Work folders что это
Настройка рабочих папок (Work Folders) в Windows Server 2016
В качестве хранилища файлов может использоваться файловый сервер с Windows Server 2012 R2, в качестве клиентов все версии Windows, начиная с Windows 7, а также устройства с Android 4.4 или iOS 8 и выше (клиент Work Folders для этих устройств доступен в Google Play и App Store соответственно). С помощью политик безопасности можно потребовать от клиентов Work Folders обязательное хранение содержимого рабочих папок в зашифрованном виде, что гарантирует защиту данных даже в случае утери/кражи устройства.
Установка и настройка роли Work Folders в Windows Server 2016
Роль Work Folders в Windows Server 2016 можно установить из графического интерфейса Server Manager или с помощью PowerShell.
В первом случае нужно в Server Manager внутри роли File and Storage Services выбрать службу Work Folders (к установке будут автоматически добавлены требуемые компоненты IIS Hostable Web Core).
Установка роли Work Folders с помощью PowerShell выполняется такой командой:
Для предоставления доступа к рабочим папкам в Active Directory нужно создать группы безопасности, в которые нужно включить пользователей, которым будет разрешено синхронизировать свои устройства с рабочими папками на файловом сервере (для более быстрой работы службы Work Folders за счет уменьшения количества запросов к AD, Microsoft рекомендует помещать в данные группы только учетные записи пользователей, но не другие группы безопасности).
Следующий этап – создание на файловом сервере сетевых каталогов, с которыми будут синхронизироваться пользователи. Эти каталоги можно создать из консоли Server Manager или PowerShell.
Далее нужно указать каталог, к которому будет предоставляться доступ. В нашем примере это папка C:\finance.
Далее нужно выбрать какая структура пользовательских папок будет использоваться. Папки могут называться по учетной записи пользователя (alias), либо в формате user@domain.
Затем указывается имя шары.
Далее нужно указать группы доступа, которым нужно предоставить доступ к данному каталогу.
Далее указываются политики безопасности рабочих папок, которые должны применяться на клиенте. Имеются две политики:
На этом настройка новой рабочей папки закончена.
Те же самые действия по созданию новой папки синхронизации можно выполнить с помощью командлета New-SyncShare. К примеру, следующая команда создаст новую папку синхронизации и предоставит доступ к ней группе
New-SyncShare «Sales» C:\sales –User «Sales_Users_Remote_WorkFolder»
Для доступа к рабочим файлам по защищенному протоколу HTTPS, к веб сайту IIS, который обслуживает работу папок Work Folder нужно привязать валидный SSL сертификат.
Проще всего воспользоваться бесплатным SSL сертификатом от Let’s Encrypt. Процесс выпуска и привязки такого сертификата в IIS описан в статье Cертификат Let’s Encrypt для Windows(IIS).
Настройка клиента Work Folders
Чтобы приступить к настройке, нажмите кнопку Set up Work Folders.
Далее нужно указать Email пользователя или URL адрес сервера Work Folders.
По умолчанию, клиент подключается к серверу по защищенному HTTPS протоколу. В тестовой среде это требование можно отменить, выполнив на клиенте команду:
Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1
Для доступа к данным нужно авторизоваться и подтвердить согласие с политиками безопасности, которые будут применены к клиенту.
На Windows клиентах рабочие файлы по умолчанию хранятся в профиле пользователя в каталоге %USERPROFILE%\Work Folders и их размер не может превышать 10 Гб.
После подключения клиента к серверу, создается каталог Work Folders. Если файлы в рабочих папках не изменились, клиент каждые 10 минут синхронизируется с файловым сервером. Синхронизация измененных файлов выполняет сразу. Кроме того, при наличии изменений сервер автоматически оповещает другие клиенты о необходимости обновить свои данные с центрального сервера (таким образом, изменения должны максимально быстро появиться на всех подключенных устройствах).
Статус синхронизации, наличие ошибок, размер свободного места на сервере можно посмотреть в том же элементе панели управления.
Чтобы проверить работу синхронизации создайте в папке Work Folders новый каталог, а затем в контекстном меню выберите пункт Sync now.
Через некоторое время данный каталог должен появится на сервере.
Настройка клиента Work Folders групповыми политиками Windows
Ошибка синхронизации Work Folders 0x80c80317
В тествой конфигурации столкулся с тем, что при синхронизации файлов на клиенте возникает ошибка:
В логе сервера при этом содержатся такие записи:
Данные ошибки свидетельствуют о наличии проблемы в механизме синхронизации. В этом случае для пользователя нужно выполнить команды
Как правило, это решает проблему поломанной синхронизации.
Заключение
Итак, мы рассмотрели, как настроить и пользоваться функцией Work Folders в Windows Server 2016. Данная технология позволяет пользователям удаленно работать с корпоративными файлами практически на любом устройстве, причем можно обеспечить адекватный уровень защиты данных от компрометации с помощью шифрования на стороне клиентского устройства. Конечно, этому решению далеко до удобства и гибкости облачных хранилищ Dropbox или OneDrive, но тут главный аспект заключается в простоте настройки и хранении данные внутри компании, а не в стороннем облаке. Дополнительно с Work Folders можно использовать такие технологии, как возможность управления квотами и типами файлов с помощью FSRM, поддержка файловых кластеров, управление доступом к данным с помощью Dynamic Access Control и File Classification Infrastructure.
Развертывание рабочих папок с помощью AD FS и прокси-службы веб-приложения. Шаг 3. Настройка рабочих папок
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
В этой статье описывается третий шаг процесса развертывания рабочих папок с помощью службы федерации Active Directory (AD FS) и прокси-службы веб-приложения. Другие шаги этого процесса можно найти в следующих статьях:
инструкции, описанные в этом разделе, относятся к среде Windows Server 2019 или Windows Server 2016. Если вы используете Windows Server 2012 R2, следуйте инструкциями для Windows Server 2012 R2.
Для настройки рабочих папок используйте следующие процедуры.
Работа перед установкой
Для установки рабочих папок вам потребуется присоединенный к домену сервер под управлением Windows Server 2016. На этом сервере должна быть допустимая конфигурация сети.
Для тестового примера присоедините компьютер, на котором будут запущены рабочие папки, к домену Contoso и настройте сетевой интерфейс, как описано в следующих разделах.
Установка IP-адреса сервера
Измените IP-адрес сервера на статический IP-адрес. В тестовом примере используется IP-адрес класса A, а именно 192.168.0.170 / маска подсети: 255.255.0.0 / Шлюз по умолчанию: 192.168.0.1 / Основной DNS-сервер: 192.168.0.150 (IP-адрес контроллера домена).
Создание записи CNAME для рабочих папок
Чтобы создать запись CNAME для рабочих папок, выполните следующие действия:
На контроллере домена откройте Диспетчер DNS.
Разверните папку «Зоны прямого просмотра», щелкните правой кнопкой мыши домен и нажмите Новый псевдоним (CNAME).
В окне Новая запись ресурса в поле Имя псевдонима введите псевдоним для рабочих папок. В тестовом примере используется имя workfolders.
В поле Полное доменное имя должно быть значение workfolders.contoso.com.
В поле Полное доменное имя для целевого узла введите FQDN для сервера рабочих папок. В тестовом примере используется имя 2016-WF.contoso.com.
Нажмите кнопку ОК.
Чтобы выполнить те же действия через Windows PowerShell, используйте следующую команду. Команду необходимо выполнить на контроллере домена.
Установка сертификата AD FS
Установите сертификат AD FS, созданный при настройке AD FS, в хранилище сертификатов на локальном компьютере. Для этого выполните следующие действия.
Нажмите кнопку Пуск, затем щелкните Выполнить.
Введите MMC.
В меню Файл выберите Добавить или удалить оснастку.
В списке Доступные оснастки выберите пункт Сертификаты и нажмите кнопку Добавить. Запустится мастер оснастки сертификатов.
Выберите Учетная запись компьютера и нажмите кнопку Далее.
Выберите Локальный компьютер: (компьютер, на котором запущена эта консоль) и нажмите кнопку Готово.
Нажмите кнопку ОК.
Разверните папку Console рут\цертификатес (локальный компьютер) \персонал\цертификатес.
Найдите папку с сертификатом AD FS и следуйте инструкциям в мастере, чтобы импортировать файл и поместить его в хранилище сертификатов.
Разверните папку Console рут\цертификатес (локальный компьютер) \Trusted root сертификация центры.
Найдите папку с сертификатом AD FS и следуйте инструкциям в мастере, чтобы импортировать файл и поместить его в хранилище доверенных корневых центров сертификации.
Создание самозаверяющего сертификата рабочих папок
Чтобы создать самозаверяющий сертификат рабочих папок, выполните следующие действия.
Скачайте сценарии из записи блога Развертывание рабочих папок с помощью AD FS и прокси-службы веб-приложения, а затем скопируйте файл makecert.ps1 на компьютер с рабочими папками.
Откройте окно Windows PowerShell с правами администратора.
Сделайте политику выполнения неограниченной:
Измените на каталог, в который скопирован сценарий.
Выполните сценарий makeCert:
При появлении запроса на изменение сертификата субъекта введите новое значение для субъекта. В этом примере используется значение workfolders.contoso.com.
При запросе на ввод имен SAN нажмите клавишу Y и введите альтернативные имена субъектов (SAN) по очереди.
В этом примере введите workfolders.contoso.com и нажмите клавишу ВВОД. Затем введите 2016-WF.contoso.com и нажмите клавишу ВВОД.
После ввода всех имен SAN нажмите клавишу ВВОД на пустой строке.
При появлении запроса на установку сертификатов в хранилище доверенных корневых центров сертификации нажмите клавишу Y.
Сертификат рабочих папок должен быть сертификатом SAN со следующими значениями:
workfolders.домен
имя компьютера.домен
В тестовом примере используются следующие значения:
workfolders.contoso.com
2016-WF.contoso.com
Установка рабочих папок
Чтобы установить роль рабочих папок, выполните следующие действия:
Откройте Диспетчер сервера, нажмите Добавить роли и компоненты, а затем нажмите кнопку Далее.
На странице тип установки выберите Установка на основе ролей или компонентови нажмите кнопку Далее.
На странице Выбор сервера выберите текущий сервер и нажмите кнопку Далее.
На странице Роли сервера разверните Файловые службы и службы хранилища, разверните Файловые службы и службы iSCSI, а затем выберите Рабочие папки.
На странице Мастер добавления ролей и компонентов щелкните Добавить компонентыи нажмите кнопку Далее.
На странице Компоненты нажмите кнопку Далее.
На странице подтверждения нажмите кнопку Установить.
Настройка рабочих папок
Чтобы настроить рабочие папки, выполните следующие действия:
Откройте Диспетчер сервера.
Выберите Файловые службы и службы хранилища, а затем — Рабочие папки.
на странице Рабочие папки запустите Мастер создания общих ресурсов синхронизации и нажмите кнопку Далее.
На странице Сервер и путь выберите сервер, на котором следует создать общий ресурс синхронизации, введите локальный путь к месту хранения данных рабочих папок и нажмите кнопку Далее.
Если путь не существует, вам будет предложено создать его. Нажмите кнопку ОК.
На странице Структура папок пользователя выберите Псевдоним пользователя и нажмите кнопку Далее.
На странице Имя общего ресурса синхронизации введите имя общего ресурса синхронизации. В тестовом примере используется имя WorkFolders. Щелкните Далее.
На странице Доступ к синхронизации добавьте пользователей или группы, у которых будет доступ к новому общему ресурсу синхронизации. В тестовом примере предоставьте доступ всем пользователям домена. Щелкните Далее.
На странице Политики безопасности компьютеров выберите Шифровать рабочие папки и Автоматически блокировать страницу и требовать пароль. Щелкните Далее.
На странице Подтверждение нажмите кнопку Создать, чтобы завершить процесс настройки.
Действия с рабочими папками после настройки
Чтобы завершить настройку рабочих папок, выполните следующие дополнительные шаги:
Привязка сертификата рабочих папок к порту SSL
Настройка рабочих папок для использования проверки подлинности AD FS
Экспорт сертификата рабочих папок (если вы используете самозаверяющий сертификат)
Привязка сертификата
Рабочие папки обмениваются данными только по протоколу SSL и требуют привязки ранее созданного (или выданного центром сертификации) самозаверяющего сертификата к порту.
Привязать сертификат к порту через Windows PowerShell можно двумя способами: с помощью командлетов IIS и netsh.
Привязка сертификата с помощью netsh
Чтобы воспользоваться служебной программой на базе командной строки netsh в Windows PowerShell, команду необходимо передать по конвейеру в netsh. Сценарий в следующем примере находит сертификат с субъектом workfolders.contoso.com и привязывает его к порту 443 с помощью netsh:
Привязка сертификата с помощью командлетов IIS
Вы также можете привязать сертификат к порту с помощью командлетов управления IIS, которые доступны после установки средств и сценариев управления IIS.
Установка средств управления IIS не предоставляет полную версию служб IIS на компьютере с рабочими папками, а только позволяет использовать командлеты управления. У этой конфигурации есть несколько потенциальных преимуществ. Например, если вы надеетесь получить возможности netsh при использовании командлетов. Если сертификат привязан к порту с помощью командлета New-WebBinding, привязка никаким образом не зависит от IIS. После привязки вы даже можете удалить компонент Web-Mgmt-Console, а сертификат останется привязанным к порту. Вы можете проверить привязку через netsh. Для этого введите netsh http show sslcert.
В следующем примере командлет New-WebBinding используется для поиска сертификата с субъектом workfolders.contoso.com и его привязки к порту 443.
Настройка проверки подлинности через AD FS
Чтобы настроить рабочие папки на использование AD FS для проверки подлинности, выполните следующие действия.
Откройте Диспетчер сервера.
Нажмите Серверы и выберите сервер рабочих папок из списка.
Щелкните правой кнопкой мыши имя сервера и выберите команду Параметры рабочих папок.
В окне Параметры рабочих папок выберите Службы федерации Active Directory (AD FS) и введите URL-адрес службы федерации. Нажмите кнопку Применить.
Для выполнения этой же задачи через Windows PowerShell используется следующий командлет:
Если вы настраиваете AD FS с использованием самозаверяющих сертификатов, вы можете получить сообщение об ошибке, в котором говорится, что URL-адрес службы федерации неверен, недоступен или что отношения доверия с проверяющей стороной не настроены.
Эта ошибка также может возникнуть, если сертификат AD FS не установлен на сервере рабочих папок или если запись CNAME для AD FS настроена неверно. Необходимо исправить эти проблемы, прежде чем продолжить.
Экспорт сертификата рабочих папок
Самозаверяющий сертификат рабочих папок необходимо экспортировать, чтобы в дальнейшем установить его на следующих компьютерах в тестовой среде:
сервер, используемый для прокси-службы веб-приложения;
присоединенный к домену клиент Windows;
не присоединенный к домену клиент Windows.
Чтобы экспортировать сертификат, выполните те же шаги, что и ранее при экспорте сертификата AD FS, как описано в разделе «Экспорт сертификата AD FS» статьи Развертывание рабочих папок с помощью AD FS и прокси-службы веб-приложения. Шаг 2. Действия после настройки AD FS.
Рабочие папки: файлы, которые всегда с тобой
Рабочие папки – что это?
Установка и настройка
Давайте теперь подробно разберем, как настроить рабочие папки на сервере, рабочем компьютере пользователя и на его личном устройстве. Для этого я использую три машины – сервер и два клиентских хоста. Сервер и один из хостов включены в домен, второй хост является личным устройством пользователя. Характеристики сервера и хостов представлены ниже:
1. Настройка сервера
1.1. Установка роли Рабочие Папки (Work Folders)
Прежде всего, нужно установить роль Рабочие Папки (Work Folders) на сервер. Сделать это можно с помощью мастера добавления ролей и компонентов:
Данную операцию также можно выполнить с помощью команды PowerShell:
1.2. Создание общего ресурса синхронизации (Sync Share)
После того, как Рабочие папки установлены на сервер, их необходимо настроить для пользователей. Для этого в Диспетчере серверов (Server Manager) переходим во вкладку Файловые службы и службы хранилища (File and Storage Services) и оттуда к Рабочим папкам (Work Folders). Далее необходимо создать новый общий ресурс синхронизации (Sync Share). Общий ресурс синхронизации (Sync Share) сопоставляет локальный путь к месту размещения папок пользователей и группы пользователей, которые имеют доступ к общему ресурсу синхронизации. В мастере создания ресурса нужно выбрать сервер (у нас это WFServer) и указать локальный пусть к месту на диске, где и будут храниться пользовательские папки (C:\SalesShare).
Далее выбираем формат имени папок пользователя. Мы можем выбрать, в зависимости от необходимости, использование просто алиаса пользователя tuser2 или же адреса пользователя tuser2@mva.com (если хотим устранить конфликт одинаковых алиасов пользователей в разных доменах).
Кроме того, администратор может установить, что только определенная подпапка должна быть синхронизирована на устройствах. Для этого необходимо выбрать пункт «Sync only the following subfolder» и ввести имя папки.
Далее укажем имя для общего ресурса синхронизации:
На следующем этапе, необходимо указать группу пользователей, которой будет предоставлен доступ к создаваемому ресурсу. В нашем случае, это ранее созданная группа Sales. По умолчанию, администратор не имеет прав на доступ к данным пользователя на сервере.
Если вы хотите сделать эту возможность доступной, необходимо сделать неактивным пункт «Disable inherited permission and grant users exclusive access to their files».
Далее определяем нужные нам правила безопасности для устройств, на которых будут использоваться Рабочие Папки.
Проверим еще раз информацию.
И перейдем к установке.
Создать общий ресурс синхронизации возможно также с помощью команды PowerShell:
В итоге, мы должны получить вот такой результат:
1.3. Включение доступа по SMB (дополнительно)
Кстати, после того, как вы включили доступ к папке по SMB, время синхронизации было установлено по умолчанию на каждые 5 минут. Чтобы это изменить, можно использовать следующую команду PowerShell:
2. Настройка клиента, включенного в домен
Введите E-mail адрес пользователя.
Укажите, где на устройстве должны быть расположены рабочие папки.
Подтвердите согласие с требуемыми правилами безопасности. Кстати, здесь хочу добавить, что файлы буду шифроваться и в случае, если операционной системой устройства является Windows RT 8.1.
Теперь рабочие папки установлены на устройство.
Администратор при этом контролирует сколько место доступно на сервере пользователю, и, следовательно, сколько информации может быть синхронизировано.
Теперь мы можем создать файл в Рабочей папке, чтобы потом посмотреть, как будет проводится синхронизация.
3. Настройка Рабочих Папок (Work Folders) на личном устройстве
Настройка рабочих папок на личных устройствах отличается только на одном шаге. На этапе добавления пользователя на личном устройстве будут запрошены доменные логин и пароль пользователя.
После завершения установки, открыв Рабочую папку мы увидим синхронизированный файл, созданный нами на доменном клиенте:
4. Синхронизация файлов в Рабочих Папках (Work Folders)
Теперь посмотрим, как же синхронизируются файлы в Рабочих Папках, если одновременно, на двух машинах редактируется один и тот же файл.
В этом случае, оба файла будут сохранены и синхронизированы с указанием имени компьютера, на котором производились изменения. Далее пользователь уже самостоятельно должен решить объединить ли эти файлы, или какой из них необходимо удалить.
Надеюсь, информация будет полезна!
Спасибо!