安装 StorageZones Controller 并创建存储区域
重要:
在开始安装 系统要求 之前,请验证您的环境是否满足。
安装 StorageZones Controller 时,您可以创建区域并配置主 StorageZones Controller 或 将辅助 StorageZones Controller 连接到区域。
配置主 StorageZones Controller 时,您可以启用以下任一功能或两项功能:
- ShareFile Data 的存储区域,用于指定专用数据存储,可以是专用网络共享或受支持的第三方存储系统。
- 存储区域连接器,用于允许用户访问 SharePoint 站点上的文档或指定的网络文件共享。
以下步骤介绍如何安装存储区域 Controller、为 IIS 默认网站配置身份验证、创建区域以及启用功能。
-
下载并安装存储区域控制器软件:
- 从 ShareFile 下载页面中http://www.citrix.com/downloads/sharefile.html,登录并下载最新的 StorageZones Controller 安装程序。
注意:
安装存储区 Controller 会将服务器上的默认网站更改为 Controller 的安装路径。
应在默认网站上启用匿名身份验证 。
-
在要安装存储区域 Controller 的服务器上,运行 StorageCenter.msi。
-
将启动 ShareFile StorageZones Controller 安装向导。
-
对于多租户,请运行以下命令:msiexec /i StorageCenter_5.0.1.msi MULTITENANT=1
注意:
在前面的命令中,您可能需要更新版本号(示例中为 5.0.1),以匹配您尝试安装的 msi 的编号。
- 响应提示。安装完成后,清除 启动 StorageZones Controller 配置页面 的复选框,然后单击 完成 。
-
-
重新启动 StorageZones Controller。
-
要测试安装是否成功,请导航到
http://localhost/
。如果安装成功,会显示 ShareFile 徽标。 -
如果没有显示 ShareFile 徽标,请清除浏览器缓存,然后重试。
重要:
如果您打算克隆存储区域控制器,请先捕获磁盘映像,然后再继续配置存储区域控制器。
-
要在 ShareFile 中使用 S3 兼容的存储提供程序,请在创建或配置存储区域之前执行以下步骤。
-
打开 Windows 注册表编辑器(运行 > regedit.exe)。
-
找到注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\StorageCenter。
-
在此键下创建一个新的 REG_SZ 值:
- 值名称: S3EndpointAddress
- 值类型: REG_SZ
- 值数据:输入与您的 S3 兼容存储端点对应的 HTTPS URL。
-
如果存储提供程序仅支持路径样式的容器访问(请参阅 http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.html),请在此项下创建另一个值。
- 值名称: S3ForcePathStyle
- 值类型: REG_SZ
- 值数据: true
-
重新启动 StorageZones Controller 应用程序池 (StorageCenterAppPool)。
-
从 S3 兼容的存储系统中收集以下信息:
- 用于 ShareFile 数据访问密钥 ID 的 S3 存储桶的名称
- 访问密钥 ID
- 私有访问密钥
-
-
继续执行以下步骤以创建新的存储区域。选择 Amazon S3 作为永久存储位置。 StorageZones Controller 使用您输入的自定义端点地址,而不是实际的 Amazon S3 服务。配置 S3 详细信息时,请选择您之前创建的存储桶名称。
-
导航到 StorageZones Controller 控制台。
-
从“开始”屏幕
http://localhost/configservice/login.aspx
或菜单中打开或启动配置工具。有关在 Windows 8 中使用“开始”屏幕快捷方式的信息,请参阅 管理 StorageZones Controller。 -
在 StorageZones Controller 登录 页上,输入您的 帐户的电子 邮件地址 、 密码 和完整帐户 URL FQDN 子域
subdomain.sharefile.com
,如subdomain.sharefile.eu
或。单击登录。 -
要设置主 StorageZones Controller,请单击“创建新区 域”并提供区域信息:
选项 说明 区域 出现在 ShareFile 管理员控制台中的名称。 主区域 Controller 默认值为 http://localhost/ConfigService
。如果您使用 SSL,请将 HTTP 更改为 https。请记住,ShareFile 仅支持标准区域的有效、受信任的公共 SSL 证书。如果配置辅助存储区域主机时遇到问题,请确保您可以在该服务器上的本地浏览器中解析 ConfigService URL,而不会出现 SSL 错误。localhost 将解析为服务器 IP 地址。您可以改为指定服务器名称(例如https://servername.subdomain.com/ConfigService
)。服务器名称必须由辅助 StorageZones Controller 服务器解析。主机名 StorageZones Controller 的唯一标识符。ShareFile 建议您使用服务器主机名作为标识符。这应该是一个友好名称,而不是 FQDN。此名称将显示在 ShareFile 管理员控制台中。 外部地址 此 StorageZones Controller 的 FQDN。如果此 StorageZones Controller 将用于标准区域,则必须从 Internet 访问该 URL。如果您使用的是负载均衡器,请输入其地址。当您提交页面时,ShareFile 会验证该地址。 -
要指定专用数据存储,请执行以下操作。
-
选中“为 ShareFile 数据启用存储区域”复选框。
-
要配置标准区域,请清除该复选框。
注意:
配置 StorageZones Controller 后,无法更改其区域类型。
StorageZones Controller 使用服务帐户凭据连接到受信任的 Active Directory 域服务器进行电子邮件地址查找。
- 选择一个存储库。
-
-
如果您不想启用存储区域连接器,请单击“注册”以将 StorageZones Controller 注册到 ShareFile,然后继续执行步骤 14。
-
如果您使用的是 S3 兼容存储,请在存储区域注册后创建以下附加注册表项:
-
打开 Windows 注册表编辑器(运行 > regedit.exe)。
-
找到注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\storage zone\CloudStorageUploaderConfig
。 -
在此键下创建一个新的 REG_SZ 值:
- 值名称: S3EndpointAddress
- 值类型: REG_SZ
- 值数据:输入与您的 S3 兼容存储端点对应的 HTTPS URL。
-
如果存储提供程序仅支持路径样式的容器访问(请参阅 http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.html),请在此项下创建另一个值。
- 值名称: S3ForcePathStyle
- 值类型: REG_SZ
- 值数据: true
-
重新启动 StorageZones Controller 应用程序池 (StorageCenterAppPool)。
-
-
要启用存储区域连接器:
启用连接器将创建 IIS 应用程序“cifs”(用于网络文件共享的连接器)和“sp”(用于 SharePoint 的连接器)。
-
选中要使用的每种连接器类型对应的复选框:为网络文件共享启用存储区域连接器和为 SharePoint 启用存储区域连接器。有关连接器设置的信息,请参阅本节中的配置存储区域连接器。
-
单击“注册”。将显示您的 StorageZones Controller 信息。
-
如果为存储区域连接器指定了“允许路径”或“拒绝路径”,请重新启动 IIS 服务器。
-
-
要配置辅助 StorageZones Controller,请参阅管理 StorageZones Controller。
重要:
StorageZones Controller 安装在您的本地站点上,您负责备份它。为了保护您的部署,您应该拍摄 StorageZones Controller 服务器的快照 备份 StorageZones Controller 配置 和 准备用于灾难恢复的 StorageZones Controller。
为 ShareFile 数据配置存储区域
注意:
ShareFile 数据的存储区域适用于 Citrix Endpoint Management Enterprise Edition,而不适用于其他 Citrix Endpoint Management 版本。
创建存储区域时,您可以从 StorageZones Controller 向导或从 StorageZones Controller 控制台为 ShareFile Data 配置存储区域。使用 ShareFile 数据选项卡可以配置专用网络共享或受支持的第三方存储系统的设置。
网络共享设置
选项 | 说明 |
---|---|
存储库 | 选择“本地网络共享”。创建区域后,无法更改 存储库 选项。例如,要从本地网络共享切换到第三方存储,您必须创建一个新区域。 |
网络共享位置 | 您将用于私有数据存储和数据(如加密密钥、排队文件和其他临时项目)的网络共享的 UNC 路径。在表单 \\server\share 中指定路径。属于同一存储区域的 StorageZones Controller 必须为存储使用相同的文件共享。注意: StorageZones Controller 将使用专有存储格式覆盖此路径中的任何数据。切勿指定具有文件数据的位置的路径。仅为 ShareFile Data 保留此存储区域的存储位置。StorageZones Controller 使用配置页面上提供的网络共享用户名/密码访问网络共享。如果配置页面上没有提供网络共享用户名/密码,则默认情况下将使用网络服务帐户。网络服务帐户必须具有对此存储位置的 完全 访问权限。默认情况下, StorageZones Controller 还将使用网络服务帐户的 StorageCenterAppPool。请务必注意,唯一支持的配置是使用网络服务帐户。 |
网络共享用户名和网络共享密码 | 网络共享位置的 UNC 路径的凭据。要使用命名用户帐户而不是网络服务帐户访问共享,请指定这些凭据。您可以继续使用网络服务帐户运行 IIS 应用程序池和 Citrix ShareFile 服务。 |
启用加密 | 仅当要对存储在文件共享中的文件内容进行加密时,才选中此复选框。在企业环境中,网络共享位于您的网络内并且已经受到第三方工具的保护,我们建议您不要加密共享上的文件。此设置与元数据无关。标准区域的元数据未加密。尽管此额外的安全性是在需要时提供最大安全性的选项,但加密共享上的文件将使第三方工具(如防病毒扫描程序和文件管理器工具(包括重复数据删除工具)无法读取磁盘。ShareFile 使用文件加密密钥来确认下载请求的有效性并对存储进行加密。 |
密码 | 用于保护文件加密密钥的短语。密码短语必须包含六个以上的字符。请确保将密码短语和加密密钥存档到一个安全的位置。您必须为区域中的每个 StorageZones Controller 使用相同的密码短语。密码与您的帐户密码不同,如果丢失,则无法恢复。如果丢失密码,则无法重新安装存储区域、将其他 StorageZones Controller 加入到存储区域,或者在服务器出现故障时恢复存储区域。注意:加密密钥显示在共享存储路径的根目录中。丢失加密密钥文件 SCKeys.txt 会立即中断对所有存储区域文件的访问。请务必将加密密钥文件作为正常数据中心过程的一部分进行备份。 |
共享缓存配置设置
选项 | 说明 |
---|---|
共享缓存位置 | 包含存储缓存和数据(如加密密钥、排队文件和其他临时项目)的网络共享路径。在表单 \\server\share 中指定路径。属于同一存储区域的 StorageZones Controller 必须为存储使用相同的文件共享。注意: StorageZones Controller 将使用专有存储格式覆盖此路径中的任何数据。切勿指定具有文件数据的位置的路径。仅为 ShareFile 数据的存储区域保留此存储位置。网络服务帐户(或 Citrix ShareFile 管理服务配置为以运行身份的帐户)必须具有对此存储位置的完全访问权限。 |
共享缓存登录和共享缓存密码 | 共享缓存位置的 UNC 路径的凭据。 |
启用加密 | 选中此复选框可对存储在共享缓存中的文件进行加密。 |
Windows Azure 存储容器设置
选项 | 说明 |
---|---|
存储库 | 选择 Azure 存储容器。创建区域后,无法更改 存储库 选项。例如,要从本地网络共享切换到基于 Azure 的存储,您必须创建一个新区域。 |
帐户名称 | Azure 存储帐户的名称。这些名称总是小写。 |
访问密钥 | Azure 存储的主访问密钥或辅助访问密钥。从 Windows Azure 管理门户的“管理访问密钥”屏幕复制密钥。 |
验证 | 单击按钮以验证 Azure 访问密钥。在验证完成并且“容器名称”菜单包含指定帐户的所有可用容器之前,您无法继续配置。 |
容器名称 | 选择要用于此存储区域中的所有 StorageZones Controller 的 Azure 容器。在验证 Azure 访问密钥之前,此列表为空。 |
Amazon S3 存储桶设置
选项 | 说明 |
---|---|
存储库 | 选择 Amazon S3 存储桶。创建区域后,无法更改 存储库 选项。例如,要从本地网络共享切换到 Amazon S3 存储,您必须创建一个新区域。 |
访问密钥 ID | 您的 Amazon S3 存储的访问密钥 ID。 |
私有访问密钥 | 您的 Amazon S3 存储的私有访问密钥。 |
验证 | 单击按钮以验证 Amazon S3 私有访问密钥。在验证完成并且存储桶名称菜单包含指定账户的所有可用存储桶之前,您无法继续配置。 |
存储桶名称 | 选择要用于此存储区域中的所有 StorageZones Controller 的 Amazon S3 存储桶。在您的 Amazon S3 私有访问密钥验证之前,此列表将为空。 |
SMTP 设置
选项 | 说明 |
---|---|
SMTP 服务器地址和 SMTP 端口号 | 您的本地 SMTP 服务器主机名和端口。 |
使用 SSL | 选中该复选框可通过安全连接连接到 SMTP 服务器。 |
用户名和密码 | 本地 SMTP 服务器的用户名和密码。 |
身份验证模式 | 默认身份验证模式使用最安全的方法从存储区域 Controller 连接到 SMTP 服务器。 |
发件人地址 | 显示在“发件人”字段中的电子邮件地址。 |
Google Cloud 平台
通过 Google Cloud Platform > 设置 > 互操作性生成访问密钥和密钥。
在运行存储区域配置之前,请将 S3EndpointAddress 注册表值设置为 https://storage.googleapis.com
,然后重新启动 IIS。
选项 1
说明
存储库
选择 Amazon S3 存储桶。创建区域后,无法更改 存储库 选项。例如,要从本地网络共享切换到 Amazon S3 存储,您必须创建一个新区域。
访问密钥 ID
您的 Google Cloud Platform 存储中的访问密钥 ID。
私有访问密钥
来自您的 Google Cloud Platform 存储的秘密。
验证
单击按钮以验证 Google Cloud Platform 的私有访问密钥。在验证完成并且 存储桶名称列表包含指定账户的所有可用存储桶 之前,您无法继续配置。
存储桶名称
选择要用于此存储区域中的所有 StorageZones Controller 的正确存储桶。在您的 Google Cloud Platform 秘密访问密钥验证之前,此列表将为空。
配置存储区域连接器
存储区域连接器允许用户访问 SharePoint 站点上的文档或指定的网络文件共享。您不必为 ShareFile 数据启用存储区域即可使用存储区域连接器。
注意:
ShareFile 数据的存储区域和存储区域连接器功能可以共享一个区域。但是, StorageZones Controller 保持两种数据类型的数据和访问规则分开。
使用 StorageZones Controller 向导或从 StorageZones Controller 控制台创建区域时,可以配置存储区域连接器。
要控制对特定网络文件共享或 SharePoint 文档库的访问,请指定“允许路径”或“拒绝路径”的列表。保存更改后,重新启动 IIS 服务器。
首先根据允许的路径检查到存储区域连接器的内部绑定连接。如果允许连接,则会根据被拒绝的路径检查路径。例如,要提供对其所有子文件夹的访问权限,请指定允许的路径 \\myserver\teamshare
。\\myserver\teamshare
-
默认情况下允许所有连接,并由“允许的路径”值指示。对于“拒绝路径”,该值无效。
-
如果允许的路径和拒绝路径相互冲突,则强制执行最严格的路径。
-
条目以逗号分隔。
-
对于网络文件共享的连接器,请指定允许的 UNC 路径。
使用 FQDN 的示例:
\\fileserver.acme.com\shared
您可以在 UNC 路径中使用以下变量:
-
%UserName%
重定向到用户的主目录。示例路径:
\\myserver\homedirs\%UserName%
-
%HomeDrive%
重定向到“Active Directory”属性主目录中定义的用户的主文件夹路径。示例路径:
%HomeDrive%
-
%TSHomeDrive%
重定向到用户的终端服务主目录,如 Active Directory 属性 MS-TS-Home 目录中定义的。当用户从终端服务器或 Citrix XenApp 服务器登录到 Windows 时,将使用该位置。示例路径:%TSHomeDrive%
在 Active Directory 用户和计算机管理单元中,编辑用户对象时,可以在远程桌面服务配置文件选项卡上访问 MS-TS-Home-Directory 值。
-
%UserDomain%
重定向到经过身份验证的用户的 NetBIOS 域名。例如,如果经过身份验证的用户登录名是“abc\ johnd”,则变量将替换为“abc”。示例路径:
\\myserver%UserDomain%_%UserName%
变量不区分大小写。
-
-
对于连接到根级 SharePoint 站点的连接器,请指定根级路径。
示例:
https://sharepoint.company.com
-
对于连接到 SharePoint 网站集的连接器:
示例:
https://sharepoint.company.com/site/SiteCollection
-
对于连接到 SharePoint 2010 文档库的连接器,请指定 URL(不包括路径终止符,如 file.aspx 或/窗体)。
示例:
https://mycompany.com/sharepoint/
https://mycompany.com/sharepoint/sales-team/Shared Documents/
https://mycompany.com/sharepoint/sales-team/Shared Documents/Forms/AllItems.aspx
默认 SharePoint 2013 年 URL(启用最小下载策略时)的格式为:
https://sharepoint.company.com/\_layouts/15/start.aspx\#/Shared%20Documents/
。
删除服务器标头的安全建议
默认情况下,IIS/ASP.NET 会在 HTTP 响应中公开服务器标头。此标头可能对攻击者有用。标头会公开发送服务器类型,在某些情况下,还会显示版本号。此标头对于生产站点不是必需的,可以禁用。
遗憾的是, StorageZones Controller 安装程序无法自动删除此标头。但是,我们可以在我们的 StorageZones Controller 文档/安装指南中向客户提供删除此标题的建议。
有关我们应在文档中提供的具体步骤,请参阅以下文章: https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/