Konfigurace pracovních složek v systému Windows Server 2016

Technologie pracovních složek (Pracovní složky) umožňuje organizovat vzdálený přístup uživatelů k jejich souborům na interním souborovém serveru společnosti a pracovat s nimi offline z jakéhokoli zařízení (notebook, tablet nebo smartphone). Při příštím připojení k síti se všechny změny souborů v zařízení uživatele synchronizují s podnikovým souborovým serverem. V tomto článku si ukážeme, jak nainstalovat a nakonfigurovat funkce pracovních složek na základě souborového serveru a klienta systému Windows Server 2016 se systémem Windows 10. .

Jako úložiště souborů lze použít souborový server se systémem Windows Server 2012 R2, jako klienti všech verzí systému Windows, počínaje Windows 7, a také zařízení se systémem Android 4.4 nebo iOS 8 a vyšším (klient pracovních složek pro tato zařízení je k dispozici na Google Play a v aplikacích Uložte). Pomocí zásad zabezpečení můžete požadovat, aby klienti pracovních složek uchovávali obsah svých pracovních složek v šifrované podobě, což zaručuje ochranu dat i v případě ztráty / odcizení zařízení.

Obsah:

  • Nainstalujte a nakonfigurujte roli Work Folders v systému Windows Server 2016
  • Konfigurace klienta pracovních složek
  • Konfigurace klienta pracovních složek pomocí zásad skupiny Windows
  • Chyba synchronizace pracovních složek 0x80c80317
  • Závěr

Nainstalujte a nakonfigurujte roli Work Folders v systému Windows Server 2016

Roli Work Folders můžete nainstalovat v systému Windows Server 2016 z GUI Server Manager nebo pomocí prostředí PowerShell.

V prvním případě potřebujete Správce serverů uvnitř role File and Storage Services zvolte službu Pracovní složky (požadované součásti IIS Hostable Web Core budou automaticky přidány do instalace).

Instalace role Work Folders pomocí PowerShell se provádí pomocí následujícího příkazu:

Install-WindowsFeature FS-SyncShareService, Web-WHC

Chcete-li zajistit přístup k pracovním složkám ve službě Active Directory, musíte vytvořit skupiny zabezpečení, do kterých musíte zahrnout uživatele, kteří budou mít možnost synchronizovat svá zařízení s pracovními složkami na souborovém serveru (pro rychlejší práci služby Work Folders snížením počtu požadavků na službu AD společnost Microsoft doporučuje) vložte do těchto skupin pouze uživatelské účty, ale ne jiné skupiny zabezpečení).

Dalším krokem je vytvoření síťových adresářů na souborovém serveru, se kterým budou uživatelé synchronizovat. Tyto adresáře lze vytvořit z konzoly Server Manager nebo PowerShell..

Otevřete Správce serverů a vyberte roli File and Storage Services -> Pracovní složky. Vyberte nabídku Úkoly -> Nový synchronizační podíl.

Dále musíte určit adresář, ke kterému bude přístup udělen. V našem příkladu je to složka C: \ finance.

Dále musíte vybrat, která struktura uživatelských složek bude použita. Složky lze pojmenovat podle uživatelského účtu (alias) nebo ve formátu user @ domain.

Poté je uveden název koulí..

Dále musíte určit přístupové skupiny, kterým je třeba udělit přístup do tohoto adresáře.

Níže jsou uvedeny zásady zabezpečení pracovních složek, které by měly být použity na klienta. Existují dvě zásady:

  • Šifrovat pracovní složky - Povinné šifrování dat v adresáři Work Folder na klientovi pomocí nástroje BitLocker
  • Automaticky uzamkne obrazovku a vyžaduje heslo- automatický zámek obrazovky po 15 minutách nečinnosti zařízení a ochrany heslem (nejméně 6 znaků)

Tím je dokončena konfigurace nové pracovní složky..

Stejné kroky pro vytvoření nové synchronizační složky lze provést pomocí rutiny New-SyncShare. Například následující příkaz vytvoří novou synchronizační složku a umožní jí přístup ke skupině

New-SyncShare "Sales" C: \ sales -User "Sales_Users_Remote_WorkFolder"

Chcete-li získat přístup k pracovním souborům pomocí zabezpečeného protokolu HTTPS, musíte svázat platný certifikát SSL k webovému serveru IIS, který slouží ke složkám pracovních složek..

Poznámka:. Není nutné používat certifikát v testovací konfiguraci, požadavek na klienta lze ignorovat. Viz příkaz níže.

Nejjednodušší způsob je použití bezplatného SSL certifikátu z Let's Encrypt. Postup pro vydávání a vázání takového certifikátu ve službě IIS je popsán v certifikátu Let's Encrypt for Windows (IIS).

Tip. Chcete-li připojit externí klienty k serveru Work Folder pro synchronizaci přístupu a souborů, musíte odpovídajícím způsobem nakonfigurovat název DNS serveru v externí zóně a také povolit provoz serveru na portech 80 a / nebo 443 TCP na bráně firewall. Navíc, pro komplexnější ochranu, můžete organizovat přístup prostřednictvím serveru Web Application Proxy.

Konfigurace klienta pracovních složek

V tomto příkladu se jako klient pracovních složek používá zařízení se systémem Windows 10. Konfigurace se provádí prostřednictvím existujícího appletu v Ovládacích panelech -> Systém a zabezpečení -> Pracovní složky (tato položka není k dispozici v edicích serveru).

Chcete-li spustit konfiguraci, klikněte na Nastavení pracovních složek.

Dále je třeba zadat e-mailovou adresu uživatele nebo adresu URL serveru Work Folders.

Ve výchozím nastavení se klient připojuje k serveru pomocí zabezpečeného protokolu HTTPS. V testovacím prostředí lze tento požadavek zrušit spuštěním příkazu na klientovi:

Reg přidat HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WorkFolders / v AllowUnsecureConnection / t REG_DWORD / d 1

Pro přístup k datům se musíte přihlásit a potvrdit svůj souhlas s bezpečnostními zásadami, které se budou vztahovat na klienta.

U klientů se systémem Windows jsou pracovní soubory standardně ukládány do uživatelského profilu v adresáři % USERPROFILE% \ Work Folders a jejich velikost nesmí přesáhnout 10 GB.

Po připojení klienta k serveru je vytvořen adresář Work Folders. Pokud se soubory v pracovních složkách nezměnily, je klient synchronizován se souborovým serverem každých 10 minut. Synchronizace upravených souborů se provede okamžitě. Kromě toho, pokud dojde ke změnám, server automaticky upozorní ostatní klienty na potřebu aktualizovat svá data z centrálního serveru (změny by se tedy měly objevit co nejrychleji na všech připojených zařízeních).

Stav synchronizace, chyby, volné místo na serveru lze zobrazit ve stejném prvku ovládacího panelu.

Chcete-li zkontrolovat synchronizaci, vytvořte nový adresář ve složce Pracovní složky a poté vyberte položku v místní nabídce Synchronizovat nyní.

Po chvíli by se tento adresář měl objevit na serveru.

Konfigurace klienta pracovních složek pomocí zásad skupiny Windows

Chcete-li automaticky nakonfigurovat pracovní složky, můžete v této části použít dvě zásady specializované skupiny Konfigurace uživatele -> Zásady -> Šablony pro správu -> Komponenty Windows -> WorkFolders:

  • Určete nastavení pracovních složek - v něm můžete zadat adresu URL serveru Work Folders
  • Vynutit automatické nastavení pro všechny uživatele - inicializuje automatickou konfiguraci klienta

Chyba synchronizace pracovních složek 0x80c80317

Při konfiguraci testu jsem narazil na následující chybu při synchronizaci souborů na klientovi:

Vyskytl se problém, ale synchronizace se zkusí znovu (0x80c80317)

Protokol serveru obsahuje následující položky:

Službě Windows Sync Share se nepodařilo nastavit nové synchronizační partnerství se zařízením. Databáze: \\? \ C: \ users \ SyncShareState \ WorkFolders \ Metadata; Název složky uživatele: \\? \ C: \ Finance \ WORKFOLDERS_ROOT \ USER.TEST; Kód chyby: (0x8e5e0408) Nelze číst nebo zapisovat do databáze.

Tyto chyby označují problém v synchronizačním mechanismu. V takovém případě musí uživatel spustit příkazy

Opravit-SyncShare -name Finance -user Domain \ user1
Get-SyncUserStatus -syncshare Finance - uživatelská doména \ user1

To obvykle řeší problém přerušené synchronizace..

Závěr

Prověřili jsme tedy, jak nakonfigurovat a používat funkci Work Folders v systému Windows Server 2016. Tato technologie umožňuje uživatelům vzdáleně pracovat s podnikovými soubory na téměř jakémkoli zařízení a je možné poskytnout odpovídající úroveň ochrany dat před kompromitováním pomocí šifrování na straně klientského zařízení. Toto řešení samozřejmě není daleko od pohodlí a flexibility cloudového úložiště Dropbox nebo OneDrive, ale hlavním aspektem je snadnost nastavení a ukládání dat v rámci společnosti, nikoli v cloudu třetích stran. Navíc s pracovními složkami můžete použít technologie, jako je schopnost spravovat kvóty a typy souborů pomocí FSRM, podpora pro clustery souborů, řídit přístup k datům pomocí dynamického řízení přístupu a klasifikace souborů.