Konfiguriranje radnih mapa u sustavu Windows Server 2016

Tehnologija radnih mapa (Radne mape) omogućuje vam organiziranje udaljenog pristupa korisnicima njihovim datotekama na internom datotečnom poslužitelju tvrtke i rad s njima izvan mreže s bilo kojeg uređaja (prijenosno računalo, tablet ili pametni telefon). Sljedeći put kad se povežete s mrežom, sve promjene datoteka na korisnikovom uređaju sinkroniziraju se s korporativnim datotečnim poslužiteljem. U ovom ćemo članku pokazati kako instalirati i konfigurirati funkcionalnost Work Folders na temelju datotečnog poslužitelja Windows Server 2016 i klijenta sa sustavom Windows 10 .

Kao pohrana datoteka može se koristiti poslužitelj datoteka s Windows Server 2012 R2 kao klijentima sve verzije sustava Windows koje počinju sa sustavom Windows 7, kao i uređaji sa Androidom 4.4 ili iOS 8 i novijim (klijent Work Folders za ove uređaje dostupan je na Google Playu i App Spremite, odnosno). Uz pomoć sigurnosnih pravila, možete zatražiti od klijenata Work Folders da čuvaju sadržaj njihovih radnih mapa u šifriranom obliku, što jamči zaštitu podataka čak i u slučaju gubitka / krađe uređaja.

sadržaj:

  • Instalirajte i konfigurirajte ulogu Radnih mapa u sustavu Windows Server 2016
  • Konfiguriranje klijenta radnih mapa
  • Konfiguriranje klijenta radnih mapa s politikama grupe Windows
  • Pogreška sinkronizacije Radne mape 0x80c80317
  • zaključak

Instalirajte i konfigurirajte ulogu Radnih mapa u sustavu Windows Server 2016

Ulogu Work Folders možete instalirati u Windows Server 2016 iz GUI Upravitelja poslužitelja ili koristeći PowerShell.

U prvom slučaju, unutar uloge potreban vam je Upravitelj poslužitelja Usluge datoteka i pohrane odaberite uslugu Radne mape (potrebne komponente IIS Hostable Web Core automatski će se dodati u instalaciju).

Instaliranje uloge Work Folders pomoću PowerShell-a vrši se sljedećom naredbom:

Instalirajte-WindowsFeature FS-SyncShareService, Web-WHC

Da biste omogućili pristup radnim mapama u Active Directoryu, morate stvoriti sigurnosne grupe u koje trebate uključiti korisnike kojima će biti omogućeno sinkronizirati svoje uređaje s radnim mapama na datotečnom poslužitelju (za brži rad usluge Work Folders smanjujući broj zahtjeva za AD, Microsoft preporučuje stavite samo korisničke račune u te skupine, ali ne i ostale sigurnosne grupe).

Sljedeći je korak izrada mrežnih direktorija na datotečnom poslužitelju s kojima će se korisnici sinkronizirati. Ove se mape mogu kreirati iz Upravitelja poslužitelja ili PowerShell konzole..

Otvorite Upravitelj poslužitelja, odaberite ulogu Usluge datoteka i pohrane -> Radne mape. Odaberite izbornik zadaci -> Novi udio sinkronizacije.

Zatim morate odrediti direktorij u koji će se odobriti pristup. U našem primjeru ovo je mapa C: \ finance.

Zatim trebate odabrati strukturu korisničke mape koja će se koristiti. Mape se mogu imenovati korisničkim računom (pseudonimom) ili u obliku user @ domena.

Tada je naznačeno ime kuglica..

Zatim trebate odrediti pristupne skupine kojima treba odobriti pristup ovoj mapi.

Slijede sigurnosna pravila za radne mape koje treba primijeniti na klijentu. Postoje dva pravila:

  • Šifrirajte mape rada - Obavezna šifriranje podataka u direktoriju Work Folder na klijentu pomoću BitLocker-a
  • Zaslon se automatski zaključava i zahtijeva lozinku- automatsko zaključavanje zaslona nakon 15 minuta neaktivnosti uređaja i zaštita lozinkom (najmanje 6 znakova)

Ovim se završava konfiguracija nove radne mape..

Isti koraci za stvaranje nove mape za sinkronizaciju mogu se izvesti korištenjem cmdleta New-SyncShare. Na primjer, sljedeća naredba stvorit će novu mapu za sinkronizaciju i dati joj pristup grupi

New-SyncShare "Prodaja" C: \ prodaja -Korisnik "Sales_Users_Remote_WorkFolder"

Za pristup radnim datotekama pomoću sigurnog HTTPS protokola, morate vezati važeći SSL certifikat na IIS web mjesto koje služi mape Work Folder..

primjedba. Nije potrebno koristiti certifikat u konfiguraciji testa, zahtjev certifikata za klijenta može se zanemariti. Pogledajte naredbu ispod.

Najlakši način je upotreba besplatnog SSL certifikata tvrtke Let's Encrypt. Proces izdavanja i vezivanja takve potvrde u IIS-u opisan je u certifikatu Let's Encrypt for Windows (IIS).

vijeće. Da biste spojili vanjske klijente na poslužitelj Work Folder radi pristupa i sinkronizacije datoteka, morate na odgovarajući način konfigurirati naziv DNS poslužitelja u vanjskoj zoni i omogućiti promet na poslužitelju na priključcima 80 i / ili 443 TCP na vatrozidu. Pored toga, za sveobuhvatniju zaštitu možete organizirati pristup putem proxy poslužitelja web aplikacije.

Konfiguriranje klijenta radnih mapa

U ovom se primjeru uređaj za Windows 10 koristi kao klijent Work Folders. Konfiguracija se vrši pomoću postojećeg alata na upravljačkoj ploči -> System and Security -> Radne mape (ova stavka nije dostupna u izdanjima poslužitelja).

Da biste pokrenuli konfiguraciju, kliknite Postavljanje radnih mapa.

Zatim trebate odrediti korisničku adresu e-pošte ili URL adresu poslužitelja Work Folders.

Klijent se prema zadanim postavkama povezuje na poslužitelj pomoću sigurnog HTTPS protokola. U testnom okruženju ovaj zahtjev se može otkazati pokretanjem naredbe na klijentu:

Reg dodaj HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WorkFolders / v AllowUnsecureConnection / t REG_DWORD / d 1

Za pristup podacima koji su vam potrebni za prijavu i potvrđivanje slaganja sa sigurnosnim pravilima koja će se primjenjivati ​​na klijenta.

Na Windows klijentima radne datoteke se zadano spremaju u korisnički profil u direktoriju % USERPROFILE% \ Radne mape a njihova veličina ne može biti veća od 10 GB.

Nakon što se klijent poveže s poslužiteljem, stvara se direktorij Work Folders. Ako se datoteke u radnim mapama nisu promijenile, klijent se sinkronizira s poslužiteljem datoteka svakih 10 minuta. Sinkronizacija modificiranih datoteka vrši se odmah. Pored toga, ako dođe do promjena, poslužitelj automatski obavještava druge klijente o potrebi ažuriranja njihovih podataka sa središnjeg poslužitelja (na taj način se promjene trebaju pojaviti što je brže moguće na svim povezanim uređajima).

Status sinkronizacije, pogreške, slobodan prostor na poslužitelju mogu se vidjeti u istom elementu upravljačke ploče.

Da biste provjerili postupak sinkronizacije, kreirajte novi direktorij u mapi Radne mape i zatim odaberite stavku u kontekstnom izborniku Sinkronizirajte sada.

Nakon nekog vremena, ovaj se imenik trebao pojaviti na poslužitelju.

Konfiguriranje klijenta radnih mapa s politikama grupe Windows

Da biste automatski konfigurirali radne mape, u odjeljku možete upotrijebiti dva posebna pravila grupe Konfiguracija korisnika -> Pravila -> Administrativni predlošci -> Komponente sustava Windows -> Radne mape:

  • Navedite postavke radnih mapa - u njemu možete odrediti URL adresu poslužitelja Work Folders
  • Prisilite automatsko postavljanje za sve korisnike - pokreće automatsku konfiguraciju klijenta

Pogreška sinkronizacije Radne mape 0x80c80317

U testnoj konfiguraciji naišao sam na sljedeću pogrešku prilikom sinkronizacije datoteka na klijentu:

Došlo je do problema, ali sinkronizacija će pokušati ponovo (0x80c80317)

Dnevnik poslužitelja sadrži sljedeće unose:

Usluga Windows Sync Share nije uspjela uspostaviti novo partnerstvo za sinkronizaciju s uređajem. Baza podataka: \\? \ C: \ korisnici \ SyncShareState \ WorkFolders \ Metapodaci; Naziv korisničke mape: \\? \ C: \ Finance \ WORKFOLDERS_ROOT \ USER.TEST; Kôd pogreške: (0x8e5e0408) Nije moguće čitati ili pisati u bazu podataka.

Te pogreške ukazuju na problem u mehanizmu sinkronizacije. U tom slučaju, korisnik treba pokrenuti naredbe

Popravak-SyncShare-ime Financije -domena korisnika \ korisnik1
Get-SyncUserStatus -syncshare Financije -user Domain \ user1

To obično rješava problem prekinute sinkronizacije..

zaključak

Dakle, ispitali smo kako konfigurirati i koristiti funkciju Work Folders u sustavu Windows Server 2016. Ova tehnologija omogućava korisnicima daljinski rad s korporativnim datotekama na gotovo bilo kojem uređaju, a moguće je pružiti odgovarajuću razinu zaštite podataka od kompromisa koristeći šifriranje na strani klijentskog uređaja. Naravno, ovo je rješenje daleko od praktičnosti i fleksibilnosti pohrane oblaka Dropbox ili OneDrive, no glavni aspekt ovdje je jednostavnost konfiguracije i pohrane podataka unutar tvrtke, a ne u oblaku treće strane. Uz to, pomoću radnih mapa možete koristiti tehnologije kao što su sposobnost upravljanja kvotama i vrstama datoteka pomoću FSRM, podrška za datotečne klastere, kontrolu pristupa podacima pomoću dinamičke kontrole pristupa i infrastrukture klasifikacije datoteka..