Zdalnie, a jakby lokalnie

Usługi terminalowe polegają na tym, że w środowisku serwera jest uruchamiana sesja klienta z równoczesnym przekierowaniem klawiatury, ekranu, myszki i drukarek do zdalnego użytkownika. Wszystkie procesy odbywają się na serwerze. Bardzo popularne stały się usługi terminalowe wbudowane w system Windows 2000 Server, które w Windows Server 2003 udoskonalono (pojawiło się np. mapowanie lokalnych dysków klienta - co produkty, takie jak Citrix MetaFrame, Jetro CockpIT mają już od dawna).

W porównaniu z rozwiązaniami tunelującymi konfiguracja usług terminalowych nie jest trudna i umożliwia szybkie scentralizowanie w zasadzie wszystkich aplikacji. Są przy tym niezbyt wymagające pod względem pasma sieciowego - do komfortowej pracy jednego użytkownika wystarczy 20-25 Kb/s, można więc zastosować łącza GSM/HSCSD lub GSM/GPRS.

Jetro CockpIT. Szczególnie godny uwagi jest produkt Jetro CockpIT małej amerykańskiej firmy Jetro Platforms. Możliwości jego najnowszej wersji są podobne do Citrix MetaFrame XP, przy czym pakiet ten jest od rozwiązania Citrixa znacznie łatwiejszy w utrzymaniu i tańszy. Konfiguracja jest naprawdę nieskomplikowana, proste jest także tworzenie farm równoważących obciążenie, co w przypadku Citrixa, mimo postępu, wciąż nastręcza pewnych problemów.

Bardzo sprytnie rozwiązano kwestię drukowania - nie wymaga nawet instalowania sterownika drukarki na serwerze. Rozwiązanie Jetro umożliwia drukowanie na dowolnej drukarce, nawet na takiej, dla której nie ma sterowników dla systemu Windows 2000/XP, np. starej drukarce atramentowej Lexmark WinWriter. Po stronie serwera jest generowany plik PDF, który jest drukowany lokalnie przez Adobe Reader działający obok klienta Jetro. Dodatkową zaletą Jetro jest stosunkowo niewielka - w porównaniu z Citrixem - ingerencja w jądro systemu operacyjnego serwera Windows. Każdy, kto miał okazję odtwarzać rozwiązanie Citrix MetaFrame po instalacji łat na system Windows, doceni tę niepozorną cechę Jetro.

Jedyną wadą Jetro CockpIT jest konieczność zastosowania serwera IIS. Oznacza to, iż rozwiązanie Jetro powinno być konfigurowane przez osoby znające dokładnie słabości IIS i potrafiące je skutecznie eliminować. Należy wspomnieć, że klient WWW Jetro działał poprawnie na platformie Windows tylko z przeglądarką Internet Explorer, co dla niektórych organizacji może stanowić przeszkodę. Przedstawicielem Jetro Platforms w Polsce jest warszawska firma Nodus.

Tarantella. Najbardziej rozbudowaną i dającą największe możliwości platformą usług terminalowych jest Tarantella. Jest ona tym bardziej interesująca, że działa na serwerach zarówno Windows, jak i Unix. Klient Tarantella łączy się z serwerem, na którym po poprawnym zalogowaniu się użytkownika jest udostępniany wirtualny pulpit z opublikowanymi aplikacjami.

Najważniejszą cechą systemu Tarantella jest możliwość publikacji aplikacji w heterogenicznych środowiskach serwerowych. Przykładowo, można na jednym pulpicie udostępnić aplikację pracującą w środowisku Windows, np. Microsoft Excel XP (serwerem jest Windows Server 2003 z usługami terminalowymi) oraz typową aplikację Unix, np. xclock albo GIMP w wersji dla systemów Unix (serwerem jest system Unix). Dodatkową przewagą jest uniwersalny klient WWW, który działa bardzo dobrze nawet w tak niszowych przeglądarkach WWW, jak K-meleon (http://kmeleon.sf.net ). Tej zalety nie mają usługi terminalowe Microsoftu ani nawet Citrix czy Jetro.

Windows Terminal Services. Zaletami przemawiającymi za korzystaniem z usług terminalowych Microsoftu są: prostota instalacji i dostępność klienta na różne platformy sprzętowe, także PocketPC. Istnieje prosty klient dla systemów innych niż Windows (projekt rdesktop rozwijany na zasadach open source), który stał się standardowym elementem wielu dystrybucji Linuxa. Istnieje nawet możliwość przygotowania klienta rdesktop uruchamianego z płyty CD-ROM, bez konieczności instalacji w komputerze dysku twardego ani dodatkowego systemu operacyjnego.

W systemach Windows XP Professional zastosowano uproszczoną wersję usług terminalowych zapewniającą zdalny dostęp do pulpitu komputera. Funkcję tę można wykorzystać do zdalnego dostępu dla jednej osoby (np. administratora), gdyż w porównaniu z kosztem licencji na serwer Terminal Services jest to metoda tania. Ten tryb nie nadaje się jednak do wsparcia technicznego na większą skalę, ponieważ nie pozwala na interakcję administratora i użytkownika. Tej wady nie ma pełna wersja usług terminalowych serwera Windows 2000/2003, a także Citrix MetaFrame, GoToMyPC i darmowe VNC, o którym w dalszej części.

Wdrażając dowolne rozwiązanie terminalowe, należy pamiętać, aby zawsze zabezpieczyć je za pomocą zapory firewall. Na marginesie wypada wspomnieć, że pierwsze licencje na Windows 2000 Server nie wymagają oddzielnej licencji CAL dla klientów usług terminalowych, jeśli klientem jest system Windows 2000 Professional lub nowszy.

NSAS - podaj dalej

O ile serwery terminalowe są znane od wielu lat, o tyle serwery aplikacyjne to stosunkowo nowa seria rozwiązań do dostępu zdalnego. Rozwiązanie takie zestawia szyfrowane połączenia między działającą na komputerze-kliencie przeglądarką WWW a aplikacją/usługą pracującą w sieci LAN. Jednym z najciekawszych propozycji w tej dziedzinie jest komercyjny produkt Nokia Secure Access System (NSAS).

Oto jego zalety:

• bezproblemowo obsługuje aplikacje WWW, w tym nawet tworzone za pomocą narzędzi Lotus Domino (owe długie, "dziwne" odnośniki), dynamiczne strony PHP (także PHPGroupware i podobne aplikacje), Outlook Web Access, a także dostęp do sieciowych systemów plików (CIFS, NFS) itd.;
• po stronie klienta wymagana jest tylko przeglądarka WWW - rozwiązanie działa niezależnie od platformy klienta, drukuje na każdej drukarce;
• system działa praktycznie zawsze - nie dotyczą go problemy spotykane przy wdrożeniach IPsec, zwłaszcza z translacją NAT;
• w przypadku certyfikowania serwera przez uznany urząd certyfikacji i przy wykorzystaniu sprawnej przeglądarki pewność i integralność połączenia są gwarantowane;
• szyfrowanie SSL nie wymaga tak dużej mocy obliczeniowej, jak stosowany w rozwiązaniach IPsec algorytm 3DES.

Są także i minusy:

• jeśli przeglądarka zawiera poważne błędy, np. powszechny do niedawna błąd systemu Windows polegający na nieprawidłowym sprawdzaniu certyfikatów SSL w IE, może dojść do naruszenia bezpieczeństwa sesji;
• nie nadaje się do pracy z aplikacjami wykorzystującymi dynamiczne przydzielanie portów, np. VoIP;
• jest kosztowne.