Professional Documents
Culture Documents
No Unido al Dominio
Con esta infraestructura podemos hacer un despliegue de las Carpetas de Trabajo, y para ello nos vamos
al servidor de Ficheros y aadimos la caracterstica necesaria
Pulsamos en Siguiente
Antes de comenzar el proceso de instalacin nos muestra como siempre un resumen de las
caractersticas o roles a instalar, pulsamos en Instalar
Cuando finalice la instalacin pulsamos en Cerrar para continuar con el proceso de configuracin
Ahora desde la consola de Administrador del Servidor, nos vamos a la seccin de Servicios de Archivos y
de almacenamiento - Carpetas de Trabajo y pulsamos sobre el texto que tenemos en pantalla: Para
crear un recurso compartido de sincronizacin para Carpetas de trabajo, inicie el asistente
para crear recursos compartidos de sincronizacin
Pulsamos en Siguiente
Ahora selccionamos el servidor y la ruta de acceso a los ficheros que vamos a configurar como
sincronizables para las carpetas de trabajo, yo he creado previamente los recursos compartidos.
nicamente debemos seleccionar el recurso que queremo sincronizar o bien podemos elegir una carpeta
local en el servidor el cual vamos a configurar, pulsamos en Siguiente
Alias de usuario:jrodriguez
Esto lo utilazar para crear una carpeta para cada usuario dentro de la carpeta raz que hemos
configurado en el paso anterior. Si tenis usuarios de varios dominios siempre es recomendable hacerlo
con la segunda opcin. Luego tenemos la posibilidad de
Debemos agregar a un grupo de usuarios o usuarios para aplicar esta configuacion, desmarcaremos la
casilla Deshabilitar permisos heredados y conceder a los usuarios acceso exclusivo a sus
archivos si queremos que herede los permisos de la carpeta raz (recomendado en la mayora de las
ocasiones), pulsamos en siguiente
Ahora podemos especificar (recomendado) que se cifren las carpetas de trabajo (EFS) y bloquear
pantalla automticamente y requerir contrasea, pulsamos en Siguiente
Por ltimo nos muestra un resumen de la configuracin, si todo est segn lo esperado pulsamos
en Crear
Ahora se nos muestra el resumen de la configuracin y los usuarios (miembro del grupo que hemos
aadido antes) que tienen acceso a esta carpeta de trabajo
Si nos desplazamos al final de la pantalla, podemos ver la informacin del volumen (% espacio utilizado,
etc..) y tambin tenemos la posiblidad de configurar las cuotas de disco
Ya hemos finalizado la primera parte de la configuracin, ahora debemos crear un registro DNS, solicitar
un certificado y asignarlo para el trfico HTTPS el cual utilizarn los clientes para conectarse al servicio
de carpetas de trabajo. Lo primero es crear un registro CNAME en nuestro servidor DNS (Interno y
Externo) para que los usuarios puedan encontar el servicio de forma automtica (autodiscover). Para ello
debemos crear un registro CNAME (tambin de tipo A) formado con el FQDN workflow.nombre_dominio,
de tal forma que cuando los usuarios quieran configurar sus carpetas de trabajo no tengan que conocer
la URL del servicio, sino que simplemente con una consulta DNS puedan localizar dicho servidor. Si
queremos que los usuarios se conecten interna y externamente a este servicio, debemos crear el registro
DNS en ambos servidores. Al configurarlo en el servidor interno configuraremos un registro CNAME,
puesto que el registro de tipo A ya se ha creado cuando el servidor se ha unido al dominio para ello
abrimos la consola de administracin del servidor DNS y en la zona correspondiente crearemos el
registro de tipo CNAME:
El registro es muy sencillo, en el nombre de alias escribimos workfolders y pulsamos en examinar para
buscar el nombre FQDN del servidor para que se pueda resolver workfolder.asirlab.com y pueda resolver
la IP del registro del propio servidor: SRV-FS00.ASIRLAB.COM. Como en el servidor DNS Pblico no
tenemos la necesidad de creare el FQDN del servidor, nicamente crearemos un registro de tipo A con el
nombre workfolders.asirlab.com (cada uno sustituye el nombre del dominio por el suyo propio) y la IP
Pblica correspondiente en donde tengis alojado estes servicio (o reverse-proxy)
Con esto ya hemos logrado que cuando los usuarios traten de configurar las Carpetas de Trabajo,
nicamente introduzcan su nombre de usuario y se conecten al servidor sin que para ello tengan que
introducir de forma manual la URL del mismo. Por ltimo y no menos importante, es solicitar un
certificado digital (plantilla de Servidor Web) y asignarlo al listener adecuado. El cmo solicitar un nuevo
certificado no lo voy a comentar en este artculo por no repetirme, as que aqu os dejo algunos artculos
relacionados con los certificados:
Requisitos que necesita cumplir un Certificiado Digital para reconocerse como vlido
Aunque no son explcitamente artculos sobre certificados para las Carpetas de Trabajo, los procesos de
solicitud e instalacin son los mismos. En este caso el certificado es basado en una plantilla de
certificado de Servidor Web y poco ms que tenerlo instalado es el requisito. Una vez que lo tenemos
instalado en el Contenedor de Certificados del Equipo Local, debemos ver cual es su Huella Digital,
porque lo necesitaremos para idenfiticar el certificado que queremos asignar al servicio de las Carpetas
de Trabajo. Para ello vamos a Inicio - Ejecutar - y escribimos certlm.msc una vez que hemos abierto el
almacn de certificados de equipo local, expandimos la opcin de Personal - Certificados y ah
encontraremos (debera estar ah, sino revisar el proceso de instalacin del certificado) el certificado que
hemos instalado. En mi caso he solicitado un certificado wildcard, porque est perfectamente soportado
Por ltimo debemos ejecutar el siguiente comando desde una lnea de comandos (CMD) con privilegios:
netsh
http
add
sslcert
ipport=0.0.0.0:443
certhash=<Huella
Digital
appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY
del
Certificado>
Si
queris
ampliar
ms
informacin
sobre
el
comando
ejecutado
fuente: http://msdn.microsoft.com/es-es/library/ms733791(v=vs.110).aspx.
aqu
Este
tenis
la
proceso
tambin se puede completar de forma grfica, pero para ello deberamos instalar la consola del IIS (si
podis evitarlo una cosa menos). En cuanto a la configuracin del servidor, estara todo listo ahora nos
quedara la parte del cliente. Si bien es cierto, que si queris publicarlo a Internet es recomendable
hacerlo siempre mediante un reverse-proxy, el proceso es muy sencillo por lo que no voy a comentarlo
(tenis varios artculos en el blog de como publicar distintos servicios web va reverse-proxy).
El paso siguiente ser configurar el clidente (de momento tiene que ser un Windows 8.1, en breve MSFT
sacar soporte para iPad, Windows 7, etc...). Si los equipos Windows 8.1 pertenecen al dominio, podemos
hacerlo va GPO (Directiva de Equipo y Usuario, en mi caso lo ver solo a nivel de
usuario): Configuracin de usuario - Directivas - Plantillas administrativas - Componentes de
Windows - Carpetas de Trabajo - Especificar configuracin de carpetas de trabajo
Y como segunda opcin de configuracin, lo haremos sobre equipos que no estn unidos al dominio. Para
ello nos vamos al Panel de Control - Carpetas de Trabajo
Si analizamos el trfico de red con Wireshark (o cualquier otro sniffer) veremos que se lanza una
consulta al servidor DNS para resolver la IP de workfolders.asirlab.com, por lo que previamente
debemos tener el registro DNS creado:
Es posible que si nos conectamos desde un equipo fuera del dominio nos encontremos con el siguiente
error antes de poder introducir las credenciales, pero como podemos observar en el mensaje el problema
es que como hemos utilizado certificados privados no tenemos instalado el certificado raz de la CA que
ha emitido el certificado del servidor al que nos queremos conectar (Servidor de las Carpetas de Trabajo).
Esto tiene fcil solucin, instalamos el certificado raiz de la entidad certificadora que ha emitido el
certificado para el servidor y habremos solucionado el problema (en el Contenedor de Certificados del
Equipo Local)
Ahora volvemos lanzar la conexin y nos solicitar las credenciales que nos permitirn conectarnos a los
servicios Web de las Carpetas de Trabajo
Una vez que se ha completado la conexin con el servidor, nos muestra la carpeta local por defecto
(%userprofile%\Work Folders) en donde se almacenarn los ficheros sincronizados. Si queremos
cambiar la ubicacin por defecto, debemos pulsar en cambiar
Ahora debemos aceptar las directivas de Seguridad que se hemo configurado desde el servidor (Cifrados
de Ficheros (EFS) , Bloqueo de Pantalla y Contrasea al usuario del equipo. Una vez que aceptemos estas
directivas se iniciar el proceso de sincronizacin de los ficheros y carpetas:
Una vez aceptadas las directivas se aplicarn las directivas en el equipo local
Ahora se nos abre la configuracin de la carpetas de trabajo que hemos configurados, tenemos algunas
opciones ms coo la posibilidad de sincronizarse a travs de conexiones de uso medido (3G, etc...) y que
se sincronice incluso cuando somos usuarios itinerantes.
Lo primero que haremos ser crear algn fichero y/o carpeta en la carpeta Work Folders que tenemos en
nuestro perfil para realizar una primera prueba de sincronizacin. Para ello pulsamos en Sincronizar
ahora y se sincronizar el directorio local Work Folders con la carpeta especificada en el servidor
Imagino que os habris dado cuenta que los ficheros y carpetas del equipo estn de color verde, eso es
que se han cifrado va EFS
Por ltimo vamos a ver como podemos establecer cuotas de disco sobre las Carpetas de Trabajo, desde
el Administrador del Servidor en la seccin de Carpetas de Trabajo en la parte inferior derecha tenemos
las opciones de Cuota.
Si queremos hacer algo sencillo, simplemente pulsamos encima del texto Para establecer una cuota,
abra el cuadro de dilogo Configurar Cuota. y se nos abrir la siguiente ventana en donde podemos
seleccionar algunas de las plantillas de cuota disponibles, si con esto tenemos suficiente elgimos alguna
de ellas y pulsamos en Agregar
Con esto ya tenemos una cuota de disco asignada a la Carpeta de Trabajo que hemos anteriormente
(Supervisar 500MB de recurso)
Por ltimo comentarios de forma explcita que si queremos publicar este servicio va Internet (que es lo
suyo tambin), debemos publicar este servicio va HTTPS y un Reverse-Proxy (no obligatorio). De tal
forma que cualquier usuario pueda tener acceso a los datos corporativos desde cualquier lugar.
Como podemos observar es muy sencillo de implementar y seguro que dar mucho juego en muchas
organizaciones en donde estn implementando BYOD. Pero desde luego llegar su uso masivo cuando
MSFT libere su utilizacin en sistemas NO Microsoft y Windows 7.