Thư mục công việc công nghệ cho phép người dùng truy cập từ xa vào các tệp của họ trên máy chủ tệp nội bộ của công ty và cho phép làm việc với chúng ngoại tuyến trên mọi thiết bị (máy tính xách tay, máy tính bảng hoặc điện thoại thông minh). Lần tới khi bạn kết nối với mạng công ty, tất cả các thay đổi của các tệp này trên thiết bị người dùng sẽ được đồng bộ hóa với máy chủ tệp nội bộ của Windows. Trong bài viết này, chúng tôi sẽ hướng dẫn cách cài đặt và định cấu hình tính năng Thư mục công việc trên máy chủ tệp chạy Windows Server 2016 và máy khách Windows 10.
Bạn có thể sử dụng máy chủ tệp chạy Windows Server 2012 R2 làm nơi lưu trữ tệp và tất cả các phiên bản Windows bắt đầu từ Windows 7 và các thiết bị chạy Android 4.4 hoặc iOS 8 trở lên làm ứng dụng khách (Ứng dụng Thư mục công việc cho các thiết bị này khả dụng trong Google Play và App Store tương ứng). Sử dụng các chính sách bảo mật, bạn có thể yêu cầu ứng dụng Thư mục công việc giữ cho nội dung được mã hóa để đảm bảo bảo vệ dữ liệu ngay cả khi thiết bị bị mất hoặc bị đánh cắp
Cách Cài đặt và Định cấu hình Vai trò Thư mục Công việc trên Windows Server 2016
Bạn có thể cài đặt vai trò Thư mục công việc trong Windows Server 2016 bằng Trình quản lý máy chủ hoặc PowerShell.
Trong trường hợp đầu tiên, hãy chọn Thư mục công việc trong tùy chọn Dịch vụ tệp và lưu trữ vai trò trong Trình quản lý máy chủ. (Các thành phần IIS Hostable Web Core bắt buộc sẽ được tự động thêm vào cài đặt.)
Trong PowerShell, vai trò Thư mục công việc được cài đặt bằng lệnh sau:
Install-WindowsFeature FS-SyncShareService,Web-WHC
Tạo nhóm bảo mật mới trong Active Directory và thêm vào đó các tài khoản người dùng được phép đồng bộ hóa thiết bị của họ với Thư mục công việc trên máy chủ tệp (để dịch vụ Thư mục công việc có hiệu suất tốt hơn bằng cách giảm số lượng yêu cầu tới AD, Microsoft khuyên bạn nên thêm cho nhóm này chỉ tài khoản người dùng, thay vì các nhóm bảo mật khác).
Bước tiếp theo là tạo mạng chia sẻ trên máy chủ tệp của bạn mà người dùng sẽ đồng bộ hóa với. Bạn có thể tạo các thư mục chia sẻ bằng Trình quản lý máy chủ hoặc PowerShell.
Mở Trình quản lý máy chủ và chọn Dịch vụ tệp và lưu trữ -> Thư mục công việc . Sau đó, chọn Công việc -> Chia sẻ đồng bộ hóa mới .
Sau đó, bạn phải chỉ định thư mục để cấp quyền truy cập. Trong ví dụ của chúng tôi, đó là C:\ financial.
Sau đó chọn cấu trúc thư mục người dùng. Các thư mục có thể được đặt tên theo tài khoản người dùng (bí danh) hoặc có định dạng sau:user @ domain.
Sau đó, nhập tên của chia sẻ đồng bộ hóa của bạn.
Sau đó, bạn phải chỉ định các nhóm bảo mật sẽ được cấp quyền truy cập vào phần chia sẻ này.
Chỉ định các chính sách bảo mật của Thư mục công việc sẽ được áp dụng trên máy khách. Có hai chính sách:
- Mã hóa Thư mục Công việc - mã hóa dữ liệu bắt buộc trên thư mục Thư mục công việc được lưu trong bộ nhớ cache trên máy khách sử dụng BitLocker.
- Tự động khóa màn hình và yêu cầu mật khẩu - tự động khóa màn hình sau 15 phút thiết bị không hoạt động và bảo vệ bằng mật khẩu (ít nhất 6 ký tự).
Vậy là đã hoàn tất việc cấu hình Thư mục công việc mới.
Các hành động tương tự để tạo chia sẻ đồng bộ hóa có thể được thực hiện bằng cách sử dụng New-SyncShare cmdlet. Ví dụ:lệnh sau tạo một chia sẻ đồng bộ hóa mới và cấp quyền truy cập vào nó cho một nhóm:
New-SyncShare "Sales" C:\sales –User "Sales_Users_WorkFolder"
Để truy cập tệp công việc của bạn qua kết nối HTTPS được bảo vệ, bạn phải liên kết chứng chỉ SSL hợp lệ với trang web IIS cung cấp Thư mục công việc.
Lưu ý. Trong cấu hình thử nghiệm, chứng chỉ không cần thiết để sử dụng và yêu cầu chứng chỉ trên máy khách có thể bị bỏ qua. Xem lệnh bên dưới.Cách đơn giản nhất là sử dụng chứng chỉ SSL miễn phí từ Let’s Encrypt. Quy trình cấp và ràng buộc chứng chỉ với IIS được mô tả trong bài viết Let’s Encrypt Certificate for Windows (IIS).
Mẹo . Để kết nối máy khách bên ngoài với máy chủ Thư mục công việc để họ có thể truy cập và đồng bộ hóa tệp của mình, bạn phải định cấu hình tên máy chủ DNS trong vùng bên ngoài và cho phép lưu lượng đến máy chủ qua cổng TCP 80 và / hoặc 443 trên tường lửa của bạn . Ngoài ra, bạn có thể cung cấp quyền truy cập bằng máy chủ Web Application Proxy để bảo vệ toàn diện.Định cấu hình Ứng dụng Thư mục Công việc trên Windows 10
Trong ví dụ này, một thiết bị chạy Windows 10 được sử dụng làm máy khách Thư mục công việc. Nó được định cấu hình bằng cách sử dụng applet hiện có trong Control Panel:Control Panel -> System and Security -> Work Folders (mục này không có sẵn trong các phiên bản Windows Server).
Để bắt đầu cấu hình, hãy nhấp vào Thiết lập thư mục công việc .
Sau đó, nhập email người dùng hoặc địa chỉ máy chủ Thư mục công việc.
Theo mặc định, máy khách kết nối với máy chủ thông qua giao thức HTTPS an toàn. Trong môi trường thử nghiệm, yêu cầu này có thể bị bỏ qua bằng cách chạy lệnh sau trên máy khách:
Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1
Để truy cập dữ liệu, bạn phải xác thực và đồng ý với các chính sách bảo mật sẽ được áp dụng trên máy khách.
Theo mặc định, các tệp Thư mục Công việc trên máy khách được lưu trữ trong “% USERPROFILE% \ Thư mục Công việc” trong hồ sơ người dùng và kích thước của thư mục này không được vượt quá 10 GB.
Sau khi máy khách được kết nối với máy chủ, thư mục Thư mục công việc được tạo. Nếu tệp trong Thư mục công việc không thay đổi, máy khách sẽ đồng bộ hóa với máy chủ tệp sau mỗi 10 phút. Các tệp đã thay đổi sẽ được đồng bộ hóa ngay lập tức. Ngoài ra, nếu có bất kỳ thay đổi nào, máy chủ sẽ tự động thông báo cho các máy khách khác và nhắc họ cập nhật dữ liệu từ máy chủ trung tâm. (Do đó, các thay đổi sẽ xuất hiện trên tất cả các thiết bị được kết nối càng sớm càng tốt.)
Bạn có thể xem trạng thái đồng bộ hóa, lỗi, dung lượng trống trên máy chủ trong cùng một phần tử trong Control Panel.
Để đảm bảo đồng bộ hóa có hoạt động chính xác hay không, hãy tạo một thư mục mới trong Thư mục công việc và sau đó chọn Đồng bộ hóa ngay bây giờ trong trình đơn ngữ cảnh.
Trong một lúc nào đó, thư mục này sẽ xuất hiện trên máy chủ.
Định cấu hình ứng dụng thư mục công việc bằng chính sách nhóm
Để tự động thiết lập Thư mục công việc, bạn có thể sử dụng hai chính sách nhóm đặc biệt trong Cấu hình người dùng -> Chính sách -> Mẫu quản trị -> Thành phần Windows -> Thư mục công việc :
- Chỉ định Cài đặt Thư mục Công việc nơi bạn có thể chỉ định URL của máy chủ Thư mục công việc.
- Buộc thiết lập tự động cho tất cả người dùng khởi tạo cấu hình ứng dụng khách tự động.
Lỗi đồng bộ hóa thư mục công việc 0x80c80317
Trong cấu hình thử nghiệm, tôi đã gặp lỗi khi đồng bộ hóa tệp trên máy khách:
Đã xảy ra sự cố nhưng quá trình đồng bộ hóa sẽ thử lại (0x80c80317)
Nhật ký máy chủ chứa các mục sau:
cDịch vụ Chia sẻ Đồng bộ hóa Windows không thể thiết lập quan hệ đối tác đồng bộ hóa mới với một thiết bị. Cơ sở dữ liệu:\\? \ C:\ users \ SyncShareState \ WorkFolders \ Metadata; Tên thư mục người dùng:\\? \ C:\ Finance \ WORKFOLDERS_ROOT \ USER.TEST; Mã lỗi:(0x8e5e0408) Không thể đọc hoặc ghi vào cơ sở dữ liệu. [/ Alert]
Những lỗi này chỉ ra sự cố trong cơ chế đồng bộ hóa. Trong trường hợp này, người dùng phải chạy các lệnh này trong dấu nhắc lệnh:
Repair-SyncShare -name Finance -user Domain\user1
Get-SyncUserStatus -syncshare Finance -user Domain\user1
Theo quy tắc, điều này sẽ giải quyết được sự cố đồng bộ hóa không thành công.
Vì vậy, chúng tôi đã xem xét cách định cấu hình và sử dụng Thư mục công việc trong Windows Server 2016. Công nghệ này cho phép người dùng làm việc với các tệp công ty gần như trên mọi thiết bị đồng thời cung cấp mức độ bảo vệ dữ liệu phù hợp chống lại sự xâm phạm do mã hóa phía máy khách. Tất nhiên, giải pháp này kém tiện nghi và linh hoạt hơn Dropbox hoặc OneDrive dựa trên đám mây, nhưng ưu điểm chính là dễ thiết lập và dữ liệu được lưu trữ bên trong công ty thay vì đám mây của bên thứ ba. Cùng với Thư mục công việc, bạn có thể sử dụng quản lý hạn ngạch và loại tệp bằng FSRM, cụm chuyển đổi dự phòng Windows cho máy chủ tệp và quản lý truy cập dữ liệu bằng Kiểm soát truy cập động hoặc Cơ sở hạ tầng phân loại tệp.