工作文件夹是Windows Server 2012 R2中的一个新特性,允许用户在多个设备上同步“工作文件夹”目录中的数据。用户可以同步笔记本电脑和平板电脑上的文件夹并编辑里面的文件,而此时文件夹处理离线状态,当用户下次连接上网络后,这些改变会进行同步。目前“工作文件夹”只支持Windows 8.1客户端。将来也会支持Windows 7和iPad、Android设备。和Dropbox一样,工作文件夹会同时保留服务器和客户端上的文件副本,客户端在任何时候连接到服务器时,会执行同步。
【说明】Dropbox是一个提供同步本地文件的网络存储在线应用。支持在多台电脑多种操作中自动同步。并可当作大容量的网络硬盘使用。Dropbox采用免费试用+高级服务收费的Freemium模式,最初2GB空间免费,此后则需要按月支付存储费用。
本文介绍如何使用Windows Server 2012 R2,在企业服务器中配置“工作文件夹”,为企业用户提供类似Dropbox的功能,只不过这一切都保留在自己的服务器中。
1.1工作文件夹体系结构
工作文件夹是Windows Server 2012 R2的一个新功能,需要Active Directory、证书服务器的支持。另外,由于“工作文件夹”默认会占用TCP的80及443端口,所以最好为实现“工作文件夹”服务准备一台单独的服务器,即便不能提供单独的服务器,最后也不要在这台服务器再配置站点。另外“工作文件夹”服务需要绑定证书,此时也需要“Internet信息服务管理控制台”进行绑定(这是比较让人“无语”的一点),直接在服务器中申请证书并不能绑定给“工作文件夹”服务使用。在本文中通过图1-1所示的拓扑介绍工作文件夹。
图1-1工作文件夹服务器拓扑
在图1-1中,服务器A是Active Directory及证书服务器,服务器B是加入到Active Directory中的一个成员服务器。工作站1、工作站2是测试机,其中工作站1加入到Active Directory,工作站2未加入到域。服务器A、B安装的是Windows Server 2012 R2,工作站1、工作站2安装的是Windows 8.1,另外工作站1、2的DNS设置的是Active Directory服务器的IP地址。
在开始介绍之前,假设你已经按照图1-1配置好相关的服务器,具体Windows Server 2012 R2的安装、升级到Active Directory、配置证书服务、工作站加入到域这些不一一介绍。在本示例中,服务器A的IP地址是192.168.80.10,服务器B的IP地址是192.168.80.11,设置服务器B的名称为fs.heuet.net。
1.2在服务器上安装工作文件夹
配置好环境之后,在服务器B上配置“工作文件夹”服务,主要步骤如下。
(1)确认服务器B已经按照图1-1的要求配置好,并加入到域,如图1-2所示。
图1-2查看服务器的配置
(2)之后在“服务器管理器”中,右击“所有服务器→FS(服务器的计算机名)”,在弹出的快捷菜单中选择“添加角色和功能”,如图1-3所示。
图1-3添加角色和功能
(3)在“选择安装类型”对话框,选择“基于角色或基于功能的安装”,如图1-4所示。
图1-4选择安装类型
(4)在“选择目标服务器”对话框,选择“从服务器池中选择服务器”,并选择fs.heuet.net服务器,如图1-5所示。
图1-5选择要安装的目标服务器
(5)在“选择服务器角色”对话框,选中“Web服务器”,在“文件和存储服务→文件和iSCSI服务”中选择“工作文件夹”,如图1-6所示。
图1-6选择工作文件夹
(6)在“选择功能”对话框,单击“下一步”。在“选择角色服务→为Web服务器选择要安装的角色服务”中单击“下一步”,即安装Web管理工具→管理控制台服务即可,如图1-7所示。
图1-7选择功能
(7)在“确认安装所选内容”对话框,查看要安装的服务和功能,无误之后,单击“安装”按钮,如图1-8所示。
图1-8安装
(8)在“安装进度”对话框,显示了安装进度,单击“关闭”按钮,如图1-9所示。
图1-9安装进度
1.3配置工作文件夹
要为企业中的每个用户配置“工作文件夹”,需要在服务器上找一个空间比较大的“分区”,在此分区创建文件夹,并存放“工作文件夹”数据。下面介绍配置工作文件夹的主要步骤。
(1)在“服务器管理器”中,单击“文件和存储服务→工作文件夹”,单击“若要为工作文件夹创建同步共享,请启动新建同步共享向导”链接,如图1-10所示。
图1-10工作文件夹
(2)在“选择服务器和路径”对话框,在“输入本地路径”,浏览选择一个空间比较大的分区并创建一个文件夹,例如D盘的FS-HOME,如图1-11所示。
图1-11选择服务器和路径
(3)在“指定用户文件夹的结构”对话框,选择“用户别名”,如图1-12所示。如果是在多域的环境中,可以选择“用户别名@域”,如图1-12所示。
图1-12指定用户文件夹的结构
(4)在“输入同步共享名”对话框,在“名称”文本框中输入同步共享名称,在此可以选择默认名(与同步的文件夹同名)FS-Home,如图1-13所示。
图1-13输入同步共享名
(5)在“向组授予同步访问权限”对话框,单击“添加”按钮,添加要启用同步的用户或用户组,如图1-14所示,在此添加名为“Domain Users”的用户组,表示要为域中的每个启用同步功能。
图1-14添加要同步的用户或用户组
(6)在“指定设备策略”对话框,选择“自动锁定屏幕,并要求输入密码”,如图1-15所示。如果要进一步保证工作文件夹的数据安全,可以选择“加密工作文件夹”。
图1-15指定设备策略
(7)在“确认选择”对话框,查看设置是否无误,之后单击“创建”按钮,如图1-16所示。
图1-16确认选择
(8)在“查看结果”,显示了配置工作文件夹的结果,在此显示“创建同步共享”完成,如图1-17所示。
图1-17查看结果
(9)配置之后,在“服务器管理器→文件和存储服务→工作文件夹”对话框中,可以看到,工作文件夹向导已经为域中的每个用户创建了一个同步共享,如图1-18所示。
图1-18配置工作文件夹后
1.4使用管理控制台申请证书
“工作文件夹”服务器需要绑定证书,管理员可以从“企业证书服务器”申请一个“计算机证书”。在本示例中,假设已经在Active Directory服务器(服务器A)中配置好了“企业证书服务器”。
(1)在服务器B中,打开“运行”对话框,执行mmc,如图1-19所示。
图1-19运行mmc
(2)打开“控制台1”,在“文件”菜单中选择“添加/删除管理单元”,如图1-20所示。
图1-20添加/删除管理单元
(3)在“添加或删除管理单元”对话框,在“可用的管理单元”列表中选择“证书”,单击“添加”按钮,如图1-21所示。
图1-21添加证书管理单元
(4)在“证书管理单元”对话框中选择“计算机帐户”,如图1-22所示。
图1-22计算机帐户
(5)在“选择计算机”对话框中,选择“本地计算机(运行此控制台的计算机)”,如图1-23所示。
图1-23选择计算机
(6)返回到“添加或删除管理单元”对话框,在“所选管理单元”列表中可以看到,已经添加“证书(本地计算机)”,如图1-24所示。单击“确定”按钮。
图1-24添加本地计算机证书单元
(7)返回到“控制台”后,在“证书(本地计算机)→个人→证书”管理单元中,在右侧用鼠标右击,在弹出的空白菜单中选择“所有任务→申请新证书”,如图1-25所示,准备申请计算机证书。
图1-25申请新证书
(8)在“证书注册→选择证书注册策略”对话框,选择“Active Directory注册策略”,单击“下一步”按钮,如图1-26所示。
图1-26 Active Directory注册策略
(9)在“证书注册→请求证书”对话框,选中“计算机”,单击“注册”按钮,如图1-27所示。
图1-27注册计算机证书
(10)证书申请并注册之后,在“证书安装结果”对话框,显示状态为“成功”,单击“完成”按钮,如图1-28所示。
图1-28证书注册成功
(11)申请证书之后,在“证书→个人→证书”选项中,可以看到申请的名为fs.heuet.net的证书(与当前计算机的名称相同),如图1-29所示。
图1-29申请证书完成
1.5在IIS管理器绑定证书
在申请“计算机证书”之后,可以在“IIS管理器”中绑定证书,步骤如下。
(1)在“服务器管理器→IIS”中,右击计算机名称,在弹出的快捷菜单中选择“Internet Information Services(IIS)管理器”,如图1-30所示。
图1-30执行IIS管理器
(2)在“IIS管理器”中,选择“Default Web Site”(默认Web站点),从状态中可以看到当前的默认站点已经停止,因为工作文件夹占用了TCP的80及443端口的原因。在右侧的“操作”列表中选择“绑定”按钮,如图1-31所示。
图1-31绑定
(3)在“网站绑定”对话框中,可以看到当前只有http类型的站点,需要添加https站点并绑定证书。单击“添加”按钮,如图1-32所示。
图1-32添加
(4)在弹出的“添加网站绑定”对话框,在“类型”下拉列表中选择htts,端口默认选择为443,在“SSL证书”下拉列表中选择上一节申请的名为fs.heuet.net的证书,然后单击“确定”按钮,如图1-33所示。
图1-33 添加网站绑定
(5)返回到“网站绑定”对话框,可以看到已经添加了https类型网站,如图1-34所示。
图1-34网站绑定完成
(6)返回到IIS管理器之后,可以看到80及443端口的网站已经配置,如图1-35所示。
图1-35绑定网站完成
【说明】在绑定了证书之后,IIS管理器可以卸载。工作文件夹并不需要IIS管理器。
1.6配置组策略以支持工作文件夹
最后,还要在Active Directory服务器上,配置组策略以支持工作文件夹,主要步骤如下。
(1)切换到Active Directory服务器上(服务器A),在“服务器管理器”中,从“工具”菜单选择“组策略管理”,如图1-36所示。
图1-36组策略管理
(2)在“组策略管理”对话框,右击“Default Domain Policy”选择“编辑”,如图1-37所示。
图1-37编辑默认组策略
(3)在“计算机配置→策略→管理模板→Windows组件→工作文件夹”中,双击右侧的“强制为所有用户自动设置”,如图1-38所示。
图1-38配置基于计算机的工作文件夹
(4)在“强制为所有用户自动设置”对话框,选择“启用”单选按钮,如图1-39所示。
图1-39强制为所有用户自动设置
(5)在“用户配置→策略→管理模板→Windows组件→工作文件夹”,双击右侧的“指定工作文件夹设置”,如图1-40所示。
图1-40指定工作文件夹设置
(6)在“指定工作文件夹设置”对话框中,先选择“己启用”,并在“工作文件夹URL”文本框中,输入工作文件夹服务器的URL,在此为https://fs.heuet.net(上一节申请的证书名称,此证书名称与工作文件夹服务器计算机名一致),并选择“强制自动设置”,如图1-41所示。
图1-41指定工作文件夹URL
(7)最后打开“命令提示符”,执行gpupdate /force,强制更新组策略,如图1-42所示。
图1-42更新组策略
1.7在没有加入域中的工作站中使用工作文件夹
最后我们在计算机上测试“工作文件夹”,先在一台没有加入域的Windows 8.1计算机上测试,主要分为两点,一是申请并信任根证书,二是指定工作文件夹,步骤如下。
(1)登录证书颁发网站,在本示例中为http://192.168.80.10/certsrv,如图1-43所示,单击“下载CA证书、证书链或CRL”链接。
图1-43下载CA证书
(2)在“下载CA证书、证书链或CRL”页,单击“下载CA证书”链接,在弹出的“要打开或保存来自192.168.80.10的certnew.cer吗”选择“打开”,如图1-44所示。
图1-44打开根证书
(3)在弹出的“证书”对话框中在“证书信息”中显示当前CA不受信任,单击“安装证书”按钮,如图1-45所示。
图1-45安装证书
(4)在“欢迎使用证书导入向导”对话框,选择“当前用户”,如图1-46所示。
图1-46当前用户
(5)在“证书存储”对话框,选择“将所有的证书都放入下列存储”,单击“浏览”按钮,选择“受信任的根证书颁发机构”,如图1-47所示。
图1-47将证书保存在受信任的根证书颁发机构
(6)在“正在完成证书导入向导”对话框,单击“完成”按钮,如图1-48所示。
图1-48完成证书导入向导
(7)在“安全警告”对话框,单击“是”按钮,安装并信任根证书,如图1-49所示。
图1-49确认安装根证书
在信任根证书之后,就可以设置工作文件夹了,步骤如下。
(1)在“控制面板→所有控制面板选项”中单击“工作文件夹”,如图1-50所示。
图1-50工作文件夹
(2)在“工作文件夹”对话框,单击“设置工作文件夹”链接,如图1-51所示。
图1-51设置工作文件夹
(3)在“输入工作电子邮件”对话框,单击“改为输入工作文件夹URL”,如图1-52所示。
图1-52改为输入工作文件夹URL
(4)在“输入工作文件夹URL”对话框,在“工作文件URL”文本框中输入工作文件夹服务器的URL,在此为https://fs.heuet.net,如图1-53所示。
图1-53输入工作文件夹URL
(5)在“Windows安全”对话框中,输入要访问工作文件夹的域用户名及密码,并选中“记住我的凭据”单选框,如图1-54所示。
图1-54输入域用户名及密码
(6)在“确认工作文件夹位置”对话框,显示了当前用户工作文件夹位置,默认在%homedrive%\%homepath%\work Folders文件夹中,如图1-55所示。如果要更改工作文件夹位置,单击“更改”按钮修改。
图1-55确认工作文件夹位置
(7)在“安全策略”对话框,选中“在我的电脑上接受这些策略”,然后单击“设置工作文件夹”按钮,如图1-56所示。
图1-56安全策略
(8)在“设置己完成”对话框,单击“关闭”按钮,如图1-57所示。
图1-57设置己完成
(9)在设置完成后,返回到“工作文件夹”对话框,显示服务器上可以的空间,以及上次同步时间,如图1-58所示。
图1-58 工作文件夹可用空间及同步时间
(10)打开“资源管理器→这台电脑→Work Folders”,打开工作文件夹,向工作文件夹中创建或复制一些文件,右击在弹出的快捷菜单中选择“立即同步”,即可将当前用户的工作文件夹同步到服务器,如图1-59所示。以后工作文件夹亦会自动同步。
图1-59立即同步
1.8在加入域中工作站使用
对于加入到域的Windows 8.1的计算机,由于在“1.6配置组策略以支持工作文件夹”一节中配置了组策略,并且加入到域的计算机会自动信任企业根证书服务器。所以,加入到域的计算机,会自动为每个用户创建“工作文件夹”,用户只要在“资源管理器”中打开“这台电脑→Work Folders”即可查看当前用户的工作文件夹,如图1-60所示。
图1-60加入域的计算机自动设置工作文件夹
1.9工作文件夹服务器的后期管理
如果在Active Directory服务器中新增加了域用户,想要为添加的域用户分配“工作文件夹”,只要在服务器B中(工作文件夹服务器),在“服务器管理器→文件和存储服务→工作文件夹”中,单击刷新按钮,即可为新添加的域用户设置工作文件夹,如图1-61所示。
图1-61刷新设置为新用户设置工作文件夹
在使用“工作文件夹”的时候,要确认“服务”中的“Windows Sync Share”服务状态为“正在运行”状态,如图1-62所示。
图1-62 Windows同步共享服务需要为运行状态
如果该服务停止,工作文件夹的状态为“初始”状态,如图1-63所示,只要在图1-62中启动“Windows Sync Share”服务即可正常显示。
图1-63 Windows工作文件夹初始状态