Tehnologija delovnih map (Delovne mape) omogoča organiziranje oddaljenega dostopa uporabnikov do njihovih datotek na notranjem datotečnem strežniku podjetja in delo z njimi brez povezave s katere koli naprave (prenosni računalnik, tablični računalnik ali pametni telefon). Ko se naslednjič povežete z omrežjem, se vse spremembe datotek na uporabnikovi napravi sinhronizirajo s korporacijskim datotečnim strežnikom. V tem članku bomo pokazali, kako namestiti in konfigurirati funkcionalnost Work Folders na podlagi datotečnega strežnika Windows Server 2016 in odjemalca z Windows 10 .
Kot shranjevanje datotek je mogoče uporabiti datotečni strežnik z operacijskim sistemom Windows Server 2012 R2, ki odjema vse različice sistema Windows, začenši z operacijskim sistemom Windows 7, pa tudi naprave z Androidom 4.4 ali iOS 8 in novejšimi (odjemalec Work Folders za te naprave je na voljo v Googlu Play in App Shrani). S pomočjo varnostnih pravilnikov lahko od odjemalcev Work Folders zahtevate, da vsebino svojih delovnih map hranijo v šifrirani obliki, kar zagotavlja varstvo podatkov tudi v primeru izgube / kraje naprave.
Vsebina:
- Namestite in konfigurirajte vlogo Work Folders v sistemu Windows Server 2016
- Konfigurirajte stranko za delovne mape
- Konfiguriranje odjemalca Work Folders s skupinskimi pravilniki za Windows
- Napaka pri sinhronizaciji Delovnih map 0x80c80317
- Zaključek
Namestite in konfigurirajte vlogo Work Folders v sistemu Windows Server 2016
Vlogo Work Folders v operacijskem sistemu Windows Server 2016 lahko namestite iz GUI upravitelja strežnikov ali s pomočjo PowerShell-a.
V prvem primeru potrebujete v upravitelju strežnika znotraj vloge Datotečne in shranjevalne storitve izberite storitev Delovne mape (zahtevane komponente IIS Hostable Web Core bodo samodejno dodane v namestitev).
Namestitev vloge Work Folders s programom PowerShell se izvede z naslednjim ukazom:
Namestite-WindowsFeature FS-SyncShareService, Web-WHC
Če želite omogočiti dostop do delovnih map v Active Directory, morate ustvariti varnostne skupine, v katere morate vključiti uporabnike, ki jim bo dovoljeno sinhronizirati svoje naprave z delovnimi mapami na datotečnem strežniku (za hitrejše delo storitve Work Folders z zmanjšanjem števila zahtevkov za AD, Microsoft priporoča v te skupine postavljajte le uporabniške račune, ne pa tudi drugih varnostnih skupin).
Naslednji korak je ustvarjanje omrežnih imenikov na datotečnem strežniku, s katerimi se bodo uporabniki sinhronizirali. Te imenike lahko ustvarite iz upravitelja strežnikov ali konzole PowerShell..
Odprite Upravitelj strežnikov in izberite vlogo Datotečne in shranjevalne storitve -> Delovne mape. Izberite meni Naloge -> Novo sinhronizacijo.
Nato morate določiti imenik, do katerega bo odobren dostop. V našem primeru je to mapa C: \ finance.
Nato morate izbrati, katera struktura uporabniških map bo uporabljena. Mape lahko poimenujete z uporabniškim računom (alias) ali v obliki domene uporabnik @.
Nato je navedeno ime kroglic..
Nato morate določiti skupine dostopov, ki jim je treba odobriti dostop do tega imenika.
Sledijo varnostni pravilniki za delovne mape, ki jih je treba uporabiti za stranko. Obstajata dve politiki:
- Šifrirajte delovne mape - Obvezno šifriranje podatkov v imeniku Work Folder na odjemalcu z uporabo BitLockerja
- Samodejno zaklene zaslon in zahteva geslo- samodejno zaklepanje zaslona po 15 minutah neaktivnosti naprave in zaščita z geslom (vsaj 6 znakov)
S tem je končana konfiguracija nove delovne mape..
Z ukaznim ukazom New-SyncShare lahko izvedete iste korake za ustvarjanje nove sinhronizacijske mape. Naslednji ukaz bo na primer ustvaril novo mapo za sinhronizacijo in skupini omogočil dostop do nje
New-SyncShare "Prodaja" C: \ prodaja -Uporaba "Sales_Users_Remote_WorkFolder"
Za dostop do delovnih datotek z varnim protokolom HTTPS morate na spletno mesto IIS, ki služi mape Work Folder, vezati veljavno potrdilo SSL..
Opomba. Uporaba certifikata v preskusni konfiguraciji ni potrebna, zahteve za potrdilo o odjemalcu lahko prezremo. Glej ukaz spodaj.Najlažji način je uporaba brezplačnega SSL potrdila podjetja Let's Encrypt. Postopek izdaje in vezave takega potrdila v IIS je opisan v potrdilu Let's Encrypt for Windows (IIS).
Namig. Če želite povezati zunanje odjemalce s strežnikom Work Folder za dostop in sinhronizacijo datotek, morate ustrezno konfigurirati DNS ime strežnika v zunanjem območju in tudi omogočiti promet do strežnika na vratih 80 in / ali 443 TCP na požarnem zidu. Poleg tega lahko za celovitejšo zaščito organizirate dostop prek strežnika Proxy Web Application.Konfigurirajte stranko za delovne mape
V tem primeru se kot odjemalec Work Folders uporablja naprava z operacijskim sistemom Windows 10. Konfiguracija se izvede prek obstoječega programa na nadzorni plošči -> System and Security -> Delovne mape (ta element ni na voljo v izdajah strežnikov).
Če želite začeti konfiguracijo, kliknite Nastavite delovne mape.
Nato morate določiti uporabnikov e-poštni ali URL naslov strežnika Work Folders.
Odjemalec se privzeto poveže s strežnikom s pomočjo varnega protokola HTTPS. V testnem okolju lahko to zahtevo prekličete z izvajanjem ukaza na odjemalcu:
Reg dodaj HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WorkFolders / v AllowUnsecureConnection / t REG_DWORD / d 1
Za dostop do podatkov se morate prijaviti in potrditi, da se strinjate z varnostnimi pravilniki, ki bodo uporabljeni za stranko.
V odjemalcih sistema Windows se delovne datoteke privzeto shranijo v uporabniški profil v imeniku % USERPROFILE% \ Delovne mape njihova velikost pa ne sme presegati 10 GB.
Ko se odjemalec poveže s strežnikom, se ustvari direktorij Work Folders. Če se datoteke v delovnih mapah niso spremenile, se odjemalec sinhronizira z datotečnim strežnikom vsakih 10 minut. Sinhronizacija spremenjenih datotek se izvede takoj. Poleg tega, če pride do sprememb, strežnik samodejno obvesti druge odjemalce o potrebi po posodobitvi svojih podatkov s centralnega strežnika (tako bi morale biti spremembe čim hitreje prikazane na vseh povezanih napravah).
Stanje sinhronizacije, napake, prosti prostor na strežniku si lahko ogledate v istem elementu nadzorne plošče.
Če želite preveriti postopek sinhronizacije, ustvarite nov imenik v mapi Delovne mape in nato izberite element v kontekstnem meniju Sinhronizirajte zdaj.
Čez nekaj časa naj bi se ta imenik pojavil na strežniku.
Konfiguriranje odjemalca Work Folders s skupinskimi pravilniki za Windows
Za samodejno konfiguriranje delovnih map lahko v razdelku uporabite dve specializirani pravilniki skupine Konfiguracija uporabnika -> Politike -> Administrativne predloge -> Komponente Windows -> Delovne mape:
- Določite nastavitve delovnih map - v njem lahko določite URL naslov strežnika Work Folders
- Prisilite samodejno nastavitev za vse uporabnike - začne samodejno konfiguracijo odjemalca
Napaka pri sinhronizaciji Delovnih map 0x80c80317
Pri preskusni konfiguraciji sem pri sinhronizaciji datotek na odjemalcu naletel na naslednjo napako:
Prišlo je do težave, vendar bo sinhronizacija poskusna znova (0x80c80317)
Dnevnik strežnika vsebuje naslednje vnose:
Storitev Windows Sync Share ni uspela vzpostaviti novega partnerstva za sinhronizacijo z napravo. Baza podatkov: \\? \ C: \ uporabniki \ SyncShareState \ WorkFolders \ Metapodatki; Ime uporabniške mape: \\? \ C: \ Finance \ WORKFOLDERS_ROOT \ USER.TEST; Koda napake: (0x8e5e0408) Ni mogoče brati ali pisati v bazo.Te napake kažejo na težavo v mehanizmu sinhronizacije. V tem primeru mora uporabnik zagnati ukaze
Popravi-SyncShare-ime Finance-domena uporabnika \ user1
Get-SyncUserStatus -syncshare Finance-domena uporabnika \ user1
To ponavadi reši problem prekinjene sinhronizacije..
Zaključek
Tako smo preučili, kako konfigurirati in uporabljati funkcijo Work Folders v operacijskem sistemu Windows Server 2016. Ta tehnologija uporabnikom omogoča oddaljeno delo s korporativnimi datotekami na skoraj kateri koli napravi, poleg tega pa je mogoče zagotoviti ustrezno raven zaščite podatkov pred kompromisom z uporabo šifriranja na strani odjemalčeve naprave. Seveda ta rešitev še zdaleč ni priročna in fleksibilna za shranjevanje v oblaku Dropbox ali OneDrive, vendar je glavni vidik tukaj enostavnost konfiguracije in shranjevanja podatkov znotraj podjetja in ne v oblaku drugih proizvajalcev. Poleg tega lahko z delovnimi mapami uporabite tehnologije, kot so zmožnost upravljanja kvot in vrst datotek z uporabo FSRM, podpora datotečnim grozdom, nadzor dostopa do podatkov z uporabo dinamičnega nadzora dostopa in infrastrukture za klasifikacijo datotek.
