Installer StorageZones Controller et créer une zone de stockage
Important :
Vérifiez que votre environnement répond à la configuration requise avant de démarrer l’installation.
Le contrôleur de zones de stockage ShareFile utilise des mots de passe spécifiques à l’application. Pour plus d’informations, voir Création d’un mot de passe spécifique à l’application.
Lorsque vous installez un StorageZones Controller, vous créez une zone et configurez un StorageZones Controller principal ou vous associez des StorageZones Controller secondaires à une zone.
Lors de la configuration d’un StorageZones Controller principal, vous pouvez activer l’une des fonctionnalités suivantes ou les deux :
- Zones de stockage pour ShareFile Data, afin de spécifier un stockage de données privé, qu’il s’agisse d’un partage réseau privé ou d’un système de stockage tiers pris en charge.
- Connecteurs de zone de stockage, pour permettre aux utilisateurs d’accéder à des documents sur des sites SharePoint ou des partages de fichiers réseau spécifiés.
Les étapes suivantes décrivent comment installer le StorageZones Controller, configurer l’authentification pour le site Web IIS par défaut, créer une zone et activer les fonctionnalités.
-
Téléchargez et installez le logiciel du StorageZones Controller :
- Sur la page de téléchargement de ShareFile à l’adresse https://dl.sharefile.com/storagezone-controller, connectez-vous et téléchargez le dernier programme d’installation du StorageZones Controller.
Remarque :
Lors de l’installation du StorageZones Controller, le site Web par défaut du serveur est remplacé par le chemin d’installation du contrôleur.
L’authentification anonyme doit être activée sur le site Web par défaut.
-
Sur le serveur sur lequel vous souhaitez installer le StorageZones Controller, exécutez StorageCenter.msi.
-
L’assistant de configuration du contrôleur de zones de stockage ShareFile démarre.
-
Pour le multitenant, exécutez la commande suivante : msiexec/i StorageCenter_5.0.1.msi MULTITENANT=1
Remarque :
Dans la commande précédente, vous devrez peut-être mettre à jour le numéro de version (5.0.1 dans l’exemple) pour qu’il corresponde au numéro de msi que vous essayez d’installer.
- Répondez aux invites. Une fois l’installation terminée, désactivez la case à cocher correspondant à la page de configuration du Launch StorageZones Controller, puis cliquez sur Terminer.
-
-
Redémarrez le StorageZones Controller.
-
Pour vérifier que l’installation est réussie, accédez à
http://localhost/
. Si l’installation est réussie, le logo de ShareFile s’affiche. -
Si le logo de ShareFile n’apparaît pas, désactivez le cache du navigateur et essayez à nouveau.
Important :
Si vous prévoyez de cloner le StorageZones Controller, capturez l’image de disque avant de procéder à la configuration du StorageZones Controller.
-
Pour utiliser un fournisseur de stockage compatible S3 avec ShareFile, effectuez les étapes suivantes avant de créer ou de configurer une zone de stockage.
-
Ouvrez l’Éditeur du Registre Windows (Exécuter > regedit.exe).
-
Recherchez la clé de registre HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Citrix \ StorageCenter.
-
Créez une nouvelle valeur REG_SZ sous cette clé :
- Nom de la valeur : S3EndPointAddress
- Type de valeur : REG_SZ
- Données de valeur : entrez l’URL HTTPS qui correspond à votre point de terminaison de stockage compatible S3.
-
Si le fournisseur de stockage ne prend en charge que l’accès aux conteneurs de type chemin (voir http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.html), créez une autre valeur sous cette clé.
- Nom de la valeur : S3ForcePathStyle
- Type de valeur : REG_SZ
- Données de valeur : true
-
Redémarrez le pool d’applications StorageZones Controller (StorageCenterAppPool).
-
Recueillez les informations suivantes à partir de votre système de stockage compatible S3 :
- Le nom d’un compartiment S3 à utiliser pour l’ID de clé ShareFile DataAccess
- ID de clé d’accès
- Clé d’accès secrète
-
-
Procédez comme suit pour créer une nouvelle zone de stockage. Choisissez Amazon S3 comme emplacement de stockage persistant. StorageZones Controller utilise l’adresse de point de terminaison personnalisée que vous avez saisie au lieu du service Amazon S3 proprement dit. Lors de la configuration des détails S3, choisissez le nom du compartiment que vous avez créé précédemment.
-
Accédez à la console StorageZones Controller.
-
Ouvrez
http://localhost/configservice/login.aspx
ou démarrez l’outil de configuration depuis l’écran ou le menu Démarrer. Pour plus d’informations sur l’utilisation du raccourci de l’écran d’accueil dans Windows 8, voir Gérer les StorageZones Controller. -
Sur la page d’ouverture de session du StorageZones Controller, entrez l’adresse e-mail, le mot de passe et le sous-domaine complet du sous-domaine FQDN de l’URL du compte, tel que
subdomain.sharefile.com
ousubdomain.sharefile.eu
, pour votre compte. Cliquez sur Ouvrir une session. -
Pour configurer votre StorageZones Controller principal, cliquez sur Créer une nouvelle zone et fournissez les informations de zone :
Option Description Zone Nom qui apparaît dans la console ShareFile Administrator. Contrôleur de zone principal Valeur par défaut http://localhost/ConfigService
. Si vous utilisez le protocole SSL, remplacez HTTP par https. N’oubliez pas que ShareFile ne prend en charge que les certificats SSL publics valides et fiables pour les zones standard. Si vous rencontrez des problèmes lors de la configuration d’un hôte de zone de stockage secondaire, assurez-vous de pouvoir résoudre l’URL ConfigService dans un navigateur local sur ce serveur, sans erreur SSL. localhost renvoie l’adresse IP du serveur. Vous pouvez spécifier un nom de serveur à la place (par exemplehttps://servername.subdomain.com/ConfigService
). Le nom du serveur doit pouvoir être résolu par un serveur StorageZones Controller secondaire.Nom d’hôte Identifiant unique pour votre StorageZones Controller. ShareFile vous recommande d’utiliser le nom d’hôte du serveur comme identifiant. Il doit s’agir d’un nom convivial et non du nom de domaine complet. Ce nom apparaît dans la console ShareFile Administrator. Adresse externe Le nom de domaine complet de ce StorageZones Controller. Si ce StorageZones Controller doit être utilisé pour les zones standard, l’URL doit être accessible depuis Internet. Si vous utilisez un équilibreur de charge, entrez son adresse. Lorsque vous soumettez la page, ShareFile valide l’adresse. -
Pour spécifier un stockage de données privé, procédez comme suit.
-
Cochez la case Activer les zones de stockage pour les données ShareFile.
-
Pour configurer une zone standard, désactivez la case à cocher.
Remarque :
Une fois que vous avez configuré un StorageZones Controller, vous ne pouvez pas modifier son type de zone.
Le StorageZones Controller utilise les informations d’identification du compte de service pour se connecter au serveur de domaine Active Directory approuvé afin de rechercher une adresse e-mail.
- Choisissez un référentiel de stockage.
-
-
Si vous ne souhaitez pas activer les StorageZone Connectors, cliquez sur Enregistrer pour enregistrer StorageZones Controller auprès de ShareFile, puis passez à l’étape 14.
-
Si vous utilisez un stockage compatible S3, créez ces entrées de registre supplémentaires après les registres de la zone de stockage :
-
Ouvrez l’Éditeur du Registre Windows (Exécuter > regedit.exe).
-
Trouvez la clé de registre
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\storage zone\CloudStorageUploaderConfig
. -
Créez une nouvelle valeur REG_SZ sous cette clé :
- Nom de la valeur : S3EndPointAddress
- Type de valeur : REG_SZ
- Données de valeur : entrez l’URL HTTPS qui correspond à votre point de terminaison de stockage compatible S3.
-
Si le fournisseur de stockage ne prend en charge que l’accès aux conteneurs de type chemin (voir http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.html), créez une autre valeur sous cette clé.
- Nom de la valeur : S3ForcePathStyle
- Type de valeur : REG_SZ
- Données de valeur : true
-
Redémarrez le pool d’applications StorageZones Controller (StorageCenterAppPool).
-
-
Pour activer les connecteurs StorageZone, procédez comme suit :
L’activation des connecteurs crée les applications IIS « cifs » (connecteur pour les partages de fichiers réseau) et « sp » (connecteur pour SharePoint).
-
Cochez la case correspondant à chaque type de connecteur que vous souhaitez utiliser : Activer le connecteur de zone de stockage pour les partages de fichiers réseau et Activer le connecteur de zone de stockage pour SharePoint. Pour plus d’informations sur les paramètres du connecteur, consultez la section Configuration des connecteurs de zone de stockagedans cette section.
-
Cliquez sur Enregistrer. Les informations relatives à votre StorageZones Controller apparaissent.
-
Si vous avez spécifié des chemins autorisés ou des chemins refusés pour les connecteurs de zone de stockage, redémarrez le serveur IIS.
-
-
Pour configurer les StorageZones Controller secondaires, reportez-vous à la section Gérer les StorageZones Controller.
Important :
Un StorageZones Controller est installé sur votre site local et vous êtes responsable de sa sauvegarde. Pour protéger votre déploiement, vous devez prendre un instantané du serveur StorageZones Controller, sauvegarder la configuration du StorageZones Controlleret préparer StorageZones Controller pour la reprise après sinistre.
Configuration des zones de stockage pour ShareFile Data
Remarque :
Les zones de stockage pour les données ShareFile sont disponibles pour Citrix Endpoint Management Enterprise Edition et ne sont pas disponibles pour les autres éditions de Citrix Endpoint Management.
Vous pouvez configurer des zones de stockage pour ShareFile Data depuis l’assistant StorageZones Controller lorsque vous créez une zone de stockage ou depuis la console StorageZones Controller. Utilisez l’onglet ShareFile Data pour configurer les paramètres des partages réseau privés ou des systèmes de stockage tiers pris en charge.
Paramètres de partage réseau
Option | Description |
---|---|
Dépôt de stockage | Choisissez Partage réseau local. Après avoir créé la zone, vous ne pouvez pas modifier l’option Référentiel de stockage. Par exemple, pour passer d’un partage réseau local à un stockage tiers, vous devez créer une nouvelle zone. |
Emplacement du partage réseau | Le chemin UNC vers le partage réseau que vous utiliserez pour le stockage de données privées et pour des données telles que les clés de chiffrement, les fichiers en file d’attente et d’autres éléments temporaires. Spécifiez le chemin dans le formulaire \\server\share . Les contrôleurs de zones de stockage appartenant à la même zone de stockage doivent utiliser le même partage de fichiers pour le stockage. Attention : StorageZones Controller remplacera toutes les données de ce chemin par un format de stockage propriétaire. Ne spécifiez jamais de chemin d’accès à un emplacement contenant des données de fichier. Réservez cet emplacement de stockage pour les zones de stockage pour les données ShareFile uniquement. Les contrôleurs de zones de stockage accèdent au partage réseau à l’aide du nom d’utilisateur/mot de passe de partage réseau fourni sur la page de configuration. Si aucun nom d’utilisateur/mot de passe Network Share n’est fourni sur la page de configuration, le compte Network Service sera utilisé par défaut. Le compte Network Service doit disposer d’un accès complet à cet emplacement de stockage. Le StorageZones Controller utilisera également le compte de service réseau par défaut pour le StorageCenterAppPool. Il est important de noter que la seule configuration prise en charge est l’utilisation du compte Network Service. |
Nom d’utilisateur et mot de passe Network Share | Les informations d’identification du chemin UNC de votre emplacement de partage réseau. Pour utiliser un compte utilisateur nommé au lieu du compte de service réseau pour accéder au partage, spécifiez ces informations d’identification. Vous pouvez continuer à exécuter le pool d’applications IIS et les services ShareFile à l’aide du compte Network Service. |
Activer le chiffrement | Cochez la case uniquement si vous souhaitez chiffrer le contenu du fichier stocké sur votre partage de fichiers. Dans un environnement d’entreprise où le partage réseau se trouve à l’intérieur de votre réseau et est déjà sécurisé par des outils tiers, nous vous recommandons de ne pas chiffrer les fichiers du partage. Ce paramètre ne concerne pas les métadonnées. Les métadonnées ne sont pas cryptées pour les zones standard. Bien que cette sécurité supplémentaire soit proposée en option pour une sécurité maximale lorsque cela est nécessaire, le chiffrement des fichiers sur le partage rendra le disque illisible par des outils tiers tels que des scanners antivirus et des outils de gestion de fichiers, y compris des outils de déduplication de données. ShareFile utilise une clé de chiffrement de fichier pour confirmer la validité des demandes de téléchargement et chiffrer le stockage. |
Phrase secrète | Expression utilisée pour protéger votre clé de chiffrement de fichier. La phrase secrète doit contenir plus de six caractères. Veillez à archiver la phrase secrète et la clé de chiffrement dans un emplacement sécurisé. Vous devez utiliser la même phrase secrète pour chaque StorageZones Controller d’une zone. La phrase secrète n’est pas la même que le mot de passe de votre compte et ne peut pas être récupérée en cas de perte. Si vous perdez la phrase secrète, vous ne pouvez pas réinstaller des zones de stockage, joindre des StorageZones Controller supplémentaires à la zone de stockage ou récupérer la zone de stockage en cas de défaillance du serveur. Remarque : La clé de chiffrement apparaît à la racine du chemin de stockage partagé. La perte du fichier de clé de chiffrement, SCKeys.txt, interrompt immédiatement l’accès à tous les fichiers de zone de stockage. Veillez à sauvegarder le fichier de clé de chiffrement dans le cadre des procédures habituelles de votre centre de données. |
Paramètres de configuration du cache partagé
Option | Description |
---|---|
Emplacement du cache partagé | le chemin d’accès à un partage réseau qui contiendra votre cache de stockage et des données telles que des clés de chiffrement, des fichiers en file d’attente et d’autres éléments temporaires. Spécifiez le chemin dans le formulaire \\server\share . Les contrôleurs de zones de stockage appartenant à la même zone de stockage doivent utiliser le même partage de fichiers pour le stockage. Attention : StorageZones Controller remplacera toutes les données de ce chemin par un format de stockage propriétaire. Ne spécifiez jamais de chemin d’accès à un emplacement contenant des données de fichier. Réservez cet emplacement de stockage pour les zones de stockage réservées à ShareFile Data uniquement. Le compte Network Service (ou le compte sous lequel le ShareFile Management Service est configuré pour fonctionner) doit disposer d’un accès complet à cet emplacement de stockage. |
Connexion au cache partagé et mot de passe du cache partagé | Les informations d’identification du chemin UNC de votre emplacement de cache partagé. |
Activer le chiffrement | Cochez la case pour chiffrer les fichiers stockés dans votre cache partagé. |
Paramètres du conteneur de stockage Windows Azure
Option | Description |
---|---|
Dépôt de stockage | Choisissez Azure Storage Container. Après avoir créé la zone, vous ne pouvez pas modifier l’option Référentiel de stockage. Par exemple, pour passer d’un partage réseau local à un stockage basé sur Azure, vous devez créer une nouvelle zone. |
Account Name | Le nom de votre compte de stockage Azure. Ces noms sont toujours en minuscules. |
Clé d’accès | La clé d’accès principale ou secondaire pour votre stockage Azure. Copiez la clé depuis l’écran Gérer les clés d’accès du portail de gestion Windows Azure. |
Valider | Cliquez sur le bouton pour valider la clé d’accès Azure. Vous ne pouvez pas poursuivre la configuration tant que la validation n’est pas terminée et que le menu Nom du conteneur inclut tous les conteneurs disponibles pour le compte spécifié. |
Nom du conteneur | Sélectionnez le conteneur Azure à utiliser pour tous les StorageZones Controller de cette zone de stockage. Cette liste est vide jusqu’à ce que votre clé d’accès Azure soit validée. |
Paramètres du compartiment de stockage Amazon S3
Option | Description |
---|---|
Dépôt de stockage | Choisissez le compartiment de stockage Amazon S3. Après avoir créé la zone, vous ne pouvez pas modifier l’option Référentiel de stockage. Par exemple, pour passer d’un partage réseau local à un stockage Amazon S3, vous devez créer une nouvelle zone. |
ID de clé d’accès | L’ID de clé d’accès pour votre stockage Amazon S3. |
Clé d’accès secret | La clé d’accès secrète pour votre espace de stockage Amazon S3. |
Valider | Cliquez sur le bouton pour valider la clé d’accès secrète Amazon S3. Vous ne pouvez pas poursuivre la configuration tant que la validation n’est pas terminée et que le menu Nom du compartiment n’inclut pas tous les compartiments disponibles pour le compte spécifié. |
Nom du compartiment | Sélectionnez le compartiment Amazon S3 à utiliser pour tous les StorageZones Controller de cette zone de stockage. Cette liste est vide jusqu’à ce que votre clé d’accès secrète Amazon S3 soit validée. |
Paramètres SMTP
Option | Description |
---|---|
Adresse du serveur SMTP et numéro de port SMTP | Le nom d’hôte et le port de votre serveur SMTP local. |
Utiliser le protocole SSL | Cochez la case pour vous connecter au serveur SMTP via une connexion sécurisée. |
Nom d’utilisateur et mot de passe | Nom d’utilisateur et mot de passe de votre serveur SMTP local. |
Mode d’authentification | Le mode d’authentification par défaut utilise la méthode la plus sécurisée disponible pour se connecter entre le StorageZones Controller et le serveur SMTP. |
Adresse de l’expéditeur | Adresse e-mail qui apparaît dans le champ De. |
Plateforme Google Cloud
Générez une clé d’accès et un secret depuis Google Cloud Platform > Paramètres > Interopérabilité.
Avant d’exécuter la configuration des zones de stockage, définissez la valeur de registre S3EndpointAddress sur, https://storage.googleapis.com
puis redémarrez IIS.
Option 1
Description
Référentiel de stockage
Choisissez le compartiment de stockage Amazon S3. Une fois la zone créée, vous ne pouvez pas modifier l’option Référentiel de stockage. Par exemple, pour passer d’un partage réseau local à un stockage Amazon S3, vous devez créer une nouvelle zone.
ID de clé d’accès
L’identifiant de la clé d’accès de votre espace de stockage Google Cloud Platform.
Clé d’accès secret
Le secret de votre stockage sur Google Cloud Platform.
Valider
Cliquez sur le bouton pour valider la clé d’accès secrète de Google Cloud Platform. Vous ne pouvez pas poursuivre la configuration tant que la validation n’est pas terminée et que la liste des noms des compartiments inclut tous les compartiments disponibles pour le compte spécifié.
Nom du compartiment
Sélectionnez le compartiment approprié à utiliser pour tous les StorageZones Controller de cette zone de stockage. Cette liste est vide jusqu’à ce que votre clé d’accès secrète à Google Cloud Platform soit validée.
Configuration des connecteurs de zone de stockage
Les connecteurs de zone de stockage permettent aux utilisateurs d’accéder à des documents sur des sites SharePoint ou à des partages de fichiers réseau spécifiques. Il n’est pas nécessaire d’activer les zones de stockage pour que ShareFile Data utilise les StorageZone Connectors.
Remarque :
Les zones de stockage pour ShareFile Data et les fonctionnalités des connecteurs StorageZones peuvent partager une zone. Cependant, StorageZones Controller sépare les données et les règles d’accès pour les deux types de données.
Vous pouvez configurer les connecteurs StorageZone lorsque vous créez une zone à l’aide de l’assistant StorageZones Controller ou de la console StorageZones Controller.
Pour contrôler l’accès à des partages de fichiers réseau ou à des bibliothèques de documents SharePoint spécifiques, spécifiez une liste de chemins autorisés ou refusés. Après avoir enregistré vos modifications, redémarrez le serveur IIS.
Les connexions entrantes aux connecteurs de zone de stockage sont d’abord vérifiées par rapport aux chemins autorisés. Si la connexion est autorisée, le chemin est ensuite comparé aux chemins refusés. Par exemple, pour donner accès à \\myserver\teamshare
et à tous ses sous-dossiers, spécifiez un chemin autorisé de \\myserver\teamshare
.
-
Toutes les connexions sont autorisées par défaut, comme indiqué par la valeur Allowed Paths. La valeur n’est pas valide pour les chemins refusés.
-
Si les chemins autorisés et refusés entrent en conflit, le chemin le plus restrictif est appliqué.
-
Les entrées sont séparées par des virgules.
-
Pour les connecteurs vers des partages de fichiers réseau, spécifiez les chemins UNC autorisés.
Exemple avec FQDN :
\\fileserver.acme.com\shared
Vous pouvez utiliser les variables suivantes dans le chemin UNC :
-
%Nom d’utilisateur%
Redirige vers le répertoire personnel d’un utilisateur. Exemple de chemin :
\\myserver\homedirs\%UserName%
-
%HomeDrive%
Redirige vers le chemin d’accès du dossier d’accueil d’un utilisateur, tel que défini dans la propriété Répertoire d’accueil Active Directory. Exemple de chemin :
%HomeDrive%
-
%TSHomeDrive%
Redirige vers le répertoire personnel des services Terminal Server d’un utilisateur, tel que défini dans la propriété Active Directory MS-TS-Home-Directory. L’emplacement est utilisé lorsqu’un utilisateur ouvre une session Windows à partir d’un serveur Terminal Server ou d’un serveur Citrix XenApp. Exemple de chemin : %TSHomeDrive%
Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, la valeur MS-TS-Home-Directory est accessible dans l’onglet Profil des services Remote Desktop lors de la modification d’un objet utilisateur.
-
%Domaine utilisateur%
Redirige vers le nom de domaine NetBIOS de l’utilisateur authentifié. Par exemple, si le nom de connexion de l’utilisateur authentifié est « abc \ johnd », la variable est remplacée par « abc ». Exemple de chemin :
\\myserver%UserDomain%_%UserName%
Les variables ne sont pas sensibles à la casse.
-
-
Pour un connecteur vers un site SharePoint de niveau racine, spécifiez le chemin d’accès de niveau racine.
Exemple :
https://sharepoint.company.com
-
Pour un connecteur vers une collection de sites SharePoint :
Exemple :
https://sharepoint.company.com/site/SiteCollection
-
Pour les connecteurs vers les bibliothèques de documents SharePoint 2010, spécifiez les URL (sans compter les terminateurs de chemin, tels que file.aspx ou /Forms).
Exemples :
https://mycompany.com/sharepoint/
https://mycompany.com/sharepoint/sales-team/Shared Documents/
https://mycompany.com/sharepoint/sales-team/Shared Documents/Forms/AllItems.aspx
L’URL par défaut de SharePoint 2013 (lorsque la stratégie de téléchargement minimale est activée) se présente sous la forme :
https://sharepoint.company.com/\_layouts/15/start.aspx\#/Shared%20Documents/
.
Recommandation de sécurité pour supprimer l’en-tête du serveur
IIS/ASP.NET expose par défaut l’en-tête du serveur dans les réponses HTTP. Cet en-tête pourrait être utile à un attaquant. L’en-tête indique le type de serveur d’envoi et, dans certains cas, le numéro de version. Cet en-tête n’est pas nécessaire pour les sites de production et peut être désactivé.
Malheureusement, le programme d’installation du StorageZones Controller n’est pas en mesure de supprimer automatiquement cet en-tête. Nous pouvons toutefois recommander aux clients de supprimer cet en-tête dans notre guide de documentation/d’installation du StorageZones Controller.
Reportez-vous à l’article suivant pour connaître les étapes spécifiques que nous devons fournir dans notre documentation : https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/