作为一家小公司的 IT 部门,我们正在研究从传统 VPN 向工作文件夹的转变。角色已设置完毕,共享已成功创建。事实上,整个系统在内部运行良好,但不允许来自网络外部的连接。(当我通过 VPN 远程连接时,它也能正常工作。)
我花了两天时间阅读了大量关于人们如何设置它的博客(他们似乎都以不同的方式进行设置)。但我得出结论,这一定与反向代理有关。我尝试安装“Web 应用程序代理”角色,但这需要连接到 AD FS 服务器(该角色不能安装在同一台计算机上,而且从来都不需要)。
情况:我们有一台 Microsoft Server 2012R2 计算机。目前,我们在该计算机上运行 AD DS 和文件服务器角色,以及 DCHP 和 DNS。我们希望向其添加工作文件夹。问题是:我们实际上可以在单台计算机上启用工作文件夹吗?还是始终需要两台计算机?如果可能,需要哪些角色?
更新: 经过进一步阅读,我发现当我想使用“Web 应用程序代理”时,它与“AD FS”结合使用,并且至少需要两台服务器。但 DirectAccess 也应该是一个选项,并且可以在同一台机器上运行。这样对吗?
答案1
我刚想起半年前读过的东西,当时我也读过一些关于工作文件夹的文章。AD 上的来宾帐户必须被禁用。
我在日志中发现连接尝试,其中在 AD 服务器上找不到用户“Guest”,并且拒绝访问工作文件夹。我发现这很奇怪,但同时也合乎逻辑,因为我期待登录弹出窗口,当我通过 VPN 连接时也会显示该窗口。由于我尚未输入凭据,服务器显然认为我是访客。我只是没想到会是 AD 访客帐户。
因此,您可以同时运行工作文件夹和 AD 角色(尽管 Microsoft 最佳实践分析器不鼓励这样做)。无需代理、无需 AD FS 也无需直接访问。