Installer StorageZones Controller et créer une zone de stockage

Important :

Vérifiez que votre environnement répond à la Configuration système requise avant de démarrer l’installation.

Lorsque vous installez un StorageZones Controller, vous créez une zone et configurez un StorageZones Controller principal ou joindre des StorageZones Controller secondaires à une zone.

Lors de la configuration d’un StorageZones Controller principal, vous pouvez activer l’une ou l’autre des fonctionnalités suivantes ou les deux :

  • Zones de stockage pour ShareFile Data, pour spécifier le stockage de données privées, soit un partage réseau privé ou un système de stockage tiers pris en charge.
  • StorageZone Connector, pour permettre aux utilisateurs d’accéder à des documents sur des sites SharePoint ou des partages de fichiers réseau spécifiés.

Les étapes suivantes décrivent comment installer le StorageZones Controller, configurer l’authentification pour le site Web par défaut IIS, créer une zone et activer les fonctionnalités.

  1. Téléchargez et installez le logiciel de StorageZones Controller :

    Remarque :

    Installation du StorageZones Controller modifie le site Web par défaut sur le serveur pour le chemin d’installation du Controller.

    l’authentification anonyme doit être activée sur le site Web par défaut.

  2. Sur le serveur sur lequel vous souhaitez installer le StorageZones Controller, exécutez StorageCenter.msi.

    • L’assistant d’installation du StorageZones Controller ShareFile démarre.

    • Pour la multilocation, exécutez la commande suivante : msiexec /i StorageCenter_5.0.1.msi MULTITENANT=1

    Remarque :

    Dans la commande précédente, vous devrez peut-être mettre à jour le numéro de version (5.0.1 dans l’exemple) pour qu’il corresponde au numéro du msi que vous essayez d’installer.

    • Répondez aux invites. Lorsque l’installation est terminée, désactivez la case à cocher Lancer la page Configuration du StorageZones Controller, puis cliquez sur Terminer .
  3. Redémarrez le StorageZones Controller.

  4. Pour tester la réussite de l’installation, accédez à http://localhost/. Si l’installation est réussie, le logo de ShareFile s’affiche.

  5. Si le logo de ShareFile n’apparaît pas, désactivez le cache du navigateur et essayez à nouveau.

    Important :

    Si vous prévoyez de cloner le StorageZones Controller, capturez l’image disque avant de procéder à la configuration du StorageZones Controller.

  6. Pour utiliser un fournisseur de stockage compatible S3 avec ShareFile, effectuez les opérations suivantes avant de créer ou de configurer une zone de stockage.

    • Ouvrez l’Éditeur du Registre Windows (Exécutez > regedit.exe).

    • Recherchez la clé de Registre HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Citrix \ StorageCenter.

    • Créez une nouvelle valeur REG_SZ sous cette clé :

      • Nom de la valeur : S3EndpointAddress
      • Type de valeur : REG_SZ
      • Données de valeur : entrez l’URL HTTPS correspondant à votre point de terminaison de stockage compatible S3.
    • Si le fournisseur de stockage prend uniquement en charge l’accès au conteneur de type chemin (voir http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.html), créez une autre valeur sous cette clé.

      • Nom de la valeur : S3ForcePathStyle
      • Type de valeur : REG_SZ
      • Données de valeur : true
    • Redémarrez le pool d’applications du StorageZones Controller (StorageCenterAppPool).

    • Recueillez les informations suivantes à partir de votre système de stockage compatible S3 :

      • Nom d’un compartiment S3 à utiliser pour l’ID de clé ShareFile DataAccess
      • ID de clé d’accès
      • Clé d’accès secrète
  7. Continuez avec les étapes suivantes pour créer une nouvelle zone de stockage. Choisissez Amazon S3 comme emplacement de stockage persistant. StorageZones Controller utilise l’adresse de point de terminaison personnalisée que vous avez entrée au lieu du service Amazon S3 réel. Lors de la configuration des détails S3, choisissez le nom de compartiment que vous avez créé précédemment.

  8. Accédez à la console du StorageZones Controller.

  9. Ouvrez http://localhost/configservice/login.aspx ou démarrez l’outil de configuration à partir de l’écran ou du menu Démarrer. Pour plus d’informations sur l’utilisation du raccourci de l’écran d’accueil dans Windows 8, reportez-vous à la section Gestion des StorageZones Controller.

  10. Sur la page d’ouverture de session du StorageZones Controller, entrez l’adresse e-mail, le mot de passe et le sous-domaine complet URL du compte, tel que subdomain.sharefile.com ou subdomain.sharefile.eu, pour votre compte. Cliquez sur Ouvrir une session.

  11. Pour configurer votre StorageZones Controller principal, cliquez sur Créer une nouvelle zone et fournissez les informations de zone :

    Option Description
    Zone Nom qui apparaît dans la console Administrateur ShareFile.
    Controller de zone principale La valeur par défaut est http://localhost/ConfigService. Si vous utilisez SSL, changez HTTP en https. Gardez à l’esprit que ShareFile prend en charge uniquement les certificats SSL publics valides et approuvés pour les zones standard. Si vous rencontrez des problèmes pour configurer un hôte de zone de stockage secondaire, assurez-vous que vous pouvez résoudre l’URL ConfigService dans un navigateur local sur ce serveur, sans erreur SSL. localhost résout à l’adresse IP du serveur. Vous pouvez spécifier un nom de serveur à la place (par exemple https://servername.subdomain.com/ConfigService). Le nom du serveur doit être résolu par un serveur de StorageZones Controller secondaire.
    Nom d’hôte Un identifiant unique pour votre StorageZones Controller. ShareFile vous recommande d’utiliser le nom d’hôte du serveur comme identificateur. Il doit s’agir d’un nom convivial et non du nom de domaine complet. Ce nom apparaît dans la console Administrateur ShareFile.
    Adresse externe Le nom de domaine complet de ce StorageZones Controller. Si ce StorageZones Controller sera utilisé pour les zones standard, l’URL doit être accessible à partir d’Internet. Si vous utilisez un équilibreur de charge, entrez son adresse. Lorsque vous soumettez la page, ShareFile valide l’adresse.
  12. Pour spécifier le stockage de données privées, procédez comme suit.

    • Activez la case à cocher Activer les zones de stockage pour les données ShareFile.

    • Pour configurer une zone standard, désactivez la case à cocher.

    Remarque :

    Après avoir configuré un StorageZones Controller, vous ne pouvez pas modifier son type de zone.

    StorageZones Controller utilise les informations d’identification du compte de service pour se connecter au serveur de domaine Active Directory approuvé pour la recherche d’adresse de messagerie.

    • Choisissez un référentiel de stockage.
  13. Si vous ne souhaitez pas activer les StorageZone Connector, cliquez sur Enregistrer pour enregistrer le StorageZones Controller avec ShareFile, puis passez à l’étape 14.

  14. Si vous utilisez un stockage compatible S3, créez ces entrées de Registre supplémentaires après les registres de la zone de stockage :

    • Ouvrez l’Éditeur du Registre Windows (Exécutez > regedit.exe).

    • Recherchez la clé de HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\storage zone\CloudStorageUploaderConfig Registre.

    • Créez une nouvelle valeur REG_SZ sous cette clé :

      • Nom de la valeur : S3EndpointAddress
      • Type de valeur : REG_SZ
      • Données de valeur : entrez l’URL HTTPS correspondant à votre point de terminaison de stockage compatible S3.
    • Si le fournisseur de stockage prend uniquement en charge l’accès au conteneur de type chemin (voir http://docs.aws.amazon.com/AmazonS3/latest/dev/VirtualHosting.html), créez une autre valeur sous cette clé.

      • Nom de la valeur : S3ForcePathStyle
      • Type de valeur : REG_SZ
      • Données de valeur : true
    • Redémarrez le pool d’applications du StorageZones Controller (StorageCenterAppPool).

  15. Pour activer les StorageZone Connector :

    L’activation des connecteurs crée les applications IIS « cifs » (connecteur pour les partages de fichiers réseau) et « sp » (connecteur pour SharePoint).

    • Activez la case à cocher pour chaque type de connecteur à utiliser : Activer le StorageZone Connector pour les partages de fichiers réseau et Activer le StorageZone Connector pour SharePoint. Pour plus d’informations sur les paramètres du connecteur, reportez-vous à la section,Configurer les StorageZone Connector dans cette section.

    • Cliquez sur Enregistrer. Les informations de votre Controller de zones de stockage s’affichent.

    • Si vous avez spécifié des chemins autorisés ou des chemins refusés pour les StorageZone Connector, redémarrez le serveur IIS.

  16. Pour configurer les StorageZones Controller secondaires, reportez-vous à la section Gestion des StorageZones Controller.

Important :

Un StorageZones Controller est installé sur votre site local et vous êtes responsable de la sauvegarde. Pour protéger votre déploiement, vous devez prendre un instantané du serveur StorageZones Controller sauvegarder la configuration du StorageZones Controller et préparer le StorageZones Controller pour la reprise après sinistre.

Configurer des zones de stockage pour les données ShareFile

Remarque :

Les zones de stockage pour ShareFile Data sont disponibles pour Citrix Endpoint Management Enterprise Edition et ne sont pas disponibles pour les autres éditions Citrix Endpoint Management.

Vous pouvez configurer des zones de stockage pour ShareFile Data à partir de l’assistant de StorageZones Controller lorsque vous créez une zone de stockage ou à partir de la console de StorageZones Controller. Utilisez l’onglet Données ShareFile pour configurer les paramètres des partages réseau privés ou des systèmes de stockage tiers pris en charge.

Paramètres de partage réseau

Option Description
Référentiel de stockage Choisissez Partage réseau local. Après avoir créé la zone, vous ne pouvez pas modifier l’option Référentiel de stockage. Par exemple, pour passer d’un partage réseau local à un stockage tiers, vous devez créer une nouvelle zone.
Emplacement du partage réseau Chemin UNC du partage réseau que vous utiliserez pour le stockage de données privées et pour des données telles que les clés de chiffrement, les fichiers en file d’attente et d’autres éléments temporaires. Spécifiez le chemin d’accès dans le formulaire \\server\share. Les contrôleurs des zones de stockage appartenant à la même zone de stockage doivent utiliser le même partage de fichiers pour le stockage. Attention : le StorageZones Controller écrasera toutes les données de ce chemin avec un format de stockage propriétaire. Ne spécifiez jamais un chemin d’accès à un emplacement contenant des données de fichier. Réservez cet emplacement de stockage pour les zones de stockage uniquement pour les données ShareFile. Les contrôleurs de zones de stockage accèdent au partage réseau à l’aide du nom d’utilisateur/mot de passe de partage réseau fourni sur la page de configuration. Si aucun nom d’utilisateur/mot de passe de partage réseau n’est fourni sur la page de configuration, le compte de service réseau sera utilisé par défaut. Le compte Service réseau doit avoir un accès complet à cet emplacement de stockage. Le StorageZones Controller utilisera également le compte de service réseau par défaut pour StorageCenterAppPool. Il est important de noter que la seule configuration prise en charge est d’utiliser le compte Service réseau.
Nom d’utilisateur et mot de passe de partage réseau Informations d’identification du chemin UNC de votre emplacement de partage réseau. Pour utiliser un compte d’utilisateur nommé au lieu du compte Service réseau pour accéder au partage, spécifiez ces informations d’identification. Vous pouvez continuer à exécuter le pool d’applications IIS et Citrix ShareFile Services à l’aide du compte Service réseau.
Activer le chiffrement Activez la case à cocher uniquement si vous souhaitez chiffrer le contenu du fichier stocké sur votre partage de fichiers. Dans un environnement d’entreprise où le partage réseau se trouve à l’intérieur de votre réseau et est déjà sécurisé par des outils tiers, nous vous recommandons de ne pas chiffrer les fichiers sur le partage. Ce paramètre ne concerne pas les métadonnées. Les métadonnées ne sont pas chiffrées pour les zones standard. Bien que cette sécurité supplémentaire soit offerte en option pour une sécurité maximale si nécessaire, le chiffrement des fichiers sur le partage rendra le disque illisible par des outils tiers tels que les logiciels antivirus et les outils de fichiers, y compris les outils de déduplication des données. ShareFile utilise une clé de chiffrement de fichier pour confirmer la validité des demandes de téléchargement et chiffrer le stockage.
Phrase secrète Une phrase utilisée pour protéger votre clé de chiffrement de fichier. Assurez-vous d’archiver la phrase secrète et la clé de chiffrement dans un emplacement sécurisé. Vous devez utiliser la même phrase secrète pour chaque StorageZones Controller d’une zone. La phrase secrète n’est pas la même que le mot de passe de votre compte et ne peut pas être récupérée en cas de perte. Si vous perdez la phrase secrète, vous ne pouvez pas réinstaller les zones de stockage, joindre des StorageZones Controller supplémentaires à la zone de stockage ou récupérer la zone de stockage si le serveur échoue. Remarque : la clé de chiffrement apparaît à la racine du chemin de stockage partagé. Perdre le fichier de clé de chiffrement, Sckeys.txt, interrompt immédiatement l’accès à tous les fichiers de zone de stockage. Veillez à sauvegarder le fichier de clé de chiffrement dans le cadre de vos procédures normales de datacenter.

Paramètres de configuration du cache partagé

Option Description
Emplacement du cache partagé le chemin d’accès à un partage réseau qui contiendra votre cache de stockage et des données telles que les clés de chiffrement, les fichiers mis en file d’attente et d’autres éléments temporaires. Spécifiez le chemin d’accès dans le formulaire \\server\share. Les contrôleurs des zones de stockage appartenant à la même zone de stockage doivent utiliser le même partage de fichiers pour le stockage. Attention : le StorageZones Controller écrasera toutes les données de ce chemin avec un format de stockage propriétaire. Ne spécifiez jamais un chemin d’accès à un emplacement contenant des données de fichier. Réservez cet emplacement de stockage pour les zones de stockage pour les données ShareFile uniquement. Le compte de service réseau (ou le compte sur lequel Citrix ShareFile Management Service est configuré pour s’exécuter) doit avoir un accès complet à cet emplacement de stockage.
Connexion au cache partagé et mot de passe du cache partagé Informations d’identification du chemin UNC de votre emplacement de cache partagé.
Activer le chiffrement Activez la case à cocher pour chiffrer les fichiers stockés dans votre cache partagé.

Paramètres du conteneur de stockage Windows Azure

Option Description
Référentiel de stockage Choisissez le conteneur de stockage Azure. Après avoir créé la zone, vous ne pouvez pas modifier l’option Référentiel de stockage. Par exemple, pour passer d’un partage réseau local à un stockage basé sur Azure, vous devez créer une nouvelle zone.
Nom de compte Nom de votre compte de stockage Azure. Ces noms sont toujours minuscules.
Clé d’accès Clé d’accès principale ou secondaire pour votre stockage Azure. Copiez la clé à partir de l’écran Gérer les clés d’accès du portail de gestion Windows Azure.
Valider Cliquez sur le bouton pour valider la clé d’accès Azure. Vous ne pouvez pas poursuivre la configuration tant que la validation n’est pas terminée et que le menu Nom du conteneur inclut tous les conteneurs disponibles pour le compte spécifié.
Nom du conteneur Sélectionnez le conteneur Azure à utiliser pour tous les StorageZones Controller de cette zone de stockage. Cette liste est vide jusqu’à ce que votre clé d’accès Azure soit validée.

Paramètres du compartiment de stockage Amazon S3

Option Description
Référentiel de stockage Choisissez le compartiment de stockage Amazon S3. Après avoir créé la zone, vous ne pouvez pas modifier l’option Référentiel de stockage. Par exemple, pour passer d’un partage réseau local à un stockage Amazon S3, vous devez créer une nouvelle zone.
ID de clé d’accès ID de clé d’accès pour votre stockage Amazon S3.
Clé d’accès secrète La clé d’accès secrète pour votre stockage Amazon S3.
Valider Cliquez sur le bouton pour valider la clé d’accès secrète Amazon S3. Vous ne pouvez pas poursuivre la configuration tant que la validation n’est pas terminée et que le menu Nom du compartiment inclut tous les compartiments disponibles pour le compte spécifié.
Nom du compartiment Sélectionnez le compartiment Amazon S3 à utiliser pour tous les StorageZones Controller de cette zone de stockage. Cette liste est vide jusqu’à ce que votre clé d’accès secrète Amazon S3 soit validée.

Paramètres SMTP

Option Description
Adresse du serveur SMTP et numéro de port SMTP Nom d’hôte et port de votre serveur SMTP local.
Utiliser SSL Activez la case à cocher pour vous connecter au serveur SMTP via une connexion sécurisée.
Nom d’utilisateur et mot de passe Nom d’utilisateur et mot de passe de votre serveur SMTP local.
Mode d’authentification Le mode d’authentification par défaut utilise la méthode la plus sécurisée disponible pour se connecter du StorageZones Controller au serveur SMTP.
Adresse de l’expéditeur Adresse e-mail qui apparaît dans le champ De.

Plateforme Google Cloud

Générez une clé d’accès et un secret à partir de Google Cloud Platform > Paramètres > Interopérabilité.

Avant d’exécuter la configuration des zones de stockage, définissez la valeur de Registre S3EndPointAddress sur, https://storage.googleapis.com puis redémarrez IIS.

Option 1

Description

Référentiel de stockage

Choisissez le compartiment de stockage Amazon S3. Après avoir créé la zone, vous ne pouvez pas modifier l’option Référentiel de stockage. Par exemple, pour passer d’un partage réseau local à un stockage Amazon S3, vous devez créer une nouvelle zone.

ID de la clé d’accès

L’ID de clé d’accès de votre stockage Google Cloud Platform.

Clé d’accès secrète

Le secret de votre stockage Google Cloud Platform.

Valider

Cliquez sur le bouton pour valider la clé d’accès secrète Google Cloud Platform. Vous ne pouvez pas poursuivre la configuration tant que la validation n’est pas terminée et que la liste Nom du compartiment inclut tous les compartiments disponibles pour le compte spécifié.

Nom du compartiment

Sélectionnez le compartiment approprié à utiliser pour tous les StorageZones Controller de cette zone de stockage. Cette liste est vide jusqu’à ce que votre clé d’accès secrète Google Cloud Platform soit validée.

Configurer les StorageZone Connector

Les StorageZone Connector permettent aux utilisateurs d’accéder à des documents sur des sites SharePoint ou des partages de fichiers réseau spécifiés. Vous n’avez pas besoin d’activer les zones de stockage pour ShareFile Data pour utiliser les StorageZone Connector.

Remarque :

Les zones de stockage pour les données ShareFile et les fonctionnalités des connecteurs de zones de stockage peuvent partager une zone. Cependant, le StorageZones Controller conserve les règles de données et d’accès pour les deux types de données séparés.

Vous pouvez configurer des StorageZone Connector lorsque vous créez une zone à l’aide de l’assistant StorageZones Controller ou à partir de la console de StorageZones Controller.

Pour contrôler l’accès à des partages de fichiers réseau particuliers ou à des bibliothèques de documents SharePoint, spécifiez une liste de chemins autorisés ou de chemins refusés. Après avoir enregistré vos modifications, redémarrez le serveur IIS.

Les connexions entrantes aux StorageZone Connector sont d’abord vérifiées par rapport aux chemins autorisés. Si la connexion est autorisée, le chemin est alors vérifié par rapport aux chemins refusés. Par exemple, pour fournir l’accès à \\myserver\teamshare et à tous ses sous-dossiers, spécifiez un chemin d’accès autorisé de \\myserver\teamshare.

  • Toutes les connexions sont autorisées par défaut, indiquées par une valeur Chemins autorisés. La valeur n’est pas valide pour les chemins refusés.

  • Si les chemins autorisés et refusés sont en conflit les uns avec les autres, le chemin le plus restrictif est appliqué.

  • Les entrées sont séparées par des virgules.

  • Pour les connecteurs aux partages de fichiers réseau, spécifiez les chemins UNC autorisés.

    Exemple avec FQDN : \\fileserver.acme.com\shared

    Vous pouvez utiliser les variables suivantes dans le chemin UNC :

    • %UserName%

      Redirige vers le répertoire personnel d’un utilisateur. Exemple de chemin : \\myserver\homedirs\%UserName%

    • %HomeDrive%

      Redirige vers le chemin d’accès du dossier de base d’un utilisateur, tel que défini dans la propriété Active Directory Home-Directory. Exemple de chemin : %HomeDrive%

    • %TSHomeDrive%

      Redirige vers le répertoire d’accueil des services Terminal Server d’un utilisateur, tel que défini dans la propriété Active Directory ms-TS-Home-Directory. L’emplacement est utilisé lorsqu’un utilisateur ouvre une session sur Windows à partir d’un serveur Terminal Server ou d’un serveur Citrix XenApp. Exemple de chemin : %TSHomeDrive%

      Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, la valeur de répertoire ms-TS-Home-Directory est accessible dans l’onglet Profil des services Bureau à distance lors de la modification d’un objet utilisateur.

    • %UserDomain%

      Redirige vers le nom de domaine NetBIOS de l’utilisateur authentifié. Par exemple, si le nom d’ouverture de session de l’utilisateur authentifié est “abc\johnd”, la variable est remplacée par “abc”. Exemple de chemin : \\myserver%UserDomain%_%UserName%

    Les variables ne sont pas sensibles à la casse.

  • Pour un connecteur vers un site SharePoint de niveau racine, spécifiez le chemin d’accès au niveau racine.

    Exemple : https://sharepoint.company.com

  • Pour un connecteur vers une collection de sites SharePoint :

    Exemple : https://sharepoint.company.com/site/SiteCollection

  • Pour les connecteurs aux bibliothèques de documents SharePoint 2010, spécifiez les URL (à l’exclusion des terminateurs de chemin d’accès, tels que fichier.aspx ou /Forms).

    Exemples :

    • https://mycompany.com/sharepoint/
    • https://mycompany.com/sharepoint/sales-team/Shared Documents/
    • https://mycompany.com/sharepoint/sales-team/Shared Documents/Forms/AllItems.aspx

    L’URL par défaut de SharePoint 2013 (lorsque la stratégie de téléchargement minimal est activée) se présente au format suivant : https://sharepoint.company.com/\_layouts/15/start.aspx\#/Shared%20Documents/.

Recommandation de sécurité pour supprimer l’en-tête du serveur

IIS/ASP.NET expose par défaut l’en-tête du serveur dans les réponses HTTP. Cet en-tête pourrait devenir utile à un attaquant. L’en-tête indique le type de serveur d’envoi et, dans certains cas, le numéro de version. Cet en-tête n’est pas nécessaire pour les sites de production et peut être désactivé.

Malheureusement, le programme d’installation du StorageZones Controller n’est pas en mesure de supprimer cet en-tête automatiquement. Mais nous pouvons fournir des recommandations aux clients pour supprimer cet en-tête dans notre documentation/guide d’installation des StorageZones Controller.

Reportez-vous à l’article suivant pour connaître les étapes spécifiques que nous devrions fournir dans notre documentation : https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/