1、WindowsServer2012R2文件服务器安装与配置 01 文件服务器配置的相关目录02 基础说明与安装一、文件服务器的基础说明文件服务器是企业里面用的最多的服务器之一,它主要用于提供文件共享。为了配合文件服务器的权限管理,从WindowsServer2008新增了文件服务器资源管理器,其实在WindowsServer2003里面也有文件服务器资源管理器的功能,只是放于DFS功能模块里面了。文件服务器资源管理器是一组可让你对文件服务器上存储的数据进行管理和分类的功能。文件服务器资源管理器包括以下功能:文件分类基础结构 文件分类基础结构通过分类流程的自动化提供对数据的洞察力,从而让你更有效
2、地管理数据。你可以基于此分类对文件进行分类并应用策略。示例策略包括限制访问文件的动态访问控制、文件加密和文件过期。可以使用文件分类规则自动分类文件,也可以修改所选文件或文件夹的属性手动分类文件。文件管理任务 文件管理任务可让你基于分类对文件应用有条件的策略或操作。文件管理任务的条件包括文件位置、分类属性、创建文件的数据、文件的上一次修改日期或上一次访问文件的时间。文件管理任务可以采取的操作包括使文件过期、加密文件的功能,或运行自定义命令的功能。配额管理 配额允许你限制卷或文件夹可拥有的空间,并且它们可自动应用于卷上创建的新文件夹。你还可以定义可应用于新卷或文件夹的配额模板。文件屏蔽管理 文件屏
3、蔽可帮助控制用户可存储在文件服务器上的文件类型。你可以限制可存储在共享文件上的扩展名。例如,你可以创建文件屏蔽,不允许包含MP3扩展名的文件存储在文件服务器上的个人共享文件夹上。存储报告 存储报告可用于帮助你确定磁盘使用的趋势以及数据分类的方式。你还可以监视尝试要保存未授权文件的一组所选用户。通过使用文件服务器资源管理器Microsoft管理控制台(MMC)或使用WindowsPowerShell,可以配置和管理文件服务器资源管理器包含的功能。二、文件服务器的基础安装1、在服务器管理界面点击“添加角色和功能”,进入到“选择服务器角色”,选择“文件服务器”与“文件服务器资源管理器”。2、进入确认
4、界面,确认需要安装的服务、角色、功能3、安装完成,点击“关闭”03 文件服务器配置共享1、点击“文件和存储服务”选择“共享”,然后点击“若要创建文件共享,请启动新加共享向导”2、这里我们可以看到五种方式的共享方式,这里我们简单说一下:第一种:SMB共享-快速最简单的方式,类似于简单共享,且类似于public目录,就是所有人都具有完全控制权限第二种:SMB共享-高级在这里面可以设置对应的文件类型与配额限制,这里再附带说一下文件类型与配额限制文件类型:文件类型这个功能是Windows Server 2012 新增的功能,主要的用途是根据不同的文件类型可以自动或手动分类。具体后面我们再做详细说明。配
5、额限制:在Windows Server 2003中是配额限制只能针对磁盘,而Windows Server 2012 R2的配额限制,可以针对文件夹与磁盘两种。第三种:SMB共享-应用程序其实这个功能在我看来它是为专门给Hyper-V开发的,如果你将一台文件服务器作为存储,然后所有的Hyper-V虚拟机系统存储在文件服务器上,再做一个负载、冗余也不失为一个好的选择。第四、五种:NFS共享-快速、NFS共享-高级主要用于Linux服务器的共享使用,这里我们不做具体的说明。3、这里我们主要说一下第二种,选择“SMB共享-高级“,点击”下一步“4、这里选择共享的路径5、设置共享名称6、在下图中我们可以
6、看到几个功能,基本上都是Windows Server 2012 R2新增或加强的功能,下面我们简单来说一下这些功能:启用基于存取的枚举:简单一点说就是如果A用户只能访问A目录的权限,那他就不会看到共享下面的B目录,就不会出现点击B目录没有访问权限的提示了,这样增强了用户体验,同时也加强文件服务器的安全性。允许共享缓存:有两种模式:分布式缓存模式、托管式缓存模式。前者主要用于办事处等没有服务器场所,后者主要用于分支机构,集中式管理所有缓存的文件信息。加密数据访问:在共享文件传输的时候,会对数据进行加密,以提高数据的传输安全性。7、我们先禁用继承的权限,再手动添加权限8、这时候目录权限为空,我们再
7、点击“添加”9、然后点击“选择主体”10、输入要设置对应权限的用户11、然后设置对应的权限12、点击两次确定,这时候就已经设置好了对应的文件夹的访问权限了。提示:在配置权限的时候,你必需要配置一个具体完全控制权限的用户,不然的话,后面创建SMB的时候会失败。13、这是设置文件夹的用途有四种,主要用于分类规则管理等,这里我们选择“用户文件”14、我们暂时不启用配额,后面再来启用15、确认配置信息,点击”创建“16、创建完成17、这时候我们可以在管理界面上面看到一些常规的应用信息如共享的文件夹、路径、协议、是否群集、空间大小等。18、下面我们来做一个共享访问测试,已经可以成功访问共享了。19、这时
8、候我们可以在里面添加删除修改文件夹及文件了,到此文件服务器的常规部署已经完成。04 枚举功能测试什么叫做枚举功能,简单的说就是当你访问共享的时候,你只会看到自己有权限访问的文件或文件夹,而别人看不到,当然别人访问的时候也就只有看到相对应的自己的,这样子就有一个好处,第一提高了用户体验度,不用去在一大堆的文件夹里面找自己需要的文件夹或文件,一眼就可以看得到。第二是提高了用户文件的安全性当然这只是相对而言。1、首先将共享目录的权限设置为所有人都完全控制2、新建test01和test02两个目录3、设置test01目录的权限给test01用户4、设置test02目录的权限给test02用户5、测试通
9、过test01用户登录登录共享6、这时候Test01用户只能看到test01目录7、测试通过test02用户登录登录共享8、这时候Test02用户只能看到test02目录这样子就实现了枚举功能,不同用户登录显示不同目录,以提高用户体验与文件服务器安全性了。05 文件屏蔽功能与配置全局配额一、文件屏蔽功能测试为了防止公司文件服务器中毒,公司决定禁止存放.exe文件,下面我们来配置一下。1、由于可执行文件的限制,文件屏蔽模板里面已经有了,所以我们不需要在手动创建模板了,直接点击“创建文件屏蔽.”2、选择屏蔽的目录,已经屏蔽的文件类型,点击“创建”3、我们可以看到已经创建了一条规则,阻止:可执行文件
10、4、这时候我们再往test01目录里面存放.exe文件,提示“你需要权限来执行此操作”,说明限制已经成功。二、配置全局配额前面说到的这些我们是针对个人或者说是单个目录做的局部的限制,下面我们说一下全局的配置。1、点击“若要设置配额,请打开配置配额对话框”2、在这里勾选“自动为所有用户创建并应用配额”,选择对应的配额模板,如里这里面没有你需求的,可以在文件服务器资源管理器里面自己先设置一个模板,然后点击“确定”这样全局配额就创建完成。06 之规则触发邮件报警通知一、配置邮件报警功能 前面我们有看到可以设置对于文件服务器我们可以设置对应的阈值,能不能实现当达到一定的阈值或触犯某个规则的时候系统自动
11、报警了?答案是可以的,我们可以通过设置邮件报警系统来实现对于文件系统的报警监控。当然你需要有一个SMTP服务器,才能够实现这个功能。下面我们看操作。1、首先需要安装SMTP服务器2、配置SMTP服务器在IIS里面3、打开后右击“SMTP”选择“属性”,设置对应的IP地址,因为我的测试环境是采用的虚拟机仅主机模式,所以我新增了一个网卡,桥接到局域网,以方便邮件发出。记得开启防火墙的25号端口。4、右击“文件服务器资源管理器(本地)”选择“配置选项.”5、设置SMTP服务器IP地址,默认的收件人,多收件人采用分号分隔开,我们点击“发送测试电子邮件”测试一下是否能够正常发送邮件。6、提示发送成功,下
12、面我们去邮箱看一下,是否真得已经收到。7、已经正常收到了,说明配置已经成功。二、规则触发邮件报警测试1、首先我们对阻止可执行文件,进行设置,设置管理员邮件。2、这时候我们往test01目录里面存放一个.exe的文件,看看是否触发报警。3、这里我们可以看到邮箱收到了以下邮件,内容非常的详细,哪个用户准备将什么文件放到对应的服务器的哪个目录,匹配的哪条规则都已经清楚的说明了。至此邮箱报警功能有测试完成。07 文件服务器重复数据删除(一)、PowerShell安装与配置重复数据删除功能安装:1、启动WindowsPowerShell。在任务栏上,右键单击WindowsPowerShell图标,然后单
13、击“以管理员身份运行”。运行以下WindowsPowerShell命令:C:Import-ModuleServerManagerC:Add-WindowsFeature-nameFS-Data-DeduplicationC:Import-ModuleDeduplication启用重复数据删除功能:若要在卷上启用重复数据删除,请在服务器上运行以下WindowsPowerShell命令。卷E上启用了重复数据删除。C:Enable-DedupVolumeE:设置最少保留天数:设置文件进行重复数据删除前,应保留的最少天数。C:Set-DedupvolumeE:-MinimumFileAgeDays20
14、如果将MinimumFileAgeDays设为0,那么重复数据删除将处理所有文件,不论其留存时间有多久。这适合于测试环境,在这种环境中你想要进行最大限度的重复数据删除。但是,在生产环境中,最好是等待几天(默认为3天),因为在更改率减缓前,文件往往会在短时间内改变很多。这允许对服务器资源进行最有效的使用。清理日志存放地点:清理作业在位于此处的Windows事件日志中输出一个摘要报告:事件查看器应用程序和服务日志MicrosoftWindows删除重复清理数据清理作业:虽然重复数据删除默认值以每周一次(周六)的频率创建数据完整性清理作业,但你也可以使用以下命令,按照需要触发这种清理作业:C:Sta
15、rt-DedupJobE:TypeScrubbing垃圾回收作业:重复数据删除包含了垃圾回收作业,来处理卷上已删除或已修改的数据,这样任何不再访问的数据区块都被清理。垃圾回收作业处理之前已删除的或被逻辑覆盖的优化内容,以创建有用的卷可用空间。当优化文件被删除或被新数据覆盖时,区块存储中的旧数据未被立刻删除。C:Start-DedupJobE:TypeGarbageCollection查看清理日程按排表:重复数据删除带有三个立刻建立的日程表。优化每小时都会运行,而垃圾回收和清理设置为每周一次。可以通过使用此WindowsPowerShell命令,查看日程表:C:Get-DedupSchedule
16、(二)、删除重复数据功能安装从“添加角色和功能向导”中,在“服务器角色”下,选择“文件和存储服务”(如果它尚未安装)。1、选中“文件服务”复选框,然后选中“重复数据删除”复选框。2、单击“下一步”直到“安装”按钮处于活跃状态,然后单击“安装”。3、安装完成(三)、配置重复数据删除1、配置重复数据删除.,选择对应的磁盘,右击选择“配置重复数据删除.”,注意系统盘不能够配置重复数据删除。2、因为我们部署在虚拟机上,所以选择“虚拟桌面基础结构(VDI)服务器”3、点击“设置删除重复计划(S).”,勾选“启用后台优化”,“启用吞吐量优化”设置开始时间与持续时长,启用后台优化后可以在服务器负担较重的时候
17、,减少重复数据删除给服务器带来的压力。(四)、重复数据删除功能测试1、首先我们评估一下重复数据删除,用ddpeval.exe功能进行测试2、这里我们来手动进行重复数据删除操作,测试是否生效:马上启用重复数据删除:Start-DedupJobVolumeE:TypeOptimization如果前面已经启动重复数据删除,等待前面的作业完成,再执行采用以下命令:Start-DedupJobE:TypeOptimization-Wait查看作业进度:Get-DedupJob查看状态:Get-DEdupStatus3、从上图我们可以看出,已经成功进行了重复数据的删除操作,下面我们来查看一下对应的空间使用
18、情况:前图为未进地重复数据删除时的磁盘使用情况,后图为已经进行了重复数据删除操作后的磁盘使用情况。08 工作文件 工作文件夹(Work Folders),用户可以存储和访问工作文件在个人电脑和其他设备上,通常被称为贴身设备(BYOD)。用户可以设置最佳位置来存储工作文件,然后你可以从任何地方访问。企业可以设置控制权限来对数据存储进行集中管理,并选择性地指定用户设备的政策,如加密和锁屏密码等。 这个功能与很早Windows里面所用到的一个功能有一点相似之处,那就是公用文件包。他可以将文件时时同步到另一个同样的公共文件包中,不同之处是这个可以对其进行权限管理,可以与文件服务器等多应用结合使用,并且
19、可以跨设备跨平台使用,可以用于同事之间协同应用开发等,当然他和目前比较流行的SVN功能类似,下面我们就简单的来说一下工作文件夹的安装与配置。(一)、工作文件夹的安装1、点击“添加角色和功能”,打开向导,在服务器角色这里我们选择“工作文件夹”2、这里我们确认一下所需要安装的应用有哪些,然后点击“安装”3、提示安装成功,点击“关闭”,到此工作文件夹功能已经安装完成。(二)、创建工作文件夹1、点击“若要为工作文件夹创建同步共享,请启动“新建同步共享”向导”2、打开“新同步共享向导”,点击“下一步”3、选择对应的服务器与对应的目录,我们这里将共享目录同时作为工作文件夹,点击“下一步”4、文件夹的结构,
20、这里我们选择“用户别名”,意思就是说这样子,你连接上去以后,他默认就会自动创建一个目录是以你的用户名命令的,点击“下一步”5、设置同步共享名,这里我们默认即可,点击“下一步”6、点击“添加”选择具有访问权限的用户组等,点击“下一步”7、设备策略我们可以默认选择,如果需要加密、自动锁屏可以在这里选择,我们默认即可。8、确认对应的创建信息无误,点击“创建”9、创建已经成功,点击“关闭”10、在服务器管理界面我们可以看到对应的工作文件夹里面已经创建的对应的目录,并且在下面我们可以看到对应的权限。(三)、证书与IIS的配置不要以为到这里工作文件夹的安装与配置就已经完成了,其实还未完成,我们还需要配置对
21、应的IIS与证书文件,下面我们来简单的了解一下。1、通过域服务器为此服务器下发一个WEB服务器证书,首先“开始”“运行”“MMC”,打开控制台,点击“文件夹”“添加删除单元”在左边选择“证书颁发机构”与“证书模板”,点击添加,然后下一步,选择“计算机账户”,完成添加。在这里我们可以看到在“证书模板”里面有一个WEB服务器,我们右击“复制”,然后修改一下对应的名称为“工作文件夹”,然后“安全”选项配置对应的用户为指定的工作文件夹服务器,具有自动注册与注册功能。这时候我们就可以证书模板里面看到如下所示的“工作文件夹”证书模板了。2、在“证书颁发机构”右击“证书模板”选择“新建”“要颁发的证书模板”
22、在证书模板里面选择“工作文件夹”,添加到“证书颁发机构”的“证书模板”里面。3、在组策略里面我们配置一个证书的自动颁发信息,“计算机配置”“策略”“Windows设置”“安全设置”“公钥策略/证书服务客户端自动注册设置”“自动证书管理”启用,“AD证书更新和管理”启动,注册新证书、续订过期证书等启用,如下图所示:4、下面我们在工作文件夹服务器端配置对应的证书,点击“开始”“运行”“MMC”,打开控制台,“文件”菜单“添加删除控制单元”,添加“证书”选项,将AD服务器颁发的工作文件夹证书添加到个人证书里面。5、双击对应的证书,在指纹下将对应的字符复制过来,如下图所示:6、将对应的指纹通过下图所示
23、添加给443端口,当提示“成功添加SSL证书”说明已经添加成功netsh http add sslcert ipport=192.168.1.202:443 certhash=?5511b159399b353538ee13d243b355705ee10dc5 appid=CE66697B-3AA0-49D1-BDBD-A25C8359FD5D certstorename=MY7、这里我们再设置一下对应的默认HTTP绑定为对应IP的80端口。(四)、客户端配置工作文件夹手动配置方法:1、点击“控制面板”“工作文件夹”2、点击“设置工作文件夹”3、这里我们点击“改为输入工作文件夹URL”4、输入对
24、应的URL地址,点击“下一步”5、这里会提示创建“工作文件夹”,点击“下一步”6、在“安全策略”上勾选“在我的电脑上接受这些策略”,点击“设置工作文件夹”7、点击“关闭”,完成相关设置。域服务器组策略配置1、点击“计算机配置”“管理模板”“Windows组件”“工作文件夹”选择“强制为所有用户自动设置”启用。2、点击“用户配置”“管理模板”“Windows组件”“工作文件夹”指定工作文件夹设置为启用,并设置对应的URL。3、这里我们可以看到详细的设置4、下面我们强制刷新一下客户端的策略,可以看到已经自动添加了一个工作文件夹目录。(五)、工作文件夹同步错误解决方法1、常规来说设置好上面的相关设置
25、应该可以正常工作了,但是还是发现有一些问题,我们在同步的时候发生如下所示的错误:传输的数据未采用正确的数据格式,0x80c800012、查看事件日志发现以下错误:3、经过Windows K库的查找发现此问题是因为bug的原因造成的,需要更新补丁解决此问题。从官网下载了对应的补丁进行安装,需要注意的是在Windows Server 2012 R2工作文件夹与Windows8.1上需要同时安装。4、安装成功后重启一下两台服务器,再进行同步,已经能够正常同步了。说明问题已经解决。(六)、工作文件夹端口修改1、有时候不可能一个小公司的服务器上就部署一个工作文件夹功能,但这时候工作文件夹又占用了对应的端口:80、443,这时候我们需要怎么处理了?我们可以修改对应的端口,这时候我们简单的说一下端口修改的方法,我们选择c:windowssystem32synsharesvc.config右击编辑.2、找到如下所示的地方,我们修改对应的端口为所需要的端口即可,提示:如果这里修改了端口那你对应的SSL端口绑定与IIS设置需要修改对应的端口,且连接时候的URL也需要修改端口号。