Технология за работа с папки (Работни папки) ви позволява да организирате отдалечен достъп за потребителите до техните файлове на вътрешния файлов сървър на компанията и да работите с тях офлайн от всяко устройство (лаптоп, таблет или смартфон). Следващият път, когато се свържете с мрежата, всички промени във файловете на устройството на потребителя се синхронизират с корпоративния файлов сървър. В тази статия ще покажем как да инсталирате и конфигурирате функционалността Work Folders въз основа на файловия сървър на Windows Server 2016 и клиента с Windows 10 .
Като съхранение на файлове може да се използва файлов сървър с Windows Server 2012 R2 като клиенти всички версии на Windows, започвайки с Windows 7, както и устройства с Android 4.4 или iOS 8 и по-нови версии (клиентът Work Folders за тези устройства е наличен в Google Play и App Съхранявайте съответно). С помощта на политиките за сигурност можете да изискате от клиентите на Work Folders да съхраняват съдържанието на техните работни папки в криптиран вид, което гарантира защита на данните дори в случай на загуба / кражба на устройството.
Съдържание:
- Инсталирайте и конфигурирайте ролята на Работните папки в Windows Server 2016
- Конфигуриране на клиент за работни папки
- Конфигуриране на клиента на работните папки с групови политики на Windows
- Синхронизация на грешки Работни папки 0x80c80317
- заключение
Инсталирайте и конфигурирайте ролята на Работните папки в Windows Server 2016
Можете да инсталирате ролята Work Folders в Windows Server 2016 от GUI на Server Manager или с помощта на PowerShell.
В първия случай се нуждаете от Server Manager вътре в ролята Услуги за файлове и съхранение изберете услуга Работни папки (необходимите компоненти на IIS Hostable Web Core автоматично ще се добавят към инсталацията).
Инсталирането на ролята на Работните папки с помощта на PowerShell се извършва със следната команда:
Инсталирайте-WindowsFeature FS-SyncShareService, Web-WHC
За да осигурите достъп до работещи папки в Active Directory, трябва да създадете групи за сигурност, в които трябва да включите потребители, на които ще бъде разрешено да синхронизират своите устройства с работещи папки на файловия сървър (за по-бърза работа на услугата Work Folders чрез намаляване на броя на заявките до AD, Microsoft препоръчва поставете само потребителски акаунти в тези групи, но не и други групи за сигурност).
Следващата стъпка е да създадете мрежови директории на файловия сървър, с които потребителите ще синхронизират. Тези директории могат да бъдат създадени от Server Manager или PowerShell конзола..
Отворете Server Manager, изберете роля Услуги за файлове и съхранение -> Работни папки. Изберете меню Задачи -> Ново споделяне на синхронизацията.
След това трябва да посочите директорията, до която ще бъде предоставен достъп. В нашия пример това е папката C: \ finance.
След това трябва да изберете коя структура на потребителските папки ще се използва. Папките могат да бъдат именувани по потребителски акаунт (псевдоним) или във формат user @ domain.
Тогава се посочва името на топките..
След това трябва да посочите групите за достъп, на които трябва да бъде предоставен достъп до тази директория.
По-долу са правилата за защита на работещите папки, които трябва да се прилагат към клиента. Има две политики:
- Шифроване на работните папки - Задължително криптиране на данни в директорията Work Folder на клиента с помощта на BitLocker
- Автоматично заключване на екрана и изискване на парола- автоматично заключване на екрана след 15 минути бездействие на устройството и защита на паролата (най-малко 6 знака)
С това завършва конфигурацията на новата работеща папка..
Същите стъпки за създаване на нова папка за синхронизация могат да бъдат изпълнени с командлета New-SyncShare. Например следната команда ще създаде нова папка за синхронизация и ще даде достъп до нея на групата
New-SyncShare "Продажби" C: \ sales -потребител "Sales_Users_Remote_WorkFolder"
За достъп до работните файлове чрез защитен протокол HTTPS, трябва да вържете валиден SSL сертификат към уебсайта на IIS, който обслужва папките Work Folder..
забележка. Не е необходимо да се използва сертификат в тестова конфигурация, изискването на сертификат за клиента може да се игнорира. Вижте командата по-долу.Най-лесният начин е да използвате безплатен SSL сертификат от Let's Encrypt. Процесът на издаване и обвързване на такъв сертификат в IIS е описан в сертификата „Да шифроваме за Windows“ (IIS).
съвет. За да свържете външни клиенти към сървъра на Работната папка за достъп и синхронизиране на файлове, трябва да конфигурирате съответно името на DNS сървъра във външната зона и също така да позволите трафик към сървъра на порта 80 и / или 443 TCP на защитната стена. В допълнение, за по-пълна защита можете да организирате достъп чрез прокси сървъра на уеб приложението.Конфигуриране на клиент за работни папки
В този пример като клиент на Работните папки се използва устройство с Windows 10. Конфигурирането се извършва чрез съществуващия аплет в Контролния панел -> Система и сигурност -> Работни папки (този елемент не е наличен в сървърни издания).
За да стартирате конфигурацията, щракнете Настройте работни папки.
След това трябва да посочите потребителския имейл или URL адреса на сървъра на работните папки.
По подразбиране клиентът се свързва със сървъра посредством защитен HTTPS протокол. В тестова среда това изискване може да бъде отменено, като стартирате командата на клиента:
Reg добавете HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WorkFolders / v AllowUnsecureConnection / t REG_DWORD / d 1
За достъп до данните, които трябва да влезете и да потвърдите съгласието си с политиките за сигурност, които ще се прилагат към клиента.
На клиентите на Windows работните файлове се съхраняват по подразбиране в потребителския профил в директорията % USERPROFILE% \ Работни папки и размерът им не може да надвишава 10 GB.
След като клиентът се свърже със сървъра, се създава директория Work Folders. Ако файловете в работните папки не са се променили, клиентът се синхронизира с файловия сървър на всеки 10 минути. Синхронизирането на променените файлове се извършва незабавно. Освен това, ако има промени, сървърът автоматично уведомява други клиенти за необходимостта от актуализиране на техните данни от централния сървър (по този начин промените трябва да се появят възможно най-бързо на всички свързани устройства).
Състоянието на синхронизацията, грешките, свободното пространство на сървъра могат да се разглеждат в същия елемент на контролния панел.
За да проверите операцията на синхронизация, създайте нова директория в папката Work Folders и след това изберете елемента в контекстното меню Синхронизирайте сега.
След известно време тази директория трябва да се появи на сървъра.
Конфигуриране на клиента на работните папки с групови политики на Windows
За автоматично конфигуриране на работни папки можете да използвате две специализирани групови правила в секцията Конфигурация на потребителя -> Политики -> Административни шаблони -> Компоненти на Windows -> Работни папки:
- Посочете настройките на работните папки - в него можете да посочите URL адреса на сървъра на работните папки
- Принудителна автоматична настройка за всички потребители - инициира автоматична конфигурация на клиента
Синхронизация на грешки Работни папки 0x80c80317
В тестовата конфигурация срещнах следната грешка при синхронизиране на файлове на клиента:
Възникна проблем, но синхронизирането ще се опита отново (0x80c80317)
Дневникът на сървъра съдържа следните записи:
Услугата Windows Sync Share не успя да настрои ново партньорство за синхронизиране с устройство. База данни: \\? \ C: \ потребители \ SyncShareState \ WorkFolders \ Метаданни; Име на потребителската папка: \\? \ C: \ Финанси \ WORKFOLDERS_ROOT \ USER.TEST; Код на грешка: (0x8e5e0408) Не може да се чете или записва в базата данни.Тези грешки показват проблем в механизма за синхронизация. В този случай потребителят трябва да изпълни командите
Repair-SyncShare -име Финанси-домейн потребител \ user1
Get-SyncUserStatus -syncshare Finance-домейн на потребител \ user1
Това обикновено решава проблема със счупената синхронизация..
заключение
И така, ние разгледахме как да конфигурират и използват функцията Work Folders в Windows Server 2016. Тази технология позволява на потребителите да работят отдалечено с корпоративни файлове на почти всяко устройство и е възможно да се осигури адекватно ниво на защита на данните от компромиси, като се използва криптиране от страна на клиентското устройство. Разбира се, това решение е далеч от удобството и гъвкавостта на облачното съхранение на Dropbox или OneDrive, но основният аспект тук е лекотата на конфигуриране и съхранение на данни в компанията, а не в облак на трети страни. Освен това с Work Folders можете да използвате технологии като способността за управление на квоти и типове файлове с помощта на FSRM, поддръжка на файлови кластери, контрол на достъпа до данни с помощта на динамичен контрол на достъпа и инфраструктура за класификация на файлове.
