系统要求
重要:
Microsoft 将于 2023 年 10 月 10 日终止对 Windows Server 2012R2 的支持。务必在支持终止日期之前将服务器迁移到较新的版本。
存储区域控制器
- 具有 2 个 CPU 和 4 GB RAM 的专用物理机或虚拟机
- Windows Server 2012 R2(数据中心、标准版或基础版)
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
对于标准存储区域:
- 使用可公开解析的 Internet 主机名(不是 IP 地址)。
- 为与 ShareFile 的通信启用 SSL。
- 存储区域控制器上的 SSL 证书必须受到用户设备和 ShareFile Web 服务器的信任。如果您直接在 IIS 中使用 SSL,请参阅 http://support.microsoft.com/kb/298805,了解有关配置 SSL 的信息。
- 允许端口 443 上的入站 TCP 请求通过您的防火墙。
- 允许通过防火墙向端口 443 上的 ShareFile 控制平面发出出站 TCP 请求。
对于仅用于 ShareFile 数据存储区域的服务器运行状况检查:
- 在本地主机上打开端口 80。
对于高可用性生产环境:
-
至少两台安装了存储区域控制器的服务器。
-
如果您没有使用 DMZ 代理服务器,请在 IIS 服务上安装 SSL 证书。
有关受支持证书的信息,请参阅以上标准区域的证书要求。
对于 DMZ 代理部署:
-
一个或多个 DMZ 代理服务器,例如 Citrix ADC VPX 实例。
-
对于终止客户端连接并使用 HTTP 的 DMZ 代理服务器,请在代理服务器上安装 SSL 证书。
如果 DMZ 代理服务器和存储区域控制器之间的通信是安全的,则可以使用 HTTP。但是,建议将 HTTPS 作为最佳实践。如果您使用 HTTPS,则可以在存储区域控制器上使用私有(企业)证书,前提是该证书受到 DMZ 代理信任。DMZ 代理公开的外部地址必须使用商业上可信的证书。有关受支持证书的信息,请参阅以上标准区域的证书要求。
其他要求
注意:
ShareFile 不正式支持,也不建议使用 DFS 复制。众所周知,它会导致较大文件的锁定失败。如果必须使用 DFS 复制,请在非高峰时段使用该区域未处于活动状态的单独备份解决方案。
- 存储区域控制器安装程序需要管理权限。
- 要远程管理存储区域控制器,请使用远程协议(例如 RDP 或 Citrix ICA)连接到服务器,然后打开存储区域控制器控制台。
支持的第三方存储系统
- Amazon Simple Storage Service (Amazon S3)
- Microsoft Azure
支持的数据丢失防护解决方案
- 存储区域控制器可与任何符合 ICAP 的 DLP 解决方案集成,包括:
- 赛门铁克数据丢失防护
- McAfee DLP Prevent
- Websense TRITON AP-DATA
- RSA 数据丢失防护
ShareFile 数据的存储区域
ShareFile 数据的存储区域是您在存储区域控制器上启用的一项可选功能。
要求:
- ShareFile Enterprise 帐户,启用了存储区域功能
- 包含创建和管理区域权限的 ShareFile 用户帐户
- 用于私有数据存储的 CIFS 共享
如果您计划将 ShareFile 文件存储在支持的第三方存储系统中,则 CIFS 共享用于临时文件(加密密钥、队列文件)和临时存储缓存。
- Web 服务器 (IIS) 角色和 ASP.NET 4.x。有关更多信息,请参阅 为服务器准备 ShareFile 数据。
注意:从 FTP 客户端访问 ShareFile 帐户与 ShareFile 数据的存储区域不兼容。
SharePoint 的存储区域连接器
SharePoint 的存储区域连接器是您在存储区域控制器上启用的一项可选功能。
要求:
- 启用存储区域功能的 ShareFile Enterprise 帐户或 Citrix Endpoint Management。
- 仅支持 Microsoft SharePoint Server 2010 及更高版本。
- 存储区域控制器服务器必须是域成员,与 SharePoint 服务器位于同一林中。
- Web 服务器 (IIS) 角色和 ASP.NET 4.x。有关更多信息,请参阅 为服务器准备 ShareFile 数据。
- SharePoint 政策:
- 在 SharePoint 2013 中,Web 应用程序的默认最大上载文件大小为 250 MB,在 SharePoint 2010 中为 50 MB。要更改默认值:在 SharePoint 管理中心中,转到 Web 应用程序常规设置页面并更改最大上载大小。SharePoint 的上载文件大小限制为 2 GB。
- ShareFile 客户端总是尝试签入文件的主要版本(发布)。但是,SharePoint 策略决定了文件是作为主要版本还是次要版本签入。
- SharePoint 仅限查看权限不允许用户下载文件。要从 ShareFile 客户端读取文件,SharePoint 用户必须具有读取权限。
- 用户设备:有关存储区域连接器的用户设备支持的最新信息,请参阅 ShareFile 知识库。
用于 SharePoint 验证的存储区域连接器
对用户进行身份验证后,存储区域控制器服务器代表经过身份验证的用户与 SharePoint 服务器建立连接,并响应 SharePoint 服务器提出的身份验证挑战。SharePoint 的存储区域连接器在 SharePoint 服务器上支持以下身份验证方法。
-
基本
要求您将
<add key="CacheCredentials" value="1" \>添加到C:\inetpub\wwwroot\Citrix\StorageCenter\sp\AppSettingsRelease.config. -
谈判 (克贝罗斯)
-
Windows 质询/响应 (NTLM)
ShareFile 移动客户端使用基于 HTTPS 的基本身份验证对存储区域控制器或 DMZ 代理进行身份验证。SharePoint 的单点登录受 SharePoint 服务器上设置的身份验证要求的约束。要在 SharePoint 服务器上使用 Kerberos 或 NTLM 身份验证: 将域控制器配置为信任存储区域控制器进行委派。
如果您的 SharePoint 服务器配置为 Kerberos 身份验证:为 SharePoint 服务器应用程序池的指定用户服务帐户配置服务主体名称 (SPN)。有关更多信息,请参阅 http://support.microsoft.com/kb/832769 中的“为 Web 部件的委托配置信任”。
对于使用 Citrix ADC 的部署,可以终止 Citrix ADC 的基本身份验证,然后对存储区域控制器执行其他类型的身份验证。
网络文件共享的存储区域连接器
网络文件共享的存储区域连接器是您在存储区域控制器上启用的一项可选功能。
要求:
- ShareFile Enterprise 或 Citrix Endpoint Management 帐户。
- 存储区域连接器服务器必须是域成员,与网络文件服务器位于同一林中。
- Web 服务器 (IIS) 角色和 ASP.NET 4.x。有关更多信息,请参阅 为服务器准备 ShareFile 数据。
- 用户设备:有关存储区域连接器的用户设备支持的最新信息,请参阅 ShareFile 知识库。
用于网络文件共享身份验证的连接器
对用户进行身份验证后,存储区域控制器服务器代表经过身份验证的用户与网络文件服务器建立连接,并对文件服务器提出的身份验证挑战做出响应。网络文件共享的存储区域连接器支持文件服务器上的以下身份验证方法。
- 谈判 (克贝罗斯)
- Windows 质询/响应 (NTLM)
要在存储区域控制器上使用 Kerberos 或 NTLM 身份验证: 将域控制器配置为信任存储区域控制器进行委派。
对于使用 Citrix ADC 进行部署:要在 Citrix ADC 配置为基本身份验证时为用户提供单点登录体验,请将连接器配置为协商 (Kerberos) 和 NTLM 身份验证。
PowerShell 脚本和命令
存储区域控制器的安装包括多个 PowerShell 脚本和命令,位于 C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\ 中。
-
在 32 位 (x86) 版本的 PowerShell 中运行脚本。
-
为了获得最佳效果,请升级到 Windows Management Framework 中包含的 PowerShell 4.0 或更高版本。
由于 .NET Framework 4 的兼容性问题,PowerShell 2.0 会导致重大问题。