Alexander A Manaeff -

 
 

Доступ к корпоративной общей папке из Internet

Все об администрировании Windows NT/2000/2003/2008/2012 Server (в т.ч. R2) серверов. Групповые политики, домены, безопасность и пр. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.

Модератор: UncleFather

Доступ к корпоративной общей папке из Internet

Сообщение UncleFather » 12 июл 2014 15:33, Сб

Задача:

Имеется общая папка на сервере компании. К ней разграничен доступ пользователей правами NTFS. Пользователи локальной сети имеют доступ к подпапкам этой папки - туда, куда им прописан доступ.

Однако, есть группа внешних корпоративных пользователей - тех, которые хотели бы получить доступ к этой папке со своими правами из сети Internet. А так же нужно предоставить пользователям ЛВС возможность подключаться к этой папке извне (из Internet) на случай, например, работы из дома или с мобильных устройств.


Решение:

Конечно, можно воспользоваться, например FTP, но, как показывает практика, для пользователей это сложновато.

Можно использовать VPN. Но, в этом случае, внешний пользователи получат доступ не только к заданной папке, но и к прочим ресурсам ЛВС.

Поэтому воспользуемся самым «красивым» способом решения этой задачи - технологией WebDAV. Эта технология позволяет предоставлять доступ пользователям к заданным папкам как из ЛВС, так и из Internet по протоколам http и https, разграничивая права, соответственно прописанным в папках NTFS разрешениям.

При использовании WebDAV на клиентских компьютерах с ОС MS Windows не требуется никакого дополнительного программного обеспечения. Служба «Веб клиент» уже встроена в саму операционную систему, начиная с Windows 2000. Пользователь же будет видеть ресурсы, подключенные через WebDAV прямо из проводника Windows.

Итак, приступим к настройке сервера WebDAV на MS Windows 2003 Server Standart Edition с установленным Internet Information Services 6 (IIS6) и включенным расширением WebDAV:


  1. Во-первых, конечно, убеждаемся что у нас установлены и запущены службы IIS6 (в частности, служба Веб-публикации). А так же в том, что расширения WebDAV включены. Все это можно сделать из оснастки Администрирования IIS (Диспетчер служб IIS):
    15.JPG


  2. В проводнике создаем папку (если ее еще нет), к которой будем предоставлять общий доступ и назначаем права NTFS для пользователей и групп. Папка может располагаться как на этом сервере, так и быть любым общим ресурсом в ЛВС. В примере назовем папку «Exchange». Пусть она располагается по пути \\Server\Exchange

  3. В диспетчере служб IIS открываем свой веб-узел - тот, через который будем предоставлять WebDAV доступ. Для примера пусть это будет веб-узел с именем «my.server.ru». Если веб-узла еще нет, то его нужно создать.

  4. На этом веб-узле создаем виртуальный каталог:
    11.JPG



    1. Дадим ему имя такое же, как и имя общей папки «Exchange» - просто чтобы не было путаницы. Вообще ему можно присвоить любое имя. Это имя и будет частью url-адреса нашего WebDAV ресурса. В нашем примере: http://my.server.ru/Exchange

    2. Указываем путь до нашей папки «Exchange». Это означает что виртуальный каталог http://my.server.ru/Exchange будет сопоставлен папке \\Server\Exchange

    3. Устанавливаем глобальные права доступа на виртуальный каталог: чтение, запись, обзор:
      16.JPG

      Это глобальные права для всех пользователей, который будут подключаться через WebDAV. То есть мы в принципе разрешаем чтение, запись и обзор при подключении через WebDAV. Если здесь не дать права на запись, то ни один пользователь, подключающийся к папке посредством WebDAV не сможет ничего в нее записать, несмотря на то, что NTFS права позволяют ему это сделать. То же самое с чтением и обзором. Поэтому здесь предоставляем глобальные права на чтение, запись и обзор, а права для конкретных пользователей и групп уже будут определяться NTFS.

  5. Настраиваем наш глобальный каталог:


    1. Открываем свойства глобального каталога «Exchange»

    2. На вкладке «Безопасность каталога» в разделе «Управление доступом и проверка подлинности» нажимаем кнопку «Изменить»

    3. В открывшемся окне «Методы проверки подлинности» отключаем анонимный доступ. В разделе «Доступ с проверкой подлинности» снимаем галочку «Встроенная проверка подлинности Windows» (так как мы не будем пользоваться встроенной проверка подлинности веб-обозревателей) и ставим - «Краткая проверка для серверов доменов Windows». Этот метод поддерживается только для учетных записей Active Directory, при этом по сети передается не пароль открытым текстом, а хешированное значение.
      12.JPG


    4. Сохраняем изменения и снова оказываемся на вкладке «Безопасность каталога»

    5. Если для сайта еще не установлен сертификат, то устанавливаем его, нажимая на кнопку «Сертификат» в разделе «Безопасные подключения». Далее выполняем все шаги мастера получения сертификата.

    6. Сохраняем изменения и снова оказываемся на вкладке «Безопасность каталога»

    7. Теперь настроим обязательное требование безопасного канала (SSL). В разделе «Безопасные подключения» нажимаем кнопку «Изменить» и в открывшемся окне «Безопасные подключения» ставим галочку «Требуется безопасный канал (SSL)». В разделе «Сертификаты клиентов» устанавливаем переключатель в положение «игнорировать сертификаты клиентов» если мы не планируем использовать сертификаты клиентов либо - в положение «принимать сертификаты клиентов», если планируем использовать сертификаты клиентов когда-нибудь в будущем, либо - в положение «требовать сертификаты клиентов» если уже пользуемся клиентскими сертификатами. Самое нейтральное положение - «принимать сертификаты клиентов» - при этом, если сертификаты клиента есть - они будут приниматься, а если нет, - то нет. :wink:
      14.JPG

  6. Если этот сервер подключается к Internet через роутер/NAT, то нам понадобится сделать проброс http и https портов, которые используются веб-узлом my.server.ru.В нашем случае это нестандартные порты 88 и 587 (вместо стандартных 80 и 443 соответственно).
    17.JPG


    Проброс портов индивидуален для каждого роутера и не представляет сложности. Во вне можно транслировать как порты, на которых крутится веб-узел (88->88 и 587->587), так и ретранслировать их на другие, альтернативные порты (например, 88->98 и 587->687). При этом следует помнить, что когда мы подключаемся к WebDAV ресурсу из ЛВС, то нужно подключаться по внутренним портам, а когда подключаемся из Internet, - то к внешним.

    Например, если мы ретранслировали на NAT порты (88->98 и 587->687), то из лвс подключаемся к http://my.server.ru:88/Exchange или к https://my.server.ru:587/Exchange, а из Internet ,будем подключаться к http://my.server.ru:98/Exchange или к https://my.server.ru:687/Exchange.

    Здесь еще нужно помнить, что при подключении из ЛВС доменное имя my.server.ru должно преобразовываться в ip-адрес из локальной сети (например, 192.168.1.1), а при подключении из Internet имя my.server.ru должно преобразоваться в нормальный «белый» (маршрутизируемый) ip-адрес. Этого можно добиться, используя локальные DNS серверы для клиентов ЛВС. Либо можно подключаться, используя не имена хостов, а их ip-адреса (http://192.168.1.1:88/Exchange).


Теперь настроим клиентские компьютеры.


  1. Для всех ОС - проверяем, чтобы служба «Веб-клиент» была включена и запущена

  2. Для Windows XP и ниже:


    1. Открываем «Сетевые подключения»
      01.JPG
      01.JPG (18.5 КБ) Просмотров: 12941


    2. Выбираем «Новое место в сетевом окружении»
      09.JPG
      09.JPG (24.61 КБ) Просмотров: 12941

      (Либо то же самое делаем через «Подключение сетевого диска» -> «Подписаться на хранилище в Интернете или подключиться к сетевому серверу»)
      44.JPG


    3. Указываем соответствующий путь в формате для http: http://server_address:port/folder, для https: https://server_address:port/folder

      В нашем примере для ЛВС - https://192.168.1.1:587/Exchange, для Internet - https://my.server.ru:687/Exchange
      19.JPG


    4. Вводим имя пользователя и пароль, от имени которого будем открывать NTFS ресурсы общий папки WebDAV. Имя пользователя нужно вводить не указывая домен, так как он уже указан на сервере в настройках безопасности WebDAV каталога, в методах проверки подлинности, в доступе с проверкой подлинности указана область «domain.local»
      12.JPG


    5. Получаем новый ресурс в папке «Сетевые подключения»
      08.JPG
      08.JPG (25.25 КБ) Просмотров: 12941


    6. Вытаскиваем ярлык для этого ресурса или его подпапок, например, на рабочий стол

    7. Пользуемся ресурсом WebDAV как обычной папкой в проводнике
      10.JPG
      10.JPG (31.9 КБ) Просмотров: 12941

  3. Для Windows Vista и выше:


    1. Подключаем ресурс WebDAV

      Вариант 1:

      Прямо в проводнике набираем адрес в формате:
      Код: Выделить всё
      \\<имя_компьютера>@<порт>\<путь>\DavWWWRoot


      То есть, для http по стандартному порту это будет: \\<имя_компьютера>@80\<путь>\DavWWWRoot, а для https по стандартному порту это будет: \\<имя_компьютера>@ssl\<путь>\DavWWWRoot

      Для http по нестандартному порту это будет: \\<имя_компьютера>@port\DavWWWRoot, для https по нестандартному порту: \\<имя_компьютера>@ssl:port\<путь>\DavWWWRoot или так: \\<имя_компьютера>@ssl@port\<путь>\DavWWWRoot

      В нашем примере (поскольку мы разрешили только SSL подключения) для ЛВС: \\192.168.0.1@ssl:587\Exchange, для Internet: \\my.server.ru@ssl:687\Exchange


      Вариант 2:

      Подключаем сетевой диск, указывая адрес в формате (как описано выше)
      Код: Выделить всё
      \\<имя_компьютера>@<порт>\<путь>\DavWWWRoot
      либо в формате (как описано в подключении для Windows XP)
      Код: Выделить всё
      http://server_address:port/folder
      https://server_address:port/folder


      Вариант 3:

      Добавляем сетевое расположение через «Подключение сетевого диска» -> «Подключение к веб-сайту, на котором вы можете хранить документы и изображения»), указывая адрес в формате (как описано выше)
      Код: Выделить всё
      \\<имя_компьютера>@<порт>\<путь>\DavWWWRoot
      либо в формате (как описано в подключении для Windows XP)
      Код: Выделить всё
      http://server_address:port/folder
      https://server_address:port/folder
      55.jpg


    2. Вводим имя пользователя и пароль, от имени которого будем открывать NTFS ресурсы общий папки WebDAV. Имя пользователя нужно вводить не указывая домен, так как он уже указан на сервере в настройках безопасности WebDAV каталога, в методах проверки подлинности, в доступе с проверкой подлинности указана область «domain.local»
      12.JPG


    3. Вытаскиваем ярлык для этого ресурса или его подпапок, например, на рабочий стол

    4. Пользуемся ресурсом WebDAV как обычной папкой в проводнике
      13.jpg


Примечание: Просто для просмотра файлов и папок на ресурсе WebDAV можно пользоваться веб-обозревателем, введя в адресной строке url своего ресурса, например https://my.server.ru:587/Exchange


Для опытных пользователей, у которых уже есть свой веб-узел c http и https, доступный как из ЛВС, так и из Internet, и у которых уже есть общая рабочая папка, вся эта длительная процедура сводится к следующим шагам:


  1. Создаем виртуальный каталог, указывая путь на общую папку

  2. Отключаем анонимный доступ к этому каталогу

  3. Включаем обязательное требование безопасного канала (SSL)

  4. Настраиваем клиентов для подключения по https




Статья по теме: Неочевидные аспекты использования WebDAV в Windows
Аватара пользователя
UncleFather
Site Admin
 
Сообщения: 1326
Зарегистрирован: 17 авг 2004 16:20, Вт

Вернуться в Администрирование Windows Server

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

Alexander A Manaeff -
@Mail.ru .