احمد جهلولی
متخصص سرویس های مایکروسافت

آموزش راه اندازی Work Folder در ویندوز سرور 2012 بصورت تصویری

یکی از چالشهای که بعضی از سازمانهای بزرگ دارند دسترسی بعضی از پرسنل به بعضی از فرمها و فایلهای مهم اداری در بیرون از شرکت می باشد. در سالهای اخیر بیشتر سازمانها از قابلیت Offline File استفاده می کردند ولی این روش جوابگوی نیاز آنها نبود و یک عیب بزرگ دارد. فرض کنید یک کارمند یک ماموریت به خارج از کشور دارد و در طول سفر نیازمند آخرین تعقیرات بعضی از فایلهای مهم سازمانی می باشد. در این سناریو بوضوح احساس می شود که Offline file جوابگوی این کارمند نیست. شاید اطلاعات بعضی از فایلها را بتواند بصورت Offline مطالعه کند ولی نمی تواند آخرین تعقیرات اعمال شده بر روی آن فایلها را داشته باشد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
وب سایت توسینسو

شاید بعضی ها با خود فکر کنند چرا از سرویس های Cloud استفاده نکنیم؟؟؟ مانند OneDrive, Dropbox and Google Drive!!! آن کارمند به راحتی می تواند فایلهای خود را با دیگران به اشتراک بگذارد و به آخرین تعقیرات اعمال شده بر روی آنها دسترسی داشته باشد و مسئله ی دیگه ای که هست آن کارمند می تواند از هر دیوایسی مانند Smartphones، تبلتها و لب تابها استفاده کند و تنها چیزی که نیاز دارد اتصال به اینترنت می باشد، با این توضیحات چرا از این روش استفاده نکنیم؟

ما به یک دلیل مهم نمی توانیم از سرویس های Cloud استفاده کنیم و آن مسئله Manageable بودن آنهاس. به عبارت دیگر ما نمیتوانیم این سرویسها را از یک نقطه مرکزی مدیریت کنیم یا سیاست امنیتی خاصی را Force کنیم، دوباره تاکید می کنم نمی توانیم سیاست امنیتی خاصی را Force کنیم. برای درک بهتر این موضوع بحثی که در اینباره شد را با دقت بخوانید.

برای غلبه کردن بر این مشکلات مایکروسافت قابلیت جدیدی به نام Work Folders در Windows Server 20112 R2 معرفی کرده که می تواند تمام نیازمندیهای چنین سازمانهای را برطرف کند. Work Folders تکنولوژی هستش که می تواند اطلاعات سازمان را در هر نقطه و مکان داخل یا خارج از سازمان Join to Domain باشید یا نباشید و فقط بوسیله اتصال دیوایس خود به اینترنت به داده های خود دسترسی داشته باشید.یکی از ویژگی های جالب Work Folders استفاده از این قابلیت در هر نوع پلتفرم می باشد. شما می توانید این قابلیت را بر روی موبایلهای IOS، Windows Phone و َAndroid داشته باشید.

وب سایت توسینسو

شما با استفاده از این قابلیت می توانید از سیاستهای امنیتی جالبی استفاده کنید به عنوان مثال می توانید کاربران خود را Force کنید که داده های خود را Encrypt کنند، زمان اتصال از آنها User & Pass بخواهد یا اگر موبایل آنها دزدیده شد و اطلاعات سازمان بر روی آن موبایل بود آن اطلاعات بصورت اتوماتیک در یک فرجه زمانی خاص حذف شود یا گروه خاصی بتواند به اطلاعات سازمان دسترسی داشته باشد.شما همچنین می توانید این قابلیت را برای کاربران دومین بوسیله Group Policy تنظیم کنید. همچنین این قابلیت میتواند با سرویس های زیر ادغام شود:

  1. File Server Resource
  2. Data Deduplication
  3. Active Directory Right Management Services
  4. Active Directory Domain Services
  5. Active Directory Federation Services

Work Folders بصورت پیش فرض کلیه اطلاعات آن بوسیله پروتکل HTTPS ردو بدل می شود و شما ناچارید یک Certificate معتبر به Work Folders معرفی کنید.اگر قصد دارید CA سروری در سازمان خود ایجاد و راه اندازی کنید باید این CA سرور را بر روی تمام دیوایسها ها و کامپیوترهای که قصد استفاده از این قابلیت را دارند Import کنید، واگرنه از Public CAها استفاده کنید.برای اموزش این قابلیت من یک سناریو تعریف و آن را پیاده سازی می کنم. (این سناریو در محیط واقعی انجام شده) سازمانی دارم با دامنه داخلی jamejam-koreh.local ودامنه خارجی Jamejam-koreha.com در این سازمان تمام پرسنل عضو دومین هستن و تمام سیستم عامل سرورها Windows Server 2012 R2 می باشد.

نیازهای این سازمان:

  • واحدی در سازمان فعالیت می کند به نام واحد فروش. وکارکنان این قسمت نیازمند دسترسی به فایلهای مهم حسابداری در هر زمان و مکان می باشند.
  • چون این اطلاعات خیلی مهمه مدیر شرکت دوست نداره غیر از این کارکنان کس دیگری به این اطلاعات دسترسی داشته باشد.
  • برای دسترسی به این اطلاعات کارکنان از User & pass خود Active Directory استفاده کنند.
  • کل اطلاعات بر روی یک سرور نگهداری شود. و چون منابع این سرور محدود است و تعداد کارکنان زیاد، هر کس محدوده حجمی برای ذخیره کرده اطلاعات خود داشته باشد.
  • CA Server در خود سازمان راه اندازی و کانفیگ شود.
  • هر یک از کارکنان فقط اسناد مهم اداری را حق دارند ذخیره کنند و نتوانند فایلهای با فرمتهای دیگری مانند MP3 or MP4 در Work Folder خود ذخیره کنند.

خب!!!! قدم اول من CA Server را نصب و کانفیگ میکنم و آن را در تمام دیوایسهای این کارکنان Import می کنم.

قدم دوم نصب این سرویس وتنظیمات اولیه آن

سرور Work Folders and File Server را عضو دومین می کنم. و برای نصب Work Folder و اجزای آن دستورزیر را اجرا می کنم.

Add-WindowsFeature FS-SyncShareService
وب سایت توسینسو

قبل از تنظیمات Work Folder شما چند اصطلاح را باید یاد بگیرید:

=Sync Server شما با نصب Work Folders یک Sync Server ایجاد می کنید. وظیفه Sync Server سینک کردن اطلاعات کاربران می باشد.

Sync Share= هر Sync Server می تواند چندین Sync Share داشته باشد. Sync Share محلی برای ذخیره سازی اطلاعات کاربران می باشد.

خب!!! مرحله بعدی ایجاد گروه در Active Directory برای کارکنان واحد فروش و عضو کردن آنها در این گروه می باشد.

وب سایت توسینسو

بعد از نصب این سرویس باید آن را تنظیم کنیم. برای اینکار به Server Manager بروید ودر قسمت Work Folder گذینه زیر را کلیک کنید:

وب سایت توسینسو

در صفحه بعد شما باید یک Sync Share ایجاد کنید.

وب سایت توسینسو

بعد از معرفی کردن یک پوشه Share شده Next کنید.

وب سایت توسینسو

در این صفحه شما باید نحوه نام گذاری پوشه های که بر روی File Server ایجاد می شود را تعیین کنید. اگر گذینه اولی را انتخاب کنید اطلاعات کاربران در sync Share بصورت زیر ایجاد می شود (تصویر 1) و گذینه دوم بصورت زیر ایجاد می شود (تصویر 2)

وب سایت توسینسو

در صورتی گذینه اول را انتخاب کنید که یک دومین داشته باشید. و اگر چندین دومین داشته باشید و اطلاعات همه دومین ها در یک Sync Share ذخیره می شود از گذینه دوم انتخاب کنید.و گذینه Sync only the following subfolder را در صورتی انتخاب کنید که یک پوشه Share شده داشته شته باشید و این پوشه شر شده دارای چنید Subfolder باشد و شما می خواهید یکی از این Subfolderها Sync شود.

وب سایت توسینسو

در صفحه بعد یک اسم وتوضیحات برای این Sync Share بنویسید

وب سایت توسینسو

در صفحه بعد گروهی که در مرحله قبل ایجاد کردیم را اضافه میکنیم.

وب سایت توسینسو

تیک پایین خاصیت وراثت را بر روی این پوشه غیرفعال می کند.

  • نکته: بصورت پیش فرض یوزرهای Admin بر روی این پوشه مجوز اعمال تعقیرات ندارند. اگرمی خواهید چنین مجوزی به Adminها بدهید تیک این گذینه را بردارید.
وب سایت توسینسو

در اینجا باید Policyهای که کاربران باید رعایت کنند را تعیین کنید. این Policy ها بر روی هر کاربری که Join to Domain باشد یا نباشد و بر روی هر دیوایسی اعمال می شود.در آخر اطلاعات را چک کنید و دکمه Create را کلیک کنید. Sync Share ایجاد شد و در نهایت پوشه مورد نظر را Share کنید. ومی توانید دسترسی ها را طبق جدول زیر بر روی این Share folder ست کنید:

وب سایت توسینسو

تنظیمات DNS

بعد از تنظیمات بالا شما باید تنظیمات DNS را انجام دهید.کلاینتها به دو صورت به Work Folders وصل می شوند.

  1. با URL
  2. با فرمت UPN
وب سایت توسینسو

اگر کاربری در قدم اول از فرمت UPN به WF وصل شود. به عنوان مثال :

وب سایت توسینسو

بصورت پیش فرض ادرس Workfolders.yourdomain.TLD جستجو می شود. به عبارت دیگر حتما باید رکوردی برای WF Server به اسم Workfolders ایجاد کنید. وهمچنین اگر از چندین Sync Server استفاده می کنید و هر گروهی اطلاعات آن بر روی Sync Server خاصی باشد FQDN انها باید Workfolders.yourdomain.TLD باشد.همچنین مایکروسافت توصیه می کنه از هاست نایم Workfolders برای هر دو حالت استفاده کنید.

  • نکته: شما می توانید این اسم پیش فرض را بوسیله تنظیمات رجیستری که در لینک زیر توضیح داده شده تعقیر دهید. ولی توصیه شده نیست.
https://blogs.technet.microsoft.com/canitpro/2015/01/19/step-by-step-creating-a-work-folders-test-lab-deployment-in-windows-server-2012-r2/

خب من A Record های Work Folders را بر روی DNSهای داخلی وهاستینگ سازمان ایجاد می کنم.

وب سایت توسینسو

قدم بعدی اعمال Certificate بر روی Work Folders

شما به دو روش می توانید Certificate را بر روی Work Folders اعمال کنید.با دستور Netsh یا محیط گرافیکی.برای اینکه بعضی ها روش دستوری یخورده براشون مشکل هستش من از محیط گرافیکی استفاده می کنم.برای اینکار کنسول IIS را بر روی Work folders بوسیله دستور زیر نصب کنید:

Install-WindowsFeature Web-Mgmt-Console

بعد از نصب وارد کنسول IIS شوید و گذینه Server Certificate را کلیک کنید، و گذینه زیر را انتخاب کنید:

وب سایت توسینسو
وب سایت توسینسو

فیلد اولی خیلی مهمه. باید ادرسی را بنویسید که کاربران برای وصل شدن به Work Folders از آن استفاده کنند.و بقیه مراحل را انجام دهید و یک Certificate از CA Server سازمان برای WF درخواست دهید و در آخر این Certificate را به Work Folders بایند کنید:

وب سایت توسینسو

نصب و تنظیم File Server Resource

امیدوارم با این سرویس اشنائی کاملی داشته باشید. واقعا امکانات جالبی در اختیار ادمین شبکه قرار می دهد. برای اشنائی با این سرویس لینک زیر را مطالعه کنید:

https://4sysops.com/archives/file-server-resource-manager-fsrm-part-1-install-frsm/

در اینجا من File Server Resource را آموزش نمی دهم فقط Policyهای که در این سناریو بهش اشاره شده را نشان می دهم. (حتما برای یاد گرفتن این سرویس مهم وقت بگذارید)خب برای نصب این سرویس بر روی Work folders دستور زیر را در Power Shell وارد کنید:

Install-WindowsFeature –Name FS-Resource-Manager –IncludeManagementTools
وب سایت توسینسو

من باید چندین Policy برای کاربران Work Folders در File Server Resource ایجاد کنم.اولین Policy تعریف Quotas برای پوشه Sales:

وب سایت توسینسو

همانطور که می دانید قبلا ما Quota را فقط می توانستیم بر روی یک داریو تعریف کنیم ولی با سرویس بالا می توانیم بر روی پوشه های خاصی Quota اعمال کنیم.Policy بعدی expiration کردن فایلها:

وب سایت توسینسو

بعد از آخرین دسترسی اگر دو ماه بگذرد فایلهای کاربران در C:\sales ، Expire خواهند شد.Policy بعدی اجازه ندادن به کاربران برای ذخیره فایلهای غیر از اسناد اداری:

وب سایت توسینسو

کارمون با File Server Resource تموم شد.

تنظیمات Work Folders

برای دسترسی به تنظیمات Work Folders

وب سایت توسینسو

در اینجا شما می توانید نوع Authentication را تنظیم کنید که بصورت Windows Authentication باشد یا از طریق Active Directory Federation Services و یا می توانید یک Support Email به Work Folders معرفی کنید که اگر یکی از کاربران با مشکلی برخورد کرد بتواند با این ایمیل با شما مکاتبه کند.یا می توانید گروهی را در قسمت Suspended Groups اضافه کنید. گروه های که در این قسمت اضافه شوند نمی توانند اطلاعات خود را Sync کنند.

وب سایت توسینسو

یا می توانید هنگام اتصال کاربران به Work Folders انها را تنظیم و مانیتور کنید.

تعقیر Port پیش فرض اتصال کاربران به Work Folders

هنگام Publish کردن Work Folders متوجه شدم خیلی از دیوایسها و برنامه ها از پورت 443 استفاده میکنند. یکی از این دیوایس ها میکروتیک هستش یا بعدا برنامه ی بر روی Work Folders نصب شود که از port 443 استفاده کند و بخاطر همین Port Conflict ایجاد بشه.ببخشید نمی تونم زیاد تایپ کنم توی گرمائی که اینجا ما داریم بدبختی من سرما خوردم!!!!! بخاطر همین برای اینکار از لینک زیر استفاده کنید:

https://blogs.technet.microsoft.com/filecab/2013/10/15/windows-server-2012-r2-resolving-port-conflict-with-iis-websites-and-work-folders/

در آخر یادتون باشه پورتی که تعقیر می دهید در قسمت بایندینگ سرور Work Folders هم تعقیر دهید:

وب سایت توسینسو

Publish کردن سرور Work Folders

برای Publish کردن سرور Work Folders شما باید دو پورت در دیوایس خود به این سرور فوروارد کنید. پورت 80 و پورتی که در بالا تعقیر دادید. برای اطلاع بیشتر لینک زیر را مطالعه کنید:

https://technet.microsoft.com/en-us/library/dn292746.aspx

من سرور بالا را در میکروتیک Publish کردم:

وب سایت توسینسو

تنظیم Work Folders بوسیله Group Policy

برای کارکنان واحد فروش که داخل سازمان فعالیت می کنند. من می توانم برای آنها Work Folders را بوسیله GP تنظیم کنم که در هر کامپیوتری که لاگین می کنند بتوانند از Work Folders استفاده کنند.برای اینکار من بر روی OU، Sales Department که کاربران واحد فروش در آن قرار دارند این GP را اعمال می کنم

User Configuration\Policies\Administrative Templates\Windows Components\Work Folders
وب سایت توسینسو

You also have the option to force automatic setup for each user. This option should be considered with caution. If you enable it, all users to which this GPO applies will have their Work Folders configured on each device they log on to (if the device supports Work Folders), without being prompted to do so. In some scenarios, you might not want to have that outcome. For example, you might not want to use this option if users work on many different workstations.

وب سایت توسینسو

در بالا می بینید Work Folders بصورت اتوماتیک برای کارکنان واحد فروش اعمال شده. و اگر یکی از کاربران بخواهد این سرویس را غیرفعال کنید چنین اجازه ی ندارد.حتی مشاهده میکنید که این کارمند بازی گوش قصد داشت ترانه داریوش D: در WF قرار دهد که طبق Policy تعریف شده چنین اجازه ی نداشت و همچنین Quota بصورت صحیح بر روی کاربران اعمال شده.نکته: چون کاربران بالا در داخل سازمان هستند هنگام وارد شدن به Work Folders از آنها User & Pass درخواست نکرد.

تست Work Folders از بیرون سازمان

در آخر هم اجازه بدید از بیرون سازمان به Work Folders وصل شویم. تصاویر گویای همه چیر است:

وب سایت توسینسو
وب سایت توسینسو
وب سایت توسینسو
وب سایت توسینسو

الان اجازه بدید با یکی از موبایلهای بچه های واحد فروش به Work Folders وصل شویم. ببخشید اگر تصاویر کیفیت بالائی ندارند:

وب سایت توسینسو
وب سایت توسینسو
وب سایت توسینسو

برای ورود به Work Folders باید یک پسورد ست کنید.

وب سایت توسینسو

امیدوارم بهره کافی از این آموزش را برده باشید.

منابع:

https://technet.microsoft.com/en-us/library/dn528861.aspx#step6
https://4sysops.com/archives/work-folders-part-1-overview/

موفق و پیروز باشید.

نویسنده: احمد جهلولی


احمد جهلولی
احمد جهلولی

متخصص سرویس های مایکروسافت

سایت شخصی من: https://msdeeplearn.net

نظرات