Technologia folderów roboczych (Foldery robocze) umożliwia organizowanie zdalnego dostępu dla użytkowników do ich plików na wewnętrznym serwerze plików firmy i pracę z nimi offline z dowolnego urządzenia (laptopa, tabletu lub smartfona). Przy następnym połączeniu z siecią wszystkie zmiany plików na urządzeniu użytkownika zostaną zsynchronizowane z korporacyjnym serwerem plików. W tym artykule pokażemy, jak zainstalować i skonfigurować funkcjonalność folderów roboczych w oparciu o serwer plików Windows Server 2016 i klienta z Windows 10 .
Jako miejsce do przechowywania plików można używać serwera plików z systemem Windows Server 2012 R2, jako klientów wszystkich wersji systemu Windows, począwszy od systemu Windows 7, a także urządzeń z systemem Android 4.4 lub iOS 8 i nowszym (klient folderów roboczych dla tych urządzeń jest dostępny w Google Play i aplikacji Przechowuj odpowiednio). Za pomocą zasad bezpieczeństwa możesz wymagać od klientów folderów roboczych przechowywania zawartości ich folderów roboczych w postaci zaszyfrowanej, co gwarantuje ochronę danych nawet w przypadku utraty / kradzieży urządzenia.
Treść
- Zainstaluj i skonfiguruj rolę folderów roboczych w systemie Windows Server 2016
- Skonfiguruj klienta folderów roboczych
- Konfigurowanie klienta folderów roboczych za pomocą zasad grupy systemu Windows
- Błąd synchronizacji Foldery robocze 0x80c80317
- Wniosek
Zainstaluj i skonfiguruj rolę folderów roboczych w systemie Windows Server 2016
Możesz zainstalować rolę Foldery robocze w systemie Windows Server 2016 z interfejsu GUI Menedżera serwera lub za pomocą programu PowerShell.
W pierwszym przypadku w Menedżerze serwera potrzebujesz roli Usługi plików i przechowywania wybierz usługę Foldery robocze (wymagane instalowalne komponenty Web Core IIS zostaną automatycznie dodane do instalacji).
Instalowanie roli Foldery robocze za pomocą programu PowerShell odbywa się za pomocą następującego polecenia:
Install-WindowsFeature FS-SyncShareService, Web-WHC
Aby zapewnić dostęp do folderów roboczych w usłudze Active Directory, musisz utworzyć grupy zabezpieczeń, w których musisz uwzględnić użytkowników, którzy będą mogli synchronizować swoje urządzenia z folderami roboczymi na serwerze plików (w celu szybszej pracy usługi folderów roboczych poprzez zmniejszenie liczby żądań do AD, Microsoft zaleca umieść w tych grupach tylko konta użytkowników, ale nie inne grupy zabezpieczeń).
Następnym krokiem jest utworzenie katalogów sieciowych na serwerze plików, z którymi użytkownicy będą synchronizowani. Te katalogi można utworzyć za pomocą Menedżera serwera lub konsoli PowerShell..
Otwórz Menedżera serwera, wybierz rolę Usługi plików i przechowywania -> Foldery robocze. Wybierz menu Zadania -> Nowy udział synchronizacji.
Następnie musisz określić katalog, do którego dostęp zostanie przyznany. W naszym przykładzie jest to folder C: \ finance.
Następnie musisz wybrać, która struktura folderów użytkownika będzie używana. Nazwy folderów można nazwać kontem użytkownika (aliasem) lub w formacie użytkownik @ domena.
Następnie wyświetlana jest nazwa kulek..
Następnie musisz określić grupy dostępu, które muszą uzyskać dostęp do tego katalogu.
Poniżej przedstawiono zasady bezpieczeństwa dotyczące folderów roboczych, które należy zastosować na kliencie. Istnieją dwie zasady:
- Szyfruj foldery robocze - Obowiązkowe szyfrowanie danych w katalogu Folder roboczy na kliencie przy użyciu funkcji BitLocker
- Automatycznie blokuj ekran i wymaga hasła- automatyczna blokada ekranu po 15 minutach bezczynności urządzenia i ochronie hasłem (co najmniej 6 znaków)
To kończy konfigurację nowego folderu roboczego..
Te same kroki tworzenia nowego folderu synchronizacji można wykonać za pomocą polecenia cmdlet New-SyncShare. Na przykład następujące polecenie utworzy nowy folder synchronizacji i zapewni dostęp do grupy
New-SyncShare „Sprzedaż” C: \ sprzedaż-Użytkownik „Sales_Users_Remote_WorkFolder”
Aby uzyskać dostęp do plików roboczych przy użyciu bezpiecznego protokołu HTTPS, musisz powiązać ważny certyfikat SSL z witryną IIS, która obsługuje foldery folderów roboczych..
Uwaga. Użycie certyfikatu w konfiguracji testowej nie jest konieczne; wymaganie dotyczące certyfikatu na kliencie można zignorować. Zobacz polecenie poniżej.Najprostszym sposobem jest użycie bezpłatnego certyfikatu SSL od Let's Encrypt. Proces wydawania i wiązania takiego certyfikatu w IIS jest opisany w certyfikacie Let's Encrypt for Windows (IIS).
Wskazówka. Aby połączyć klientów zewnętrznych z serwerem folderu roboczego w celu uzyskania dostępu i synchronizacji plików, musisz odpowiednio skonfigurować nazwę DNS serwera w strefie zewnętrznej, a także zezwolić na ruch do serwera na portach 80 i / lub 443 TCP w zaporze. Ponadto w celu zapewnienia bardziej kompleksowej ochrony można zorganizować dostęp za pośrednictwem serwera proxy aplikacji sieci Web.Skonfiguruj klienta folderów roboczych
W tym przykładzie jako klient Folderów roboczych używane jest urządzenie z systemem Windows 10. Konfiguracja odbywa się za pomocą istniejącego apletu w Panelu sterowania -> System i zabezpieczenia -> Foldery robocze (ten element nie jest dostępny w wersjach serwerowych).
Aby rozpocząć konfigurację, kliknij Skonfiguruj foldery robocze.
Następnie musisz podać adres e-mail lub adres URL serwera folderów roboczych.
Domyślnie klient łączy się z serwerem przy użyciu bezpiecznego protokołu HTTPS. W środowisku testowym wymaganie to można anulować, uruchamiając komendę na kliencie:
Reg dodaj HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WorkFolders / v AllowUnsecureConnection / t REG_DWORD / d 1
Aby uzyskać dostęp do danych, musisz się zalogować i potwierdzić zgodę na zasady bezpieczeństwa, które zostaną zastosowane do klienta.
Na klientach Windows pliki robocze są domyślnie przechowywane w profilu użytkownika w katalogu % USERPROFILE% \ Foldery robocze a ich rozmiar nie może przekroczyć 10 GB.
Po połączeniu klienta z serwerem tworzony jest katalog folderów roboczych. Jeśli pliki w folderach roboczych nie uległy zmianie, klient jest synchronizowany z serwerem plików co 10 minut. Synchronizacja zmodyfikowanych plików odbywa się natychmiast. Ponadto w przypadku zmian serwer automatycznie powiadamia innych klientów o potrzebie aktualizacji swoich danych z serwera centralnego (dlatego zmiany powinny pojawić się jak najszybciej na wszystkich podłączonych urządzeniach).
Stan synchronizacji, błędy, wolne miejsce na serwerze można wyświetlać w tym samym elemencie panelu sterowania.
Aby sprawdzić operację synchronizacji, utwórz nowy katalog w folderze Foldery robocze, a następnie wybierz element z menu kontekstowego Synchronizuj teraz.
Po chwili ten katalog powinien pojawić się na serwerze.
Konfigurowanie klienta folderów roboczych za pomocą zasad grupy systemu Windows
Aby automatycznie skonfigurować foldery robocze, możesz użyć dwóch wyspecjalizowanych zasad grupy w sekcji Konfiguracja użytkownika -> Zasady -> Szablony administracyjne -> Składniki systemu Windows -> WorkFolders:
- Określ ustawienia folderów roboczych - w nim możesz podać adres URL serwera folderów roboczych
- Wymuś automatyczną konfigurację dla wszystkich użytkowników - inicjuje automatyczną konfigurację klienta
Błąd synchronizacji Foldery robocze 0x80c80317
W konfiguracji testowej napotkałem następujący błąd podczas synchronizacji plików na kliencie:
Wystąpił problem, ale synchronizacja spróbuje ponownie (0x80c80317)
Dziennik serwera zawiera następujące wpisy:
Usługa udostępniania synchronizacji systemu Windows nie skonfigurowała nowego powiązania synchronizacji z urządzeniem. Baza danych: \\? \ C: \ users \ SyncShareState \ WorkFolders \ Metadata; Nazwa folderu użytkownika: \\? \ C: \ Finance \ WORKFOLDERS_ROOT \ USER.TEST; Kod błędu: (0x8e5e0408) Nie można odczytać lub zapisać w bazie danych.Błędy te wskazują na problem z mechanizmem synchronizacji. W takim przypadku użytkownik musi uruchomić polecenia
Repair-SyncShare -name Finanse-użytkownik Domena \ użytkownik1
Get-SyncUserStatus -syncshare Finance -user Domena \ użytkownik1
Zwykle rozwiązuje to problem zepsutej synchronizacji..
Wniosek
Zbadaliśmy więc, jak skonfigurować i używać funkcji folderów roboczych w systemie Windows Server 2016. Technologia ta pozwala użytkownikom na zdalną pracę z plikami firmowymi na prawie każdym urządzeniu, a także można zapewnić odpowiedni poziom ochrony danych przed zagrożeniem za pomocą szyfrowania po stronie urządzenia klienta. Oczywiście to rozwiązanie jest dalekie od wygody i elastyczności przechowywania danych w chmurze Dropbox lub OneDrive, ale głównym aspektem jest tutaj łatwość konfiguracji i przechowywania danych w firmie, a nie w chmurze innej firmy. Ponadto dzięki folderom roboczym można korzystać z technologii, takich jak możliwość zarządzania przydziałami i typami plików za pomocą FSRM, obsługa klastrów plików, kontrola dostępu do danych za pomocą dynamicznej kontroli dostępu i infrastruktury klasyfikacji plików.
