настройки использования памяти и поведения приложений. Эта настройка включает в себя изменения реестра и опций приложения.

Все процедуры, политики, вносимые изменения должны быть тщательно задокументированы.
Удалите администратора домена из группы локальных администраторов. Большие компании с большим числом администраторов должны ограничивать административный доступ к терминальным серверам.

Эффективная процедура управления должна включать в себя слдующее:

• Предусмотрите механизм тестирования изменений в лабораторных условиях перед вводом в эксплуатацию.
• Требуйте официальных санкций на изменения, когда система находится в эксплуатации.
• Предусмотрите контроль версий и процедуры резервного копирования и восстановления во время тестирования.
• Позвольте всем сторонам, материально заинтересованным в изменениях, оценить влияние этих изменений.
• Обеспечьте документирование разработки вашей фермы, включая все предложенные изменения.

При внесении изменений в Citrix Server Farm сервер приходится надолго отключать, что затрагивает множество пользователей. Поэтому необходимо предусмотреть меры для скорейшего восстановления работоспособности сервера. Для этого есть два основных способа: резервное копирование на ленту или создание образа (imaging).

Резервирование на магнитную ленту
Это самый старый и самый медленный метод, но он может оказаться для вас самым подходящим. Резервирование на ленту может производиться во время работы сервера. У вас должно быть соответствующее программное обеспечение и/или лицензии для копирования открытых файлов. При внедрении этого метода сначала сделайте резервирование, а потом замените жесткий диск на чистый и попробуйте сделать восстановление. Некоторые программы резервного копирования плохо работают с переназначенными буквами драйвов, а другим требуется несколько часов для восстановления нескольких гигабайт данных. Засеките время восстановления и убедитесь, что сервер можно восстановить за разумное время.
При резервировании не забывайте включать копирование реестра и системных данных.

Создание образа
Создание образа жесткого диска такими программами, как Norton Ghost или Drive Image Pro являются более поздним методом резервирования и восстановления, а также для создания новых серверов из одного и того же образа. Недостаток этого метода состоит в том, что сервер при создании образа должен находиться в нерабочем состоянии. В идеале лучше иметь параллельный сервер, который можно остановить и сделать с него образ; затем на нем можно проверить изменения. Если они неприемлимы, делается восстановление с образа. В случае успеха делается новый образ и объявляется "master image". Этот образ далее применяется ко всем серверам фермы. Это гарантирует, что на всех серверах будут установлены одни и тот же пакеты обновления, заплаты, модификации реестра и т.п. Большинство образов среднего сервера занимают около 2GB и требуют для восстановления около 20 минут.

Как-то я на одном большом заводе устанавливал несколько серверов MetaFrame для предоставления доступа к Microsoft Office 97 для службы поддержки пользователей. Цель состояла в уменьшении числа проблем, которые вызывали пользователи со своими машинами. Мы настроили клиента на Windows NT Workstation 4.0, заблокировали рабочий стол, назначили обязательные профили "только чтение". Мы настроили Program Neighborhood для создания ярлыков Office на рабочем столе и поместили Outlook 98 в группу автозагрузки. При регистрации запускался Outlook и устанавливалось соединение ICA,позволяя остальным приложениям запускаться быстрее. Из-за обязательных профилей мы использовали KiXtart (расширенный процессор скриптов регистрации, его можно бесплатно взять на www.kixtart.org) для определения важных переменных для настройки профиля Outlook.Мы использовали единый скрипт регистрации для всей компании и логические операторы для определения того, какие операции следует произвести в зависимости от принадлежности той или иной группе. Мы добавили раздел для запуска процедуры конфигурации профиля Outlook на базе группы пользователя и имени машины. Другой администратор добавил раздел таким образом, что наш раздел пропускался. На следующее утро после регистрации никто не мог запустить Outlook. После нескольких часов поисков причины, почему не создавался профиль, мы обнаружили команду, вызывающую обход нашего раздела. Тот администратор не подозревал, что его изменения затронут наш проект, но с точки зрения клиентов и конечных пользователей это была наша ошибка. Вот почему вы должны иметь механизм контроля изменений. Все ваши изменения должны быть проанализированы, одобрены и задокументированы, чтобы в случае возникновения проблемы вы смогли быстро в ней разобраться.

Рост числа пользователей

Один умный человек мне сказал, что для правильного определения числа пользователей надо умножить их текущее число на процентный рост компании, затем удвоить это число и добавить еще четыре. В идеальном мире эта формула продержится около года. Однако, правильнее будет так: подсчитайте текущее число пользователей, умножьте на 90%, вычтите шесть и надейтесь на лучшее. Вот некоторые методы, позволяющие вам совладать с будущими планами.

Одним из способов состоит в создании стандартной платформы и обеспечении работы всех серверов на одинаковом оборудовании. Это позволит вам настроить один сервер, протестировать, а затем создать "золотой образ" и с него построить остальные серверы. Использование "золотого образа" и избежание хранения данных пользователей на серверах MetaFrame позволяет также обойтись одним жестким диском. В случае выхода его из строя просто поставьте новый и сделайте восстановление с образа.

Если по каким-то причинам стандартная платформа и образы неприемлимы, то существуют другие методы масштабирования при росте числа пользователей. Windows 2000 очень хорошо масштабируется в многопроцессорной среде, в зависимости от приложений. Если использование CPU достигает 80%, то я рекомендую не добавлять новых пользователей до тех пор, пока вы не установите новые процессоры на существующий сервер или не увиличите общее количество серверов. Не забудьте также проверить использование памяти.

Новые приложения

Вам следует тщательно тестировать новые приложения перед вводом их в эксплуатацию. Нельзя инсталлировать новые приложения на живой работающий сервер без проверки. Используйте программы типа WinRunner (Mercury Interactive или WinBatch Wilson WindowWare. Эти программы позволяют создавать скрипты для проверки приложений в автоматизированном режиме и эмулировать от одного до 1000 одновременных пользователей. Используйте их для проверки всех аспектов приложения, включая печать, копии экранов, сохранение файлов, отправку почты и т.д.

Конфигурация для Интернет

Настройка машрутизаторов и коммутаторов для приоритетной обработки траффика ICA или использования технологии packet-shaping компаний Packeteer или Net Reality может повысить производительность и стабильность ICA.

В таблице показаны порты, используемые ICA и RDP. В зависимости от политики компании порты UDP могут быть закрыты. Citrix решила это проблему в Feature Release 1 и Service Pack 2. (А также в MetaFrame XP - Прим.перев.)

Установка соединения ICA может происходить двумя способами:

• Если вы напрямую подключаетесь к конкретному серверу, а не к опубликованному приложению, клиент посылает пакет TCP со своего IP-адреса на IP-адрес сервера на порт 1494 со своего порта из диапазона 1024 - 65535. Сервер затем отвечает клиенту на исходный порт и начинает соединение.
• Если вы подключаетесь к опубликованному приложению, процесс немного иной. Клиент посылает пакет UDP на Master ICA на порт UDP 1604 для запроса сервера, который может предоставить приложение. ICA Browser отвечает сервером, способным обслуживать данное приложение; если включено балансирование нагрузки, он возвращает наименее загруженный сервер.

• Убедитесь, что траффик UDP может проходить через firewall.
• Если filrewall делает трансляцию адресов, проверьте, что клиент сконфигурирован с альтернативным адресом.
• Проверьте, что сервер сконфигурирован на предоставление альтернативного адреса утилитой altaddr.exe.

Мониторинг

Вы должны постоянно следить за производительностью сервера для предупреждения появления узких мест и быстро их устранять в случае появления. Для этого существует много средств.

Утилиты сеансов

Утилита Citrix Server Administration запускается из меню MetaFrame Tools или командой mfadmin. Она используется для наблюдения за активностью пользователей. На следующем рисунке показан интерфейс этой утилиты; в левой панели раскрыт наш сервер, а в правой выбрана закладка Sessions:

Вы можете видеть:

• Подключенных пользователей
• Идентификатор сеанса
• Используемый протокол (ICA или RDP)
• Имя клиента
• Как долго он находится в неактивном состоянии
• Время регистрации

Следующий рисунок показывает закладку ICA Browser, на которой вы указали роль сервера в сети браузеров ICA:

Для больших инсталляций для Master ICA Browser вы должны установить значение "Always attempt to become the Master ICA Browser.", еще две или три машины - как "No Preference.". Для остальных серверов должно быть установлено "Do not attempt to become the Master ICA Browser.". При использовании балансирования нагрузки укажите "Master ICA Browser Refresh Interval" около 60 секунд. Этот параметр управляет скоростью обновления информации о состоянии Master ICA Browser. Параметр "Master ICA Browser Update Delay" определяет максимальное время ожидания клиентом.

Совет
Если ICA Master Browser работает на сервере, помимо этого предоставляющего приложения, большая нагрузка может влиять на производительность службы ICA Browser, вызывая ее остановку. При установки пяти и более серверов Citrix, я рекомендую в качестве ICA Master Browser использовать отдельную маломощную машину с одним процессором и 128-256MB RAM. На эту машину надо установить Windows 2000 Terminal Services и Citrix MetaFrame.

Если на левой панели вы выберете пользователя, а на правой - закладку Precesses, то увидите список процессов пользователя:

Закладка User Information показывает подробную информацию о каждом сеансе:

• Имя зарегистрировавшего пользователя, который инициировал сеанс на сервере
• Имя компьютера клиента
• Версия программы, установленной на компьютере клиента
• Каталог, в котором установлен клиент
• Идентификатор продукта клиента
• Идентификатор оборудования клиента
• Адрес клиента, если известен
• Число буферов сервера и клиента
• Глубина цвета и разрешение клиента
• Имя модема елиента, если известно
• Уровень шифрования, если используется
• Лицензии, выданные клиенту

В нижней части экрана утилиты Citrix Server Administration есть закладка Published Applications:

Теневые сеансы

Теневые сеансы, пожалуй, являются самым лучшим когда-бы то ни было изобретенным средством поддержки пользователей. Когда пользователь звонит со своей проблемой, служащий службы поддержки может просто инициировать теневой сеанс и наблюдать, какие действия выполняет пользователь. Далее он может дать пользователю инструкции или взять на себя контроль над его машиной и показать, что надо делать или изменить какие-то установки.

Теневые сеансы надо настроить до ввода в эксплуатацию. По умолчанию соединение ICA настроено на наследование настроек пользователя, а настройки пользователя по умолчанию позволяют теневые сеансы, интерактивное вмешательство и уведомление. Интерактивное вмешательство означает, что можно не только наблюдать за чужим сеансом, но и взаимодействовать с его мышью и клавиатурой. Уведомление означает, что пользователь получит сообщение:

Пользователь может принять или отклонить установление теневого сеанса. Если уведомление отключено, пользователь не будет знать, что за ним кто-то наблюдает, если не считать морганий экрана.

Для установки теневого сеанса необходимо самому зарегистрироваться, а затем запустить панель Shadow. При этом открывается диалог:

Теневые сеансы могут представлять угрозу безопасности и конфиденциальности. Очень важно правильно для них настроить политику безопасности. По умолчанию инициирование теневых сеансов разрешено только для групп системы и локальных администраторов. Как уже указывалось, удаление группы администраторов домена из группы локальных администраторов позволяет ограничить доступ к теневым сеансам. Можно создать локлаьную группу Shadowing и дать ей права установления теневых сеансов, а затем добавить в эту группу индивидуальных пользователей.

Для изменения привилегий теневых сеансов откройте Citrix Connection Configuration из группы MetaFrame Tools. Выберите ICA-tcp connection и из меню Security выберите Permissions. Щелкните кнопку Advanced для вывода установок привилегий. В этом диалоге укажите, какие группы и польователи имеют право установления теневых сеансов. Выберите группу, щелкните View/Edit для просмотра индивидуальных установок. Для включения привилегии теневых сеансов, включите флажок Allow Remote Control.

Устранение неполадок

В интернет существуют много полезных ресурсов, которые могут помочь вам справиться с возникающими сложностями. Я предпочитаю эти:

• www.thethin.net
  Веб-сайт и список рассылки.
• www.thinplanet.com
  Отличный сайт с форумами, новостями, банком резюме, списков вакансий
• Microsoft Knowledge Base
• Citrix Knowledge Base
• Форум Citrix
• Форум на BrainBuzz
  

Помимо ошибок в программах и глупых пользователей вы столкнетесь с такими проблемами:

• Переназначение драйвов
• Проблемы с подключениями
• Файлы, загруженные пользователями (вирусы)
• Печать

Переназначение драйвов

При установке MetaFrame спрашивает, хотите ли вы переназначать диски сервера. Это помогает пользователям при подключении к серверу видеть свои локальные диски. Если вы переназначаете буквы дисков сервера, они станут, например, M:, N:, and O:. При подключении клиента он может назначить C: на сервере на свой локальный диск C:. Если вы переназначили диски, но после перезагрузки драйвы остались C:, D: и т.д., проверьте, не установлен ли программный RAID (например, зеркалирование). MetaFrame не может переназначить буквы, если системный диск зазеркалирован. Разбейте зеркало, удалите раздел с другого диска и переустановите MetaFrame. После установки MetaFrame восстановите зеркало.

Проблемы с подключением

Terminal Services и MetaFrame особенно эффективны при предоставлении доступа к приложениям для пользователей по медленным каналам. Эти каналы, особенно Интернет, могут быть очень нестабильными. Тайм-ауты, задержки, обрывы связи могут вызывать в отключения сеансов и/или медленный ответ. Не всегда возможно проложить более быструю связь, поэтому мы должны заняться настройкой операционной системы. Вы можете подрегулировать:

• Графику с малым количеством цветов
• Отключение мерцания курсора
• Отключение публикации всего рабочего стола
• Использование технологии packet-shaping (Quality of Service)

Для отключенных сеансов мы можем настроить стек TCP/IP:
Увеличение размера буфера TCP/IP:
Измените размер буфера TCP/IP с 4356 до 14596:
"HKEY_LOCAL_MACHINE\System\CurrentContolSet\Services\LanmanServer\Parameters"
Добавьте значение: SizReqBuf REG_DWORD:
Установите значение этого параметра 14596.

Цельный курсор
Установка курсора немигающим очень эффективно в низкоскоростных соединениях. Мерцающий курсор посылает несколько байт данных при каждом мерцании, и запрет мерцания экономит немного полосы пропускания.
HKEY_USERS/.default/Control Panel/Desktop
Установите значение CursorBlinkRate Reg_SZ -1

Скорость обновления меню Start
Вы можете увеличить скорость обновления, чтобы уменьшить время ответа в меню.
"HKEY_USERS\DEFAULT\Control Panel\Desktop"
Добавьте значение: MenuShowDelay REG_DWORD: 10

Disable Paging Executive: Q184419
Для улучшения времени ответа запретите свопинг исполняемых файлов, чтобы постоянно держать весь код ядра и драйверы в памяти. Это перемещает ядро и драйверы в память. Microsoft рекомендует использовать эту опцию только если сервер имеет много RAM (более 1GB).
"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management"
Установите значение DisablePagingExecutive 1

Изменение IOPageLockLimit: Q102985
Ограничьте число байт, блокируемых в операциях ввода/вывода.
"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management"
Измените значения: Default 0, установленных MB памяти * 128. Переведите это число в 16-ричный формат; например, для 1GB RAM это будет 1024MB * 128 = 131072. Введите это число как десятичное значение.

Установите кеш L2 процессора в 256KB и выше
Если кеш второго уровня больше 256К, измените реестр следующим образом (будьте осторожны, это может замедлить сервер):
"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Session Manager\Memory Management"
Добавьте значение: SecondLevelDataCache REG_DWORD: 1024 (decimal)

Оключите Dr. Watson: Q188296
Dr. Watson - полезный инструмент, когда нужен, но пользователям не требуется видеть отчеты об ошибках в своих сеансах.
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\Auto"
Значение 0 будет выводить сообщение об ошибке, когда работает Dr. Watson. Значение 1 (по умолчанию) указывает отладчику стартовать при загрузук. Чтобы не давать работать Dr. Watson, удалите подключ AeDebug. Чтобы вренуть Dr. Watson, введите команду drwtsn32 -i.

Предотвращение загрузки файлов пользователями

Когда пользователи путешествуют по интернет, они могут случайно загрузить словредные программы и даже вирусы. Для запрещения загрузки файлов в Internet Explorer, сделайте следующее:

1. С командной строки введите user /install.
2. Запустите Internet Explorer, войдите в меню Tools и выберите Security.
3. Для выбранной зоны щелкните кнопку Custom level и найдите в списке позицию Download.
4. Запретите загрузку файлов и/или шрифтов.
5. Ближе к началу списка вы также можете запретить загрузку разных типов активных компонентов ActiveX и Java.
6. Щелкните OK и закройте браузер.
7. С командной строки введите : change user /execute

1. Откройте апплет Active Directory Users and Computers
2. Создайте новую организационную единицу (OU) и назовите ее "Citrix Servers".
3. Поместите все серверы Citrix в эту OU.
4. Щелкните правой кнопкой мыши на OU и выберите Properties.
5. Выберите закладку Group Policy.
6. Щелкните New для добавления объекта и назовите его "Normal Users".
7. Подсветите новый объект и щелкните Edit.
8. Найдите в объекте Windows Settings/Internet Explorer.
9. Выберите Security Key, и в правой панели дважды щелкните на Security Zones и Content Ratings.
10. В разделе Security Zones выберите импорт текущих настроек безпасности зоны.
11. Щелкните кнопку Modify Settings.
12. Выберите в списке зоны объект Internet.
13. Щелкните custom level и спуститесь к пункту Downloads.
14. Здесь вы можете разрешить или запретить загрузку.
15. Щелкните OK и закройте все диалоговые окна.

Печать

Я уверен, что печать доставляет вам, как администратору, больше всего хлопот. Со всеми драйверами, серверами печати, почередями, связью, печать занимает много вашего времени. Это справедливо и в терминальных службах. Если вы используете только Terminal Services, то печать ограничена только классической печатью Windows. Citrix MetaFrame позволяет автоматически переназначать принетры на принтеры компьютеров клиентов. Тут лежит проблема: часто вы не знаете, каким образом эти принтеры подключены к пользовательским компьютерам.

Как работает печать
Печать в MetaFrame работает почти так же, как в обычной Windows 2000, за исключением некоторых особенностей. При печати на сетевой принтер в LAN, терминальные службы помещают задание в очередь для сервера печати как обычно. Если пользователь печатает на принтер, подключенный к компьютеру через USB, MetaFrame выводит задание на печать на локальный порт через клиента ICA. В зависимости от скорости соединения и размера задания, заданию может потребоваться несколько минут до начала печати. При запуске задания на печать оно помещается в спулер и конвертируется в файл на том языке, который понимает принтер. Часто такие файлы значительно больше, чем оригинальные задания. Этот файл пересылается на спулер клиента. Эта пересылка файла зависит от скорости соединения. Если клиент подключен через LAN, то печть происходит быстро и пользователь почти не видит разницы с обычной печатью. Но если это модемный клиент на низкоскоростной линии, эта передача файла намного медленнее, и заданию требуется много времени для начала печати.

Устранение проблем с печатью
Многие проблемы с печатью связаны с разнообразием драйверов принтеров. MetaFrame предусматривает механизм уменьшения количества драйверов, используя механизм файла подстановки драйвера. Этот файл называется wtsuprn.INF. На свежей системе он имеет имя wtsuprn.TXT. При модификации он переименовывается в wtsuprn.INF. Этот файл позволяет вам использовать один и тот же драйвер для нескольких моделей принтеров. Например, почти все модели принтеров Hewlett Packard (HP) могут эмулировать HP LaserJet 4, а большинство принтеров HP DeskJet могут эмулировать HP DeskJet 660C. Эти два драйвера включены в Terminal Services и являются очень надежными и самыми стабильными. Хотя Terminal Services включает большинство современных драйверов, я предпочитаю использовать свой wtsuprn.INF. Смотрите также замечания Hewlett Packard об использовании принтеров в Terminal Services.

Избегайте установки HP Printing System. HP теперь для большинства из своих принтеров предлагает "корпоративные драйверы", которые включают в себя только сами драйверы, без дополнений.