АйТи Фреш
Главная / Статьи / Сети
Сети

Гибридный офис: как настроить IT-инфраструктуру, если сотрудники чередуют дом и офис

Автор: Семёнов Евгений Сергеевич, директор ООО «АйТи-Фреш» · 2026-07-19
Гибридный офис: как настроить IT-инфраструктуру, если сотрудники чередуют дом и офис

Года три назад гибридный график был редкостью — просили один-два клиента с молодой командой. Сейчас процентов сорок наших клиентов держат часть сотрудников на удалёнке хотя бы два-три дня в неделю. И почти в каждом случае всё начиналось одинаково: бухгалтер работает из дома, открывает 1С через какой-то самопальный VPN, который в четверг перестаёт коннектиться, а файлы лежат частично на сервере, частично в личном Google Диске, потому что «так было проще». Расскажу, как мы это разруливаем и почему единая точка входа — не роскошь, а необходимость.

Почему гибрид ломает старую IT-схему

Обычный малый офис на 15-30 рабочих мест строился по простому принципу: все компьютеры в одной сети, сервер в шкафу, 1С стоит локально или в сети, папка \\SERVER\Общая доступна всем. Это работало десятилетиями. Но стоит половине людей начать появляться в офисе через день — и схема трещит по швам.

У одного клиента, юрфирма на Малой Дмитровке, было ровно так: договоры лежали на сервере, доступ — только из локальной сети через VPN-клиент, который настраивали руками на каждом ноутбуке. Юрист увольняется — забыл сдать ноутбук с сертификатом. Новый юрист приходит — сидит два дня без доступа, потому что айтишник в отпуске. Дальше так продолжаться не может, если работа наполовину удалённо — норма, а не исключение.

Проблема не в том, что удалённый доступ технически невозможно настроить руками под каждого. Проблема в том, что это не масштабируется и не переживает текучку кадров. Нужна не заплатка, а архитектура, где неважно, сидит человек за столом в опенспейсе или на кухне — вход у него один и тот же.

Первая ошибка: пробрасывать RDP на каждый компьютер

Самое частое, что мы видим при первом аудите — проброшенный на роутере RDP-порт прямо на рабочую станцию сотрудника. 3389 наружу, иногда даже без смены порта по умолчанию. Работает? Работает. Ровно до того момента, пока боты не начинают перебирать пароли по ночам — а они начинают перебирать всегда, это вопрос дней, не недель.

У клиента из сферы медуслуг (сеть из трёх клиник) мы в прошлом году нашли пять таких пробросов одновременно — на компьютеры администраторов ресепшена. Логи pfSense показывали по 40-60 тысяч попыток входа в сутки с разных IP. Пока не поймали — пронесло. Но рано или поздно кто-то подберёт пароль вида «Registratura2023», и тогда это уже не гипотетический риск, а реальный шифровальщик на сервере с базой пациентов.

Второй минус такой схемы — она заточена под конкретный компьютер, а не под человека. Сотрудник дома логинится в свой рабочий ПК, но если тот завис или выключен — всё, доступа нет. Гибридный формат требует обратного: точка входа должна быть одна и не привязана к железу конкретного стола.

Единая точка входа: терминальный сервер или RDS-шлюз

Правильная схема, которую мы разворачиваем у большинства клиентов до 50 рабочих мест — терминальный сервер (RDS) на Windows Server, куда сотрудник заходит по защищённому RDP-шлюзу вне зависимости от того, откуда он подключается: из офиса по локальной сети или из дома через интернет. Один адрес, один логин, одна точка, которую администратор контролирует и видит.

На практике это выглядит так: ставим Windows Server 2019 или 2022 с ролью RDS, настраиваем RD Gateway с сертификатом (обычным Let's Encrypt, платить за него не нужно), закрываем прямой RDP наружу вообще — только через шлюз по 443 порту, который и так открыт у всех. Сотрудник запускает ярлык, вводит логин-пароль плюс второй фактор — и попадает в свою сессию, где стоит 1С, Word, Excel, всё как в офисе.

Для компании на 20-30 человек такой сервер обычно обходится в 150-250 тысяч рублей железом (можно взять сервер бывший в употреблении — Supermicro или Dell, разница в цене двукратная) плюс лицензии CAL по 3-5 тысяч рублей за пользователя. Дороже, чем ничего не делать, но дешевле одного простоя из-за шифровальщика.

1С в гибридном режиме: что делать с базой

1С — самое больное место у бухгалтерий и торговых компаний. Многие до сих пор держат толстый клиент, который открывает базу напрямую по сети — а такое через интернет работать не будет вообще, оно и по слабому Wi-Fi в офисе иногда тормозит. Решение — либо тот же терминальный сервер (1С крутится там же, где сессия пользователя, трафик идёт только экран плюс клавиатура), либо публикация базы через веб-сервер (IIS или Apache) с работой через тонкий клиент или браузер.

У клиента-производителя мебели мы перевели 1С:Бухгалтерию и 1С:Управление торговлей на публикацию через Apache на сервере в облаке — бухгалтер заходит с любого устройства по ссылке вида 1c.ихдомен.ru, вводит логин от базы, работает в браузере. Никакого VPN, никакого RDP, скорость та же, что в офисе, потому что тяжёлые расчёты идут на сервере, а не гоняются по каналу клиента.

Отдельно про лицензии: если сажаете пять человек на терминальный сервер работать в 1С одновременно, нужны либо клиентские лицензии на каждое рабочее место, либо серверная многопользовательская — считайте заранее, потому что 1С такое отслеживает, и работа «вроде так можно» вылезает штрафом при проверке франчайзи.

Файлы: забудьте про расшаренную папку на удачу

С файлами история похожая. \\SERVER\Общая через VPN работает медленно и криво — Windows пытается синхронизировать метаданные по каждому клику, при плохом канале это боль. Мы обычно предлагаем два варианта: либо тот же терминальный сервер, где файлы физически лежат рядом с сессией и доступ к ним мгновенный, либо облачное файловое хранилище с синхронизацией — Nextcloud на своём сервере или что-то похожее.

Плюс терминального варианта — все файлы никогда не покидают контролируемую инфраструктуру, что важно для юрфирм и медицины, где документы конфиденциальны. Плюс облачной синхронизации — человек может открыть файл офлайн, если интернет пропал, и он же синхронизируется на телефон. Для торговой компании с разъездными менеджерами это часто удобнее.

У одного клиента (оптовая торговля стройматериалами, 35 рабочих мест) мы сделали гибрид: бухгалтерия и 1С — на терминальном сервере, а рабочие документы менеджеров — в Nextcloud с правами по группам. Так каждый получил тот тип доступа, который реально нужен его задачам, а не одну схему на всех через силу.

Безопасность: без неё гибрид — дыра, а не удобство

Открывая единую точку входа наружу, вы автоматически создаёте цель для атаки. Это нормально, просто требует трёх вещей: двухфакторной аутентификации на входе (мы обычно ставим Google Authenticator или похожий TOTP прямо на RD Gateway), белого списка стран или гео-фильтрации на файрволе, и нормального антивируса на самом терминальном сервере — не бесплатного Windows Defender без настроек, а managed-решения с централизованным логом.

Отдельно — КриптоПро и электронная подпись. Если сотрудник подписывает документы или отправляет отчётность из дома, ключ ЭП либо остаётся физически в офисе (и подпись делается через терминальную сессию — тогда токен воткнут в сервер и никуда не выносится), либо выдаётся защищённый носитель, который человек носит с собой. Второй вариант рискованнее — токен теряют, флешку забывают в кафе, бывало и такое у клиентов.

И бэкапы. Гибридный офис означает, что данные теперь критичны вдвойне — если сервер один и он же точка входа для дома и офиса, его падение останавливает вообще всех. Ставим Veeam или встроенный Windows Server Backup с копированием на отдельный NAS или в другое здание. Без этого экономия на инфраструктуре аукнется один раз, но дорого.

Что мы обычно ставим клиентам: типовая схема и порядок цифр

Если сводить к одной картинке: сервер (свой в офисе или арендованная виртуальная машина у хостера) с ролью терминального сервера и опубликованной 1С, RD Gateway с сертификатом и 2FA, файловое хранилище — либо там же, либо в Nextcloud, антивирус с центральным управлением, резервное копирование на отдельный носитель. Всё это разворачивается за одну-две недели, если инфраструктура не в совсем плачевном состоянии.

По деньгам для компании на 30-40 рабочих мест: сервер (новый или б/у) — от 200 до 500 тысяч рублей единоразово в зависимости от мощности, лицензии Windows Server плюс CAL — порядка 80-150 тысяч, настройка и внедрение под ключ — обычно 60-120 тысяч рублей работой, дальше — абонентское обслуживание. Не самая маленькая сумма, но поделённая на 30-40 человек и на несколько лет она разумная — особенно на фоне того, что стоит один инцидент с шифровальщиком или сутки простоя бухгалтерии перед сдачей отчётности.

Самое частое возражение — «у нас и так работает через TeamViewer или AnyDesk, зачем усложнять». Отвечаю всегда одинаково: пока удалённо работает один-два человека, любой костыль сойдёт. Как только удалённых становится треть коллектива и больше, и они каждый день курсируют между домом и офисом — костыль превращается в источник инцидентов, и разбирать его в панике дороже, чем сделать по-человечески заранее.

Частые вопросы

Можно ли обойтись без отдельного сервера, если удалённых сотрудников немного?
Если удалённо работают 2-3 человека из 10, часто хватает VPN до офисной сети плюс публикация 1С через веб-сервер — без полноценного терминального сервера. Но как только гибридных сотрудников становится больше половины коллектива, разница в цене окупается снижением числа инцидентов и часов поддержки.

Что с 1С, если база уже в облаке у франчайзи?
Тогда часть задачи уже решена — доступ обычно идёт через тонкий клиент или веб-браузер, и его достаточно защитить двухфакторной аутентификацией и VPN до провайдера. Остаётся только файловое хранилище и остальные корпоративные сервисы, для которых всё равно нужна отдельная точка входа.

Насколько это уязвимо для атак, если открыть доступ наружу?
Уязвимо ровно настолько, насколько плохо настроено — открытый порт с 2FA, сертификатом и гео-фильтрацией по факту безопаснее, чем закрытая сеть с расшаренным на весь отдел паролем. Мы фиксировали десятки тысяч попыток подбора в сутки на клиентских серверах, и ни одна не прошла именно из-за многофакторки.

Сколько времени занимает переход на такую схему?
Для компании на 20-40 рабочих мест — от одной до трёх недель с учётом закупки железа, если оно нужно. Перенос 1С и файлов делаем поэтапно, без остановки работы, а финальное переключение обычно проводим в выходные.

Настроим единую точку доступа к 1С и файлам за одну-две недели — без остановки текущей работы офиса.
Оставьте заявку — проведём аудит текущей схемы удалённого доступа и покажем, что менять в первую очередь.
Бесплатная консультация →

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

© ООО «АйТи-Фреш» · Москва · Все статьи