配置Windows Server 2012 R2工作檔案夾以實作BYOD同步
工作檔案夾是Windows Server 2012 R2中的一個新特性,允許使用者在多個裝置上同步工作資料。通過工作檔案夾,無論資訊工作者身在何處,IT 管理者能夠向他們提供對其所有裝置上的工作資料進行同步的功能。哦,哦,很神奇吧?!
其實就是通過将裝置上的使用者資料同步到本地檔案伺服器來完成的。不過,目前"工作檔案夾"隻支援Windows 8.1用戶端。将來也會支援Windows 7和iPad、Android裝置。
一、實驗環境:
其中LON-DC1是域控制器和AD證書伺服器,LON-SVR1是加入到域内的成員伺服器,在LON-SVR1上安裝工作檔案夾功能,LON-DC1和LON-SVR1都運作Windows Server 2012 R2版本的作業系統。Client1和Client2都安裝了Windows 8.1作業系統,其實Client1加入到了域XueHao51.com,Client2是處于工作組環境,Client1和Client2的DNS伺服器IP位址都指向了LON-DC1的IP位址。
請先自行安裝域環境和安裝AD CS,本例不作介紹。
二、實驗步驟:
1、"工作檔案夾"功能的安裝
工作檔案夾是檔案和存儲服務的角色的一個元件,你可以通過伺服器管理器或PowerShell啟用。
1)在LON-SVR1上"伺服器管理器",單擊"管理",選擇"添加角色和功能"按鈕,彈出"添加角色和功能向導"對話框。單擊"下一步"
2)在"選擇安裝類型"中,選擇"基于角色或基于功能的安裝",單擊"下一步"
3)在"選擇目标伺服器"中,選擇"從伺服器池中選擇伺服器",如圖,然後單擊"下一步"
4)在"選擇伺服器角色"中,選中"Web伺服器(IIS)",在"檔案和存儲服務→檔案和iSCSI服務"中選擇"工作檔案夾",單擊"下一步"。
接下來,一直使用預設選項,安裝安為止。
2、配置"工作檔案夾"
要為企業中的每個使用者配置"工作檔案夾",需要在伺服器上找一個空間比較大的"分區",在此分區上建立檔案夾來存放"工作檔案夾"資料。下面介紹配置工作檔案夾的主要步驟。
1)在"伺服器管理器"中,單擊"檔案和存儲服務→工作檔案夾",單擊"若要為工作檔案夾建立同步共享,請啟動建立同步共享向導"連結。
2)在"新同步共享向導"的"開始之前"界面中單擊"下一步"。
3)在"選擇伺服器和路徑"對話框中,要求你選擇同步分享的伺服器,然後選擇一個現有的檔案共享或輸入本地路徑。
4)接下來要求你選擇命名檔案夾的格式。你有兩個選擇:
使用使用者别名:如果你的目錄結構是基于使用者别名建立的單域環境,請選擇使用者别名。
使用user@domain格式:這通常最适合有多個域的組織,因為它消除了不同領域中多個有相同别名的不同使用者産生沖突的可能性。
這裡還包含一個複選框,用來指定你想要同步的檔案夾。
同步發生在每個使用者的基礎上,這就是為什麼同步分享可以使用使用者别名或電子郵件位址。工作檔案夾隻能作為一種允許使用者離線擷取檔案的機制,不能用于協同工作。
5)單擊下一步,會提示你輸入同步共享名。你還可以輸入一個可選的文檔描述。
6)接下來會要求你指定需要通路的使用者或組。我選擇的是"Domain Users",表示要為域中的每個使用者啟用同步功能。最值得關注的是一個"标記禁用繼承權限,并授予使用者對其檔案的獨占通路權限"的複選框。預設情況下是選中的,但推薦取消。否則,管理者将不能通路使用者檔案。
7)單擊下一步,你就會進入"指定裝置政策"對話框,有兩個複選框:"自動鎖定螢幕,并要求輸入密碼"。如果要進一步保證工作檔案夾的資料安全,可以選擇"加密工作檔案夾"。
8)單擊下一步确認。如果一切順利,點選"建立"建立同步共享
9)最後在"檢視結果"對話框中,單擊"關閉"。
10)配置之後,在"伺服器管理器→檔案和存儲服務→工作檔案夾"對話框中,可以看到,工作檔案夾向導已經為域中的每個使用者建立了一個同步共享。
3、為工作檔案夾伺服器申請證書
"工作檔案夾"伺服器需要綁定證書,管理者可以從"企業證書伺服器"申請一個"計算機證書"。本實驗中,我已經在LON-DC1上配置好了"企業證書伺服器"。
1)在LON-SVR1中,打開"運作"對話框,執行mmc。
2)打開"控制台1",在"檔案"菜單中選擇"添加/删除管理單元"。
3)在"添加或删除管理單元"對話框,在"可用的管理單元"清單中選擇"證書",單擊"添加"按鈕。
4)在"證書管理單元"對話框中選擇"計算機帳戶"。
5)在"選擇計算機"對話框中,選擇"本地計算機(運作此控制台的計算機)"。
6)傳回到"添加或删除管理單元"對話框,在"所選管理單元"清單中可以看到,已經添加"證書(本地計算機)",單擊"确定"按鈕。
7)傳回到"控制台"後,在"證書(本地計算機)→個人→證書"管理單元中,在右側用滑鼠右擊,在彈出的空白菜單中選擇"所有任務→申請新證書",準備申請計算機證書。
8)在"證書注冊→選擇證書注冊政策"對話框,選擇"Active Directory注冊政策",單擊"下一步"按鈕。
9)在"證書注冊→請求證書"對話框,選中"計算機",單擊"注冊"按鈕
10)證書申請并注冊之後,在"證書安裝結果"對話框,顯示狀态為"成功",單擊"完成"按鈕
11)申請證書之後,在"證書→個人→證書"選項中,可以看到申請的名為LON-SVR1.XueHao51.com的證書(與目前計算機的名稱相同),
4、在IIS管理器綁定證書
在申請"計算機證書"之後,可以在"IIS管理器"中綁定證書,步驟如下:
1)在"伺服器管理器→IIS"中,右擊計算機名稱,在彈出的快捷菜單中選擇"Internet Information Services(IIS)管理器"。
2)在"IIS管理器"中,選擇"Default Web Site",在右側的"操作"清單中選擇"綁定"按鈕。
3)在"網站綁定"對話框中,可以看到目前隻有http類型的站點,需要添加https站點并綁定證書。單擊"添加"按鈕
4)在彈出的"添加網站綁定"對話框,在"類型"下拉清單中選擇https,端口預設選擇為443,在"SSL證書"下拉清單中選擇上一節申請的名為LON-SVR1.XueHao51.com的證書,然後單擊"确定"按鈕。
5)傳回到"網站綁定"對話框,可以看到已經添加了https類型網站。
6)傳回到IIS管理器之後,可以看到80及443端口的網站已經配置,從狀态中可以看到目前的預設站點已經停止,因為工作檔案夾占用了TCP的80及443端口的原因。
在綁定了證書之後,IIS管理器可以解除安裝。工作檔案夾并不需要IIS管理器。
5、配置組政策以支援工作檔案夾
最後,還要在Active Directory伺服器上,配置組政策以支援工作檔案夾,主要步驟如下。
1)切換到Active Directory伺服器上(LON-DC1),在"伺服器管理器"中,從"工具"菜單選擇"組政策管理"。在"組政策管理"對話框,右擊"Default Domain Policy"選擇"編輯"。在"計算機配置→政策→管理模闆→Windows元件→工作檔案夾"中,輕按兩下右側的"強制為所有使用者自動設定",選擇"啟用"單選按鈕。
2)在"使用者配置→政策→管理模闆→Windows元件→工作檔案夾",輕按兩下右側的"指定工作檔案夾設定",在"指定工作檔案夾設定"對話框中,先選擇"己啟用",并在"工作檔案夾URL"文本框中,輸入工作檔案夾伺服器的URL,在此為https://LON-SVR1.xuehao51.com(此證書名稱與工作檔案夾伺服器計算機名一緻),并選擇"強制自動設定"。
執行gpupdate /force,強制更新組政策。