Windows Server 2016 Work Folder,主要類似Dropbox、oneDrive 雲端硬碟功能,Work Folder 主要是透過https (SSL 443 port)連線,所以必須使用到CA憑證,而用戶端必須使用Windows 8.1 以上版本搭配e-mail 帳號,或是AD 帳號來同步資料夾。
架構圖:
在windows 2016 WorkFolder(工作資料夾)中有改善複寫的速度說明如下:
Windows Server 2012 R2 版本中,將檔案變更同步處理到工作資料夾伺服器時,用戶端不會收到變更的通知,而且最多等待 10 分鐘就會收到更新。
Windows Sever 2016 時,工作資料夾伺服器會立即通知 Windows 10 用戶端,並立即同步處理檔案變更。 這是 Windows Server 2016 的新功能,且需要 Windows 10 用戶端。 如果您使用的是舊版用戶端,或工作資料夾伺服器是 Windows Server 2012 R2,則用戶端會每隔 10 分鐘繼續輪詢變更。
本文章將說明Work Folder 設定相關步驟。
軟體:
1. Windows 2012 R2 以上檔案伺服器(本次實作使用windows server 2016)
2. Windows 8.1以上用戶(本次實作使用windows 10 企業版)
3. SSL 憑證(本次實作使用Let’s Encrypt 免費公開憑證)
伺服器端必要元件
- 工作資料夾
- 檔案伺服器
- 網頁伺服器(IIS)
- IIS管理主控台
- 可裝載IIS的Web核心(功能)
安裝Work Folder 功能
伺服器角色勾選 [網頁伺服器(IIS)] [檔案伺服器][工作資料夾]進行安裝
安裝完畢後需要再AD環境中建立一個專屬工作資料夾的群組,只有該群組裡面的成員才有權限使用工作資料夾功能來同步資料。
設定Work Folder 同步目錄 :
回到伺服器管理員 > 檔案和存放服務 > 工作資料夾 => 點選下圖紅色框新增同步共用精靈
設定同步資料夾路徑 此示範D:\Sync 目錄來放置用戶同步資料 ,若沒有該資夾會自動建立
指定使用者資料夾結構
使用者別名: 適用於單一Domain
使用者別名@網域: 適用於多網域以避免同名使用者產生問題
此示範選擇[使用者別名@網域]
設定同步資料夾共享名稱
設定允許同步的群組
將前面步驟設定的群組加入[GG-WorkFolder]
預設 domain 管理員無法連線用戶work folder 資料(也又是無法進入該資料夾),若要允取請取消「停用繼承的權限並授與使用者對其檔案的獨佔式存取權」
指定裝置原則
依照需求設定工作資料夾是否加密及有密碼保護的設備才能跟服務器同步。
確認相關設定,沒有問題,點選[建立]
建立完畢後可以看到如下圖設定,同步資料夾相關資訊以及允許使用工作資料夾的帳號
Let’s Encrypt 公開憑證申請:
因為用戶端在與Server連線時使用需要使用https加密所以必須要用憑證來作,Let’s Encrypt 憑證申請時網站需要能正常存取,不可離線申請憑證。所以在此之前,在我示範的環境有一個外部IP對應到此台伺服器開80,443 port且DNS可以解析(無法解析會無法申請),當憑證申請完畢後我就會將對外port 80 關閉。
在workfolder主機下載憑證軟體:
此篇文章撰寫時版本==> letsencrypt-win-simple v1.9.3
申請的DNS名稱 workfolders.pmail.idv.tw
https://github.com/Lone-Coder/letsencrypt-win-simple/releases
修改iis網站 web.config,因為 Let’s Encrypt 會產生驗證檔案到網站目錄內,但檔案開頭為 . 所以需要修改 web.config 才能存取檔案,iis預設網站路徑為c:\inetpub\wwwroot並沒有web.config所以必須要自己新增,如下程式碼:
|
<?xml version=”1.0″ encoding=”UTF-8″?> |
接著將憑證軟體解壓縮後,開啟命令提示字元並切換到該軟體到該目錄下
執行letsencrypt.exe 語法如下
letsencrypt.exe --accepttos --manualhost 網域名稱 --webroot 網站資料夾路徑
此次練習要申請workfolders.pmail.idv.tw 如下
letsencrypt.exe --accepttos --manualhost workfolders.pmail.idv.tw --webroot c:\inetpub\wwwroot
若第一次使用會需要輸入信箱,請依照指示輸入相關資料
最後還會問使否要指定使用者選N即可,這樣就申請成功
該程式會自動下載相關檔案到網站的目錄然後進行驗證來確認該網站是存在的,所以務必外部DNS解析及firwall設定必須要設定正確不然會申請失敗。
回到iis主控台伺服器憑證選項~~就可以看到申請下來的憑證
接著綁定憑證
DNS 確認:
因這台擔任workfolder 角色的檔案伺服器主機名稱為fs02是在我示範環境中的網域成員伺服器,所以FQDN會是fs02.pmail.idv.tw ,因為我申請的公開憑證是workfolders.pmail.idv.tw,DNS 紀錄並沒有該筆所以設定一筆CNAME 紀錄指到fs02,外部DNS則是已經設定OK。
用戶端設定方式:(有加入網域設備或沒加入都可以)
1.手動設定 => 使用控制台
2自動設定: 群組原則,windows Intune,SCCM
示範手動設定==> 控制台中找到 => 工作資料夾
點選設定工作資料夾
可以使用e-mail 及 URL ,在此點選 輸入工作資料夾URL
若沒有https會出現下圖錯誤訊息
若URL沒問題就可以正常連結,預設工作資料夾會放在%USERPROFILE%\Work Folders
在此變更存放位置到F:\workfolder
將[我的電腦接受這些原則]打勾 => 點選設定工作資料夾
設定完畢
在控制台中點選 工作資料夾就可以看到目前狀態
回到Server上設定同步的資料夾就會出現該[使用者別名@網域]資料夾
其他說明:
1. 在微軟的文件有看到一句話如下圖,格式必須為workfolders.XXX.XXXXX
因為我是先看此篇文件所以我設定外部及內部FQDN都是workfolders.pmail.idv.tw
我嘗試如果只有使用本身主機名稱 fs02.pmail.idv.tw 來申請iis憑證也是OK的,只要可以解析的到就可以。當然也有可能是我自己會錯意,總之提供給大家參考。
2.如果再安裝工作資料夾相關元件後,因為它是用https來連線,所以在IIS管理員中預設網站會是停用是正常的,但是我有遇過在安裝好相關元件後預設網站會是啟動的就算已經綁定https憑證,用戶端設定時還是會出現找不到伺服器此時將預設網站停用就可以了。
3.申請Let’s Encrypt憑證,如果是前面步驟下載專用軟體來申請時如果不想設定web.config可以先在iis 上設定 MIME 類型
加入「副檔名: . MIME 類型:text/plain」即可。
4.因為Let’s Encrypt憑證只有90天快到期時可以使用下列指令來更新憑證
letsencrypt.exe --renew --accepttos --manualhost workfolders.pmail.idv.tw --webroot c:\inetpub\wwwroot
5.如果工作站是沒有加入網域在設定時只要輸入網域帳號密碼就可以設定完成
工作資夾一些限制:
- 只支援 Windows Server 2012 R2 和 Windows 8.1 以上
- 不支援協多人共同編輯
- 不允許使用者指定要同步那些檔案
- 不能同步多個共用資料夾
結論:
工作資料夾功能雖然比不上現行的Dropbox、oneDrive 強大功能,但是透過簡單的建置及設定就可以提供行動工作者在公司內部及外部都可以使用自己工作必須的檔案其實也滿方便變,管理者則是可以再搭配windows server 提供的檔案伺服器資源管理功能來做整合讓管理更加彈性。
本篇瀏覽人數: 9400
