Как ИТ-подразделение небольшой компании мы исследуем переход от традиционного VPN к рабочим папкам. Роли настроены, и общие ресурсы созданы успешно. На самом деле внутри все системы работают идеально, но это не позволяет подключений извне. (Когда я подключаюсь удаленно через VPN, он тоже работает.)
Я потратил 2 дня, читая множество блогов о том, как люди его настраивают (а все они, кажется, делают по-разному). Но я пришел к выводу, что это как-то связано с обратным прокси. Я пробовал установить роль «Прокси-сервер веб-приложения», но для этого требовалось подключение к серверу AD FS (эту роль нельзя установить на том же компьютере, и она никогда не требовалась).
Ситуация: У нас одна машина с Microsoft Server 2012R2. В настоящее время мы выполняем на нем роли AD DS и файлового сервера, а также DCHP и DNS. И мы хотим добавить к нему рабочие папки. Вопрос: можем ли мы включить рабочие папки на одной машине или всегда требуется две машины? И если возможно, какие роли понадобятся?
Обновить: После еще большего чтения я обнаружил, что когда я хочу использовать «Прокси-сервер веб-приложения», это комбинация с «AD FS», и для этого требуется как минимум два сервера. Но DirectAccess также должен быть опцией, и он может работать на том же компьютере. Это было бы правильно?
Я просто вспомнил кое-что, что прочитал полгода назад, когда я тоже читал о рабочих папках. Учетная запись гостя в AD должна быть отключена.
Я обнаружил попытки подключения в журнале, когда пользователь «Гость» не был найден на сервере AD и доступ к рабочим папкам был запрещен. Мне это показалось странным и в то же время логичным, потому что я ожидал всплывающего окна входа в систему, которое также отображается, когда я подключаюсь через VPN. Поскольку я еще не ввел учетные данные, сервер, очевидно, посчитал меня гостем. Я просто не думал, что это будет гостевая учетная запись AD.
Так что да, вы можете запускать рабочие папки вместе с ролью AD (хотя анализатор передового опыта Microsoft не одобряет это). Не требуется прокси, AD FS и прямой доступ.