Планирование развертывания рабочих папок

область применения: Windows server 2022, Windows server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, Windows 8.1, Windows 7

В этой статье описан процесс проектирования реализации рабочих папок; предполагается наличие следующих знаний:

  • базовое представление о рабочих папках (см. статью Рабочие папки);

  • базовое представление о принципах доменных служб Active Directory (AD DS),

  • базовое представление об общем доступе к файлам Windows и связанных технологиях,

  • базовое представление об использовании сертификата SSL,

  • базовое представление о предоставлении веб-доступа к внутренним ресурсам через обратный веб-прокси.

    Следующие разделы помогут вам при проектировании реализации рабочих папок. Развертывание рабочих папок обсуждается в следующей статье о развертывании рабочих папок.

Требования к программному обеспечению

Рабочие папки предъявляют следующие требования к программному обеспечению файловых серверов и сетевой инфраструктуры:

  • сервер под управлением Windows Server 2012 R2 или Windows Server 2016 для размещения синхронизируемых общих папок с файлами пользователей;

  • Том, отформатированный в файловой системе NTFS, для хранения пользовательских файлов.

  • Для принудительного применения политики паролей на ПК под управлением Windows 7 необходимо использовать групповые политики паролей. Также следует исключить компьютеры под управлением Windows 7 из политик пароля рабочих папок (если они используются).

  • Сертификат сервера для каждого файлового сервера, на котором будут размещаться рабочие папки. Эти сертификаты должны быть из центра сертификации (ЦС), который является доверенным для пользователей в — идеале для общедоступного ЦС.

  • (необязательно) лес доменных служб Active Directory с расширениями схемы в Windows Server 2012 R2 для автоматического обращения компьютеров и устройств к правильному файловому серверу при использовании нескольких файловых серверов;

Чтобы обеспечить пользователям возможность синхронизации через Интернет, необходимо выполнить дополнительные требования:

  • возможность предоставить доступ к серверу через Интернет путем создания правил публикации на обратном прокси-сервере организации или сетевом шлюзе;

  • (необязательно) открыто зарегистрированное доменное имя и возможность создать дополнительные общедоступные записи DNS для домена;

  • (Необязательно) Инфраструктура служб федерации Active Directory (AD FS) при использовании проверки подлинности AD FS.

Рабочие папки предъявляют следующие требования к программному обеспечению клиентских компьютеров:

  • Компьютеры должны работать под управлением одной из следующих операционных систем:

    • Windows 10

    • Windows 8.1

    • Windows RT 8.1

    • Windows 7

    • Android 4.4 KitKat и более поздние версии;

    • iOS 10.2 и более поздних версий.

  • На ПК под управлением Windows 7 должна быть установлена одна из следующих версий Windows:

    • Windows 7 Профессиональная

    • Windows 7 Максимальная

    • Windows 7 Корпоративная

  • Компьютеры с Windows 7 должны быть присоединены к домену организации (их нельзя присоединить к рабочей группе).

  • Достаточное свободное пространство на локальном диске, отформатированном в NTFS, для хранения всех пользовательских файлов в рабочих папках, а также 6 ГБ дополнительного свободного пространства, если рабочие папки размещаются на системном диске (по умолчанию). По умолчанию расположение рабочих папок следующее: %USERPROFILE%\Work Folders

    Однако пользователи могут изменить это расположение во время установки (поддерживается размещение на картах microSD и USB-накопителях, отформатированных в файловой системе NTFS, хотя в случае удаления накопителей синхронизация будет прекращена).

    Максимальный размер отдельного файла по умолчанию составляет 10 ГБ. Размер хранилища на пользователя не ограничен, но администраторы могут установить квоты при помощи функции диспетчера ресурсов файлового сервера.

  • Рабочие папки не поддерживают откат состояния клиентских виртуальных машин. Вместо этого операции архивации и восстановления выполняются на клиентских виртуальных машинах с помощью компонента "Резервная копия образа системы" или другого приложения для архивации.

Примечание

Установите накопительный пакет обновления общей доступности для Windows 8.1 и Windows Server 2012 R2 на все серверы рабочих папок и все клиентские компьютеры с Windows 8.1 или Windows Server 2012 R2. Дополнительную информацию см. в статье 2883200 в библиотеке базы знаний Майкрософт.

Сценарии развертывания

Рабочие папки можно реализовать на любом числе файловых серверов в пользовательской среде. Это позволяет масштабировать реализацию рабочих папок в зависимости от потребностей клиента и в итоге создавать развертывания с высоким уровнем персонализации. Однако большинство развертываний относятся к одному из следующих трех основных сценариев.

Односайтовое развертывание

При односайтовом развертывании файловые серверы размещены на центральном узле в инфраструктуре клиента. Этот тип развертывания наиболее часто встречается у клиентов с высоким уровнем централизации инфраструктуры или с небольшими филиалами, в которых отсутствуют локальные файловые серверы. Такая модель развертывания проще в администрировании для ИТ-персонала, поскольку все серверные ресурсы размещены локально, а входной и выходной интернет-трафик также обычно централизованно управляется из этого же узла. Однако для данной модели развертывания требуется надежное подключение WAN между центральным узлом и всеми филиалами, и пользователи в филиалах подвержены риску нарушения обслуживания из-за состояния сети.

Многосайтовое развертывание

При многосайтовом развертывании файловые серверы размещены на нескольких узлах в инфраструктуре клиента. Это бывает в случае нескольких центров обработки данных или при наличии отдельных файловых серверов в филиалах. Такой тип развертывания наиболее часто встречается в крупных пользовательских средах или в компаниях с несколькими крупными филиалами, имеющими локальные серверные ресурсы. Такая модель развертывания сложнее в администрировании для ИТ-персонала, а также требует точной координации хранения данных и обслуживания доменных служб Active Directory (AD DS), чтобы пользователи обращались к правильному серверу синхронизации для рабочих папок.

Размещенное развертывание

При размещенном развертывании серверы синхронизации развертываются в среде IAAS ("инфраструктура как услуга") — например, на виртуальной машине Windows Azure. Преимущество этого метода развертывания заключается в том, что доступность файловых серверов меньше зависит от подключения WAN на предприятии клиента. Если устройство способно подключаться к Интернету, оно может получить доступ к серверу синхронизации. Однако при размещенном развертывании серверам по-прежнему нужен доступ к домену Active Directory организации, чтобы проводить проверку подлинности пользователей, и клиент тратит дополнительные ресурсы на поддержание такого подключения, пренебрегая требованиями локальной инфраструктуры.

Технологии развертывания

Развертывание рабочих папок использует несколько технологий, которые в совокупности обеспечивают обслуживание устройств во внутренней и внешней сетях. Прежде чем проектировать развертывание рабочих папок, клиентам следует ознакомиться с требованиями каждой из следующих технологий.

Доменные службы Active Directory

Службы AD DS предоставляют две важные услуги в развертывании рабочих папок. Во-первых, в качестве серверного компонента для проверки подлинности Windows службы AD DS предоставляют услуги безопасности и проверки подлинности, которые используются для обеспечения доступа к пользовательским данным. Если контроллер домена недоступен, файловый сервер не сможет выполнить проверку подлинности входящего запроса и устройство не получит доступ к данным, хранящимся на общем ресурсе синхронизации этого файлового сервера.

Во-вторых, службы AD DS (с обновлением схемы Windows Server 2012 R2) поддерживают атрибут msDS-SyncServerURL для каждого пользователя. При помощи этого атрибута пользователи автоматически перенаправляются на соответствующий сервер синхронизации.

Файловые серверы

На файловых серверах под управлением Windows Server 2012 R2 или Windows Server 2016 размещаются служба роли рабочих папок и общие ресурсы синхронизации, на которых хранятся данные пользовательских рабочих папок. На файловых серверах могут также размещаться данные, для хранения которых применяются другие технологии во внутренней сети (например, общие файловые ресурсы). Файловые серверы могут объединяться в кластеры для обеспечения отказоустойчивости пользовательских данных.

Групповая политика

При наличии компьютеров под управлением Windows 7 в вашей среде рекомендуется следующее.

  • Используйте групповую политику для управления политиками паролей для всех присоединенных к домену компьютеров, использующих рабочие папки.

  • Используйте Автоматическое блокирование рабочих папок и запросите политику паролей на компьютерах, которые не присоединены к вашему домену.

    При помощи групповой политики можно также задать сервер рабочих папок для компьютеров, присоединенных к домену. Это упрощает настройку рабочих папок. пользователям, в – противном случае, потребуется ввести свой рабочий адрес электронной почты для поиска параметров (при условии, что рабочие папки настроены правильно) или ввести URL-адрес рабочих папок, явно предоставленный им по электронной почте, или другое средство связи.

    Можно также использовать групповую политику, чтобы принудительно настроить рабочие папки для каждого пользователя или компьютера, хотя в этом случае рабочие папки будут синхронизироваться на каждом компьютере, на котором пользователь выполнил вход (при настройке политики для каждого пользователя), и пользователи не смогут указать иное место для рабочих папок на своих компьютерах (например, карту microSD, чтобы сэкономить место на основном диске). Рекомендуется тщательно проанализировать потребности пользователей, прежде чем проводить принудительную автоматическую установку.

Windows Intune

Windows Intune также обеспечивает определенный уровень безопасности и управляемости для устройств, не присоединенных к домену, которые иначе не были бы представлены. При помощи Windows Intune можно настраивать личные устройства пользователей — например, планшеты, подключающиеся к рабочим папкам через Интернет, — и управлять такими устройствами. Windows Intune может предоставлять устройства с URL-адресом сервера синхронизации для использования в – противном случае пользователи должны ввести свой рабочий адрес электронной почты для поиска параметров (если вы публикуете url-адрес общедоступной рабочей папки в формате https://workfolders.–) или непосредственно вводите url-адрес сервера синхронизации.

Без развертывания Windows Intune пользователи должны вручную настраивать внешние устройства, что может увеличить нагрузку на персонал службы технической поддержки клиента.

можно также использовать Windows Intune для выборочной очистки данных из рабочих папок на устройстве пользователя, не влияя на остальные данные, которые могут – оказаться полезными, если пользователь покидает вашу организацию или приукраден устройство.

Прокси-сервер веб-приложения и прокси-сервер приложения Azure AD

Основная идея рабочих папок заключается в обеспечении для устройств, подключенных к Интернету, возможности безопасно получать бизнес-данные из внутренней сети. Это позволяет пользователям переносить данные на своих планшетах и устройствах, которые обычно не имеют доступа к рабочим файлам. Для реализации этой идеи должен использоваться обратный прокси-сервер, чтобы публиковать URL-адреса серверов синхронизации и предоставлять интернет-клиентам доступ к ним.

Рабочие папки поддерживают использование прокси-сервера веб-приложения, прокси-сервера приложения Azure AD или обратных прокси-серверов сторонних производителей:

Дополнительные аспекты проектирования

В процессе проектирования клиенты должны не только разобраться в каждом из перечисленных выше компонентов, но и обдумать число серверов синхронизации и общих ресурсов, а также решить, следует ли использовать отказоустойчивую кластеризацию для обеспечения отказоустойчивости серверов синхронизации.

Число серверов синхронизации

Клиент может управлять несколькими серверами синхронизации в своей среде. Эта конфигурация может иметь преимущество по следующим причинам:

  • Географическое распределение пользователей – , например, серверы файлов филиалов или региональные центры обработки данных

  • Требования к хранению данных. – некоторые бизнес-подразделения могут иметь определенные требования к хранению или обработке данных, которые проще использовать с выделенным сервером.

  • Балансировка нагрузки – в больших средах. хранение пользовательских данных на нескольких серверах может повысить производительность и бесперебойность работы сервера.

    Информацию о масштабировании и производительности серверов рабочих папок см. в статье о факторах производительности при развертывании рабочих папок.

Примечание

При использовании нескольких серверов синхронизации рекомендуется настроить автоматическое обнаружение серверов для пользователей. Этот процесс зависит от конфигурации атрибута для каждой учетной записи пользователя в AD DS. Атрибут имеет имя msDS-SyncServerURL и становится доступным для учетных записей пользователей после того, как контроллер домена Windows Server 2012 R2 будет добавлен в домен, или после применения обновлений схемы Active Directory. Этот атрибут следует задать для каждого пользователя, чтобы пользователи подключались к надлежащему серверу синхронизации. С помощью автоматического обнаружения серверов организации могут публиковать рабочие папки за "понятным" URL-адресом https://workfolders.contoso.com , таким как, независимо от числа серверов синхронизации в операции.

Число общих ресурсов синхронизации

Отдельные серверы синхронизации могут управлять несколькими общими ресурсами синхронизации. Это может быть удобно по следующим причинам:

  • Требования к аудиту и безопасности. – Если данные, используемые в определенном отделе, должны быть более тщательно проверены или сохранены в течение более длительного периода времени, отдельные общие ресурсы синхронизации могут помочь администраторам в хранении папок пользователей с разными уровнями аудита.

  • Различающиеся квоты или экраны файлов. – Если вы хотите задать различные квоты хранилища или ограничения для типов файлов, которые разрешены в рабочих папках (экранах файлов) для разных групп пользователей, может помочь отдельный общий ресурс синхронизации.

  • Управление отделом – . Если административные обязанности распределяются по Отделу, использование отдельных общих ресурсов для разных отделов может помочь администраторам в применении квот или других политик.

  • Различные политики устройств – , если организации требуется поддерживать несколько политик устройств (например, шифрование рабочих папок) для разных групп пользователей, это позволяет использовать несколько общих папок.

  • емкость – служба хранилища Если файловый сервер имеет несколько томов, для использования этих дополнительных томов можно использовать дополнительные общие папки. У отдельного общего ресурса есть доступ только к конкретному тому, на котором он размещен, а преимущества дополнительных томов на файловом сервере для него недоступны.

Доступ к общим ресурсам синхронизации

В то время как сервер синхронизации, к которому обращается пользователь, определяется по URL-адресу, введенному на клиенте (или по URL-адресу, опубликованному для этого пользователя в AD DS при использовании автоматического обнаружения серверов), доступ к отдельным общим ресурсам синхронизации определяется разрешениями, представленными на общем ресурсе.

В результате, если у клиента несколько общих ресурсов синхронизации размещено на одном и том же сервере, необходимо тщательно следить за тем, чтобы у отдельных пользователей были разрешения на доступ только к одному из этих общих ресурсов. В противном случае при подключении пользователя к серверу его клиентское устройство может подключиться не к тому общему ресурсу. Правильную конфигурацию доступа можно обеспечить путем создания отдельной группы безопасности для каждого общего ресурса синхронизации.

Тогда доступ к папке отдельного пользователя на общем ресурсе синхронизации будет определяться правами владельца для папки. При создании общего ресурса синхронизации рабочие папки по умолчанию предоставляют пользователям монопольный доступ к их файлам (отменяя наследование и предоставляя пользователям права владельца для их папок).

Контрольный список проектирования

Следующий набор вопросов поможет клиентам в проектировании реализации рабочих папок, наилучшим образом отвечающей требованиям их среды. Клиентам следует выполнить этот контрольный список до развертывания серверов.

  • Целевая аудитория

    • Какие пользователи будут использовать рабочие папки?

    • Как организованы пользователи? (Географически, по офису, по подразделению и т. п.)

    • Есть ли у пользователей особые требования к технологии и длительности хранения или безопасности данных?

    • Требуются ли пользователям особые политики устройств, например шифрование?

    • Какие клиентские компьютеры и устройства требуются для поддержки? (Windows 8.1, Windows RT 8.1, Windows 7)

      Если вы поддерживаете компьютеры под управлением Windows 7 и хотите использовать политики паролей, исключите домен, на котором хранятся учетные записи компьютеров, из политики паролей рабочих папок и вместо этого в этом домене используйте политики пароля групповой политики для компьютеров, присоединенных к этому домену.

    • Нужно ли вам взаимодействовать с другими решениями для управления пользовательскими данными, такими как перенаправление папок, или переходить с таких решений на новые?

    • Требуется ли пользователям из нескольких доменов синхронизироваться с единственным сервером через Интернет?

    • Требуется ли поддержка пользователей, которые не входят в группу локальных администраторов на своих компьютерах, присоединенных к домену? (Если да, вам нужно будет исключить соответствующие домены из политик устройств рабочих папок, таких как политики шифрования и использования паролей.)

  • Планирование инфраструктуры и загрузки

    • На каких узлах должны быть размещены серверы синхронизации в сети?

    • Будут ли какие-либо серверы синхронизации размещаться на ресурсах поставщика услуг IaaS ("инфраструктура как услуга"), например на виртуальной машине Azure?

    • Потребуются ли выделенные серверы для особых групп пользователей, и если да, то сколько пользователей будет приходиться на каждый выделенный сервер?

    • Где в сети находятся точки входа и выхода в Интернет?

    • Будут ли серверы синхронизации объединены в кластеры для обеспечения отказоустойчивости?

    • Потребуется ли несколько томов данных на серверах синхронизации для размещения пользовательских данных?

  • Защита данных

    • Потребуется ли создать несколько общих ресурсов синхронизации на каких-либо серверах синхронизации?

    • Какие группы будут использоваться для предоставления доступа к общим ресурсам синхронизации?

    • Если вы используете несколько серверов синхронизации, какую группу безопасности вы создадите для делегированной возможности изменять свойство msDS-SyncServerURL пользовательских объектов?

    • Установлены ли особые требования безопасности или аудита для отдельных общих ресурсов синхронизации?

    • Требуется ли многофакторная проверка подлинности (MFA)?

    • Нужна ли возможность удаленного стирания данных рабочих папок с компьютеров и устройств?

  • Доступ устройств

    • Какой URL-адрес будет использоваться для предоставления доступа устройствам, подключенным к Интернету (URL-адрес по умолчанию, который требуется для автоматического обнаружения серверов на основе электронной почты — workfolders.имя_домена)?

    • Каким образом URL-адрес будет опубликован в Интернете?

    • Будет ли использоваться автоматическое обнаружение серверов?

    • Будет ли использоваться групповая политика для настройки компьютеров, присоединенных к домену?

    • Будет ли использоваться Windows Intune для настройки внешних устройств?

    • Потребуется ли регистрация устройств, чтобы они могли подключаться к сети?

Дальнейшие действия

Следующий шаг после проектирования реализации рабочих папок — их развертывание. Дополнительную информацию см. в статье о развертывании рабочих папок.

Дополнительные ссылки

Дополнительные сведения по данной теме см. на следующих ресурсах.

Тип содержимого Ссылки
Оценка продукта - -
- - (запись блога)
Развертывание - -
- -
- -
- -
- -
- -
- -
- - (запись блога)