Work Folders в Windows Server 2016
Автор статьи — Андрей Каптелин, участник ИТ-сообщества
В современном мире пользователи организации зачастую используют не только свой рабочий персональный компьютер, но и другие устройства. Ноутбуки, планшеты и телефоны прочно вошли в список рабочих инструментов, на которых пользователи просматривают и создают документы. Потребность в синхронизации файлов решается многими сторонними сервисами, такими как i-cloud, google-drive и прочими решениями, не всегда контролируемыми ИТ-службой. Пользователи применяют разные учетные записи для работы со своими файлами, что вносит дополнительный беспорядок.
В локальной сети задача предоставления пользователю его файлов, вне зависимости от используемого компьютера, решается перенаправлением его папок на сервер компании. Это достаточно удобно, но имеет ряд ограничений. Это и работа только на Windows, и некоторые проблемы с Offline files, и требование хорошей пропускной способности сети до сервера с файлами пользователя.
Удобно и безопасно решить данную задачу теперь поможет внедрение WorkFolders — серверной роли, появившейся в Windows Server 2012 R2. Для синхронизации WorkFolders использует протокол HTTP с шифрованием, что облегчает связь клиента и сервера вне локальной сети через Интернет. Клиент WorkFolders встроен в Windows версии 8.1 и выше, а также доступен в виде обновления для Windows 7. Для мобильных устройств есть приложения для iOS и Android.
Одним из вариантов прозрачного для пользователя внедрения WorkFolders является перенаправление папок «Мои документы» и «Рабочий стол» в синхронизируемую папку. Таким образом обеспечивается централизованное хранение актуальных файлов пользователя и предоставление ему всегда актуальных данных на всех его устройствах.
Рассмотрим установку WorkFolders на примере недавно вышедших Windows Server 2016 и Windows 10 Anniversary Update.
Для установки роли WorkFolders нам понадобятся сервер, который будет хранить данные пользователя, и клиентская станция с Windows 10. На сервере развернута минимальная инфраструктура для домена и добавлен диск D — для будущих данных пользователей.
В диспетчере сервера запустим мастер добавления ролей и в списке служб файлового сервера выберем компонент WorkFolders. Мастер автоматически добавит компонент IIS Hostable Web Core, так как через него и осуществляется доступ пользователей к нашему серверу.
Далее дождемся окончания установки и продолжим конфигурирование. Но перед этим создадим группу безопасности, которая будет включать пользователей этого WorkFoldes-сервера.
Укажем заранее созданную папку, в которой будут храниться файлы пользователей.
Выберем формат названия подпапок пользователя, в данном случае просто по имени. Фильтр синхронизируемых папок заполнять не будем, пусть будет всё содержимое.
Название общего ресурса оставим по умолчанию, в нашем варианте доступ по SMB использоваться не будет.
Добавим группу, созданную ранее.
Политику безопасности отрабатывают не только Windows-системы, но и мобильные клиенты. В данном случае добавим только обязательное шифрование файлов.
Наш первый сервер WorkFolders почти готов.
Для шифрования во время передачи данных между клиентом и сервером понадобится доверенный SSL-сертификат для всех ваших устройств. Например, от StartSSL.
Для просмотра хеша сертификата можно воспользоваться командой PowerShell.
Наш сертификат — wf.contoso.com. В DNS также создана запись CNAME, указывающая на наш сервер.
Установка сертификата для IIS Hostable Web Core выполняется следующей командой:
netsh http add sslcert ipport=0.0.0.0:443 certhash=AD3F3E5596600AACC277B2DC01A7EE4B68CA4148 appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY
Здесь appid — ID модуля WorkWolders, а certhash — хеш сертификата.
Проверяем правило, разрешающее доступ по TCP-порту 443 в брандмауэре, и теперь сервер WorkFolders готов.
Настало время для настройки клиентских машин.
Для этого воспользуемся групповой политикой, перенаправив «Рабочий стол» в папку WorkFolders\Desktop.
Папку «Мои документы» перенаправим по аналогии в WorkFolders\Documents. Клиент WorkFolders сконфигурируем на автоматическое подключение и укажем адрес нашего сервера.
На компьютере пользователя после применения данной политики в проводнике появится новый пункт «Рабочие папки», в которые система в фоновом режиме перенесет файлы «Рабочего стола» и «Моих документов».
А в панели управления можно будет увидеть текущий статус синхронизации и доступный объем памяти на сервере.
На iPhone настройка будет выглядеть следующим образом.
После установки из Apple Store запускаем приложение.
Можно как указать адрес сервера, так и ввести адрес своей электронной почты. Во втором случае клиент выполнит автоматическую настройку, добавив к домену почты имя workfolders. Например, в случае, если адрес почты joe@contoso.com, клиент обратится к серверу https://workfolders.contoso.com.
После ввода учетных данных и создания ПИН-кода приложение отобразит содержимое WorkFolders с сервера.
Для Android все выглядит аналогично, потребуется версия 4.4 KitKat или выше.
На этом задача решена. Что дальше?
Можно опубликовать наш сервер WorkFolders в Интернете как обычный веб-сервер, и пользователи будут синхронизироваться как в локальной сети компании, так и находясь за ее пределами.
Можно применить квоты и фильтрацию по расширениям файлов для пользователей на файловом сервере. В панели управления доступное место будет показано в соответствии с квотами.
Можно сделать несколько серверов для разных групп пользователей, чтобы разнести их по территориальному признаку. Для этого надо будет заполнить атрибут msDS-SyncServerUrl учетной записи пользователя. Клиент, подключаясь к серверу WorkFolders, получит указание на нужный сервер.
В мобильных клиентах не обязательно скачивать весь контент, есть возможность скачивать по требованию либо закрепить нужный файл, и клиент будет держать его в актуальном состоянии.
Хотя WorkFolders и не является решением для резервного копирования, ничто не мешает делать копию папок пользователей и возвращать файлы пользователю при утрате всех его устройств.
Вот такое решение штатно существует в продуктах Microsoft уже длительное время и продолжает развиваться. Если ваши пользователи не применяют альтернативное ПО, возможно, это тот случай, когда они оценят данное решение, а ИТ-администраторы возьмут на вооружение еще одну роль Windows Server 2016.