Рабочие папки в windows 10/8.1

Новые и измененные функции

В следующей таблице приведены некоторые важные изменения в рабочих папках.

Компонент или функция	Новый или обновленный компонент	Описание
Улучшенное ведение журнала.	Новые возможности в Windows Server 2019	Журналы событий на сервере рабочих папок можно использовать для мониторинга активности синхронизации и определения пользователей, которые завершаются сбоем сеансов синхронизации. Используйте идентификатор события 4020 в журнале событий Microsoft-Windows-SyncShare/Operational, чтобы определить, какие пользователи завершают сбои сеансов синхронизации. Используйте идентификатор события 7000 и идентификатор события 7001 в журнале событий Microsoft-Windows-SyncShare/Reporting для мониторинга пользователей, которые успешно завершают отправку и скачивание сеансов синхронизации.
Счетчики производительности	Новые возможности в Windows Server 2019	Добавлены следующие счетчики производительности: скачанные байты/с, отправленные байты/с, подключенные пользователи, скачанные файлы/с, отправленные файлы/с, пользователи с обнаружением изменений, входящие запросы/с и невыполненные запросы.
Улучшенная производительность сервера	Обновлено в Windows Server 2019	Улучшена производительность для обработки большего количество пользователей на сервер. Ограничение на сервер зависит от количества файлов и оттока файлов. Чтобы определить ограничение на сервер, пользователи должны добавляться на сервер поэтапно.
Доступ к файлам по запросу	Добавлено в Windows 10 версии 1803	Позволяет просматривать и получать доступ ко всем файлам. Вы управляете тем, какие файлы хранятся на компьютере и доступны в автономном режиме. Остальные файлы всегда видны и не занимают места на компьютере, но для доступа к ним требуется подключение к файловому серверу рабочих папок.
Поддержка прокси-сервера приложений Azure AD	Добавлено в Windows 10 версии 1703, Android, iOS	Удаленные пользователи могут безопасно обращаться к своим файлам на сервере рабочих папок с помощью прокси-сервера приложения Azure AD.
Ускоренная репликация изменений	Обновлено в Windows 10 и Windows Server 2016	При использовании Windows Server 2012 R2, если изменения файлов синхронизируются с сервером рабочих папок, клиенты не получают уведомления об изменениях и ожидают обновления 10 минут. При использовании Windows Server 2016 сервер рабочих папок немедленно уведомляет клиентов Windows 10 и изменения файлов синхронизируются немедленно. Эта возможность появилась в Windows Server 2016, для ее использования требуется клиент Windows 10. Если вы используете клиент более ранней версии или сервер рабочих папок с ОС Windows Server 2012 R2, клиент будет по-прежнему производить опрос для проверки наличия изменений каждые десять минут.
Интеграция с Windows Information Protection (WIP)	Добавлено в Windows 10 версии 1607	Если администратор развертывает WIP, рабочие папки позволяют принудительно включить защиту данных за счет их шифрования на компьютере. Для шифрования используется ключ, связанный с идентификатором организации, который можно стереть удаленно с помощью пакета управления поддерживаемых мобильных устройств, например Microsoft Intune.

Шаг 4. Тюнинг файлового сервера или профессиональные советы

Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.

DFS

С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:

1. При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
2. Администратор легко сможет создать отказоустойчивую систему при необходимости.

Как создать и настроить DFS читайте в статьях Как установить и настроить DFS и Как установить и настроить DFS с помощью Powershell.

Теневые копии

Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.

Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.

Аудит

Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.

О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows. 

Анализатор соответствия рекомендациям

В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:

Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ — Начать проверку BPA:

Рассмотрим решения некоторых рекомендаций.

1. Для XXX должно быть задано рекомендованное значение.

Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5»

Чтобы это сделать, открываем Powershell от администратора и вводим команду:

Set-SmbServerConfiguration -CachedOpenLimit 5

* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.

На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.

Остальные параметры задаем аналогичными действиями.

2. Файл Srv.sys должен быть настроен на запуск по требованию.

В командной строке от имени администратора вводим:

sc config srv start= demand

3. Создание коротких имен файлов должно быть отключено.

В командной строке от имени администратора вводим:

fsutil 8dot3name set 1

Шаг 1. Создание группы безопасности перенаправления папок

Если на файловом сервере используются службы удаленных рабочих столов, пропустите этот шаг и назначайте разрешения, когда будете создавать заранее папки для новых пользователей.

Эта процедура создает группу безопасности, содержащую всех пользователей, для которых будут действовать параметры политики перенаправления папок.

1. На компьютере с установленным центром администрирования Active Directory откройте «Диспетчер сервера».

2. Выберите Сервис>Центр администрирования Active Directory. Отобразится центр администрирования Active Directory.

3. Щелкните правой кнопкой мыши нужный домен или подразделение и выберите Создать>Группа.

4. В окне Создание группы в разделе Группа укажите следующие параметры.

   • В поле Имя группы введите имя группы безопасности, например Пользователи перенаправления папок.
   • Для области группы выберите Безопасность>Глобальная.

5. В разделе Участники щелкните элемент Добавить. Откроется диалоговое окно Выбор пользователей, контактов, компьютеров, учетных записей служб или групп.

6. Введите имена пользователей или групп, для которых хотите развернуть перенаправление папок, нажмите кнопку ОК, после чего нажмите ОК еще раз.

Шаг 2. Настройка сети

Если вы развертываете Локальные дисковые пространства на виртуальных машинах, пропустите этот раздел.

Локальные дисковые пространства требуется сеть с высокой пропускной способностью и низкой задержкой между серверами в кластере. Требуется по крайней мере 10 ГбE сети и рекомендуется удаленный прямой доступ к памяти (RDMA). Вы можете использовать iWARP или RoCE, если он имеет логотип Windows Server, соответствующий вашей версии операционной системы, но iWARP обычно проще настроить.

Важно!

В зависимости от сетевого оборудования, особенно с RoCE версии 2, может потребоваться некоторая конфигурация коммутатора верхнего уровня. Правильная конфигурация коммутатора важна для обеспечения надежности и производительности Локальные дисковые пространства.

Windows Server 2016 появилось объединение встроенных коммутаторов (SET) в виртуальном коммутаторе Hyper-V. Это позволяет использовать одни и те же физические порты сетевого адаптера для всего сетевого трафика при использовании RDMA, уменьшая количество необходимых физических портов сетевого адаптера. Для Локальные дисковые пространства рекомендуется использовать встроенную командную группу коммутаторов.

Переключение или переключение между узлами

• Переключение: сетевые коммутаторы должны быть правильно настроены для обработки пропускной способности и типа сети. При использовании RDMA, реализующего протокол RoCE, настройка сетевого устройства и коммутатора еще более важна.
• Без переключения: узлы могут быть соединены с помощью прямых подключений, избегая использования коммутатора. Для каждого узла требуется прямое подключение к каждому другому узлу кластера.

Инструкции по настройке сети для Локальные дисковые пространства см. в руководстве по развертыванию Windows Server 2016 и 2019 RDMA.

Предварительные требования

Требования по администрированию

• Для администрирования перенаправления папок вам потребуется войти в систему в качестве члена группы безопасности «Администраторы домена», «Администраторы предприятия» или «Владельцы-создатели групповой политики».
• Необходим компьютер с установленными инструментами «Управление групповыми политиками» и «Центр администрирования Active Directory».

Требования к файловому серверу

Файловый сервер — это компьютер, на котором размещены перенаправляемые папки.

Взаимодействие со службами удаленных рабочих столов

От вашей конфигурации удаленного доступа зависит настройка файлового сервера, общих файловых ресурсов и политик. Если на файловом сервере также размещаются службы удаленных рабочих столов, некоторые этапы развертывания будут отличаться.

• Нет необходимости создавать группу безопасности для пользователей перенаправления папок.
• Для общего файлового ресурса, в котором размещаются перенаправляемые папки, необходимо настроить другие разрешения.
• Требуется заранее создать папки для новых пользователей и задать для этих папок определенные разрешения.

Важно!

Большинство процедур, описанных в этом разделе далее, относятся к обеим конфигурациям. Если действие относится строго к какой-то одной из них, это будет специально оговорено.

Ограничение доступа

Внесите на файловом сервере следующие изменения в соответствии с вашей конфигурацией.

• Все конфигурации. Предоставьте административный доступ к файловому серверу только ИТ-администраторам, которые должны иметь соответствующие полномочия. Процедура на следующем шаге описывает настройку доступа для отдельных общих ресурсов.
• Серверы без дополнительного размещения служб удаленных рабочих столов. Если на вашем файловом сервере дополнительно не размещаются службы удаленных рабочих столов, отключите на нем соответствующую службу termserv.

Взаимодействие с другими функциями хранилища

Чтобы перенаправление папок и автономные файлы корректно взаимодействовали с другими функциями хранилища, проверьте следующие настройки.

• Если общая папка использует пространства имен DFS, у папок DFS (ссылок) должен быть один целевой объект, чтобы избежать конфликтов серверов при изменении настроек пользователем.
• Если общая папка использует репликацию DFS для копирования данных на другой сервер, пользователи должны иметь доступ лишь к исходному серверу, чтобы избежать конфликтов при изменении параметров серверов.
• При использовании кластеризованной общей папки устраните непрерывную доступность в общей папке, чтобы избежать проблем с производительностью при перенаправлении папок и использовании автономных файлов. Кроме того, когда пользователь теряет доступ к постоянно доступному общему файловому ресурсу, может пройти 3–6 минут, прежде чем автономные файлы перейдут в автономный режим. Это может вызвать недовольство их пользователей, еще не переключенных на постоянный автономный режим.

Требования к клиенту

• На клиентских компьютерах должна работать ОС Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008.
• Компьютеры клиентов должны быть присоединены к управляемому вами домену для доменных служб Active Directory (AD DS).
• На клиентских компьютерах должны быть процессоры x64 или x86. Перенаправление папок не поддерживается на компьютерах с процессорами ARM.

Примечание

Некоторые новые возможности перенаправления папок предусматривают дополнительные требования к клиентскому компьютеру и Active Directory. Дополнительные сведения см. в статьях Deploy primary computers (Развертывание основных компьютеров), Disable Offline Files on folders (Отключение функции «Автономные файлы» в папках), Enable Always Offline mode (Включение постоянного автономного режима) и Enable optimized folder moving (Включение оптимизированного перемещения папок).

Шаг 4. Тюнинг файлового сервера или профессиональные советы

Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.

С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:

1. При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
2. Администратор легко сможет создать отказоустойчивую систему при необходимости.

Теневые копии

Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.

Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.

Аудит

Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.

О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows.

Анализатор соответствия рекомендациям

В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:

Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ – Начать проверку BPA:

Рассмотрим решения некоторых рекомендаций.

1. Для XXX должно быть задано рекомендованное значение.

Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5»

Чтобы это сделать, открываем Powershell от администратора и вводим команду:

Set-SmbServerConfiguration -CachedOpenLimit 5

* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.

На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.

Остальные параметры задаем аналогичными действиями.

2. Файл Srv.sys должен быть настроен на запуск по требованию.

В командной строке от имени администратора вводим:

sc config srv start= demand

3. Создание коротких имен файлов должно быть отключено.

В командной строке от имени администратора вводим:

fsutil 8dot3name set 1

Требования к программному обеспечению

Рабочие папки предъявляют следующие требования к программному обеспечению файловых серверов и сетевой инфраструктуры:

• Сервер под управлением Windows Server 2019, Windows Server 2016 или Windows Server 2012 R2 для размещения общих папок синхронизации с пользовательскими файлами

• Том, отформатированный в файловой системе NTFS, для хранения пользовательских файлов.

• Для принудительного применения политики паролей на ПК под управлением Windows 7 необходимо использовать групповые политики паролей. Также следует исключить компьютеры под управлением Windows 7 из политик пароля рабочих папок (если они используются).

• Сертификат сервера для каждого файлового сервера, на котором будут размещаться рабочие папки. Эти сертификаты должны быть выданы центром сертификации (ЦС), которому доверяют пользователи — в идеале общедоступным ЦС;

• (Необязательно) Лес доменные службы Active Directory с расширениями схемы в Windows Server 2012 R2 для автоматической ссылки на компьютеры и устройства на правильный файловый сервер при использовании нескольких файловых серверов.

Чтобы обеспечить пользователям возможность синхронизации через Интернет, необходимо выполнить дополнительные требования:

• возможность предоставить доступ к серверу через Интернет путем создания правил публикации на обратном прокси-сервере организации или сетевом шлюзе;

• (необязательно) открыто зарегистрированное доменное имя и возможность создать дополнительные общедоступные записи DNS для домена;

• (Необязательно) Инфраструктура служб федерации Active Directory (AD FS) при использовании проверки подлинности AD FS.

Рабочие папки предъявляют следующие требования к программному обеспечению клиентских компьютеров:

• Компьютеры и устройства должны работать под управлением одной из следующих ОС:

  • Windows 10

  • Windows 8.1

  • Windows RT 8.1

  • Windows 7

  • Android 4.4 KitKat и более поздние версии;

  • iOS 10.2 и более поздних версий.

    

    

    

    

    

    

    

    

    

    

Примечание

Приложение рабочих папок для Android и iOS больше не разрабатывается и останется в соответствующих магазинах приложений, если приложение работает правильно.

• На ПК под управлением Windows 7 должна быть установлена одна из следующих версий Windows:

  • Windows 7 Профессиональная

  • Windows 7 Максимальная

  • Windows 7 Корпоративная

• Компьютеры с Windows 7 должны быть присоединены к домену организации (их нельзя присоединить к рабочей группе).

• Достаточное свободное пространство на локальном диске, отформатированном в NTFS, для хранения всех пользовательских файлов в рабочих папках, а также 6 ГБ дополнительного свободного пространства, если рабочие папки размещаются на системном диске (по умолчанию). По умолчанию расположение рабочих папок следующее: %USERPROFILE%\Work Folders

  Однако пользователи могут изменить это расположение во время установки (поддерживается размещение на картах microSD и USB-накопителях, отформатированных в файловой системе NTFS, хотя в случае удаления накопителей синхронизация будет прекращена).

  Максимальный размер отдельного файла по умолчанию составляет 10 ГБ. Размер хранилища на пользователя не ограничен, но администраторы могут установить квоты при помощи функции диспетчера ресурсов файлового сервера.

• Рабочие папки не поддерживают откат состояния клиентских виртуальных машин. Вместо этого операции архивации и восстановления выполняются на клиентских виртуальных машинах с помощью компонента «Резервная копия образа системы» или другого приложения для архивации.

Role description

With Work Folders users can store and access work files on personal computers and devices, often referred to as bring-your-own device (BYOD), in addition to corporate PCs. Users gain a convenient location to store work files, and they can access them from anywhere. Organizations maintain control over corporate data by storing the files on centrally managed file servers, and optionally specifying user device policies such as encryption and lock-screen passwords.

Work Folders can be deployed with existing deployments of Folder Redirection, Offline Files, and home folders. Work Folders stores user files in a folder on the server called a sync share. You can specify a folder that already contains user data, which enables you to adopt Work Folders without migrating servers and data or immediately phasing out your existing solution.

Работа перед установкой

Для установки рабочих папок вам потребуется присоединенный к домену сервер под управлением Windows Server 2016. На этом сервере должна быть допустимая конфигурация сети.

Для тестового примера присоедините компьютер, на котором будут запущены рабочие папки, к домену Contoso и настройте сетевой интерфейс, как описано в следующих разделах.

Установка IP-адреса сервера

Измените IP-адрес сервера на статический IP-адрес. В тестовом примере используется IP-адрес класса A, а именно 192.168.0.170 / маска подсети: 255.255.0.0 / Шлюз по умолчанию: 192.168.0.1 / Основной DNS-сервер: 192.168.0.150 (IP-адрес контроллера домена).

Создание записи CNAME для рабочих папок

Чтобы создать запись CNAME для рабочих папок, выполните следующие действия:

1. На контроллере домена откройте Диспетчер DNS.

2. Разверните папку «Зоны прямого просмотра», щелкните правой кнопкой мыши домен и нажмите Новый псевдоним (CNAME).

3. В окне Новая запись ресурса в поле Имя псевдонима введите псевдоним для рабочих папок. В тестовом примере используется имя workfolders.

4. В поле Полное доменное имя должно быть значение workfolders.contoso.com.

5. В поле Полное доменное имя для целевого узла введите FQDN для сервера рабочих папок. В тестовом примере используется имя 2016-WF.contoso.com.

6. Нажмите кнопку ОК.

Чтобы выполнить те же действия через Windows PowerShell, используйте следующую команду. Команду необходимо выполнить на контроллере домена.

Установка сертификата AD FS

Установите сертификат AD FS, созданный при настройке AD FS, в хранилище сертификатов на локальном компьютере. Для этого выполните следующие действия.

1. Нажмите кнопку Пуск, затем щелкните Выполнить.

2. Введите MMC.

3. В меню Файл выберите Добавить или удалить оснастку.

4. В списке Доступные оснастки выберите пункт Сертификаты и нажмите кнопку Добавить. Запустится мастер оснастки сертификатов.

5. Выберите Учетная запись компьютера и нажмите кнопку Далее.

6. Выберите Локальный компьютер: (компьютер, на котором запущена эта консоль) и нажмите кнопку Готово.

7. Нажмите кнопку ОК.

8. Разверните папку Console рут\цертификатес (локальный компьютер) \персонал\цертификатес.

9. Щелкните правой кнопкой мыши Сертификаты, нажмите Все задачи, а затем — Импорт….

10. Найдите папку с сертификатом AD FS и следуйте инструкциям в мастере, чтобы импортировать файл и поместить его в хранилище сертификатов.

11. Разверните папку Console рут\цертификатес (локальный компьютер) \Trusted root сертификация центры.

12. Щелкните правой кнопкой мыши Сертификаты, нажмите Все задачи, а затем — Импорт….

13. Найдите папку с сертификатом AD FS и следуйте инструкциям в мастере, чтобы импортировать файл и поместить его в хранилище доверенных корневых центров сертификации.

Создание самозаверяющего сертификата рабочих папок

Чтобы создать самозаверяющий сертификат рабочих папок, выполните следующие действия.

1. Скачайте сценарии из записи блога Развертывание рабочих папок с помощью AD FS и прокси-службы веб-приложения, а затем скопируйте файл makecert.ps1 на компьютер с рабочими папками.

2. Откройте окно Windows PowerShell с правами администратора.

3. Сделайте политику выполнения неограниченной:

4. Измените на каталог, в который скопирован сценарий.

5. Выполните сценарий makeCert:

6. При появлении запроса на изменение сертификата субъекта введите новое значение для субъекта. В этом примере используется значение workfolders.contoso.com.

   

   

   

   

   

   

   

   

7. При запросе на ввод имен SAN нажмите клавишу Y и введите альтернативные имена субъектов (SAN) по очереди.

   В этом примере введите workfolders.contoso.com и нажмите клавишу ВВОД. Затем введите 2016-WF.contoso.com и нажмите клавишу ВВОД.

   После ввода всех имен SAN нажмите клавишу ВВОД на пустой строке.

8. При появлении запроса на установку сертификатов в хранилище доверенных корневых центров сертификации нажмите клавишу Y.

Сертификат рабочих папок должен быть сертификатом SAN со следующими значениями:

• workfolders.домен

• имя компьютера.домен

В тестовом примере используются следующие значения:

• workfolders.contoso.com

• 2016-WF.contoso.com

Шаг 4. Создание объекта групповой политики для перенаправления папок

Если у вас еще нет объекта групповой политики (Group Policy Object, GPO), который управляет перенаправлением папок и функциями автономных файлов, создайте его, выполнив следующую процедуру.

На компьютере с установленным инструментом «Управление групповыми политиками» откройте «Диспетчер сервера».

Выберите Сервис>Управление групповыми политиками.

Правой кнопкой мыши щелкните домен или подразделение, в котором нужно настроить перенаправление папок, а затем выберите Создать объект GPO в этом домене и связать его.

В диалоговом окне Новый объект групповой политики введите имя объекта (например, Параметры перенаправления папок) и нажмите кнопку OК.

Щелкните созданный объект GPO правой кнопкой мыши и уберите флажок Связь включена. Это гарантирует, что объект не будет применяться, пока вы не завершите его настройку.

Выберите GPO. Выберите Область>Фильтры безопасности>Прошедшие проверку, а затем выберите Удалить, чтобы объект GPO не применялся ко всем пользователям.

В разделе Фильтрация ограничений безопасности щелкните элемент Добавить.

В диалоговом окне Выбор пользователя, компьютера или группы выполните одно из следующих действий в зависимости от вашей конфигурации.

Файловые серверы без служб удаленных рабочих столов. Введите имя группы безопасности, созданной на (например, «Пользователи перенаправления папок»), а затем нажмите кнопку ОК.

Файловые серверы со службами удаленных рабочих столов. Введите имя пользователя, которое вы указали для его папки на , а затем нажмите кнопку ОК.

Выберите Делегирование>Добавить и укажите Прошедшие проверку

Нажмите кнопку OK, а затем нажмите OK еще раз, чтобы принять разрешения на Чтение по умолчанию.

Важно!
Этот шаг является обязательным из-за изменений, внесенных в обновление системы безопасности MS16-072. Теперь вам требуется предоставить группе «Прошедшие проверку» делегированные разрешения на чтение GPO перенаправления папок

В противном случае объект GPO не будет применен к пользователям или, если он уже применен, он будет удален, а папки будут вновь направляться на локальный компьютер. Дополнительные сведения об изменениях в развертывании GPO, внесенных в MS16-072, см. здесь.