Доступ к корпоративной общей папке из Internet

Все об администрировании Windows NT/2000/2003/2008/2012 Server (в т.ч. R2) серверов. Групповые политики, домены, безопасность и пр. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1505
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Доступ к корпоративной общей папке из Internet

Сообщение UncleFather »

Задача:

Имеется общая папка на сервере компании. К ней разграничен доступ пользователей правами NTFS. Пользователи локальной сети имеют доступ к подпапкам этой папки - туда, куда им прописан доступ.

Однако, есть группа внешних корпоративных пользователей - тех, которые хотели бы получить доступ к этой папке со своими правами из сети Internet. А так же нужно предоставить пользователям ЛВС возможность подключаться к этой папке извне (из Internet) на случай, например, работы из дома или с мобильных устройств.

Решение:

Конечно, можно воспользоваться, например FTP, но, как показывает практика, для пользователей это сложновато.

Можно использовать VPN. Но, в этом случае, внешний пользователи получат доступ не только к заданной папке, но и к прочим ресурсам ЛВС.

Поэтому воспользуемся самым «красивым» способом решения этой задачи - технологией WebDAV. Эта технология позволяет предоставлять доступ пользователям к заданным папкам как из ЛВС, так и из Internet по протоколам http и https, разграничивая права, соответственно прописанным в папках NTFS разрешениям.

При использовании WebDAV на клиентских компьютерах с ОС MS Windows не требуется никакого дополнительного программного обеспечения. Служба «Веб клиент» уже встроена в саму операционную систему, начиная с Windows 2000. Пользователь же будет видеть ресурсы, подключенные через WebDAV прямо из проводника Windows.

Итак, приступим к настройке сервера WebDAV на MS Windows 2003 Server Standart Edition с установленным Internet Information Services 6 (IIS6) и включенным расширением WebDAV:

  1. Во-первых, конечно, убеждаемся что у нас установлены и запущены службы IIS6 (в частности, служба Веб-публикации). А так же в том, что расширения WebDAV включены. Все это можно сделать из оснастки Администрирования IIS (Диспетчер служб IIS):

    15.JPG
  2. В проводнике создаем папку (если ее еще нет), к которой будем предоставлять общий доступ и назначаем права NTFS для пользователей и групп. Папка может располагаться как на этом сервере, так и быть любым общим ресурсом в ЛВС. В примере назовем папку «Exchange». Пусть она располагается по пути \\Server\Exchange

  3. В диспетчере служб IIS открываем свой веб-узел - тот, через который будем предоставлять WebDAV доступ. Для примера пусть это будет веб-узел с именем «my.server.ru». Если веб-узла еще нет, то его нужно создать.

  4. На этом веб-узле создаем виртуальный каталог:

    11.JPG
    1. Дадим ему имя такое же, как и имя общей папки «Exchange» - просто чтобы не было путаницы. Вообще ему можно присвоить любое имя. Это имя и будет частью url-адреса нашего WebDAV ресурса. В нашем примере: http://my.server.ru/Exchange

    2. Указываем путь до нашей папки «Exchange». Это означает что виртуальный каталог http://my.server.ru/Exchange будет сопоставлен папке \\Server\Exchange

    3. Устанавливаем глобальные права доступа на виртуальный каталог: чтение, запись, обзор:

      16.JPG

      Это глобальные права для всех пользователей, который будут подключаться через WebDAV. То есть мы в принципе разрешаем чтение, запись и обзор при подключении через WebDAV. Если здесь не дать права на запись, то ни один пользователь, подключающийся к папке посредством WebDAV не сможет ничего в нее записать, несмотря на то, что NTFS права позволяют ему это сделать. То же самое с чтением и обзором. Поэтому здесь предоставляем глобальные права на чтение, запись и обзор, а права для конкретных пользователей и групп уже будут определяться NTFS.

  5. Настраиваем наш глобальный каталог:

    1. Открываем свойства глобального каталога «Exchange»

    2. На вкладке «Безопасность каталога» в разделе «Управление доступом и проверка подлинности» нажимаем кнопку «Изменить»

    3. В открывшемся окне «Методы проверки подлинности» отключаем анонимный доступ. В разделе «Доступ с проверкой подлинности» снимаем галочку «Встроенная проверка подлинности Windows» (так как мы не будем пользоваться встроенной проверка подлинности веб-обозревателей) и ставим - «Краткая проверка для серверов доменов Windows». Этот метод поддерживается только для учетных записей Active Directory, при этом по сети передается не пароль открытым текстом, а хешированное значение.

      12.JPG
    4. Сохраняем изменения и снова оказываемся на вкладке «Безопасность каталога»

    5. Если для сайта еще не установлен сертификат, то устанавливаем его, нажимая на кнопку «Сертификат» в разделе «Безопасные подключения». Далее выполняем все шаги мастера получения сертификата.

    6. Сохраняем изменения и снова оказываемся на вкладке «Безопасность каталога»

    7. Теперь настроим обязательное требование безопасного канала (SSL). В разделе «Безопасные подключения» нажимаем кнопку «Изменить» и в открывшемся окне «Безопасные подключения» ставим галочку «Требуется безопасный канал (SSL)». В разделе «Сертификаты клиентов» устанавливаем переключатель в положение «игнорировать сертификаты клиентов» если мы не планируем использовать сертификаты клиентов либо - в положение «принимать сертификаты клиентов», если планируем использовать сертификаты клиентов когда-нибудь в будущем, либо - в положение «требовать сертификаты клиентов» если уже пользуемся клиентскими сертификатами. Самое нейтральное положение - «принимать сертификаты клиентов» - при этом, если сертификаты клиента есть - они будут приниматься, а если нет, - то нет. :wink:

      14.JPG
  6. Если этот сервер подключается к Internet через роутер/NAT, то нам понадобится сделать проброс http и https портов, которые используются веб-узлом my.server.ru.В нашем случае это нестандартные порты 88 и 587 (вместо стандартных 80 и 443 соответственно).

    17.JPG

    Проброс портов индивидуален для каждого роутера и не представляет сложности. Во вне можно транслировать как порты, на которых крутится веб-узел (88->88 и 587->587), так и ретранслировать их на другие, альтернативные порты (например, 88->98 и 587->687). При этом следует помнить, что когда мы подключаемся к WebDAV ресурсу из ЛВС, то нужно подключаться по внутренним портам, а когда подключаемся из Internet, - то к внешним.

    Например, если мы ретранслировали на NAT порты (88->98 и 587->687), то из лвс подключаемся к http://my.server.ru:88/Exchange или к https://my.server.ru:587/Exchange, а из Internet ,будем подключаться к http://my.server.ru:98/Exchange или к https://my.server.ru:687/Exchange.

    Здесь еще нужно помнить, что при подключении из ЛВС доменное имя my.server.ru должно преобразовываться в ip-адрес из локальной сети (например, 192.168.1.1), а при подключении из Internet имя my.server.ru должно преобразоваться в нормальный «белый» (маршрутизируемый) ip-адрес. Этого можно добиться, используя локальные DNS серверы для клиентов ЛВС. Либо можно подключаться, используя не имена хостов, а их ip-адреса (http://192.168.1.1:88/Exchange).

Теперь настроим клиентские компьютеры.

  1. Для всех ОС - проверяем, чтобы служба «Веб-клиент» была включена и запущена

  2. Для Windows XP и ниже:

    1. Открываем «Сетевые подключения»

      01.JPG
      01.JPG (18.5 КБ) 28028 просмотров
    2. Выбираем «Новое место в сетевом окружении»

      09.JPG
      09.JPG (24.61 КБ) 28028 просмотров

      (Либо то же самое делаем через «Подключение сетевого диска» -> «Подписаться на хранилище в Интернете или подключиться к сетевому серверу»)

      44.JPG
    3. Указываем соответствующий путь в формате для http: http://server_address:port/folder, для https: https://server_address:port/folder

      В нашем примере для ЛВС - https://192.168.1.1:587/Exchange, для Internet - https://my.server.ru:687/Exchange

      19.JPG
    4. Вводим имя пользователя и пароль, от имени которого будем открывать NTFS ресурсы общий папки WebDAV. Имя пользователя нужно вводить не указывая домен, так как он уже указан на сервере в настройках безопасности WebDAV каталога, в методах проверки подлинности, в доступе с проверкой подлинности указана область «domain.local»

      12.JPG
    5. Получаем новый ресурс в папке «Сетевые подключения»

      08.JPG
      08.JPG (25.25 КБ) 28028 просмотров
    6. Вытаскиваем ярлык для этого ресурса или его подпапок, например, на рабочий стол

    7. Пользуемся ресурсом WebDAV как обычной папкой в проводнике

      10.JPG
      10.JPG (31.9 КБ) 28028 просмотров
  3. Для Windows Vista и выше:

    1. Подключаем ресурс WebDAV

      Вариант 1:

      Прямо в проводнике набираем адрес в формате:

      Код: Выделить всё

      \\<имя_компьютера>@<порт>\<путь>\DavWWWRoot

      То есть, для http по стандартному порту это будет: \\<имя_компьютера>@80\<путь>\DavWWWRoot, а для https по стандартному порту это будет: \\<имя_компьютера>@ssl\<путь>\DavWWWRoot

      Для http по нестандартному порту это будет: \\<имя_компьютера>@port\DavWWWRoot, для https по нестандартному порту: \\<имя_компьютера>@ssl:port\<путь>\DavWWWRoot или так: \\<имя_компьютера>@ssl@port\<путь>\DavWWWRoot

      В нашем примере (поскольку мы разрешили только SSL подключения) для ЛВС: \\192.168.0.1@ssl:587\Exchange, для Internet: \\my.server.ru@ssl:687\Exchange

      Вариант 2:

      Подключаем сетевой диск, указывая адрес в формате (как описано выше)

      Код: Выделить всё

      \\<имя_компьютера>@<порт>\<путь>\DavWWWRoot

      либо в формате (как описано в подключении для Windows XP)

      Код: Выделить всё

      http://server_address:port/folder
      https://server_address:port/folder

      Вариант 3:

      Добавляем сетевое расположение через «Подключение сетевого диска» -> «Подключение к веб-сайту, на котором вы можете хранить документы и изображения»), указывая адрес в формате (как описано выше)

      Код: Выделить всё

      \\<имя_компьютера>@<порт>\<путь>\DavWWWRoot

      либо в формате (как описано в подключении для Windows XP)

      Код: Выделить всё

      http://server_address:port/folder
      https://server_address:port/folder
      55.jpg
    2. Вводим имя пользователя и пароль, от имени которого будем открывать NTFS ресурсы общий папки WebDAV. Имя пользователя нужно вводить не указывая домен, так как он уже указан на сервере в настройках безопасности WebDAV каталога, в методах проверки подлинности, в доступе с проверкой подлинности указана область «domain.local»

      12.JPG
    3. Вытаскиваем ярлык для этого ресурса или его подпапок, например, на рабочий стол

    4. Пользуемся ресурсом WebDAV как обычной папкой в проводнике

      13.jpg

Примечание: Просто для просмотра файлов и папок на ресурсе WebDAV можно пользоваться веб-обозревателем, введя в адресной строке url своего ресурса, например https://my.server.ru:587/Exchange

Для опытных пользователей, у которых уже есть свой веб-узел c http и https, доступный как из ЛВС, так и из Internet, и у которых уже есть общая рабочая папка, вся эта длительная процедура сводится к следующим шагам:

  1. Создаем виртуальный каталог, указывая путь на общую папку

  2. Отключаем анонимный доступ к этому каталогу

  3. Включаем обязательное требование безопасного канала (SSL)

  4. Настраиваем клиентов для подключения по https


Статья по теме: Неочевидные аспекты использования WebDAV в Windows


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение