хорошая статья.
но внесу немного поправок (текст ПРИМЕЧАНИЯ: )
Начинаем знакомиться с новыми возможностями и ключевыми усовершенствованиями, которые нас ожидают в новом обновлении серверной линейки Microsoft — Windows Server 2012 R2, До даты официального выпуска осталось чуть больше месяца (а это, напомним, случится 18 октября 2013 года). Сегодня речь пойдет о новом функционале Windows Server 2012 R2 под названием Work Folders.
Нередка ситуация, когда работник для работы с корпоративными данными используется больше чем два устройства (например, ноутбук и планшет). В этой ситуации, чтобы пользователи всегда работали с актуальными версиями своих данных, перед ИТ-службой встает задача синхронизации файлов. Для этих целей можно воспользоваться SkyDrive, DropBox или походим сервисом. Однако не всегда возможно хранить данные в «облаке», хотя бы из соображений конфиденциальности и безопасности. Новая функция Windows Server 2012 R2 Work Folders (или «Рабочие папки») – позволяет пользователям синхронизировать свои личные файлы в корпоративной сети с любыми своими устройствами. По сути, Work Folders является аналогом Dropbox для корпоративных пользователей.
Благодаря «Рабочим папкам» на платформе Windows Server 2012 R2 возможно организовать функциональный и безопасный сервис репликации файлов пользователей между несколькими устройствами. Work Folders на базе файлового сервера позволяет организовать «корпоративный SkyDrive. Помимо всего прочего, к пользовательским данным на корпоративном файловом сервере можно применять такие политики, как квотирование (Quota), блокировка запрещенных типов файлов (File Screening), а также динамический контроль доступа (Dynamic Access Control) и т.д., т.е. полный комплекс мер по обеспечению защиты информации.
Как и Dropbox, Work Folders позволяет хранить копии файлов на стороне сервера и клиента, и при каждом подключении клиента к серверу выполняется синхронизация данных. Благодаря данной функции пользователь может синхронизировать свои рабочие папки со своим мобильным устройством (ноутбуком, планшетом и т.д.) и осуществлять редактирование документов, даже без подключения к корпоративной сети (offline). При следующем соединении с корпоративной сетью клиент Work Folders осуществит синхронизацию изменений.
На данный момент технологию Work Folders поддерживают только устройства под управлением Windows 8.1, в которую клиент Work Folders уже встроен. В ближайшем будущем будет добавлена поддержка популярных мобильных устройств: девайсов на Windows 7, Windows 8, Android, а также iOS.
Служба синхронизации Work Folder должна работать на Windows 2012 R2 с установленной ролью файлового сервера. Work Folder также возможно интегрировать со службой Active Directory Rights Management Services, позволяющей обеспечить защиту пользовательских данных.
Настройка Work Folder на Windows Server 2012 R2
Функционал Work Folders в Windows Server 2012 R2 входит в состав роли File and Storage Services и включить его можно с помощью консоли Server Manager или PowerShell.
При установке функционала Work Folders также будет установлен сервер IIS Web Core, являющийся обязательным компонентом технологии и необходимый для обслуживания клиентов.
После установки функции, нужно открыть консоль Server Manager ->File Server -> Work Folders и указать каталог, в котором будут храниться «Рабочие папки» пользователей.
ПРИМЕЧАНИЯ:
желательно папку Work Folders сразу расшарить по сети. Права по сети – полный доступ, NTFS права не назначаем.
Следующий шаг – выбор структуры папок. Имена подпапкок (каталоги конечных пользователей сервиса) могут содержать только имена пользователей (псевдонимы) или их полные email адреса.
ПРИМЕЧАНИЯ:
есть смысл в тестовом варианте выбрать User Alias.
Затем нужно указать список пользователей и групп, имеющих доступ к данной папке. Если нужно, чтобы у администратора сервера не было доступа к данным пользователей, отметьте флажок «Disable inherited permissions and grant users exclusive access to their files».
ПРИМЕЧАНИЯ:
Можно группу не создавать. В тестовом варианте работает и с обычной учетной записью.
Далее необходимо указать будут ли на клиентских устройствах применяться политики защиты данных, такие как шифрование (на клиенте Windows 8.1 используется EFS) и защита данных паролем.
ПРИМЕЧАНИЕ:
EFS можно и не отмечать.Дома стояла Windows 8.1 со бновлениями за 02-2015, синхронизация сработала.
«Рабочие папки» синхронизируется посредством веб сервера IIS по протоколу HTTPS, поэтому для работы придется настроить на IIS шифрование SSL/TLS. После окончания работы мастера, нужно создать новый сертификат типа Web Server Template, содержащий FQDN имя сервера.
Совет.
- Если для подключения предполагается использовать внешний домен, необходимо в соответствующей DNS зоне создать CNAME/ A запись.
- Для предоставления удаленного доступа к Work Folders возможно воспользоваться DirectAccess или новой функцией Windows Server 2012 R2 — Web Application Proxy
Примечания:
Сертификат нужно выпустить на Enterprise CA. Важно чтобы ваш клиентский компьютер доверял сертификату.
Как выпустить сертификат:
В консоли CA назначаем на шаблон ВЕБ СЕРВЕР права учетной записи компьютера и учетной записи пользователя Enfoll и Read.
Заходим в консоль НА КОМПЬЮТЕРЕ КОТОРЫЙ БУДЕТ СЕРВЕРОМ Work Folders и делаем запрос на сертификат.
Certificates – Personal – New Reqest.
Выбираем Web Server и кнопку Properties.
Заполняем поля CN и DNS.
В поле DNS всавляем ВСЕ возможные имена сертификата.
(*.myfirma.ru, workfolders.myfirma.ru, server1.domen.local, server1):
ОБЯЗАТЕЛЬНО сделайте у вашего провайдера в редакторе ДНС запись тип “А”о внешнем имени подключения. workfolders.myfirma.ru
Если все совсем плохо, тогда попробуйте выпустить сертификат на внешний IP адрес и подключаться вроде как https://200.100.15.45 (возможно сработает).
Вставляем Frendli name:
делаем отметку что ключ можно экспортировать (может пригодится):
Если все хорошо, то будет активна кнопка Enroll
И отметив Web Server сертификат можно выпустить:
Сертификат будет помещен Certificates – Local Computer – Personal.
Обязательная отметка – Нарисованный “ключик” на самом сертификате (левый верхний уголок).
Если что то пойдет не так, то выпускаем запрос на сертификат, потом импортируем запрос Submin new Request.
Далее сертификат импортируем на наш сервер в Certificates – Local Computer – Personal
После этого на IIS сертификат можно будет использовать.
Данный сертификат необходимо выбрать в качестве SSLсертификата на сайте IIS.
ПРИМЕЧАНИЯ:
Я опубликовал сервер через TMG по 443 порту.
для этого создал свое определение протокола на 443 порту:
Внутренний IP адрес сервера в сети:
Настройка Work Folder на клиенте
Следующий этап – настройка клиента Work Folder на пользовательском девайсе. Отметим, что для работы «Рабочих папок», клиент не обязательно должен состоять в тот же домене Windows, что и сервер Work Folder.
Примечание:
Для всех учетных записей на вашем домашнем компьютере должны стоять пароли.
Т.к. политка на сервере Work Folders требует защиты данных с помощью шифрования и пароля, необходимо подтвердить, что вы согласны применить эти политики на своем устройстве.
После этого в панели управления появится информация о «Рабочих папках» (объем доступного пространства на сервер, время последней синхронизации, ошибки и т.д.).
ПРИМЕЧАНИЯ:
Синхронизация немного запаздывает, примерно на 2-5 мин задержка – обычное дело.
Содержимое «Рабочих папок» доступно их проводника Windows или любого файлового менеджера (по умолчанию Work Folders хранятся в каталоге c:\users\username\WorkFolders).
Если скопировать или переместить в данную папку любой файл, то после следующей синхронизации, он будет скопирован на корпоративный файловый сервер и будет доступен пользователю на других мобильных и стационарных устройствах пользователя с настроенными Рабочими папками.
Настройка Work Folder с помощью групповой политики
Настроить Work Folder на клиентах возможно также с помощью групповой политик. Это удобно в случае необходимости массовой использования данной технологии на ПК домена. Интересующая нас политика находится в разделе Users Configurations-> Policies > Administrative Templates > Windows Components > Work Folders и называется Specify Work Folders settings. Чтобы задать сервер «Рабочих папок», активируйте эту политику и укажите URL путь к серверу.
Чтобы клиенты настраивали оставшиеся параметры Work Folders автоматически, также активируйте политику Force automatic setup for all users (раздел GPO: Computer Configurations> Policies > Administrative Templates > Windows Components > Work Folders.
Функционал Work Folder разработан Microsoft в рамках общего ИТ тренда под названием BYOD (Bring Your OwnDevice), в концепции которого пользователи могут использоваться свои личные мобильные устройства для прозрачного и безопасного доступа к корпоративным ресурсам. Одно из главных преимуществ концепции BYOD для копаний – отсутствие необходимости обеспечения сотрудников устройствами доступа (ноутбуки, телефоны, планшетные компьютеры), все, что нужно от компании – предоставить пользователям удобные службы удаленного подключений к корпоративной сети и сервисы предоставления корпоративных ресурсов
взято тут: