Привет! Сегодня я расскажу как настроить для пользователей в организации постоянный доступ с своим папочкам и файлам с любого ПК в организации, а также удаленно из дома.
Сразу расскажу, что нам это даст:
1. Облачный доступ к директориям и папкам пользователя;
2. Простоту “пересаживания” пользователя на другое рабочее место.
Для этого нам понадобится:
1. Внешний IP-адрес;
2. DNS-имя;
3. SSL-сертификат;
4. Windows server 2012 или новее;
5. Навык расшаривания директории;
6. Навык создания групп безопасности;
7. ОС Windows 8.1 или новее/MacOS, либо устройство на iOS или Android-устройство.
Думаю, что с IP-адресом и перенаправлением 80 и 443 портов Вы сможете разобраться сами. Но на всякий случай мы расскажем как это сделать в последующих статьях.
Предварительные настройки:
1. Создать сетевой ресурс, на котором всё будет работать;
2. Создать группу безопасности, пользователи которой будут иметь доступ к синхронизации.
Погнали!
Для упрощения работы с Рабочими папками, а также установкой SSL-сертификата нам нужно установить службы IIS. Для этого нам нужно открыть Диспетчер серверов, затем Добавить роли и компоненты – Установка ролей и компонентов – Выбираем Веб-сервер (IIS) – Ставим галочку в чекбокс “Включить средства управления” – жмем везде далее. Ждем пока установка завершится и перезагружаем машину.
Теперь нам нужно выпустить сертификат. Для этого мы воспользовались первым попавшимся сервисом. Подойдет любой, алгоритм везде одинаковый.
Указываем домен. В нашем случае это wf.easypos.tech. Далее нажимаем кнопку “Start”.
Указываем контактный e-mail адрес и выбираем HTTP-метод. Нажимаем “Verify domain”.
Далее сервис предложит нам скачать два файла: первый нужно разместить на сервере веб-служб, второй – это приватный ключ для Вашего устройства. Для подтверждения принадлежности домена нам нам нужно будет скачать txt-файл и разместить его в следующей директории: %systemdrive%/inetpub/wwwroot/.well-known/pki-validation/
Для этого на нашем тестовом сервере открывает командную строку от имени администратора и вводим:
cd %systemdrive%/inetpub/wwwroot/ – переходим в директорию сайта;
mkdir .well-known – создаем директорию.
Теперь мы можем перейти в директорию %systemdrive%/inetpub/wwwroot/.well-known/ и создать уже недостающую папку – pki-validation, а также переместить туда файл, который мы ранее скачали с сервиса SSL.
Если будет ошибка проверки, то Вы увидите следующую ошибку. Это означает, что нужно проверить NAT, Wirewall – должен быть открыт 80 порт. Если это не помогает – проверьте настройки, которые Вы установили ранее.
Отлично! Теперь мы можем подтвердить принадлежность домена и скачать сертификат – скачать необходимо все три файла.
Сертификат у нас есть, теперь мы воспользуемся конвертором, чтобы сделать из него FPX, который так любит Microsoft.
Для этого мы с помощью поисковика нашли этот сервис. Да, многие могут сказать, что есть OpenSSL, и он намного лучше. Но мы идем по простому пути, этот гайд рассчитан на тех, кто только учится системному администрированию.
Выбираем в выпадающем меню нового расширения сертификата FPX/PKCS#12, после чего загружаем два файла: вашдомен.crt и Ваш приватный ключ в первые две графы соответственно. Вводим PFX пароль и жмём “Конвертировать”.
Готово! У нас есть сертификат, нужный Microsoft.
Для его установки нам понадобиться MMC-консоль сертификатов компьютера. Для этого мы можем просто в поиске на сервере написать “сертификат” и он сам найдет нужную консоль.
Импортируем сертификат в папку”Личное” Вашего компьютера.
Супер! Теперь мы можем “прикрутить” сертификат к IIS. Но сертификат также можно добавить и в самой оснастке Диспетчера IIS.
Теперь нам нужно создать привязку сайта к доменному имени, как на картинке ниже. При привязке указываем Ваш внешний IP и Ваш сертификат из выпадающего меню, которые мы импортировали. Это делается в Диспетчере IIS.
По итогу привязки должны принять следующий вид:
Теперь можно приступить к установке фичи “Рабочие папки”. Выбираем их, жмём везде далее и ждём, пока всё установится, затем перезагружаемся.
Теперь нам нужно создать шару. Мы для тестов сделали это прямо на системном диске, директорию назвали – Work Folder. Важно: прикрутить рабочие папки к другой шаре стандартными методами не получится !
В диспетчере серверов выбираем Рабочие папки, жмём “Новый ресурс синхронизации”.
Выбираем нашу шару, жмём далее.
Здесь оставляем настройки по умолчанию.
Указываем имя, жмём далее.
Указываем группу безопасности, которая будет иметь возможность синхронизации.
Далее – далее – создать.
Готово! Теперь мы можем настроить подключение как политикой внутри организации, так и через панель управления, если используется PC или Mac.
Параметр политики “Указать параметры рабочих папок” в расположении “Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Рабочие папки”;
Параметр политики “Принудительная автоматическая настройка для всех пользователей” в расположении “Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Рабочие папки”.
Windows 10 через Панель управления:
Теперь нам осталось прикрутить перенаправление папок пользователей. Это делается через политику:
Также не забудьте указать следующие параметры:
Вот и всё. По итогу у нас есть:
1. Перенаправление папок пользователей, так что нам не страшны какие-то неполадки вроде сгоревшего системника;
2. У пользователей есть доступ из внешнего мира – может пригодиться как для командировок, так и для нынешних реалий;
3. Корпоративное «облако».
Благодаря произведённым манипуляциям ы научились:
1. Устанавливать SSL-сертификат на IIS;
2. Поднимать службу IIS;
3. Устанавливать Рабочие папки;
4. Настраивать Перенаправление папок.
Спасибо!
Источник