درخواست های ارتباط
جستجو تنظیمات
لیست دوستان من

تصویری Work Folders در ویندوز سرور 2012 R2

5 نظرات

Image

یکی از چالشهای که بعضی از سازمانهای بزرگ دارند دسترسی بعضی از پرسنل به بعضی از فرمها و فایلهای مهم اداری در بیرون از شرکت می باشد. در سالهای اخیر بیشتر سازمانها از قابلیت Offline File استفاده می کردند ولی این روش جوابگوی نیاز آنها نبود و یک عیب بزرگ دارد. فرض کنید یک کارمند یک ماموریت به خارج از کشور دارد و در طول سفر نیازمند آخرین تعقیرات بعضی از فایلهای مهم سازمانی می باشد. در این سناریو بوضوح احساس می شود که Offline file جوابگوی این کارمند نیست. شاید اطلاعات بعضی از فایلها را بتواند بصورت Offline مطالعه کند ولی نمی تواند آخرین تعقیرات اعمال شده بر روی آن فایلها را داشته باشد.

شاید بعضی ها با خود فکر کنند چرا از سرویس های Cloud استفاده نکنیم؟؟؟ مانند OneDrive, Dropbox and Google Drive!!! آن کارمند به راحتی می تواند فایلهای خود را با دیگران به اشتراک بگذارد و به آخرین تعقیرات اعمال شده بر روی آنها دسترسی داشته باشد و مسئله ی دیگه ای که هست آن کارمند می تواند از هر دیوایسی مانند Smartphones، تبلتها و لب تابها استفاده کند و تنها چیزی که نیاز دارد اتصال به اینترنت می باشد، با این توضیحات چرا از این روش استفاده نکنیم؟؟؟؟

ما به یک دلیل مهم نمی توانیم از سرویس های Cloud استفاده کنیم و آن مسئله Manageable بودن آنهاس. به عبارت دیگر ما نمیتوانیم این سرویسها را از یک نقطه مرکزی مدیریت کنیم یا سیاست امنیتی خاصی را Force کنیم، دوباره تاکید می کنم نمی توانیم سیاست امنیتی خاصی را Force کنیم.

برای درک بهتر این موضوع بحثی که در اینباره شد را با دقت بخوانید.

برای غلبه کردن بر این مشکلات مایکروسافت قابلیت جدیدی به نام Work Folders در Windows Server 20112 R2 معرفی کرده که می تواند تمام نیازمندیهای چنین سازمانهای را برطرف کند. Work Folders تکنولوژی هستش که می تواند اطلاعات سازمان را در هر نقطه و مکان داخل یا خارج از سازمان Join to Domain باشید یا نباشید و فقط بوسیله اتصال دیوایس خود به اینترنت به داده های خود دسترسی داشته باشید.

یکی از ویژگی های جالب Work Folders استفاده از این قابلیت در هر نوع پلتفرم می باشد. شما می توانید این قابلیت را بر روی موبایلهای IOS، Windows Phone و َAndroid داشته باشید.

Image

شما با استفاده از این قابلیت می توانید از سیاستهای امنیتی جالبی استفاده کنید به عنوان مثال می توانید کاربران خود را Force کنید که داده های خود را Encrypt کنند، زمان اتصال از آنها User & Pass بخواهد یا اگر موبایل آنها دزدیده شد و اطلاعات سازمان بر روی آن موبایل بود آن اطلاعات بصورت اتوماتیک در یک فرجه زمانی خاص حذف شود یا گروه خاصی بتواند به اطلاعات سازمان دسترسی داشته باشد.

شما همچنین می توانید این قابلیت را برای کاربران دومین بوسیله Group Policy تنظیم کنید. همچنین این قابلیت میتواند با سرویس های زیر ادغام شود:

  1. File Server Resource

  2. Data Deduplication

  3. Active Directory Right Management Services

  4. Active Directory Domain Services

  5. Active Directory Federation Services

Work Folders بصورت پیش فرض کلیه اطلاعات آن بوسیله پروتکل HTTPS ردو بدل می شود و شما ناچارید یک Certificate معتبر به Work Folders معرفی کنید.

اگر قصد دارید CA سروری در سازمان خود ایجاد و راه اندازی کنید باید این CA سرور را بر روی تمام دیوایسها ها و کامپیوترهای که قصد استفاده از این قابلیت را دارند Import کنید، واگرنه از Public CAها استفاده کنید.

برای اموزش این قابلیت من یک سناریو تعریف و آن را پیاده سازی می کنم. (این سناریو در محیط واقعی انجام شده)

سازمانی دارم با دامنه داخلی jamejam-koreh.local ودامنه خارجی Jamejam-koreha.com در این سازمان تمام پرسنل عضو دومین هستن و تمام سیستم عامل سرورها Windows Server 2012 R2 می باشد.

نیازهای این سازمان:

  • واحدی در سازمان فعالیت می کند به نام واحد فروش. وکارکنان این قسمت نیازمند دسترسی به فایلهای مهم حسابداری در هر زمان و مکان می باشند.

  • چون این اطلاعات خیلی مهمه مدیر شرکت دوست نداره غیر از این کارکنان کس دیگری به این اطلاعات دسترسی داشته باشد.

  • برای دسترسی به این اطلاعات کارکنان از User & pass خود Active Directory استفاده کنند.

  • کل اطلاعات بر روی یک سرور نگهداری شود. و چون منابع این سرور محدود است و تعداد کارکنان زیاد، هر کس محدوده حجمی برای ذخیره کرده اطلاعات خود داشته باشد.

  • CA Server در خود سازمان راه اندازی و کانفیگ شود.

  • هر یک از کارکنان فقط اسناد مهم اداری را حق دارند ذخیره کنند و نتوانند فایلهای با فرمتهای دیگری مانند MP3 or MP4 در Work Folder خود ذخیره کنند.

خب!!!!

قدم اول من CA Server را نصب و کانفیگ میکنم و آن را در تمام دیوایسهای این کارکنان Import می کنم.

قدم دوم نصب این سرویس وتنظیمات اولیه آن:


سرور Work Folders and File Server را عضو دومین می کنم. و برای نصب Work Folder و اجزای آن دستورزیر را اجرا می کنم.

Add-WindowsFeature FS-SyncShareService

Image

قبل از تنظیمات Work Folder شما چند اصطلاح را باید یاد بگیرید:

=Sync Server شما با نصب Work Folders یک Sync Server ایجاد می کنید. وظیفه Sync Server سینک کردن اطلاعات کاربران می باشد.

Sync Share= هر Sync Server می تواند چندین Sync Share داشته باشد. Sync Share محلی برای ذخیره سازی اطلاعات کاربران می باشد.

خب!!!

مرحله بعدی ایجاد گروه در Active Directory برای کارکنان واحد فروش و عضو کردن آنها در این گروه می باشد.

Image

بعد از نصب این سرویس باید آن را تنظیم کنیم. برای اینکار به Server Manager بروید ودر قسمت Work Folder گذینه زیر را کلیک کنید:

Image

در صفحه بعد شما باید یک Sync Share ایجاد کنید.

Image

بعد از معرفی کردن یک پوشه Share شده Next کنید.

Image

در این صفحه شما باید نحوه نام گذاری پوشه های که بر روی File Server ایجاد می شود را تعیین کنید. اگر گذینه اولی را انتخاب کنید اطلاعات کاربران در sync Share بصورت زیر ایجاد می شود (تصویر 1) و گذینه دوم بصورت زیر ایجاد می شود (تصویر 2)

Image

در صورتی گذینه اول را انتخاب کنید که یک دومین داشته باشید. و اگر چندین دومین داشته باشید و اطلاعات همه دومین ها در یک Sync Share ذخیره می شود از گذینه دوم انتخاب کنید.

و گذینه Sync only the following subfolder را در صورتی انتخاب کنید که یک پوشه Share شده داشته شته باشید و این پوشه شر شده دارای چنید Subfolder باشد و شما می خواهید یکی از این Subfolderها Sync شود.

Image

در صفحه بعد یک اسم وتوضیحات برای این Sync Share بنویسید

Image

در صفحه بعد گروهی که در مرحله قبل ایجاد کردیم را اضافه میکنیم.

Image

تیک پایین خاصیت وراثت را بر روی این پوشه غیرفعال می کند.

نکته: بصورت پیش فرض یوزرهای Admin بر روی این پوشه مجوز اعمال تعقیرات ندارند. اگرمی خواهید چنین مجوزی به Adminها بدهید تیک این گذینه را بردارید.

Image

در اینجا باید Policyهای که کاربران باید رعایت کنند را تعیین کنید. این Policy ها بر روی هر کاربری که Join to Domain باشد یا نباشد و بر روی هر دیوایسی اعمال می شود.

در آخر اطلاعات را چک کنید و دکمه Create را کلیک کنید.

Sync Share ایجاد شد و در نهایت پوشه مورد نظر را Share کنید. ومی توانید دسترسی ها را طبق جدول زیر بر روی این Share folder ست کنید:

Image

تنظیمات DNS:


بعد از تنظیمات بالا شما باید تنظیمات DNS را انجام دهید.

کلاینتها به دو صورت به Work Folders وصل می شوند.

  1. با URL

  2. با فرمت UPN

Image

اگر کاربری در قدم اول از فرمت UPN به WF وصل شود. به عنوان مثال :

Image

بصورت پیش فرض ادرس Workfolders.your

domain.TLD جستجو می شود. به عبارت دیگر حتما باید رکوردی برای WF Server به اسم

Workfolders

ایجاد کنید. وهمچنین اگر از چندین Sync Server استفاده می کنید و هر گروهی اطلاعات آن بر روی Sync Server خاصی باشد FQDN انها باید Workfolders.your

domain.TLD باشد.

همچنین مایکروسافت توصیه می کنه از هاست نایم Workfolders برای هر دو حالت استفاده کنید.

نکته: شما می توانید این اسم پیش فرض را بوسیله تنظیمات رجیستری که در لینک زیر توضیح داده شده تعقیر دهید. ولی توصیه شده نیست.

https://blogs.technet.microsoft.com/canitpro/2015/01/19/step-by-step-creating-a-work-folders-test-lab-deployment-in-windows-server-2012-r2/

خب من A Record های Work Folders را بر روی DNSهای داخلی وهاستینگ سازمان ایجاد می کنم.

Image

قدم بعدی اعمال Certificate بر روی Work Folders


شما به دو روش می توانید Certificate را بر روی Work Folders اعمال کنید.

با دستور Netsh یا محیط گرافیکی.

برای اینکه بعضی ها روش دستوری یخورده براشون مشکل هستش من از محیط گرافیکی استفاده می کنم.

برای اینکار کنسول IIS را بر روی Work folders بوسیله دستور زیر نصب کنید:

Install-WindowsFeature Web-Mgmt-Console

بعد از نصب وارد کنسول IIS شوید و گذینه Server Certificate را کلیک کنید، و گذینه زیر را انتخاب کنید:

Image

Image

فیلد اولی خیلی مهمه. باید ادرسی را بنویسید که کاربران برای وصل شدن به Work Folders از آن استفاده کنند.

و بقیه مراحل را انجام دهید و یک Certificate از CA Server سازمان برای WF درخواست دهید.

و در آخر این Certificate را به Work Folders بایند کنید:

Image

نصب و تنظیم File Server Resource


امیدوارم با این سرویس اشنائی کاملی داشته باشید. واقعا امکانات جالبی در اختیار ادمین شبکه قرار می دهد. برای اشنائی با این سرویس لینک زیر را مطالعه کنید:

https://4sysops.com/archives/file-server-resource-manager-fsrm-part-1-install-frsm/

در اینجا من File Server Resource را آموزش نمی دهم فقط Policyهای که در این سناریو بهش اشاره شده را نشان می دهم. (حتما برای یاد گرفتن این سرویس مهم وقت بگذارید)

خب برای نصب این سرویس بر روی Work folders دستور زیر را در Power Shell وارد کنید:

Install-WindowsFeature –Name FS-Resource-Manager –IncludeManagementTools

Image

من باید چندین Policy برای کاربران Work Folders در File Server Resource ایجاد کنم.

اولین Policy تعریف Quotas برای پوشه Sales:

Image

همانطور که می دانید قبلا ما Quota را فقط می توانستیم بر روی یک داریو تعریف کنیم ولی با سرویس بالا می توانیم بر روی پوشه های خاصی Quota اعمال کنیم.

Policy بعدی expiration کردن فایلها:

Image

بعد از آخرین دسترسی اگر دو ماه بگذرد فایلهای کاربران در C:\sales ، Expire خواهند شد.

Policy بعدی اجازه ندادن به کاربران برای ذخیره فایلهای غیر از اسناد اداری:

Image

کارمون با File Server Resource تموم شد.

تنظیمات Work Folders :


برای دسترسی به تنظیمات Work Folders

Image

در اینجا شما می توانید نوع Authentication را تنظیم کنید که بصورت Windows Authentication باشد یا از طریق Active Directory Federation Services

و یا می توانید یک Support Email به Work Folders معرفی کنید که اگر یکی از کاربران با مشکلی برخورد کرد بتواند با این ایمیل با شما مکاتبه کند.

یا می توانید گروهی را در قسمت Suspended Groups اضافه کنید. گروه های که در این قسمت اضافه شوند نمی توانند اطلاعات خود را Sync کنند.

Image

یا می توانید هنگام اتصال کاربران به Work Folders انها را تنظیم و مانیتور کنید.

تعقیر Port پیش فرض اتصال کاربران به Work Folders:


هنگام Publish کردن Work Folders متوجه شدم خیلی از دیوایسها و برنامه ها از پورت 443 استفاده میکنند. یکی از این دیوایس ها میکروتیک هستش یا بعدا برنامه ی بر روی Work Folders نصب شود که از port 443 استفاده کند و بخاطر همین Port Conflict ایجاد بشه.

ببخشید نمی تونم زیاد تایپ کنم توی گرمائی که اینجا ما داریم بدبختی من سرما خوردم!!!!! بخاطر همین برای اینکار از لینک زیر استفاده کنید:

https://blogs.technet.microsoft.com/filecab/2013/10/15/windows-server-2012-r2-resolving-port-conflict-with-iis-websites-and-work-folders/

در آخر یادتون باشه پورتی که تعقیر می دهید در قسمت بایندینگ سرور Work Folders هم تعقیر دهید:

Image

Publish کردن سرور Work Folders:


برای Publish کردن سرور Work Folders شما باید دو پورت در دیوایس خود به این سرور فوروارد کنید. پورت 80 و پورتی که در بالا تعقیر دادید. برای اطلاع بیشتر لینک زیر را مطالعه کنید:

https://technet.microsoft.com/en-us/library/dn292746.aspx

من سرور بالا را در میکروتیک Publish کردم:

Image

تنظیم Work Folders بوسیله Group Policy:


برای کارکنان واحد فروش که داخل سازمان فعالیت می کنند. من می توانم برای آنها Work Folders را بوسیله GP تنظیم کنم که در هر کامپیوتری که لاگین می کنند بتوانند از Work Folders استفاده کنند.

برای اینکار من بر روی OU، Sales Department که کاربران واحد فروش در آن قرار دارند این GP را اعمال می کنم

User Configuration\Policies\Administrative Templates\Windows Components\Work Folders

Image

You also have the option to force automatic setup for each user. This option should be considered with caution. If you enable it, all users to which this GPO applies will have their Work Folders configured on each device they log on to (if the device supports Work Folders), without being prompted to do so. In some scenarios, you might not want to have that outcome. For example, you might not want to use this option if users work on many different workstations.

Image

در بالا می بینید Work Folders بصورت اتوماتیک برای کارکنان واحد فروش اعمال شده. و اگر یکی از کاربران بخواهد این سرویس را غیرفعال کنید چنین اجازه ی ندارد.

حتی مشاهده میکنید که این کارمند بازی گوش قصد داشت ترانه داریوش D: در WF قرار دهد که طبق Policy تعریف شده چنین اجازه ی نداشت و همچنین Quota بصورت صحیح بر روی کاربران اعمال شده.

نکته: چون کاربران بالا در داخل سازمان هستند هنگام وارد شدن به Work Folders از آنها User & Pass درخواست نکرد.

تست Work Folders از بیرون سازمان:


در آخر هم اجازه بدید از بیرون سازمان به Work Folders وصل شویم. تصاویر گویای همه چیر است:

Image

Image

Image

Image

الان اجازه بدید با یکی از موبایلهای بچه های واحد فروش به Work Folders وصل شویم. ببخشید اگر تصاویر کیفیت بالائی ندارند:

Image

Image

Image

برای ورود به Work Folders باید یک پسورد ست کنید.

Image

امیدوارم بهره کافی از این آموزش را برده باشید.

منابع:

https://technet.microsoft.com/en-us/library/dn528861.aspx#step6
https://4sysops.com/archives/work-folders-part-1-overview/

موفق و پیروز باشید.

نویسنده: احمد جهلولی

آیا این مطلب را پسندیدید؟
  • نکته ای که بهش برخوردم این هست که پس از نصب Feature مربوط به Work Folder ، سرویس Windows Sync Share اجرا نمی شه و شما نمی تونید یک Sync Share بسازید.

    باید حتما سرور را ریستارت کنید. نمی دونم چرا مایکروسافت خودش ازتون نمی خواد این کار رو کنید؟!

  • نیازی به ریست کردن ندارید. چندین بار این سناریو رو تو محیط آزمایشی و واقعی اجرا کردم. و نیازی به ریست کردن نداشت!!!! اگر همانطور که میگفتید بود بهش اشاره می کردم.

  • اقای جهلولی من تو تکنت هم دیدم این مشکل رو داشتند. ارور معروفی هم میده. متنش یادم نیست ولی مربوط به همین سرویس هست. حتی خواستم وقتی به صورت دستی اجراش کنم ارور داد تا اینکه سرور رو ریستارا کردم.

  • حتما توی شرایط خاصی ایجاد میشه. دوست عزیز من چندین و چند بار این سناریو رو انجام دادم و این اروری که گفتید را ندیدم. در ضمن بیشتر سایتهای که WF را اموزش دادن به این اخطار اشاره نکردند. دوست عزیز میشه در تکنت چک کنید دلیل ایجاد این ار ور چی میتونه باشه و چگونه باید رفعش کرد؟؟

    با تشکر از شما

  • حتما. در قالب یک نکته در سایت می ذارم.

برای ارسال نظر ابتدا به سایت وارد شوید

arrow