Обновлено: 05.10.2020
Опубликовано: 2016 год или раньше
В качестве примера используется Windows Server 2012 R2 (2016, 2019). Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.
Выбор оборудования и подготовка сервера
Установка Windows и настройка системы
Базовые настройки файлового сервера
Тюнинг файлового сервера или профессиональные советы
Настройка средств обслуживания
Тестирование
Шаг 1. Выбор оборудования и подготовка сервера
В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:
- Процессор может быть самый простой;
- Оперативная память также не сильно используется;
- Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.
Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.
Дополнительные требования
- Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
- Сервер должен быть подключен к источнику бесперебойного питания;
- Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.
Подробнее о выборе оборудования читайте статью Как выбрать сервер.
Шаг 2. Установка Windows и настройка системы
Установка системы
На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 — 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.
Настройка системы
- Проверяем правильность настройки времени и часового пояса;
- Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
- Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
- Для удаленного администрирования, включаем удаленный рабочий стол;
- Устанавливаем все обновления системы.
Шаг 3. Базовые настройки файлового сервера
Это стандартные действия, которые выполняются при настройке обычного файлового сервера.
Установка роли и вспомогательных компонентов
Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.
Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.
Нажимаем Управление — Добавить роли и компоненты.
В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.
В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.
Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:
- Службы хранения;
- Файловый сервер;
Если данные службы не установлены, выбираем их и нажимаем Далее.
В окне Выбор компонентов просто нажимаем Далее.
Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.
Настройка шары (общей папки)
Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:
В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:
Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:
Предоставляем полный доступ всем пользователям:
* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).
Нажимаем OK и еще раз OK.
Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:
В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.
Нажимаем OK и Изменить.
Выставляем необходимые права на папку, например:
Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!
Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \fs1Общая папка.
Шаг 4. Тюнинг файлового сервера или профессиональные советы
Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.
DFS
С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:
- При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
- Администратор легко сможет создать отказоустойчивую систему при необходимости.
Как создать и настроить DFS читайте в статьях Как установить и настроить DFS и Как установить и настроить DFS с помощью Powershell.
Теневые копии
Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.
Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.
Аудит
Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.
О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows.
Анализатор соответствия рекомендациям
В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:
Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ — Начать проверку BPA:
Рассмотрим решения некоторых рекомендаций.
1. Для XXX должно быть задано рекомендованное значение.
Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5». Чтобы это сделать, открываем Powershell от администратора и вводим команду:
Set-SmbServerConfiguration -CachedOpenLimit 5
* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.
На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.
Остальные параметры задаем аналогичными действиями.
2. Файл Srv.sys должен быть настроен на запуск по требованию.
В командной строке от имени администратора вводим:
sc config srv start= demand
3. Создание коротких имен файлов должно быть отключено.
В командной строке от имени администратора вводим:
fsutil 8dot3name set 1
Шаг 5. Настройка средств обслуживания
Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.
Резервное копирование
Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.
Мониторинг
Мониторить стоит:
- Сетевую доступность сервера;
- Свободное дисковое пространство;
- Состояние жестких дисков.
Шаг 6. Тестирование
Тестирование состоит из 3-х основных действий:
- Проверить журналы Windows и убедиться в отсутствие ошибок. В случае их обнаружения, необходимо устранить все проблемы.
- Выполнить действия анализатора соответствий рекомендациям.
- Провести живой тест работы сервиса с компьютера пользователя.
Introduction
In this article, I will show you how to create shared folders in Windows Server 2016, so that you can share it with the people on the other computers in your network or workgroup.
I will explain this shared folder creation process in 8 steps. It is very simple and easy to follow.
Step 1
First step in this process would be opening your Server Manager Dashboard —> go to Tools —> click Computer Management.
Image: Server Manager Dashboard.
Step 2
Once you click Computer Management, it will open up Computer Management Window, where you can see different types of tools and utilities.
Now, expand System Tools —> expand Shared Folders —> Right-click on Shares —> Select New Share.
Image: Computer Management
Step 3
As soon as you click New Share, it will open Create A Shared Folder Wizard —> Click Next.
Image: Create A Shared Folder Wizard.
Step 4
Click Browse or type the path to the folder, where you want to share.
Image: Specify Folder Path
Step 5
As you can see in the screenshot given below, I clicked on Browse and choose the “C” drive. Click Make New Folder to create a new folder in the “C” drive. I named the folder as ImportantDocs and subsequently click OK.
[Note- You can pick an existing folder, but I have added a new folder, which I am going to share.]
Image: Select or Create a Folder to Share.
Step 6
In Step 5, I created a folder called ImportantDocs in the “C” drive to share, which you will see in the screenshot given below.
My folder path is C:ImportantDocs and click Next.
Image: Folder Path
Step 7
As soon as you click Next in the step given above, you will get some options to add a name and description to the shared folder. You can give a description in this step.
Image: Specify Name and Description to the Shared Folder.
Step 8
In this step, you need to specify Permissions to the shared folder, if you want to. I selected All users have read-only Access, so that it can be accessed by all the users in my network.
I clicked Finish to complete this process.
Image: Permissions to Shared Folders
Now, it should create a shared folder in my “C” drive ( at C:ImportantDocs Location. You can verify this by navigating to the location.
I navigated to C:ImportantDocs to see if there’s a folder called “ImportantDocs”, as you can see in the screenshot given below. This folder is now created at this location. This folder can now be accessed by all the people on other computers in my network.
Технология рабочих папок (Work Folders) позволяет организовать удаленный доступ пользователей к своим файлам на внутреннем файловом сервере компании и работать с ними в офлайн режиме с любого устройства (ноутбук, планшет или смартфон). При следующем подключения к сети все изменения в файлах на устройстве пользователя синхронизируются с корпоративным файловым сервером. В этой статье мы покажем, как установить и настроить функционал Work Folders на базе файлового сервера Windows Server 2016 и клиента с Windows 10 .
В качестве хранилища файлов может использоваться файловый сервер с Windows Server 2012 R2, в качестве клиентов все версии Windows, начиная с Windows 7, а также устройства с Android 4.4 или iOS 8 и выше (клиент Work Folders для этих устройств доступен в Google Play и App Store соответственно). С помощью политик безопасности можно потребовать от клиентов Work Folders обязательное хранение содержимого рабочих папок в зашифрованном виде, что гарантирует защиту данных даже в случае утери/кражи устройства.
Содержание:
- Установка и настройка роли Work Folders в Windows Server 2016
- Настройка клиента Work Folders
- Настройка клиента Work Folders групповыми политиками Windows
- Ошибка синхронизации Work Folders 0x80c80317
- Заключение
Установка и настройка роли Work Folders в Windows Server 2016
Роль Work Folders в Windows Server 2016 можно установить из графического интерфейса Server Manager или с помощью PowerShell.
В первом случае нужно в Server Manager внутри роли File and Storage Services выбрать службу Work Folders (к установке будут автоматически добавлены требуемые компоненты IIS Hostable Web Core).
Установка роли Work Folders с помощью PowerShell выполняется такой командой:
Install-WindowsFeature FS-SyncShareService,Web-WHC
Для предоставления доступа к рабочим папкам в Active Directory нужно создать группы безопасности, в которые нужно включить пользователей, которым будет разрешено синхронизировать свои устройства с рабочими папками на файловом сервере (для более быстрой работы службы Work Folders за счет уменьшения количества запросов к AD, Microsoft рекомендует помещать в данные группы только учетные записи пользователей, но не другие группы безопасности).
Следующий этап – создание на файловом сервере сетевых каталогов, с которыми будут синхронизироваться пользователи. Эти каталоги можно создать из консоли Server Manager или PowerShell.
Откройте Server Manager, выберите роль File and Storage Services -> Work Folders. Выберите меню Tasks -> New Sync Share.
Далее нужно указать каталог, к которому будет предоставляться доступ. В нашем примере это папка C:finance.
Далее нужно выбрать какая структура пользовательских папок будет использоваться. Папки могут называться по учетной записи пользователя (alias), либо в формате [email protected]
Затем указывается имя шары.
Далее нужно указать группы доступа, которым нужно предоставить доступ к данному каталогу.
Далее указываются политики безопасности рабочих папок, которые должны применяться на клиенте. Имеются две политики:
- Encrypt Work Folders – обязательное шифрование данных в каталоге Work Folder на клиенте с помощью BitLocker
- Automatically lock screen and require a password– автоматическая блокировка экрана через 15 минут неактивности устройства и защита его паролем (не менее 6 символов)
На этом настройка новой рабочей папки закончена.
Те же самые действия по созданию новой папки синхронизации можно выполнить с помощью командлета New-SyncShare. К примеру, следующая команда создаст новую папку синхронизации и предоставит доступ к ней группе
New-SyncShare "Sales" C:sales –User "Sales_Users_Remote_WorkFolder"
Для доступа к рабочим файлам по защищенному протоколу HTTPS, к веб сайту IIS, который обслуживает работу папок Work Folder нужно привязать валидный SSL сертификат.
Примечание. В тестовой конфигурации сертификат использовать не обязательно, требование наличия сертификата на клиенте можно игнорировать. См. команду ниже.
Проще всего воспользоваться бесплатным SSL сертификатом от Let’s Encrypt. Процесс выпуска и привязки такого сертификата в IIS описан в статье Cертификат Let’s Encrypt для Windows(IIS).
Совет. Для подключения внешних клиентов к серверу Work Folder для доступа и синхронизации файлов, нужно соответствующим образом настроить DNS имя сервера во внешней зоне, а также на межсетевом экране разрешить трафик к серверу по портам 80 и/или 443 TCP. Кроме того, для более комплексной защиты можно организовать доступ через сервер Web Application Proxy.
Настройка клиента Work Folders
В данном примере в качестве клиента Work Folders используется устройство с Windows 10. Настройка производится через имеющийся апплет в панели управления Control Panel -> System and Security -> Work Folders (этот пункт отсутствует в серверных редакциях).
Чтобы приступить к настройке, нажмите кнопку Set up Work Folders.
Далее нужно указать Email пользователя или URL адрес сервера Work Folders.
По умолчанию, клиент подключается к серверу по защищенному HTTPS протоколу. В тестовой среде это требование можно отменить, выполнив на клиенте команду:
Reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionWorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1
Для доступа к данным нужно авторизоваться и подтвердить согласие с политиками безопасности, которые будут применены к клиенту.
На Windows клиентах рабочие файлы по умолчанию хранятся в профиле пользователя в каталоге %USERPROFILE%Work Folders и их размер не может превышать 10 Гб.
После подключения клиента к серверу, создается каталог Work Folders. Если файлы в рабочих папках не изменились, клиент каждые 10 минут синхронизируется с файловым сервером. Синхронизация измененных файлов выполняет сразу. Кроме того, при наличии изменений сервер автоматически оповещает другие клиенты о необходимости обновить свои данные с центрального сервера (таким образом, изменения должны максимально быстро появиться на всех подключенных устройствах).
Статус синхронизации, наличие ошибок, размер свободного места на сервере можно посмотреть в том же элементе панели управления.
Чтобы проверить работу синхронизации создайте в папке Work Folders новый каталог, а затем в контекстном меню выберите пункт Sync now.
Через некоторое время данный каталог должен появится на сервере.
Настройка клиента Work Folders групповыми политиками Windows
Для автоматической настройки Work Folders можно использовать две специализированные групповые политики в разделе User Configuration -> Policies -> Administrative Templates -> Windows Components -> WorkFolders:
- Specify Work Folders Settings – в ней можно указать URL адрес сервера Work Folders
- Force automatic setup for all users – инициирует автоматическую настройку клинета
Ошибка синхронизации Work Folders 0x80c80317
В тествой конфигурации столкулся с тем, что при синхронизации файлов на клиенте возникает ошибка:
There was a problem, but sync will try again (0x80c80317)
В логе сервера при этом содержатся такие записи:
The Windows Sync Share service failed to setup a new sync partnership with a device. Database: \?C:usersSyncShareStateWorkFoldersMetadata; User folder name: \?C:FinanceWORKFOLDERS_ROOTUSER.TEST; Error code: (0x8e5e0408) Unable to read from or write to the database.
Данные ошибки свидетельствуют о наличии проблемы в механизме синхронизации. В этом случае для пользователя нужно выполнить команды
Repair-SyncShare -name Finance -user Domainuser1
Get-SyncUserStatus -syncshare Finance -user Domainuser1
Как правило, это решает проблему поломанной синхронизации.
Заключение
Итак, мы рассмотрели, как настроить и пользоваться функцией Work Folders в Windows Server 2016. Данная технология позволяет пользователям удаленно работать с корпоративными файлами практически на любом устройстве, причем можно обеспечить адекватный уровень защиты данных от компрометации с помощью шифрования на стороне клиентского устройства. Конечно, этому решению далеко до удобства и гибкости облачных хранилищ Dropbox или OneDrive, но тут главный аспект заключается в простоте настройки и хранении данные внутри компании, а не в стороннем облаке. Дополнительно с Work Folders можно использовать такие технологии, как возможность управления квотами и типами файлов с помощью FSRM, поддержка файловых кластеров, управление доступом к данным с помощью Dynamic Access Control и File Classification Infrastructure.
В серии статей мы рассмотрим установку файлового сервера на базе Windows Server 2016, настройку пространства имен, квотирования, группы AD, права доступа к сетевым папкам, создание ярлыков на сетевые папки через GPO.
За базу берем поставленную мне задачу, упростим ее для статьи. В примере будем использовать два отдела компании. На сервере будет использовано два HDD диска для хранения данных, также подключим третий HDD диск по сети с другого сервера.
1 . Установка и настройка файлового сервера, DFS Namespace и квот
2 . Настройка прав доступа к сетевым папкам на файловом сервере
3 . Добавление групп в AD
4 . Добавляем ярлыки на рабочий стол через GPO
Установка роли файлового сервера
1 . Открываем панель управления Server Manager, справа, вверху, находим Manage, выбираем «Add roles and features» (Добавить роли и компоненты)
2 . Тип установки указываем «Role-based or feature-based installation» (Установка ролей и компонентов)
3 . Выбираем необходимый нам сервер из пула (списка) серверов
4 . Выбираем компоненты
Установка DFS-namespace
Зачем нужен DFS?
DFS имеет ряд преимуществ как для пользователей сети, так и для предприятий.
Для пользователей сети:
Namespace DFS — это упрощенный доступ к файлам, распределенным по сети. Исчезает необходимость в подключении множества сетевых дисков. Пользователям предоставляется одна общая сетевая папка, в которой отображаются только те папки, к которым им предоставлен доступ, если конечно включен ABE.
Для организации:
Namespace DFS — гибкое использование свободных ресурсов. Создание и подключение к DFS сетевых папок с серверов и компьютеров со свободным местом на жестком диске.
Replication DFS (Репликация DFS) — автоматическое резервирование важной информации повышает отказоустойчивость всей системы (выход одного сервера или дискового устройства не повлияет на работу пользователей).
В моем случае DFS мне поможет создать более удобную структуру файлового сервера для пользователей, получить одну точку входа.
Установка DFS
Если вы не установили DFS при инсталляции роли файлового сервера, то можно ее просто добавить. Для этого:
Откройте панель управления сервером Windows и найдите Add roles and features (Добавить роли и компоненты).
В качестве типа установки укажите Role-based or feature-based installation (Установка ролей и компонен
Выбираем нужный сервер из пула серверов. тов).
Выбираем нужный сервер из пула серверов.
В следующем окне отмечаем DFS Namespaces и DFS Replication, если нужно.
После удачной инсталляции переходим к настройке DFS
Настройка DFS
В Server ManagerDashboard выберете > Tools > DFS Managment.
Или в поиске введите команду dfsmgmt.msc.
Для создания нового пространства имен выберете в правой части экрана New Namespace.
Введите название сервера и выберите его местоположение.
На следующем этапе задаем имя пространства имен DFS. Хочу обратить внимание, что заданное здесь имя будет использоваться при подключении общей сетевой папки. Например:
\companyname.localshare
На следующем шаге выбираем Domain-based namespace, так как используются доменные службы Active Directory.
В результате видим сообщение об успешном создании пространства имен.
Теперь подключаем к нашему созданному Namespace сетевые папки.
Настройку прав доступа для папок смотрите здесь >>>
Для создания новой папки выберете в правой части экрана New Folder. Задайте имя папки и путь к ней.
В моем случае у меня 2 разных сетевых папки на разных дисках. Но для пользователей отдела один сетевой ресурс:
\companyname.localshare-files
Если в будущем мне понадобится добавить какие-либо сетевые папки для отделов, но при этом не подключать несколько сетевых ресурсов, то достаточно будет создать новый Namespace и подключить к нему нужные папки.
НА ЗАМЕТКУ!
Если после удаления Namespace появилась ошибка и перестали отображаться другие, то нажмите на него
и выберите Remove DFS Namespaces from the display.
Ошибка исчезнет и все остальные Namespace появятся на экране.
Replication DFS (Репликация DFS) мною не настраивалась. Наличие свободных ресурсов всегда болезненный вопрос.
Для второго отдела был создана обычная сетевая папка с правами доступа.
\sharename-filesНастройка квот для сетевых папок в Windows Server 2016
Причины для установки квот на сетевые папки могут быть самые разные. Для меня было целью разделить место на логическом диске D: моего файлового сервера на 2 отдела.
Для установки квот на сетевые папки необходимо установить File Server Resource Manager.
В Server ManagerDashboard выберете > Tools > File Server Resource Manager. Откроется окно управления File Server Resource Manager. Если у вас в компании есть настроенный SMTP server с 25 портом, то вы можете настроить отправку уведомлений о квотах на e-mail администратора. Для этого выберите: File Server Resource Manager > Configure Options…
Для создания своей квоты выберите Quota Management > Quota Templates > Create Quota Templates
Задаем имя для нашей новой квоты, описание, если нужно, и устанавливаем лимит. Нажимаем OK. Квота создана. Если нажать кнопку ADD, то открывается окно с доп. настройками, в котором можно создать уведомления о действиях с папкой, к которой применена квота, запись уведомлений в журнал и отправки на e-mail администратора.
Создадим квоту Storage и применим ее к папке old storage.
Подключим эту папку на компьютере пользователя, видим результат.
Хочу добавить, что квоты бывают Hard (жесткими) и Soft (мягкими). Мягкие квоты – это квоты, в которых установленный лимит можно превышать при достижении порогового значения. Жесткие квоты – запрещают пользователю превышать установленное пороговое значение лимита. Я использую жесткие квоты, так как хочу закрепить выделенное место на жестком диске за отделами.
На заметку!
Если вы подключаете сетевую папку созданную в Namespace,
то корректного отображения информации об объеме данной сетевой папки не будет.
Обращаю внимание на то, что эта статья описывает конкретный пример. Задачи и решения для каждой компании индивидуальны.
Всем привет! Сейчас мы с Вами рассмотрим два варианта установки и удаления файлового сервера в операционной системе Windows Server 2016, а именно традиционного с использованием графического инструмента, т.е. «Мастера добавления ролей и компонентов», и продвинутого с использованием Windows PowerShell.
Опытны системные администраторы, конечно же, знают что такое файловый сервер (File Server) и в целом файловые службы (File Services) Windows Server, а также как устанавливать, настраивать и удалять данную роль, но начинающие сисадмины в небольших компаниях многого не знают и ограничиваются простым предоставлением общего доступа к папкам. Но так как файловые службы Windows Server имеют гораздо больше возможностей, сегодня я кратко опишу их и покажу на примере процесс установки и удаления некоторых компонентов, входящих в состав файловых служб (забегая вперед, скажу, что это будет «Файловый сервер», «Диспетчер ресурсов файлового сервера» и «Средства диспетчера ресурсов файлового сервера»).
Содержание
- Что такое файловые службы и службы хранилища в Windows Server 2016?
- Компоненты и функции входящие в файловые службы в Windows Server 2016
- Средства администрирования файловых служб Windows Server 2016
- Установка и удаление роли файлового сервера в Windows Server 2016
- Установка файлового сервера с помощью мастера
- Установка файлового сервера с помощью Windows PowerShell
- Удаление файлового сервера с помощью мастера
- Удаление файлового сервера с помощью Windows PowerShell
Файловые службы и службы хранилища – это технологии, с помощью которых можно предоставлять общий доступ к файлам и папкам, управлять общими ресурсами и контролировать их, осуществлять репликацию файлов, обеспечивать быстрый поиск файлов, а также предоставлять доступ для клиентских компьютеров UNIX.
Для реализации и использования всего вышеперечисленного в роль «Файловые службы и службы хранилища» Windows Server 2016 входит достаточно большое количество компонентов и инструментов управления, и сейчас давайте, перечислим и рассмотрим их.
Компоненты и функции входящие в файловые службы в Windows Server 2016
- Службы хранения — это набор функций по управлению хранением, которые установлены по умолчанию и не могут быть удалены;
- Файловый сервер — предоставляет пользователям доступ к файлам на данном сервере из сети и управляет файловыми ресурсами общего доступа;
- Дедупликация данных – технология позволяющая экономить место на диске за счет хранения на томе только одной копии идентичных данных;
- Диспетчер ресурсов файлового сервера — позволяет управлять файлами и папками на файловом сервере, создавать отчеты хранилища, планировать задачи управления файлами, классифицировать файлы и папки, настраивать квоты папок и определять политику блокировки файлов;
- Поставщик целевого хранения iSCSI (аппаратные поставщики VDS и VSS) – позволяет приложениям на сервере, подключенным к целям iSCSI, выполнять теневое копирование томов на виртуальных дисках iSCSI. Он также дает возможность управления виртуальными дисками iSCSI с помощью старых приложений, для которых требуется аппаратный поставщик службы виртуальных дисков (VDS);
- Пространство имен DFS – с помощью данной технологии можно объединять общие папки, находящиеся на разных серверах в одно или несколько логически структурированных пространств имен. Для пользователей пространство имен выглядит как единый файловый ресурс с рядом вложенных папок, но на самом деле оно может состоять из множества общих папок, которые расположены на разных серверах;
- Рабочие папки — предоставляют пользователям возможность использования рабочих файлов с разных компьютеров, в том числе и с личных. В таких папках можно хранить свои файлы, синхронизировать их и получать к ним доступ из сети;
- Репликация DFS – это механизм репликации данных между несколькими серверами, позволяющий синхронизировать папки через подключение к локальной или глобальной сети. Данная технология использует протокол удаленного разностного сжатия (RDC) для обновления только той части файлов, которая была изменена с момента последней репликации;
- Сервер для NFS – эта технология позволяет серверу использовать файлы совместно с компьютерами на базе UNIX и другими компьютерами, которые используют протокол сетевой файловой системы (NFS).
- Сервер целей iSCSI – предоставляет службы и средства управления конечными устройствами iSCSI;
- Служба BranchCache для сетевых файлов – данная служба обеспечивает поддержку BranchCache на текущем сервере. BranchCache – это технология, которая оптимизирует пропускную способность глобальной сети (WAN). Основана она на следующем механизме, после того как клиентский компьютер запрашивает и получает данные из главного офиса, содержимое кэшируется в филиале, остальные компьютеры этого филиала могут получать данные локально, т.е. нет необходимости заново загружать их с сервера главного офиса по глобальной сети;
- Служба агента VSS файлового сервера — позволяет выполнять теневое копирование томов для приложений, которые хранят файлы данных на этом файловом сервере.
Средства администрирования файловых служб Windows Server 2016
Ранее мы рассмотрели роли Windows Server 2016 входящие в состав файловых служб, но всеми этими ролями необходимо управлять и для этих целей нам на помощь приходят «Компоненты» Windows Server, а именно «Средства администрирования ролей». В состав средств администрирования файловых служб Windows Server 2016 входят:
- Службы для средств управления NFS – добавляют оснастку NFS и такие команды как: Nfsadmin, Showmount, Rpcinfo;
- Средства диспетчера ресурсов файлового сервера – добавляют оснастку «Диспетчер ресурсов файлового сервера», а также команды: Dirquota, Filescrn, Storrept. Эти средства позволяют сисадминам отслеживать и контролировать объемы и типы данных, хранящихся на файловых серверах, а также управлять ими. Например, администраторы могут задавать квоты для папок и томов, т.е. ограничения в размерах, определять политику блокировки файлов, другими словами Вы можете указать только те типы файлов, которые Вы считаете безопасными и нужными, например, исключить возможность хранения файлов EXE. Для отслеживания и контроля средства диспетчера ресурсов файлового сервера позволяют генерировать подробные отчеты хранилища;
- Средства управления DFS – включает оснастку «Управление DFS», «Службы репликации DFS», командлеты Windows PowerShell для пространств имен DFS, а также утилиты DfsUtil, DfsCmd, DfsDiag, DfsrAdmin и DfsrDiag.
Установка и удаление роли файлового сервера в Windows Server 2016
Для примера давайте рассмотрим ситуацию, когда Вам необходимо развернуть файловый сервер для предоставления пользователям общего доступа к файлам и папкам, а также осуществлять контроль использования ресурсов на данном файловом сервере.
Для решения данной задачи мы установим два компонента входящих в роль файловых служб, а именно «Файловый сервер» и «Диспетчер ресурсов файлового сервера», а также для эффективного контроля имеющиеся ресурсов установим «Средства диспетчера ресурсов файлового сервера».
Процесс установки и удаления роли файлового сервера мы будем рассматривать на примере операционной системы Windows Server 2016, и как я уже сказал ранее, мы разберем два варианта: первый с использованием мастера, и второй с использованием Windows PowerShell.
Установка файлового сервера с помощью мастера
Запускаем «Диспетчер серверов», например, из меню пуск.
После этого запускаем «Мастер добавления ролей и компонентов», для этого выбираем пункт меню «Управление ->Добавить роли и компоненты».
На первом окне мастера сразу нажимаем «Далее».
Затем выбираем тип «Установка ролей или компонентов», жмем «Далее».
Если у Вас несколько серверов выбирайте нужный, у меня он всего один, поэтому я сразу жму «Далее».
И вот, наконец, мы дошли до выбора ролей. Находим раздел «Файловые службы и службы хранилища» и ставим галочки напротив ролей, которые нужно установить, в нашем случае это «Файловый сервер» и «Диспетчер ресурсов файлового сервера».
После того как Вы поставите галочку напротив роли «Диспетчер ресурсов файлового сервера» у Вас появится окно, в котором Вам предложат сразу выбрать компонент управления данной ролью, т.е. «Средства диспетчера ресурсов файлового сервера», а нам как раз нужен этот компонент, поэтому жмем кнопку «Добавить компоненты».
Необходимые роли выбраны, теперь жмем «Далее», в итоге мастер перейдет к выбору компонентов, но нужный нам компонент уже будет отмечен (в разделе средства удаленного администрирования сервера), поэтому мы сразу можем нажимать «Далее».
Все готово для установки, проверяем и подтверждаем параметры установки, а именно правильность выбора ролей и компонентов, жмем «Установить».
Процесс установки будет завершен, когда появится соответствующее сообщение.
После установки Вы можете предоставлять общий доступ к файлам и папкам на данном сервере, а также с помощью «Диспетчера ресурсов файлового сервера» настраивать квоты, блокировки файлов, создавать и генерировать отчеты, данную оснастку можно запустить, например, из меню диспетчера серверов «Средства».
Установка файлового сервера с помощью Windows PowerShell
В Windows PowerShell для установки ролей и компонентов есть специальный командлет Install-WindowsFeature, именно его мы и будем использовать. Запускаем оболочку Windows PowerShell и выполняем следующие команды.
Для установки файлового сервера
Install-WindowsFeature -Name "FS-FileServer"
Для установки «Диспетчера ресурсов файлового сервера»
Install-WindowsFeature -Name "FS-Resource-Manager"
Для установки компонента «Средства диспетчера ресурсов файлового сервера»
Install-WindowsFeature -Name "RSAT-FSRM-Mgmt"
Все, установка завершена, мы только что установили файловый сервер, диспетчер ресурсов файлового сервера и средства диспетчера ресурсов файлового сервера.
Удаление файлового сервера с помощью мастера
Перед удалением файлового сервера необходимо убрать общий доступ со всех файлов и папок, иначе удалить не получится, в самом начале процесса возникнет ошибка.
Примечание! После удаления файлового сервера требуется перезагрузка сервера.
Запускаем диспетчер серверов и в меню «Управление» выбираем «Удалить роли и компоненты».
В итоге запустится «Мастер удаления ролей и компонентов», где Вы делаете практически то же самое, что и при установке, только мы не ставим галочки, а наоборот убираем их, после того как Вы уберете галочку с «Диспетчера ресурсов файлового сервера», Вам также сразу предложат удалить компонент «Средства диспетчера ресурсов файлового сервера». Затем жмем «Далее», если хотим удалить еще какие-нибудь компоненты, то также снимаем галочки, и снова жмем «Далее».
На заключительном шаге мастера проверяем выбранные роли и компоненты, и жмем «Удалить». После завершения процесса удаления, как я уже говорил, перезагружаем сервер.
Удаление файлового сервера с помощью Windows PowerShell
Для того чтобы удалить файловый сервер с помощью Windows PowerShell, запускаем оболочку PowerShell и выполняем перечисленные ниже команды. В данном случае нам также сначала необходимо убрать общий доступ со всех файлов и папок и не забывать о том, что после удаления нам нужно будет перезагрузить сервер.
Для удаления компонента «Средства диспетчера ресурсов файлового сервера»
Uninstall-WindowsFeature -Name "RSAT-FSRM-Mgmt"
Для удаления «Диспетчера ресурсов файлового сервера»
Uninstall-WindowsFeature -Name "FS-Resource-Manager"
Для удаления «Файлового сервера»
Uninstall-WindowsFeature -Name "FS-FileServer"
На этом у меня все, пока!
Технология рабочих папок позволяет пользователям получать удаленный доступ к своим файлам на внутреннем файловом сервере компании и работать с ними в автономном режиме с любого устройства (ноутбука, планшета или смартфона). При следующем подключении к сети все изменения файлов на устройстве пользователя синхронизируются с корпоративным файловым сервером. В этой статье мы покажем вам, как установить и настроить функцию рабочих папок на основе файлового сервера Windows Server 2016 и клиента Windows 10 .
Файловый сервер под управлением Windows Server 2012 R2 может использоваться в качестве хранилища файлов, поскольку клиентами являются все версии Windows, начиная с Windows 7, а также устройства под управлением Android 4.4 или iOS 8 и более поздних версий (клиент рабочих папок для этих устройств является доступны в Google Play и App Store соответственно). Используя политики безопасности, клиенты рабочих папок могут быть обязаны хранить содержимое рабочих папок в зашифрованном виде, что обеспечивает защиту данных даже в случае утери / кражи устройства.
Роль рабочих папок в Windows Server 2016 можно установить из графического интерфейса диспетчера сервера или через PowerShell.
В первом случае в диспетчере сервера в роли File and Storage Services выберите службу Work Folders (необходимые компоненты IIS Hostable Web Core будут автоматически добавлены в установку).
Установка роли рабочих папок через PowerShell выполняется с помощью следующей команды:
Install-WindowsFeature FS-SyncShareService,Web-WHC
Чтобы предоставить доступ к рабочим книгам в Active Directory, вам необходимо создать группы безопасности, в которые необходимо включить пользователей, которые смогут синхронизировать свои устройства с рабочими книгами на файловом сервере (для более быстрого обслуживания рабочих папок за счет уменьшения количества запросов к AD, Microsoft рекомендует помещать в эти группы только учетные записи пользователей, а не другие группы безопасности).
Следующим шагом является создание сетевых каталогов на файловом сервере, с которыми пользователи будут синхронизироваться. Эти каталоги можно создать из консоли Server Manager или из PowerShell.
Откройте диспетчер серверов, выберите «Файловые службы и службы хранения» -> «Роль рабочих папок». Выберите меню Activity -> New sync share.
Далее необходимо указать каталог, к которому будет предоставлен доступ. В нашем примере это папка C: financial.
Далее вам нужно выбрать, какая структура папок пользователя будет использоваться. Папки могут быть названы в соответствии с учетной записью пользователя (псевдонимом) или в формате user @ domain.
Затем указывается название шаров.
Далее вам необходимо указать группы доступа, которым вы хотите предоставить доступ к этому каталогу.
Ниже приведены политики безопасности книги, которые необходимо применить к клиенту. Есть две политики:
- Шифровать книги – Требуется шифрование данных в книге на клиенте с помощью BitLocker
- Автоматическая блокировка экрана и запрос пароля: автоматическая блокировка экрана через 15 минут бездействия устройства и защита его паролем (не менее 6 символов)
На этом настройка новой книги завершена.
Те же шаги для создания новой папки синхронизации можно выполнить с помощью командлета New-SyncShare. Например, следующая команда создаст новую папку синхронизации и поделится ею с группой
New-SyncShare "Sales" C:sales –User "Sales_Users_Remote_WorkFolder"
Чтобы получить доступ к рабочим файлам через безопасный протокол HTTPS, действующий сертификат SSL должен быть связан с веб-сайтом IIS, который обслуживает рабочие книги.
Примечание. В тестовой конфигурации нет необходимости использовать сертификат; требование сертификата на клиенте можно игнорировать. См. Команду ниже.
Самый простой способ – использовать бесплатный SSL-сертификат от Let’s Encrypt. Процесс выдачи и привязки этого сертификата в IIS описан в статье Шифрование сертификата для Windows (IIS).
Совет. Чтобы подключить внешних клиентов к серверу рабочих папок для доступа к файлам и синхронизации, необходимо правильно настроить DNS-имя сервера во внешней зоне, а также разрешить трафик на сервер через TCP-порты 80 и / или 443 на брандмауэре. Кроме того, для более полной защиты доступ может быть предоставлен через прокси-сервер веб-приложения.
Настройка клиента Work Folders
В этом примере в качестве клиента рабочих папок используется устройство под управлением Windows 10. Настройка выполняется с помощью апплета, доступного в Панели управления -> Система и безопасность -> Рабочие папки (этот элемент недоступен в серверных версиях).
Чтобы начать настройку, нажмите кнопку «Настроить книги.
Далее вам необходимо указать электронную почту пользователя или URL-адрес сервера рабочих папок.
По умолчанию клиент подключается к серверу по защищенному протоколу HTTPS. В тестовой среде это требование можно отменить, выполнив команду на клиенте:
Reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionWorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1
Для доступа к данным необходимо войти в систему и подтвердить свое согласие с политиками безопасности, которые будут применяться к клиенту.
В клиентах Windows рабочие файлы по умолчанию хранятся в профиле пользователя в каталоге% USERPROFILE% Work Folders и не могут превышать 10 ГБ.
После подключения клиента к серверу создается каталог рабочих папок. Если файлы в книгах не изменились, клиент синхронизируется с файловым сервером каждые 10 минут. Синхронизация измененных файлов выполняется немедленно. Кроме того, если есть какие-либо изменения, сервер автоматически уведомляет других клиентов об обновлении своих данных с центрального сервера (поэтому изменения должны появиться как можно быстрее на всех подключенных устройствах).
Статус синхронизации, ошибки, свободное место на сервере можно посмотреть в той же записи панели управления.
Чтобы проверить задание синхронизации, создайте новый каталог в папке «Рабочие папки», затем выберите «Синхронизировать сейчас» в контекстном меню.
Через некоторое время этот каталог должен появиться на сервере.
Настройка клиента Work Folders групповыми политиками Windows
Для автоматической настройки ваших книг вы можете использовать две специализированные групповые политики в Конфигурация пользователя -> Политики -> Административные шаблоны -> Компоненты Windows -> Рабочие папки:
- Укажите параметры книги – здесь вы можете указать URL-адрес сервера книги
- Принудительная автоматическая настройка для всех пользователей – запускает автоматическую настройку клиента
Ошибка синхронизации Work Folders 0x80c80317
При тестовой настройке я обнаружил следующую ошибку при синхронизации файлов на клиенте:
Возникла проблема, но синхронизация будет повторяться (0x80c80317)
Журнал сервера содержит следующие записи:
Службе Windows Sync Share не удалось установить новое синхронизирующее взаимодействие с устройством. База данных: \? C: users SyncShareState WorkFolders Metadata; Имя папки пользователя: \? C: Finance WORKFOLDERS_ROOT USER.TEST; Код ошибки: (0x8e5e0408) Невозможно прочитать или записать в базу данных.
Эти ошибки указывают на проблему с механизмом синхронизации. В этом случае пользователь должен выполнить команды
Ремонт-SyncShare -name Finance -user Domain user1
Get-SyncUserStatus -syncshare Finance -user Domain user1
Обычно это решает проблему нарушения синхронизации.
Заключение
Поэтому мы рассмотрели, как настроить и использовать функцию рабочих папок в Windows Server 2016. Эта технология позволяет пользователям удаленно работать с корпоративными файлами практически на любом устройстве, и вы можете обеспечить адекватный уровень защиты данных от компрометации с помощью шифрования на устройство заказчика. Конечно, это решение далеко от удобства и гибкости облачного хранилища Dropbox или OneDrive, но основная проблема здесь заключается в простоте настройки и хранения данных внутри компании, а не в стороннем облаке. Кроме того, в книгах могут использоваться такие технологии, как возможность управления квотами и типами файлов с помощью FSRM, поддержка кластеров файлов, управление доступом к данным с помощью динамического контроля доступа и инфраструктура классификации файлов.
Источник изображения: winitpro.ru