Storage zones controller

Instalar el controlador de zonas de almacenamiento y crear una zona de almacenamiento

Importante:

Compruebe que su entorno cumple con el requisitos del sistema antes de iniciar la instalación.

Al instalar un controlador de zonas de almacenamiento, puede crear una zona y configurar un controlador de zonas de almacenamiento principal o unir controlador de zonas de almacenamiento secundarias a una zona.

Al configurar un controlador de zonas de almacenamiento principal, puede habilitar cualquiera de estas funciones o ambas:

  • Zonas de almacenamiento para ShareFile Data, para especificar el almacenamiento de datos privado, ya sea un recurso compartido de red privada o un sistema de almacenamiento de terceros compatible.
  • StorageZone Connectors, para dar a los usuarios acceso a documentos en sitios de SharePoint o recursos compartidos de archivos de red especificados.

En los siguientes pasos se describe cómo instalar el controlador de zonas de almacenamiento, configurar la autenticación para el sitio web predeterminado de IIS, crear una zona y habilitar funciones.

  1. Descargue e instale el software del controlador de zonas de almacenamiento:

    Nota:

    La instalación del controlador de zonas de almacenamiento cambia el sitio web predeterminado en el servidor a la ruta de instalación del Controller.

    La autenticación anónima debe estar habilitada en el sitio web predeterminado.

  2. En el servidor en el que quiere instalar el controlador de zonas de almacenamiento, ejecute StorageCenter.msi.

    • Se inicia el asistente de configuración del controlador de zonas de almacenamiento de ShareFile.

    • Para multiarrendamiento, ejecute el siguiente comando: msiexec /i StorageCenter_5.0.1.msi MULTITENANT=1

    Nota:

    En el comando anterior, es posible que necesite actualizar el número de versión (5.0.1 en el ejemplo) para que coincida con el número de msi que está intentando instalar.

    • Responda a las indicaciones. Cuando finalice la instalación, desactive la casilla de verificación Iniciar la página de configuración del controlador de zonas de almacenamiento y, a continuación, haga clic en Finalizar.
  3. Reinicie el controlador de zonas de almacenamiento.

  4. Para probar que la instalación se ha realizado correctamente, vaya a http://localhost/. Si la instalación se realizó correctamente, aparecerá el logotipo de ShareFile.

  5. Si no aparece el logotipo de ShareFile, borre la memoria caché del explorador web y vuelva a intentarlo.

    Importante:

    Si planea clonar el controlador de zonas de almacenamiento, capture la imagen del disco antes de continuar con la configuración del controlador de zonas de almacenamiento.

  6. Para utilizar un proveedor de almacenamiento compatible con S3 con ShareFile, realice los siguientes pasos antes de crear o configurar una zona de almacenamiento.

    • Abra el Editor del Registro de Windows (Ejecutar > regedit.exe).

    • Busque la clave del Registro HKEY_LOCAL_MACHINE\ SOFTWARE\ Wow6432Node\ Citrix\ StorageCenter.

    • Cree un nuevo valor REG_SZ bajo esta clave:

      • Nombre del valor: S3EndPointAddress
      • Tipo de valor: REG_SZ
      • Datos de valor: Introduzca la URL HTTPS que corresponde a su punto final de almacenamiento compatible con S3.
    • Si el proveedor de almacenamiento solo admite el acceso al contenedor de estilo de ruta (consulte http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.html), cree otro valor bajo esta clave.

      • Nombre del valor: S3ForcePathStyle
      • Tipo de valor: REG_SZ
      • Datos de valor: true
    • Reinicie el grupo de aplicaciones del controlador de zonas de almacenamiento (StorageCenterAppPool).

    • Recopile la siguiente información de su sistema de almacenamiento compatible con S3:

      • El nombre de un bucket S3 que se va a utilizar para el ID de clave ShareFile DataAccess
      • ID de la clave de acceso
      • Clave de acceso secreta
  7. Continúe con los siguientes pasos para crear una nueva zona de almacenamiento. Elija Amazon S3 como ubicación de almacenamiento persistente. el controlador de zonas de almacenamiento utiliza la dirección de extremo personalizada que ha introducido en lugar del servicio Amazon S3 real. Al configurar los detalles de S3, elija el nombre del depósito que creó anteriormente.

  8. Vaya a la consola del controlador de zonas de almacenamiento.

  9. Abra http://localhost/configservice/login.aspx o inicie la herramienta de configuración desde la pantalla Inicio o el menú. Para obtener información acerca del uso del acceso directo de pantalla Inicio en Windows 8, consulte Administrar controlador de zonas de almacenamiento.

  10. En la página Inicio de sesión del controlador de zonas de almacenamiento, escriba la dirección de correo electrónico, la contraseña y el subdominio FQDN de la dirección de correo electrónico completa de la cuenta, comosubdomain.sharefile.com osubdomain.sharefile.eu, para su cuenta: Sí. Haga clic en Iniciar sesión.

  11. Para configurar el controlador de zonas de almacenamiento principal, haga clic en Crear nueva zona y proporcione la información de la zona:

    Opción Descripción
    Zona Nombre que aparece en la consola de administrador de ShareFile.
    Controller de zona principal El valor predeterminado es http://localhost/ConfigService. Si utiliza SSL, cambie HTTP a https. Tenga en cuenta que ShareFile solo admite certificados SSL públicos válidos y de confianza para zonas estándar. Si tiene problemas para configurar un host de zonas de almacenamiento secundario, asegúrese de que puede resolver la dirección URL de ConfigService en un explorador local de ese servidor, sin errores SSL. localhost resuelve en la dirección IP del servidor. Puede especificar un nombre de servidor en su lugar (por ejemplo https://servername.subdomain.com/ConfigService). El nombre del servidor debe ser resuelto por un servidor de controlador de zonas de almacenamiento secundario.
    Nombre de host Un identificador único para el controlador de zonas de almacenamiento. ShareFile recomienda utilizar el nombre de host del servidor como identificador. Este debe ser un nombre descriptivo y no el FQDN. Este nombre aparece en la consola de administrador de ShareFile.
    Dirección externa El FQDN de este controlador de zonas de almacenamiento. Si este controlador de zonas de almacenamiento se va a utilizar para zonas estándar, la dirección URL debe ser accesible desde Internet. Si está utilizando un equilibrador de carga, introduzca su dirección. Cuando envía la página, ShareFile valida la dirección.
  12. Para especificar el almacenamiento privado de datos, haga lo siguiente.

    • Active la casilla de verificación Habilitar zonas de almacenamiento para datos de ShareFile.

    • Para configurar una zona estándar, desactive la casilla de verificación.

    Nota:

    Después de configurar un controlador de zonas de almacenamiento, no puede cambiar su tipo de zona.

    El controlador de zonas de almacenamiento utiliza las credenciales de cuenta de servicio para conectarse al servidor de dominio de Active Directory de confianza para la búsqueda de direcciones de correo electrónico.

    • Elija un repositorio de almacenamiento.
  13. Si no quiere habilitar StorageZone Connectors, haga clic en Registrar para registrar el controlador de zonas de almacenamiento con ShareFile y, a continuación, continúe con el Paso 14.

  14. Si utiliza almacenamiento compatible con S3, cree estas entradas del Registro adicionales después de que se registre la zona de almacenamiento:

    • Abra el Editor del Registro de Windows (Ejecutar > regedit.exe).

    • Busque la clave HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\storage zone\CloudStorageUploaderConfig del Registro.

    • Cree un nuevo valor REG_SZ bajo esta clave:

      • Nombre del valor: S3EndPointAddress
      • Tipo de valor: REG_SZ
      • Datos de valor: Introduzca la URL HTTPS que corresponde a su punto final de almacenamiento compatible con S3.
    • Si el proveedor de almacenamiento solo admite el acceso al contenedor de estilo de ruta (consulte http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.html), cree otro valor bajo esta clave.

      • Nombre del valor: S3ForcePathStyle
      • Tipo de valor: REG_SZ
      • Datos de valor: true
    • Reinicie el grupo de aplicaciones del controlador de zonas de almacenamiento (StorageCenterAppPool).

  15. Para habilitar StorageZone Connectors:

    Al habilitar los conectores, se crean las aplicaciones de IIS “cifs” (conector para recursos compartidos de archivos de red) y “sp” (conector para SharePoint).

    • Active la casilla de verificación para cada tipo de conector que desee utilizar: Habilitar el conector de zonas de almacenamiento para recursos compartidos de archivos de red y Habilitar conector de zonas de almacenamiento para SharePoint. Para obtener información sobre la configuración del conector, consulte Configurar StorageZone Connectors, en esta sección.

    • Haga clic en Registrar. Aparece la información del controlador de zonas de almacenamiento.

    • Si especificó rutas permitidas o rutas denegadas para StorageZone Connectors, reinicie el servidor IIS.

  16. Para configurar controlador de zonas de almacenamiento secundarias, consulte Administrar controlador de zonas de almacenamiento.

Importante:

Un controlador de zonas de almacenamiento está instalado en su sitio local y usted es responsable de realizar una copia de seguridad. Para proteger su implementación, debe tomar una instantánea del servidor del controlador de zonas de almacenamiento copia de seguridad de la configuración del controlador de zonas de almacenamiento y preparar el controlador de zonas de almacenamiento para la recuperación ante desastres.

Configurar zonas de almacenamiento para datos de ShareFile

Nota:

Las zonas de almacenamiento de datos de ShareFile están disponibles para Citrix Endpoint Management Enterprise Edition y no para otras ediciones de Citrix Endpoint Management.

Puede configurar zonas de almacenamiento para datos de ShareFile desde el asistente del controlador de zonas de almacenamiento al crear una zona de almacenamiento o desde la consola del controlador de zonas de almacenamiento. Utilice la ficha Datos de ShareFile para configurar la configuración de recursos compartidos de red privada o sistemas de almacenamiento de terceros compatibles.

Configuración del recurso compartido de red

Opción Descripción
repositorio de almacenamiento Elija Recurso compartido de red local. Después de crear la zona, no puede cambiar la opción Repositorio de almacenamiento. Por ejemplo, para cambiar de un recurso compartido de red local a almacenamiento de terceros, debe crear una nueva zona.
Ubicación del recurso compartido de red Ruta UNC al recurso compartido de red que utilizará para el almacenamiento privado de datos y para datos como claves de cifrado, archivos en cola y otros elementos temporales. Especifique la ruta en el formulo \\server\share. los controlador de zonas de almacenamiento que pertenecen a la misma zona de almacenamiento deben utilizar el mismo recurso compartido de archivos para el almacenamiento. Precaución: El controlador de zonas de almacenamiento sobrescribirá cualquier dato en esta ruta con un formato de almacenamiento propietario. Nunca especifique una ruta de acceso a una ubicación con datos de archivo. Reserve esta ubicación de almacenamiento solo para zonas de almacenamiento para datos de ShareFile. Los controlador de zonas de almacenamiento acceden al recurso compartido de red mediante el nombre de usuario/contraseña del recurso compartido de red proporcionado en la página de configuración. Si no se proporciona ningún nombre de usuario/contraseña de Network Share en la página de configuración, la cuenta de Network Service se utilizará de forma predeterminada. La cuenta de Servicio de red debe tener acceso completo a esta ubicación de almacenamiento. El controlador de zonas de almacenamiento también utilizará la cuenta de servicio de red de forma predeterminada para StorageCenterAppPool. Es importante tener en cuenta que la única configuración admitida es usar la cuenta de Servicio de red.
Nombre de usuario compartido de red y contraseña de recurso compartido de red Las credenciales de la ruta UNC de la ubicación de recurso compartido de red. Para utilizar una cuenta de usuario con nombre en lugar de la cuenta Servicio de red para acceder al recurso compartido, especifique esas credenciales. Puede continuar ejecutando el grupo de aplicaciones de IIS y los servicios de Citrix ShareFile con la cuenta Servicio de red.
Habilitar cifrado Active la casilla de verificación solo si quiere cifrar el contenido del archivo almacenado en el recurso compartido de archivos. En un entorno empresarial en el que el recurso compartido de red está dentro de la red e ya está protegido por herramientas de terceros, recomendamos que no encripte los archivos del recurso compartido. Esta configuración no se relaciona con los metadatos. Los metadatos no están cifrados para las zonas estándar. Aunque esta seguridad adicional se ofrece como una opción para la máxima seguridad cuando sea necesario, el cifrado de archivos en el recurso compartido hará que el disco sea ilegible por herramientas de terceros, como escáneres antivirus y herramientas de filer, incluidas las herramientas de deduplicación de datos. ShareFile utiliza una clave de cifrado de archivos para confirmar la validez de las solicitudes de descarga y cifrar el almacenamiento.
Frase secreta Frase utilizada para proteger la clave de cifrado de archivos. La frase de contraseña debe contener más de seis caracteres. Asegúrese de archivar la frase de contraseña y la clave de cifrado en una ubicación segura. Debe usar la misma frase de contraseña para cada controlador de zonas de almacenamiento de una zona. La frase de contraseña no es la misma que la contraseña de su cuenta y no se puede recuperar si se pierde. Si pierde la frase de contraseña, no podrá volver a instalar zonas de almacenamiento, unir controlador de zonas de almacenamiento adicionales a la zona de almacenamiento ni recuperar la zona de almacenamiento si el servidor falla. Nota: La clave de cifrado aparece en la raíz de la ruta de almacenamiento compartido. Al perder el archivo de clave de cifrado, SCKeys.txt, se rompe inmediatamente el acceso a todos los archivos de zonas de almacenamiento. Asegúrese de realizar una copia de seguridad del archivo de clave de cifrado como parte de los procedimientos normales del centro de datos.

Configuración de la caché compartida

Opción Descripción
Ubicación de caché compartida la ruta de acceso a un recurso compartido de red que contendrá la caché de almacenamiento y los datos, como claves de cifrado, archivos en cola y otros elementos temporales. Especifique la ruta en el formulo \\server\share. los controlador de zonas de almacenamiento que pertenecen a la misma zona de almacenamiento deben utilizar el mismo recurso compartido de archivos para el almacenamiento. Precaución: El controlador de zonas de almacenamiento sobrescribirá cualquier dato en esta ruta con un formato de almacenamiento propietario. Nunca especifique una ruta de acceso a una ubicación con datos de archivo. Reserve esta ubicación de almacenamiento solo para zonas de almacenamiento para ShareFile Data. La cuenta de Servicio de red (o la cuenta en la que Citrix ShareFile Management Service está configurada para ejecutarse) debe tener acceso completo a esta ubicación de almacenamiento.
Inicio de sesión en caché compartida y contraseña de caché compartida Las credenciales de la ruta UNC de la ubicación de caché compartida.
Habilitar cifrado Active la casilla de verificación para cifrar los archivos almacenados en la caché compartida.

Configuración del contenedor de almacenamiento de Windows Azure

Opción Descripción
repositorio de almacenamiento Elija Contenedor de almacenamiento de Azure. Después de crear la zona, no puede cambiar la opción Repositorio de almacenamiento. Por ejemplo, para cambiar de un recurso compartido de red local a almacenamiento basado en Azure, debe crear una nueva zona.
Nombre de cuenta El nombre de su cuenta de almacenamiento de Azure. Estos nombres son siempre minúsculas.
Clave de acceso La clave de acceso principal o secundaria para el almacenamiento de Azure. Copie la clave desde la pantalla Administrar claves de acceso del Portal de administración de Windows Azure.
Validar Haga clic en el botón para validar la clave de acceso de Azure. No puede continuar con la configuración hasta que se complete la validación y el menú Nombre del contenedor incluya todos los contenedores disponibles para la cuenta especificada.
Nombre del contenedor Seleccione el contenedor de Azure que se va a utilizar para todos los controlador de zonas de almacenamiento de esta zona de almacenamiento. Esta lista está vacía hasta que se valide la clave de acceso de Azure.

Configuración del depósito de almacenamiento de Amazon S3

Opción Descripción
repositorio de almacenamiento Elija el depósito de almacenamiento de Amazon S3. Después de crear la zona, no puede cambiar la opción Repositorio de almacenamiento. Por ejemplo, para cambiar de un recurso compartido de red local al almacenamiento de Amazon S3, debe crear una nueva zona.
ID de la clave de acceso El ID de la clave de acceso para su almacenamiento de Amazon S3.
Clave de acceso secreta La clave de acceso secreta para su almacenamiento de Amazon S3.
Validar Haga clic en el botón para validar la clave de acceso secreta de Amazon S3. No puede continuar con la configuración hasta que se complete la validación y el menú Nombre del depósito incluya todos los depósitos disponibles para la cuenta especificada.
Nombre del depósito Seleccione el depósito de Amazon S3 que se utilizará para todos los controladores de zonas de almacenamiento de esta zona de almacenamiento. Esta lista está vacía hasta que se valide su clave de acceso secreta de Amazon S3.

Configuración de SMTP

Opción Descripción
Dirección del servidor SMTP y número de puerto SMTP El nombre de host y el puerto del servidor SMTP local.
Usar SSL Active la casilla de verificación para conectarse al servidor SMTP a través de una conexión segura.
Nombre de usuario y contraseña El nombre de usuario y la contraseña del servidor SMTP local.
Modo de autenticación El modo de autenticación predeterminado utiliza el método más seguro disponible para conectarse desde el controlador de zonas de almacenamiento al servidor SMTP.
Dirección del remitente La dirección de correo electrónico que aparece en el campo De.

Plataforma Google Cloud

Genera una clave de acceso y un secreto desde Google Cloud Platform > Configuración > Interoperabilidad.

Antes de ejecutar Configuración de zonas de almacenamiento, establezca el valor del Registro S3EndPointAddress en https://storage.googleapis.com y, a continuación, reinicie IIS.

Opción 1

Descripción

Repositorio de almacenamiento

Elija el depósito de almacenamiento de Amazon S3. Después de crear la zona, no puede cambiar la opción Repositorio de almacenamiento. Por ejemplo, para cambiar de un recurso compartido de red local al almacenamiento de Amazon S3, debe crear una nueva zona.

ID de la clave de acceso

El ID de clave de acceso del almacenamiento de Google Cloud Platform.

Clave de acceso secreta

El secreto de su almacenamiento de Google Cloud Platform.

Validar

Haga clic en el botón para validar la clave de acceso secreta de Google Cloud Platform. No puede continuar con la configuración hasta que se complete la validación y la lista Nombre del depósito incluya todos los depósitos disponibles para la cuenta especificada.

Nombre del depósito

Seleccione el bucket correcto que se va a utilizar para todos los controlador de zonas de almacenamiento de esta zona de almacenamiento. Esta lista está vacía hasta que se valide la clave de acceso secreta de Google Cloud Platform.

Configurar StorageZone Connectors

Los StorageZone Connectors proporcionan a los usuarios acceso a documentos en sitios de SharePoint o recursos compartidos de archivos de red especificados. No es necesario habilitar las zonas de almacenamiento para que los datos de ShareFile utilicen StorageZone Connectors.

Nota:

Las zonas de almacenamiento para ShareFile Data y las funciones de conectores de zonas de almacenamiento pueden compartir una zona. Sin embargo, el controlador de zonas de almacenamiento mantiene los datos y las reglas de acceso para los dos tipos de datos separados.

Puede configurar los StorageZone Connectors al crear una zona mediante el asistente del controlador de zonas de almacenamiento o desde la consola del controlador de zonas de almacenamiento.

Para controlar el acceso a determinados recursos compartidos de archivos de red o bibliotecas de documentos de SharePoint, especifique una lista de Rutas permitidas o Rutas denegadas. Después de guardar los cambios, reinicie el servidor IIS.

Las conexiones entrantes a los conectores de zonas de almacenamiento se comprueban primero con los paths permitidos. Si se permite la conexión, la ruta se comprueba con las rutas denegadas. Por ejemplo, para proporcionar acceso a \\myserver\teamshare y todas sus subcarpetas, especifique una ruta de acceso permitida de \\myserver\teamshare.

  • Todas las conexiones están permitidas de forma predeterminada, indicadas por un valor de rutas permitidas. El valor no es válido para rutas denegadas.

  • Si las rutas permitidas y denegadas entran en conflicto entre sí, se aplica la ruta más restrictiva.

  • Las entradas están separadas por comas.

  • Para conectores a recursos compartidos de archivos de red, especifique las rutas UNC permitidas.

    Ejemplo con FQDN: \\fileserver.acme.com\shared

    Puede utilizar las siguientes variables en la ruta de acceso UNC:

    • %UserName%

      Redirige al directorio principal de un usuario. Ruta de ejemplo: \\myserver\homedirs\%UserName%

    • %HomeDrive%

      Redirige a la ruta de acceso a la carpeta principal de un usuario, tal y como se define en la propiedad de Active Directory Home-Directory. Ruta de ejemplo: %HomeDrive%

    • %TSHomeDrive%

      Redirige al directorio principal de Servicios de Terminal Server de un usuario, como se define en la propiedad de Active Directory MS-TS-Home-Directory. La ubicación se utiliza cuando un usuario inicia sesión en Windows desde un servidor Terminal Server o un servidor Citrix XenApp. Ruta de acceso de ejemplo: %TSHomeDrive%

      En el complemento Usuarios y equipos de Active Directory, se puede acceder al valor de MS-TS-Home-Directory en la ficha Perfil de Servicios de Escritorio remoto al modificar un objeto de usuario.

    • %UserDomain%

      Redirige al nombre de dominio NetBIOS del usuario autenticado. Por ejemplo, si el nombre de inicio de sesión de usuario autenticado es “abc\johnd”, la variable se sustituye por “abc”. Ruta de ejemplo: \\myserver%UserDomain%_%UserName%

    Las variables no distinguen mayúsculas y minúsculas

  • Para un conector a un sitio de SharePoint de nivel raíz, especifique la ruta de acceso de nivel raíz.

    Ejemplo:https://sharepoint.company.com

  • Para un conector a una colección de sitios de SharePoint:

    Ejemplo:https://sharepoint.company.com/site/SiteCollection

  • Para los conectores de las bibliotecas de documentos de SharePoint 2010, especifique las direcciones URL (sin incluir los terminadores de ruta, como file.aspx o /Forms).

    Ejemplos:

    • https://mycompany.com/sharepoint/
    • https://mycompany.com/sharepoint/sales-team/Shared Documents/
    • https://mycompany.com/sharepoint/sales-team/Shared Documents/Forms/AllItems.aspx

    La dirección URL predeterminada de SharePoint 2013 (cuando la estrategia de descarga mínima está habilitada) tiene el siguiente formato: https://sharepoint.company.com/\_layouts/15/start.aspx\#/Shared%20Documents/.

Recomendación de seguridad para eliminar el encabezado del servidor

IIS/ASP.NET de forma predeterminada expone el encabezado del servidor en las respuestas HTTP. Este encabezado podría ser útil para un atacante. El encabezado revela el tipo de servidor de envío y, en algunos casos, el número de versión. Este encabezado no es necesario para los sitios de producción y se puede inhabilitar.

Desafortunadamente, el instalador del controlador de zonas de almacenamiento no puede eliminar este encabezado automáticamente. Pero podemos ofrecer recomendaciones a los clientes para que eliminen este encabezado en nuestra guía de documentación/instalación del controlador de zonas de almacenamiento.

Consulte el siguiente artículo para conocer los pasos específicos que debemos proporcionar en nuestra documentación: https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/

Instalar el controlador de zonas de almacenamiento y crear una zona de almacenamiento