Posted in Technology 进行吐槽

一、什么是Work Folder? 为什么要用它?

Work Folder(中文:工作文件夹)是一个用于商务环境的私有云应用。具体来说和百度同步盘、微云同步盘、Onedrive 原理和使用方法相同,即在本地一个指定文件夹内的所有文件的增、删、改均与服务器实时保持同步。同时,多台终端可登入同一个账号,实现多台终端之间的同步,应用场合如办公室和家中的工作用文档。同时也支持移动设备。

 

通常大容量的公有云同步盘都是收费的,Dropbox   标准版 容量为2T    价格每个月10美元,一次买一年优惠两个月,价格为100美元。百度盘和腾讯云的价格几百块钱一年不等。但是有的存在流量限制。但事实上你几乎用不到那么大的空间,因为如果有T级数据需要同步,现有的网络和存储都难以保证,而更大规模的企业应用应该有自己的解决方案。所以,如果只储存少量数据,免费级的网盘不够用,收费的又不合算。另外,数据安全性也难以保证,由于众所周知的原因,你的数据不一定就是你的,也可能是根据亲爱的用户我是你爹规定的。因此,我们也许会需要一个私有云。

 

指标Private CloudPublic Cloud
容量随用随增,无上限,不浪费空间一次购买一定量
用不完浪费
价格电费一年大约200元
根据存储量和安全性,每G在0.5-1.0元
50-100美元/T/年
用不完的部分不会退款
速度WAN速度较慢
在内网使用内网速度
不超过WAN的传输上限
可用性99%
可选UPS电源、RAID1
99.99%
有被封、被墙的可能性
共享通过账号系统通过网页链接
数据安全并不是非常安全
所有事情需要自己负责
自己也知道这点
自称绝对安全
但什么事都可能发生
大部分人却不知道
备份自己通过服务器找回版本控制功能
版本控制
(可安装Exchange)

 

因此,如果你对数据的安全性有要求,且不希望命运掌握在别人手里,并且可以接受电费(在200-400年之间)以及一定的自行维护成本,就可以拥有一个可用性可以接受的私有云。

而对比各种私有云方案,如Linux下的Owncloud、 Seafile 以及群晖系统等,我认为微软服务器的“工作文件夹”具有一定优势:

方案Liunx 系列方案Windows Server 2012 R2 with work folder
数据安全性支持RAID阵列支持RAID阵列
支持Storage Pool 软阵列
数据格式ZFS、私有格式
备份方式不同
NTFS/VHDX
登录安全用户名/密码AD AS 域
用户名/密码
客户端登入方式NFS\SMB\FTP
第三方程序
NFS\SMB\FTP
系统原生支持
硬件设备成本阵列卡
群晖需要专用机器
不需要阵列卡
普通电脑

 

相对于各类Linux的私有云方案,MS Work Folder 除了对Linux不太友好外(Linux自己也对自己不怎么友好),维护和备份、迁移都十分容易。和VHDX虚拟磁盘结合,可以做到一键式备份和迁移,且原生支持Windows 8以上的客户端,不需要安装额外软件。对服务器的维护,除了DNS、证书这些概念外,一切都通过GUI完成,管理员无需进一步培训。一旦出现问题,可以通过服务器直接提取尚未损毁的文件,结合原生支持的Raid 1 软阵列,可以保障较高的安全性。比起依赖各种特定环境(如Esxi)的Linux方案和不开源的NAS,这个方案更加简洁,特别适合商务和办公用途。

支持最大文件10G,最大空间16PB,不过我想你的电脑绝不可能有那么大吧…

 

Image_03_14_17_10_05_22 Image_03_14_17_10_05_34Image_03_14_17_10_05_44

移动设备上的界面,如同一般的网盘。

 

 

二、准备工作

根据微软的工作文件夹概述以及部署工作文件夹 两篇文档以及安装实践,我认为需要以下软硬件:

项目建议安装
(*为必须安装)
服务器硬件建议使用专用小型服务器
可以使用任何X64计算机
存储硬件建议安装两块数据盘
不包含系统盘
系统*Windows Server 2012 R2或以上
服务器角色和功能*工作文件夹
*IIS
AD AS
DNS
存储管理
服务器证书*安装自签名证书
建议购买域名证书
建议购买域名
DDNS服务*如果需要在互联网上使用则必须
其他选配UPS
支持硬件VPN的防火墙

 

首先安装系统,也可以装在虚拟机上(不过装在虚拟机上的话不能使用软阵列了),之后安装服务器角色和功能。我建议安装AD AS域,可以避免很多不必要的麻烦。DNS域虽然也不是必须的,但是装一个总比不装好。我假设你有能力自行安装Windows server 2012 R2 和所有的必要功能,不明白的可参照MSDN的教程。

 

首先创建存储服务,(参考:存储空间概述)在两块硬盘上创建一个Mirror镜像空间,这使得这个空间在使用上相当于一个RAID 1阵列,而却可以只占用两块盘的一部分空间,之后可以随使用而增加,其他部分可以仍然作为普通空间利用。

storage pool 1

 

在Storage Pool 上创建虚拟磁盘(Disk),我这里建立了一个RAID 1 分区(“Mirror”)。注意这个和物理盘没有关系,你可以设置100TB,但是实际上用多少算多少。

 

创建Storage Pool 本身是一件比较麻烦的事,需要自己查找资料的话可参阅Youtube上的视频教程和Storage Spaces Frequently Asked Questions (FAQ)

 

建议建立AD AS 域 和DNS服务器,如果没有也没关系,但是以后设置访问地址可能会比较麻烦。具体的说,就是要用一个URI(网址)代替服务器的IP。当然可以写死,但是那样到互联网上就不能使用了。

 

假设你的服务器内网地址是 192.168.1.2  你设置其主机名为  server.mydomain.net 。注意mydomain.net 不允许真的存在,如果真的存在,需要在自己的hosts 文件或DNS服务器里写死 192.168.1.2 ,不然的话会访问到别人那去。

 

在内网ping 一下(如果不通,检查服务器的防火墙是否打开了ICMP回显)

C:\Users\user>ping server.mydomain.net

Pinging server.mydomain.net [172.16.1.2] with 32 bytes of data:
Reply from 192.168.1.2: bytes=32 time=4ms TTL=127
Reply from 192.168.1.2: bytes=32 time=4ms TTL=127
Reply from 192.168.1.2: bytes=32 time=13ms TTL=127
Reply from 192.168.1.2: bytes=32 time=4ms TTL=127

Ping statistics for 172.16.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 13ms, Average = 6ms

 

如果转换成功就OK了,下面进入下一步(这个私有域名的解析关系仅限于内网,如果不成功,可以考虑写死在路由器里或者安装DNS服务器解决,如何安装和使用DNS角色以及AD AS服务,请自行Google之,MSDN文档非常详尽,不需要再赘述了。

 

二、设立权限和安全凭证

MSDN文档和网上的很多教程都忽略了这里的坑,我在这里加以补充。Work Folder的用户名和密码是什么?是这台Windows 服务器的管理员密码吗?——这恐怕是个问题。因为没有专门的用户系统,所以我们需要“借用”一下windows的用户名/密码体系,建立一个专门的用户。

 

3389登入服务器,建立一个新用户,用户权限为普通即可,策略是密码永不过期,密码启用,不允许Guest登录,用户组为普通。

 

user

 

建立一个普通用户并设立密码,账号启用,密码永不过期。

 

接下来我们还需要一张服务器证书。我建议使用购买的证书(可以去ssl cheap或ssl.do买最便宜的,几个美元一年),也可以用自签名的,但自签名的仅能在安装的计算机上使用。

 

刚才说了安装IIS服务,这是MSDN文档中没有的,因为windows的证书管理器在IIS中,我还是借用一下为好。打开“服务器管理器”,选择IIS,打开IIS管理器,选择当前服务器,选择“证书”。

 

cert

 

 

新建一个自签名证书(在空白处右键——自签名证书)。我这里用的是商业证书,一般会用商业证书的不需要教学了,自签名证书做好后,点击右键“导出”得到一个文件,拷贝回自己的电脑上安装,不然你的电脑不会承认这个证书! 安装时请安装到“CA ROOT ” 也就是受信任的根证书签发机构 这一栏。 安装方法是运行 certmgr.msc ,导入刚才那个文件,复制到“CA ROOT ”里,

 


443

 

然后在IIS里,新增443端口,将该证书绑定在443(不需要启动网站,不然会错误,因为工作文件夹会占用443端口)。 回去到客户端安装证书(见上面的),直到服务器证书已经同时被服务器和客户端应用。

 

三、设置工作文件夹

 

为了提高可靠性,我们可以充分利用Windows Server提供的一些功能,比如创建一个VHDX在刚才建立的Mirror(Raid 1) 硬盘上,再把work folder 设置在这个虚拟的VHDX上,这样迁移和备份都会十分方便。我在“磁盘管理”中新建VHDX,大小选择动态,类型VHDX,GPT分区,实际储存在mirror卷上,使得这个文件(实际上是个虚拟硬盘)拥有RAID 1级别的可靠性。

wfdisk

为工作文件夹建立专属虚拟硬盘镜像。如果你现在没有建立RAID1卷,这样也可以方便将来迁移。挂起/禁用同步共享;卸载虚拟磁盘,复制VHDX文件到新的物理存储设备,重新挂虚拟磁盘,重新开共享,即可完成一次备份。

 

接下来新建一个工作文件夹同步共享,按照共享向导指定其在虚拟磁盘上的位置。 如果你没有设置域,一切都按照默认进行。

 

user-li

授予权限到先前建立的普通用户。注意 “禁用继承的权限,并授予用户对其文件的独占访问权先” 将禁止管理员从服务器上读取共享的内容。如果你有备份文件或防止设备丢失的需求,务必不要选择这项。

 

choose

选择刚才建立的用户,授予其访问权限。设置好安全选项后确认。

 

fin

再次确认“服务器名称”和刚才创建的“证书“上的服务器名称一致,并且服务器证书已经导出,并导入到客户端电脑中了。我还是强烈建议你使用商业证书,以避免这一步,并可以在移动端使用。

此外,这个工作文件夹如果没有设置配额,大小是和刚才创建的虚拟磁盘大小一致。而虚拟磁盘本身可以动态调整,因此可以做到用多少空间自由支配,不会浪费。

 

建立成功后回到客户端配置。

 

四、客户端配置

客户端以windows 10 为例。 控制面板——工作文件夹配置开始。 不要选择“邮件”方式(要求有Exchange服务器),选择下方的输入网址。输入刚才的服务器名,必须输入https://字头。

https://server.mydomain.net

之后服务器会进行验证,要求你输入刚才设置的用户名和密码,输入那个“user”组的账号和密码,即可打开文件夹。

如果错误,请检查DNS是否正确解析了。

 

Capture

登录成功后显示出剩余空间和状态。此后任何在“工作文件夹“内的操作都会与服务器上的文件夹同步。多个账号同时登录的情况下也会互相同步文件。

 

五、高级设置

想要在Internet 上使用,强烈建议设置服务器时就设置一个你可以购买的空域名,在设置完毕后买下这个域名。

如,server.mydomain.net 是mydomain.net 的二级域名,故你买下mydomain.net 即可控制这个域名。  然后,如果域名提供商没有DDNS服务,可以用其他的DDNS服务,并把server.mydomain.net 用CNAME方式转接在DDNS上,这样既可得到服务器的IP地址。然后,申请一个真正的服务器证书安装在服务器上(一年几个美元),免去在不同设备上设置信任的麻烦。 最后当然是在路由器设置好443端口的转发。 Work folder 不支持443端口之外的端口,如果需要改的话比较麻烦,需要改动配置文件,具体玩法可以网上找自己找。

 

DNS服务器十分有用,强烈建议安装,这样可以使你在自己的内网里直接将 server.mydomain.net 解析为本地内网地址,而不需要再经过公网。

 

 

 

六、常见故障

1,没有权限

检查是否禁用了Guest? 没有禁用Guest的话,Windows系统会尝试用Guest登录服务器,然后被拒绝

检查是否正确输入了用户名/密码

检查是否授权该文件夹给正确的用户

2,无法找到服务器

检查DNS(内网)

检查DNS、ddns、cname(Internet)

检查443端口开放情况

3,不安全的连接

检查证书是否安装

检查证书内容是否与服务器名称一致

 

有问题还是要多Google ,少伸手,文档很多。很多人说这个怎么这么麻烦啊,还不如用XX云,这说明 “Freedom is not free” 真说的没有错。

 

 

 

 

 

 

 

 

 

 

 

 

 

打赏
2017年03月13日