Storage zones controller

Instalar el controlador de zonas de almacenamiento y crear una zona de almacenamiento

Importante:

Al instalar un controlador de zonas de almacenamiento, puede crear una zona y configurar un controlador de zonas de almacenamiento principal o unir los controladores de zonas de almacenamiento secundarios a una zona.

Al configurar un controlador de zonas de almacenamiento principal, puede habilitar una de estas funciones o ambas:

  • Zonas de almacenamiento para ShareFile Data, para especificar el almacenamiento privado de datos, ya sea un recurso compartido de red privada o un sistema de almacenamiento de terceros compatible.
  • Conectores de zonas de almacenamiento, para dar a los usuarios acceso a los documentos de los sitios de SharePoint o a los recursos compartidos de archivos de red específicos.

En los pasos siguientes se describe cómo instalar el StorageZones Controller, configurar la autenticación para el sitio web predeterminado de IIS, crear una zona y habilitar las funciones.

  1. Descargue e instale el software del controlador de zonas de almacenamiento:

    Nota:

    La instalación del controlador de zonas de almacenamiento cambia el sitio web predeterminado del servidor por la ruta de instalación del controlador.

    La autenticación anónima debe estar habilitada en el sitio web predeterminado.

  2. En el servidor en el que desea instalar el StorageZones Controller, ejecute StorageCenter.msi.

    • Se inicia el asistente de configuración del controlador de zonas de almacenamiento de ShareFile.

    • Para la tenencia múltiple, ejecute el siguiente comando: msiexec /i StorageCenter_5.0.1.msiMULTITENANT=1

    Nota:

    En el comando anterior, es posible que necesite actualizar el número de versión (5.0.1 en el ejemplo) para que coincida con el número de msi que está intentando instalar.

    • Responda a las indicaciones. Cuando finalice la instalación, desactive la casilla de verificación Iniciar la página de configuración del controlador de zonas de almacenamiento y, a continuación, haga clic en Finalizar.
  3. Reinicie el StorageZones Controller.

  4. Para comprobar que la instalación se ha realizado correctamente, navegue hasta http://localhost/. Si la instalación se realizó correctamente, aparecerá el logotipo de ShareFile.

  5. Si no aparece el logotipo de ShareFile, borre la memoria caché del explorador Web y vuelva a intentarlo.

    Importante:

    Si va a clonar el controlador de zonas de almacenamiento, capture la imagen de disco antes de continuar con la configuración del controlador.

  6. Para usar un proveedor de almacenamiento compatible con S3 con ShareFile, lleve a cabo los siguientes pasos antes de crear o configurar una zona de almacenamiento.

    • Abra el Editor del Registro de Windows (Ejecutar > regedit.exe).

    • Busque la clave de registro HKEY_LOCAL_MACHINE\ SOFTWARE\ Wow6432Node\ Citrix\ StorageCenter.

    • Cree un nuevo valor REG_SZ bajo esta clave:

      • Nombre del valor: S3EndpointAddress
      • Tipo de valor: REG_SZ
      • Datos de valor: introduzca la URL HTTPS que corresponde a su punto final de almacenamiento compatible con S3.
    • Si el proveedor de almacenamiento solo admite el acceso a contenedores tipo ruta (consulte http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.html), cree otro valor con esta clave.

      • Nombre del valor: S3ForcePathStyle
      • Tipo de valor: REG_SZ
      • Datos de valor: verdaderos
    • Reinicie el grupo de aplicaciones del controlador de zonas de almacenamiento (StorageCenterAppPool).

    • Recopile la siguiente información de su sistema de almacenamiento compatible con S3:

      • El nombre de un bucket de S3 que se va a usar como ID de clave de ShareFile DataAccess
      • ID de clave de acceso
      • Clave de acceso secreta
  7. Continúe con los pasos siguientes para crear una nueva zona de almacenamiento. Elija Amazon S3 como ubicación de almacenamiento persistente. El controlador de zonas de almacenamiento utiliza la dirección de punto final personalizada que ha introducido en lugar del servicio Amazon S3 real. Al configurar los detalles de S3, elija el nombre del bucket que creó anteriormente.

  8. Navegue hasta la consola del controlador StorageZones.

  9. Abra http://localhost/configservice/login.aspx o inicie la herramienta de configuración desde la pantalla o el menú Inicio. Para obtener información sobre el uso del acceso directo a la pantalla de inicio en Windows 8, consulte Administrar controladores de zonas de almacenamiento.

  10. En la página de inicio de sesión del controlador de zonas de almacenamiento, introduzca la dirección de correo electrónico, la contraseña y el subdominio FQDN de la URL completa de la cuenta, como subdomain.sharefile.com o subdomain.sharefile.eu. Haga clic en Iniciar sesión.

  11. Para configurar el controlador de zonas de almacenamiento principal, haga clic en Crear nueva zona e introduzca la información de la zona:

    Opción Descripción
    Zona Nombre que aparece en la consola de administración de ShareFile.
    Controlador de zona principal El valor predeterminado es http://localhost/ConfigService. Si usas SSL, cambia HTTP a https. Tenga en cuenta que ShareFile solo admite certificados SSL públicos válidos y confiables para las zonas estándar. Si tiene problemas para configurar un host de zona de almacenamiento secundario, asegúrese de poder resolver la URL de ConfigService en un navegador local de ese servidor, sin errores de SSL. localhost resuelve en la dirección IP del servidor. En su lugar, puede especificar un nombre de servidor (por ejemplo https://servername.subdomain.com/ConfigService). El nombre del servidor debe poder resolverlo un servidor StorageZones Controller secundario.
    Nombre de host Un identificador único para su controlador de zonas de almacenamiento. ShareFile recomienda usar el nombre de host del servidor como identificador. Debe ser un nombre descriptivo y no el FQDN. Este nombre aparece en la consola de administrador de ShareFile.
    Dirección externa El FQDN de este controlador de zonas de almacenamiento. Si este controlador de zonas de almacenamiento se va a utilizar para zonas estándar, se debe poder acceder a la URL desde Internet. Si utilizas un balanceador de cargas, introduce su dirección. Al enviar la página, ShareFile valida la dirección.
  12. Para especificar el almacenamiento privado de datos, haga lo siguiente.

    • Seleccione la casilla de verificación Habilitar zonas de almacenamiento para ShareFile Data.

    • Para configurar una zona estándar, desactive la casilla.

    Nota:

    Después de configurar un StorageZones Controller, no puede cambiar su tipo de zona.

    El StorageZones Controller usa las credenciales de la cuenta de servicio para conectarse al servidor de dominio Active Directory de confianza para buscar direcciones de correo electrónico.

    • Elija un repositorio de almacenamiento.
  13. Si no desea habilitar los conectores de zonas de almacenamiento, haga clic en Registrar para registrar StorageZones Controller con ShareFile y, a continuación, continúe con el paso 14.

  14. Si utiliza un almacenamiento compatible con S3, cree estas entradas de registro adicionales después de que se registre la zona de almacenamiento:

    • Abra el Editor del Registro de Windows (Ejecutar > regedit.exe).

    • Busque la clave del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\storage zone\CloudStorageUploaderConfig.

    • Cree un nuevo valor REG_SZ bajo esta clave:

      • Nombre del valor: S3EndpointAddress
      • Tipo de valor: REG_SZ
      • Datos de valor: introduzca la URL HTTPS que corresponde a su punto final de almacenamiento compatible con S3.
    • Si el proveedor de almacenamiento solo admite el acceso a contenedores tipo ruta (consulte http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.html), cree otro valor con esta clave.

      • Nombre del valor: S3ForcePathStyle
      • Tipo de valor: REG_SZ
      • Datos de valor: verdaderos
    • Reinicie el grupo de aplicaciones del controlador de zonas de almacenamiento (StorageCenterAppPool).

  15. Para habilitar los conectores de zonas de almacenamiento:

    Al habilitar los conectores, se crean las aplicaciones de IIS «cifs» (conector para recursos compartidos de archivos de red) y «sp» (conector para SharePoint).

    • Seleccione la casilla de verificación de cada tipo de conector que desee usar: Habilitar el conector de zona de almacenamiento para recursos compartidos de archivos de red y Habilitar el conector de zona de almacenamiento para SharePoint. Para obtener información sobre la configuración de los conectores, consulte Configurar conectores de zonas de almacenamiento, en esta sección.

    • Haga clic en Registrar. Aparece la información del controlador de zonas de almacenamiento.

    • Si especificó rutas permitidas o rutas denegadas para los conectores de zonas de almacenamiento, reinicie el servidor IIS.

  16. Para configurar los controladores de zonas de almacenamiento secundarios, consulte Administrar los controladores de zonas de almacenamiento.

Importante:

Se instala un controlador de zonas de almacenamiento en su sitio local y usted es responsable de realizar una copia de seguridad. Para proteger su implementación, debe tomar una instantánea del servidor de StorageZones Controller, hacer una copia de seguridad de la configuración de StorageZones Controllery preparar StorageZones Controller para la recuperación ante desastres.

Configurar zonas de almacenamiento para ShareFile Data

Nota:

Las zonas de almacenamiento para ShareFile Data están disponibles para Citrix Endpoint Management Enterprise Edition y no están disponibles para otras ediciones de Citrix Endpoint Management.

Puede configurar zonas de almacenamiento para ShareFile Data desde el asistente del controlador de zonas de almacenamiento al crear una zona de almacenamiento o desde la consola del controlador de zonas de almacenamiento. Utilice la pestaña ShareFile Data para configurar los ajustes de los recursos compartidos de redes privadas o los sistemas de almacenamiento de terceros compatibles.

Configuración de redes compartidas

Opción Descripción
repositorio de almacenamiento Elige Compartir red local. Después de crear la zona, no puede cambiar la opción Repositorio de almacenamiento. Por ejemplo, para cambiar de un recurso compartido de red local a un almacenamiento de terceros, debe crear una nueva zona.
Ubicación de red compartida La ruta UNC al recurso compartido de red que utilizará para el almacenamiento de datos privados y para datos como claves de cifrado, archivos en cola y otros elementos temporales. Especifique la ruta en el formulario \\server\share. Los controladores de zonas de almacenamiento que pertenezcan a la misma zona de almacenamiento deben utilizar el mismo recurso compartido de archivos para el almacenamiento. Precaución: el controlador de zonas de almacenamiento sobrescribirá cualquier dato de esta ruta con un formato de almacenamiento propietario. Nunca especifique una ruta de acceso a una ubicación con datos de archivo. Reserve esta ubicación de almacenamiento para las zonas de almacenamiento únicamente para los datos de ShareFile. Los controladores de zonas de almacenamiento acceden al recurso compartido de red mediante el nombre de usuario y la contraseña de Network Share que se proporcionan en la página de configuración. Si no se proporciona ningún nombre de usuario o contraseña de Network Share en la página de configuración, la cuenta de Network Service se utilizará de forma predeterminada. La cuenta del servicio de red debe tener acceso total a esta ubicación de almacenamiento. El controlador de zonas de almacenamiento también utilizará la cuenta de servicio de red de forma predeterminada para StorageCenterAppPool. Es importante tener en cuenta que la única configuración admitida es usar la cuenta de servicio de red.
Nombre de usuario de Network Share y contraseña de Network Share Las credenciales de la ruta UNC de la ubicación de su red compartida. Para usar una cuenta de usuario nominal en lugar de la cuenta del Servicio de red para acceder al recurso compartido, especifique esas credenciales. Puede seguir ejecutando el grupo de aplicaciones de IIS y los servicios de ShareFile mediante la cuenta de servicio de red.
Habilitar cifrado Seleccione la casilla de verificación solo si desea cifrar el contenido de los archivos almacenados en el recurso compartido de archivos. En un entorno empresarial en el que el recurso compartido de red se encuentra dentro de la red y ya está protegido por herramientas de terceros, se recomienda no cifrar los archivos del recurso compartido. Esta configuración no está relacionada con los metadatos. Los metadatos no están cifrados para las zonas estándar. Aunque esta seguridad adicional se ofrece como una opción para la máxima seguridad cuando sea necesario, el cifrado de archivos en el recurso compartido hará que el disco sea ilegible por herramientas de terceros, como escáneres antivirus y herramientas de filer, incluidas las herramientas de deduplicación de datos. ShareFile utiliza una clave de cifrado de archivos para confirmar la validez de las solicitudes de descarga y cifrar el almacenamiento.
Frase secreta Frase utilizada para proteger la clave de cifrado de archivos. La contraseña debe contener más de seis caracteres. Asegúrese de archivar la frase de contraseña y la clave de cifrado en una ubicación segura. Debe usar la misma frase de contraseña para cada controlador de zonas de almacenamiento de una zona. La frase de contraseña no es la misma que la contraseña de su cuenta y no se puede recuperar si se pierde. Si pierde la frase de contraseña, no puede reinstalar zonas de almacenamiento, unir controladores de zonas de almacenamiento adicionales a la zona de almacenamiento ni recuperar la zona de almacenamiento si el servidor falla. Nota: La clave de cifrado aparece en la raíz de la ruta de almacenamiento compartido. La pérdida del archivo de clave de cifrado, SCKeys.txt, interrumpe inmediatamente el acceso a todos los archivos de la zona de almacenamiento. Asegúrese de hacer una copia de seguridad del archivo de clave de cifrado como parte de los procedimientos normales de su centro de datos.

Opciones de configuración de caché compartida

Opción Descripción
Ubicación de caché compartida la ruta a un recurso compartido de red que contendrá la memoria caché de almacenamiento y los datos, como las claves de cifrado, los archivos en cola y otros elementos temporales. Especifique la ruta en el formulario \\server\share. Los controladores de zonas de almacenamiento que pertenezcan a la misma zona de almacenamiento deben utilizar el mismo recurso compartido de archivos para el almacenamiento. Precaución: el controlador de zonas de almacenamiento sobrescribirá cualquier dato de esta ruta con un formato de almacenamiento propietario. Nunca especifique una ruta de acceso a una ubicación con datos de archivo. Reserve esta ubicación de almacenamiento solo para zonas de almacenamiento de datos de ShareFile. La cuenta del servicio de red (o la cuenta con la que está configurado el servicio de administración de ShareFile) debe tener acceso total a esta ubicación de almacenamiento.
Inicio de sesión en caché compartida y contraseña de caché compartida Las credenciales de la ruta UNC de su ubicación de caché compartida.
Habilitar cifrado Seleccione la casilla de verificación para cifrar los archivos almacenados en la memoria caché compartida.

Configuración del contenedor de almacenamiento de Windows Azure

Opción Descripción
repositorio de almacenamiento Elija el contenedor de almacenamiento de Azure. Después de crear la zona, no puede cambiar la opción Repositorio de almacenamiento. Por ejemplo, para cambiar de un recurso compartido de red local a un almacenamiento basado en Azure, debe crear una nueva zona.
Nombre de cuenta El nombre de su cuenta de almacenamiento de Azure. Estos nombres siempre están en minúsculas.
Clave de acceso La clave de acceso principal o secundaria de su almacenamiento de Azure. Copie la clave de la pantalla Administrar claves de acceso del Portal de administración de Windows Azure.
Validar Haga clic en el botón para validar la clave de acceso de Azure. No puede continuar con la configuración hasta que se complete la validación y el menú Nombre del contenedor incluya todos los contenedores disponibles para la cuenta especificada.
Nombre del contenedor Seleccione el contenedor de Azure que se usará para todos los controladores de zonas de almacenamiento de esta zona de almacenamiento. Esta lista estará vacía hasta que se valide la clave de acceso de Azure.

Configuración del depósito de almacenamiento de Amazon S3

Opción Descripción
repositorio de almacenamiento Elija el depósito de almacenamiento de Amazon S3. Después de crear la zona, no puede cambiar la opción Repositorio de almacenamiento. Por ejemplo, para cambiar de un recurso compartido de red local al almacenamiento de Amazon S3, debe crear una nueva zona.
ID de clave de acceso El ID de la clave de acceso de su almacenamiento de Amazon S3.
Clave de acceso secreta La clave de acceso secreta para su almacenamiento en Amazon S3.
Validar Haga clic en el botón para validar la clave de acceso secreta de Amazon S3. No puede continuar con la configuración hasta que se complete la validación y el menú Nombre del depósito incluya todos los depósitos disponibles para la cuenta especificada.
Nombre del depósito Seleccione el bucket de Amazon S3 para usarlo en todos los controladores de zonas de almacenamiento de esta zona de almacenamiento. Esta lista estará vacía hasta que se valide la clave de acceso secreta de Amazon S3.

Configuración de SMTP

Opción Descripción
Dirección del servidor SMTP y número de puerto SMTP El nombre de host y el puerto del servidor SMTP local.
Usa SSL Seleccione la casilla para conectarse al servidor SMTP a través de una conexión segura.
Nombre de usuario y contraseña El nombre de usuario y la contraseña del servidor SMTP local.
Modo de autenticación El modo de autenticación predeterminado utiliza el método más seguro disponible para conectarse desde el StorageZones Controller al servidor SMTP.
Dirección del remitente La dirección de correo electrónico que aparece en el campo De.

Plataforma Google Cloud

Genera una clave de acceso y un secreto desde Google Cloud Platform > Configuración > Interoperabilidad.

Antes de ejecutar StorageZones Configuration, defina el valor de registro de S3EndpointAddress en https://storage.googleapis.com y, a continuación, reinicie IIS.

Opción 1

Descripción

Repositorio de almacenamiento

Elija el depósito de almacenamiento de Amazon S3. Después de crear la zona, no puede cambiar la opción Repositorio de almacenamiento. Por ejemplo, para cambiar de un recurso compartido de red local al almacenamiento de Amazon S3, debe crear una nueva zona.

ID de clave de acceso

El ID de la clave de acceso de tu almacenamiento de Google Cloud Platform.

Clave de acceso secreta

El secreto de tu almacenamiento en Google Cloud Platform.

Validar

Haz clic en el botón para validar la clave de acceso secreta de Google Cloud Platform. No puede continuar con la configuración hasta que se complete la validación y la lista de nombres de bucket incluya todos los buckets disponibles para la cuenta especificada.

Nombre del depósito

Seleccione el depósito correcto para usar en todos los controladores de zonas de almacenamiento de esta zona de almacenamiento. Esta lista estará vacía hasta que se valide tu clave de acceso secreta de Google Cloud Platform.

Configurar conectores de zonas de almacenamiento

Los conectores de zonas de almacenamiento permiten a los usuarios acceder a los documentos de los sitios de SharePoint o a los recursos compartidos de archivos de red específicos. No es necesario habilitar las zonas de almacenamiento para que ShareFile Data utilice conectores de zonas de almacenamiento.

Nota:

Las zonas de almacenamiento para ShareFile Data y las funciones de los conectores de zonas de almacenamiento pueden compartir una zona. Sin embargo, el controlador de zonas de almacenamiento mantiene separados los datos y las reglas de acceso para los dos tipos de datos.

Puede configurar los conectores de zonas de almacenamiento al crear una zona mediante el asistente del controlador de zonas de almacenamiento o desde la consola del controlador de zonas de almacenamiento.

Para controlar el acceso a determinados recursos compartidos de archivos de red o bibliotecas de documentos de SharePoint, especifique una lista de rutas permitidas o rutas denegadas. Después de guardar los cambios, reinicie el servidor IIS.

Las conexiones entrantes a los conectores de zonas de almacenamiento se comprueban primero con las rutas permitidas. Si se permite la conexión, la ruta se compara con las rutas denegadas. Por ejemplo, para proporcionar acceso a \\myserver\teamshare y a todas sus subcarpetas, especifique una ruta permitida de \\myserver\teamshare.

  • Todas las conexiones están permitidas de forma predeterminada, lo que se indica con un valor de rutas permitidas. El valor no es válido para las rutas denegadas.

  • Si las rutas permitidas y denegadas entran en conflicto, se aplica la ruta más restrictiva.

  • Las entradas están separadas por comas.

  • Para los conectores a los recursos compartidos de archivos de red, especifique las rutas UNC permitidas.

    Ejemplo con FQDN: \\fileserver.acme.com\shared

    Puede utilizar las siguientes variables en la ruta de acceso UNC:

    • %Nombre de usuario%

      Redirige al directorio principal de un usuario. Ruta de ejemplo: \\myserver\homedirs\%UserName%

    • %HomeDrive%

      Redirige a la ruta de acceso a la carpeta principal de un usuario, tal y como se define en la propiedad de Active Directory Home-Directory. Ruta de ejemplo: %HomeDrive%

    • %TSHomeDrive%

      Redirige al directorio principal de Terminal Services de un usuario, tal como se define en la propiedad MS-TS-Home-Directory de Active Directory. La ubicación se usa cuando un usuario inicia sesión en Windows desde un servidor Terminal Server o un servidor Citrix XenApp. Ruta de ejemplo: %tsHomeDrive%

      En el complemento Usuarios y equipos de Active Directory, se puede acceder al valor del directorio principal de MS-TS en la pestaña Perfil de servicios de escritorio remoto al editar un objeto de usuario.

    • %Dominio de usuario%

      Redirige al nombre de dominio NetBIOS del usuario autenticado. Por ejemplo, si el nombre de inicio de sesión del usuario autenticado es «abc\ johnd», la variable se sustituye por «abc». Ruta de ejemplo: \\myserver%UserDomain%_%UserName%

    Las variables no distinguen mayúsculas y minúsculas

  • Para un conector a un sitio de SharePoint de nivel raíz, especifique la ruta de acceso de nivel raíz.

    Ejemplo:https://sharepoint.company.com

  • Para un conector a una colección de sitios de SharePoint:

    Ejemplo:https://sharepoint.company.com/site/SiteCollection

  • Para los conectores a las bibliotecas de documentos de SharePoint 2010, especifique las URL (sin incluir los terminadores de rutas, como file.aspx o /Forms).

    Ejemplos:

    • https://mycompany.com/sharepoint/
    • https://mycompany.com/sharepoint/sales-team/Shared Documents/
    • https://mycompany.com/sharepoint/sales-team/Shared Documents/Forms/AllItems.aspx

    La URL predeterminada de SharePoint 2013 (cuando la estrategia de descarga mínima está habilitada) tiene el formato: https://sharepoint.company.com/\_layouts/15/start.aspx\#/Shared%20Documents/.

Recomendación de seguridad para eliminar el encabezado del servidor

IIS/ASP.NET expone de forma predeterminada el encabezado del servidor en las respuestas HTTP. Este encabezado podría resultar útil para un atacante. El encabezado revela el tipo de servidor de envío y, en algunos casos, el número de versión. Este encabezado no es necesario para los sitios de producción y se puede deshabilitar.

Lamentablemente, el instalador del controlador de zonas de almacenamiento no puede eliminar este encabezado automáticamente. Sin embargo, podemos recomendar a los clientes que eliminen este encabezado en nuestra guía de documentación e instalación del controlador de zonas de almacenamiento.

Consulte el siguiente artículo para conocer los pasos específicos que debemos proporcionar en nuestra documentación: https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/

Instalar el controlador de zonas de almacenamiento y crear una zona de almacenamiento