یکی از چالشهای که بعضی از سازمانهای بزرگ دارند دسترسی بعضی از پرسنل به بعضی از فرمها و فایلهای مهم اداری در بیرون از شرکت می باشد. در سالهای اخیر بیشتر سازمانها از قابلیت Offline File استفاده می کردند ولی این روش جوابگوی نیاز آنها نبود و یک عیب بزرگ دارد. فرض کنید یک کارمند یک ماموریت به خارج از کشور دارد و در طول سفر نیازمند آخرین تعقیرات بعضی از فایلهای مهم سازمانی می باشد. در این سناریو بوضوح احساس می شود که Offline file جوابگوی این کارمند نیست. شاید اطلاعات بعضی از فایلها را بتواند بصورت Offline مطالعه کند ولی نمی تواند آخرین تعقیرات اعمال شده بر روی آن فایلها را داشته باشد.
شاید بعضی ها با خود فکر کنند چرا از سرویس های Cloud استفاده نکنیم؟؟؟ مانند OneDrive, Dropbox and Google Drive!!! آن کارمند به راحتی می تواند فایلهای خود را با دیگران به اشتراک بگذارد و به آخرین تعقیرات اعمال شده بر روی آنها دسترسی داشته باشد و مسئله ی دیگه ای که هست آن کارمند می تواند از هر دیوایسی مانند Smartphones، تبلتها و لب تابها استفاده کند و تنها چیزی که نیاز دارد اتصال به اینترنت می باشد، با این توضیحات چرا از این روش استفاده نکنیم؟
ما به یک دلیل مهم نمی توانیم از سرویس های Cloud استفاده کنیم و آن مسئله Manageable بودن آنهاس. به عبارت دیگر ما نمیتوانیم این سرویسها را از یک نقطه مرکزی مدیریت کنیم یا سیاست امنیتی خاصی را Force کنیم، دوباره تاکید می کنم نمی توانیم سیاست امنیتی خاصی را Force کنیم. برای درک بهتر این موضوع بحثی که در اینباره شد را با دقت بخوانید.
برای غلبه کردن بر این مشکلات مایکروسافت قابلیت جدیدی به نام Work Folders در Windows Server 20112 R2 معرفی کرده که می تواند تمام نیازمندیهای چنین سازمانهای را برطرف کند. Work Folders تکنولوژی هستش که می تواند اطلاعات سازمان را در هر نقطه و مکان داخل یا خارج از سازمان Join to Domain باشید یا نباشید و فقط بوسیله اتصال دیوایس خود به اینترنت به داده های خود دسترسی داشته باشید.یکی از ویژگی های جالب Work Folders استفاده از این قابلیت در هر نوع پلتفرم می باشد. شما می توانید این قابلیت را بر روی موبایلهای IOS، Windows Phone و َAndroid داشته باشید.
شما با استفاده از این قابلیت می توانید از سیاستهای امنیتی جالبی استفاده کنید به عنوان مثال می توانید کاربران خود را Force کنید که داده های خود را Encrypt کنند، زمان اتصال از آنها User & Pass بخواهد یا اگر موبایل آنها دزدیده شد و اطلاعات سازمان بر روی آن موبایل بود آن اطلاعات بصورت اتوماتیک در یک فرجه زمانی خاص حذف شود یا گروه خاصی بتواند به اطلاعات سازمان دسترسی داشته باشد.شما همچنین می توانید این قابلیت را برای کاربران دومین بوسیله Group Policy تنظیم کنید. همچنین این قابلیت میتواند با سرویس های زیر ادغام شود:
Work Folders بصورت پیش فرض کلیه اطلاعات آن بوسیله پروتکل HTTPS ردو بدل می شود و شما ناچارید یک Certificate معتبر به Work Folders معرفی کنید.اگر قصد دارید CA سروری در سازمان خود ایجاد و راه اندازی کنید باید این CA سرور را بر روی تمام دیوایسها ها و کامپیوترهای که قصد استفاده از این قابلیت را دارند Import کنید، واگرنه از Public CAها استفاده کنید.برای اموزش این قابلیت من یک سناریو تعریف و آن را پیاده سازی می کنم. (این سناریو در محیط واقعی انجام شده) سازمانی دارم با دامنه داخلی jamejam-koreh.local ودامنه خارجی Jamejam-koreha.com در این سازمان تمام پرسنل عضو دومین هستن و تمام سیستم عامل سرورها Windows Server 2012 R2 می باشد.
خب!!!! قدم اول من CA Server را نصب و کانفیگ میکنم و آن را در تمام دیوایسهای این کارکنان Import می کنم.
سرور Work Folders and File Server را عضو دومین می کنم. و برای نصب Work Folder و اجزای آن دستورزیر را اجرا می کنم.
Add-WindowsFeature FS-SyncShareService
قبل از تنظیمات Work Folder شما چند اصطلاح را باید یاد بگیرید:
=Sync Server شما با نصب Work Folders یک Sync Server ایجاد می کنید. وظیفه Sync Server سینک کردن اطلاعات کاربران می باشد.
Sync Share= هر Sync Server می تواند چندین Sync Share داشته باشد. Sync Share محلی برای ذخیره سازی اطلاعات کاربران می باشد.
خب!!! مرحله بعدی ایجاد گروه در Active Directory برای کارکنان واحد فروش و عضو کردن آنها در این گروه می باشد.
بعد از نصب این سرویس باید آن را تنظیم کنیم. برای اینکار به Server Manager بروید ودر قسمت Work Folder گذینه زیر را کلیک کنید:
در صفحه بعد شما باید یک Sync Share ایجاد کنید.
بعد از معرفی کردن یک پوشه Share شده Next کنید.
در این صفحه شما باید نحوه نام گذاری پوشه های که بر روی File Server ایجاد می شود را تعیین کنید. اگر گذینه اولی را انتخاب کنید اطلاعات کاربران در sync Share بصورت زیر ایجاد می شود (تصویر 1) و گذینه دوم بصورت زیر ایجاد می شود (تصویر 2)
در صورتی گذینه اول را انتخاب کنید که یک دومین داشته باشید. و اگر چندین دومین داشته باشید و اطلاعات همه دومین ها در یک Sync Share ذخیره می شود از گذینه دوم انتخاب کنید.و گذینه Sync only the following subfolder را در صورتی انتخاب کنید که یک پوشه Share شده داشته شته باشید و این پوشه شر شده دارای چنید Subfolder باشد و شما می خواهید یکی از این Subfolderها Sync شود.
در صفحه بعد یک اسم وتوضیحات برای این Sync Share بنویسید
در صفحه بعد گروهی که در مرحله قبل ایجاد کردیم را اضافه میکنیم.
تیک پایین خاصیت وراثت را بر روی این پوشه غیرفعال می کند.
در اینجا باید Policyهای که کاربران باید رعایت کنند را تعیین کنید. این Policy ها بر روی هر کاربری که Join to Domain باشد یا نباشد و بر روی هر دیوایسی اعمال می شود.در آخر اطلاعات را چک کنید و دکمه Create را کلیک کنید. Sync Share ایجاد شد و در نهایت پوشه مورد نظر را Share کنید. ومی توانید دسترسی ها را طبق جدول زیر بر روی این Share folder ست کنید:
بعد از تنظیمات بالا شما باید تنظیمات DNS را انجام دهید.کلاینتها به دو صورت به Work Folders وصل می شوند.
اگر کاربری در قدم اول از فرمت UPN به WF وصل شود. به عنوان مثال :
بصورت پیش فرض ادرس Workfolders.yourdomain.TLD جستجو می شود. به عبارت دیگر حتما باید رکوردی برای WF Server به اسم Workfolders ایجاد کنید. وهمچنین اگر از چندین Sync Server استفاده می کنید و هر گروهی اطلاعات آن بر روی Sync Server خاصی باشد FQDN انها باید Workfolders.yourdomain.TLD باشد.همچنین مایکروسافت توصیه می کنه از هاست نایم Workfolders برای هر دو حالت استفاده کنید.
https://blogs.technet.microsoft.com/canitpro/2015/01/19/step-by-step-creating-a-work-folders-test-lab-deployment-in-windows-server-2012-r2/
خب من A Record های Work Folders را بر روی DNSهای داخلی وهاستینگ سازمان ایجاد می کنم.
شما به دو روش می توانید Certificate را بر روی Work Folders اعمال کنید.با دستور Netsh یا محیط گرافیکی.برای اینکه بعضی ها روش دستوری یخورده براشون مشکل هستش من از محیط گرافیکی استفاده می کنم.برای اینکار کنسول IIS را بر روی Work folders بوسیله دستور زیر نصب کنید:
Install-WindowsFeature Web-Mgmt-Console
بعد از نصب وارد کنسول IIS شوید و گذینه Server Certificate را کلیک کنید، و گذینه زیر را انتخاب کنید:
فیلد اولی خیلی مهمه. باید ادرسی را بنویسید که کاربران برای وصل شدن به Work Folders از آن استفاده کنند.و بقیه مراحل را انجام دهید و یک Certificate از CA Server سازمان برای WF درخواست دهید و در آخر این Certificate را به Work Folders بایند کنید:
امیدوارم با این سرویس اشنائی کاملی داشته باشید. واقعا امکانات جالبی در اختیار ادمین شبکه قرار می دهد. برای اشنائی با این سرویس لینک زیر را مطالعه کنید:
https://4sysops.com/archives/file-server-resource-manager-fsrm-part-1-install-frsm/
در اینجا من File Server Resource را آموزش نمی دهم فقط Policyهای که در این سناریو بهش اشاره شده را نشان می دهم. (حتما برای یاد گرفتن این سرویس مهم وقت بگذارید)خب برای نصب این سرویس بر روی Work folders دستور زیر را در Power Shell وارد کنید:
Install-WindowsFeature –Name FS-Resource-Manager –IncludeManagementTools
من باید چندین Policy برای کاربران Work Folders در File Server Resource ایجاد کنم.اولین Policy تعریف Quotas برای پوشه Sales:
همانطور که می دانید قبلا ما Quota را فقط می توانستیم بر روی یک داریو تعریف کنیم ولی با سرویس بالا می توانیم بر روی پوشه های خاصی Quota اعمال کنیم.Policy بعدی expiration کردن فایلها:
بعد از آخرین دسترسی اگر دو ماه بگذرد فایلهای کاربران در C:\sales ، Expire خواهند شد.Policy بعدی اجازه ندادن به کاربران برای ذخیره فایلهای غیر از اسناد اداری:
کارمون با File Server Resource تموم شد.
برای دسترسی به تنظیمات Work Folders
در اینجا شما می توانید نوع Authentication را تنظیم کنید که بصورت Windows Authentication باشد یا از طریق Active Directory Federation Services و یا می توانید یک Support Email به Work Folders معرفی کنید که اگر یکی از کاربران با مشکلی برخورد کرد بتواند با این ایمیل با شما مکاتبه کند.یا می توانید گروهی را در قسمت Suspended Groups اضافه کنید. گروه های که در این قسمت اضافه شوند نمی توانند اطلاعات خود را Sync کنند.
یا می توانید هنگام اتصال کاربران به Work Folders انها را تنظیم و مانیتور کنید.
هنگام Publish کردن Work Folders متوجه شدم خیلی از دیوایسها و برنامه ها از پورت 443 استفاده میکنند. یکی از این دیوایس ها میکروتیک هستش یا بعدا برنامه ی بر روی Work Folders نصب شود که از port 443 استفاده کند و بخاطر همین Port Conflict ایجاد بشه.ببخشید نمی تونم زیاد تایپ کنم توی گرمائی که اینجا ما داریم بدبختی من سرما خوردم!!!!! بخاطر همین برای اینکار از لینک زیر استفاده کنید:
https://blogs.technet.microsoft.com/filecab/2013/10/15/windows-server-2012-r2-resolving-port-conflict-with-iis-websites-and-work-folders/
در آخر یادتون باشه پورتی که تعقیر می دهید در قسمت بایندینگ سرور Work Folders هم تعقیر دهید:
برای Publish کردن سرور Work Folders شما باید دو پورت در دیوایس خود به این سرور فوروارد کنید. پورت 80 و پورتی که در بالا تعقیر دادید. برای اطلاع بیشتر لینک زیر را مطالعه کنید:
https://technet.microsoft.com/en-us/library/dn292746.aspx
من سرور بالا را در میکروتیک Publish کردم:
برای کارکنان واحد فروش که داخل سازمان فعالیت می کنند. من می توانم برای آنها Work Folders را بوسیله GP تنظیم کنم که در هر کامپیوتری که لاگین می کنند بتوانند از Work Folders استفاده کنند.برای اینکار من بر روی OU، Sales Department که کاربران واحد فروش در آن قرار دارند این GP را اعمال می کنم
User Configuration\Policies\Administrative Templates\Windows Components\Work Folders
You also have the option to force automatic setup for each user. This option should be considered with caution. If you enable it, all users to which this GPO applies will have their Work Folders configured on each device they log on to (if the device supports Work Folders), without being prompted to do so. In some scenarios, you might not want to have that outcome. For example, you might not want to use this option if users work on many different workstations.
در بالا می بینید Work Folders بصورت اتوماتیک برای کارکنان واحد فروش اعمال شده. و اگر یکی از کاربران بخواهد این سرویس را غیرفعال کنید چنین اجازه ی ندارد.حتی مشاهده میکنید که این کارمند بازی گوش قصد داشت ترانه داریوش D: در WF قرار دهد که طبق Policy تعریف شده چنین اجازه ی نداشت و همچنین Quota بصورت صحیح بر روی کاربران اعمال شده.نکته: چون کاربران بالا در داخل سازمان هستند هنگام وارد شدن به Work Folders از آنها User & Pass درخواست نکرد.
در آخر هم اجازه بدید از بیرون سازمان به Work Folders وصل شویم. تصاویر گویای همه چیر است:
الان اجازه بدید با یکی از موبایلهای بچه های واحد فروش به Work Folders وصل شویم. ببخشید اگر تصاویر کیفیت بالائی ندارند:
برای ورود به Work Folders باید یک پسورد ست کنید.
امیدوارم بهره کافی از این آموزش را برده باشید.
منابع:
https://technet.microsoft.com/en-us/library/dn528861.aspx#step6 https://4sysops.com/archives/work-folders-part-1-overview/
موفق و پیروز باشید.
نویسنده: احمد جهلولی