不要矿渣,无需虚拟机——Windows 10 变身轻量 NAS
拥有一台专用的 NAS 确实能为工作、生活带来很多便利。不过对于很多轻量需求的人来说,购买商业成品 NAS 价格上不太能接受,而 DIY 方案又需要接触各种 IT 技能,力有不逮。那么就由老司机带路,教你使用 Windows 10 系统自带功能,满足轻量网络存储需求。重要说明由于是基于普通 PC,而且以并非 24 小时开机为前提,所以这个方案只能解决一些轻量问题,比如日常文档,体积不大的资料备份。无法满足大体积文件、大量多媒体视频、高读写这些应用场景。如果觉得 Windows 的图形操作也麻烦的话,请直接打开京东下单购买群晖。
NAS
NAS(Network Attached Storage),意为网络附属存储,因此首先需要做的就是将 Windows 搭建为可以网络访问的存储设备。WebDAV为了后续的公网访问,这里不使用 SMB 的方式,而是选择 WebDAV。虽然性能比不上最新的 SMBv4 协议,但是比 FTP 协议强得多,而且基于 HTTP 协议,可以很方便的实现公网访问。应用支持方面,MS Office 在各个平台可以很方便的访问 WebDAV,而移动平台无论是 Android 还是 iOS 都有很多应用有着良好的 WebDAV 支持。
Windows 10 的 IIS 模块就可以提供 WebDAV 功能,通过【控制面板】->【程序与功能】中【启用或关闭 Windows 功能】即可完成基本的安装。
启用或关闭 Windows 功能勾选需要安装的模块,首先是 【Internet Information Services】节点,还有【万维网服务】->【安全性】中的【基本身份认证】,【常见 HTTP 功能】中的【WebDAV 发布】
安装 IIS安装完成后,可以在浏览器中打开 http://localhost页面,如果出现以下页面,就表示 IIS 已经安装成功并运行起来了。
IIS 默认页面接下来要配置 WebDAV 功能,需要用到 【Internet Information Services (IIS)管理器】,可以在【管理工具】中找到,也可以直接通过 Windows 搜索功能搜索 IIS 关键字找到。
打开 IIS 管理器之后就能看到已经存在的默认站点【Default Web Site】。
默认站点
首先需要调整【身份验证】方式,由于可能会公网访问,所以需要关闭匿名认证方式,以免发生数据安全问题。
选择【Default Web Site】站点,然后进入【身份验证】的配置页面,需要进行两步操作:首先禁用【匿名身份认证】,然后启用【基本身份认证】。
注意:关闭【匿名身份认证】后,再打开默认主页会弹出输入框要求输入账号密码才能访问。
身份验证
接着需要开启站点的 WebDAV 功能,进入【WebDAV 创作规则】的配置页面,首先【启用 WebDAV】,然后【添加创作规则】
启用 WebDAV添加【创作规则】时需要注意,为了安全起见,不要使用默认的系统管理员账号 administrator ,并且最好指定用户组或者用户,根据需要勾选权限,一般个人使用,勾选全部权限即可。
WebDAV 创作规则到这里,如果应用支持 HTTP 方式的 WebDAV 那么在访问时输入用户名与密码就可以直接访问了。
注意: Windows 10 本身默认只支持 HTTPS 方式的访问 WebDAV,需要通过修改注册表来支持 HTTP 方式访问 WebDAV。配置存储
默认站点的根路径处于系统盘下的一个目录,作为存储来用的话,显然这样是不合适的。
所以,首先需要修改站点默认的物理路径。选择站点后,可以通过【基本设置】来修改站点的默认物理路径。
基本设置
修改默认的路径后,又有一个新问题。很多情况下,并不能把所有文件都存储到同一个目录下。
这里可以通过【虚拟目录】来解决。【虚拟目录】是指访问路径与【物理路径】并不相同。
例如:访问地址为 http://localhost/Document,Document 就是一个【虚拟路径】实际的【物理路径】是在 D:Document 中。
虚拟目录
虚拟目录
实际目录的名称可以与【别名】不同,可以在 D 盘建立文件夹 Photo,但是【虚拟目录】【别名】设置为 images,可以根据需要区分文档、照片等目录方便管理文件。
注意:【WebDAV 创作规则】中也可以根据目录来设置不同的权限,实现简单的管理功能。网络访问Windows 10 默认会开启网络防火墙,由于后面配置 WebDAV HTTPS 公网访问时还需要修改默认的 443 端口,系统默认防火墙规则会阻止,造成只能在本机上访问。当然,想方便的话可以关闭系统防火墙解决,这里给提供在不关闭系统防火墙的前提下的配置方法。
注意:如果会长期开放外网访问,不要使用默认端口,并且加强密码复杂度。出于篇幅限制,无法给出详细的安全应对配置与排查方法。
防火墙规则右键点击桌面上的【网络】->【属性】->【Windows Defender 防火墙】,或者直接通过 Windows 搜索 【Windows Defender 防火墙】,然后进入【高级设置】功能页面。
高级防火墙需要添加一条入站规则来解决网络访问限制,选择【入站规则】然后点击【新建规则】。在规则设置向导中,选择【规则类型】为【自定义】,【程序】选择【所有程序】,【协议和端口】选择【所有协议】,【作用域】配置中【规则应用于那些远程 IP 地址】,选择【下列地址】,然后点击【添加】,将【预定义计算机集】项目选择为【本地子网】。
配置规则【操作】选择【允许连接】,后续选项保持默认即可。由于这条规则的作用是允许本地子网访问计算机所有端口,因此命名时最好在描述中添加说明内容。
配置规则HTTPS 访问
由于 HTTP 属于明文协议,仅仅是内网使用,如果客户端支持的话,使用并没有问题。但是出于安全考量,有些客户端并不支持 HTTP 方式访问 WebDAV,而且直接开放到公网也确实有安全隐患。这里以花生壳为例,为 WebDAV 配置 HTTPS 证书,如果使用其他方式的内网穿透或者映射,也可以参考一下。
需要下载工具【Certify SSL Manager】,免费版只能管理一个域名,但足够满足一般情况,而且软件大部分也是中文,使用起来很方便。安装花生壳客户端并且确认开启内网穿透服务,首先需要添加一个 HTTP80 端口的映射,内网主机 IP 填写 127.0.0.1 端口填写 80。
花生壳映射
注意:本机 IP 填写为 127.0.0.1 的前提是花生壳客户端于 IIS 服务安装在同一台机器上,否则就需要填写 IIS 服务所在主机的内网 IP。
打开安装好的【Certify SSL Manager】,点击【新建证书】,程序会自动识别安装好的 IIS 服务与站点,选择站点并填写花生壳域名添加,然后点击保存。
Certify SSL Manager配置完成后,可以先通过【测试】来确定所有配置是否正常,如果测试通过就可以点击【请求证书】来申请证书。
软件默认会完成证书申请、安装等操作,操作成功后可以在 IIS 中查看。
注意:免费域名证书只有 90 天有效期,需要在有效期到达之前更新证书,只需要再次运行【Certify SSL Manager】操作即可完成。在【Internet Information Services (IIS)管理器】中,通过配置站点绑定可以启用 HTTPS访问。可以看到,证书已经申请并识别到了,在【主机名】中输入花生壳域名,然后选择好对应证书,保持端口为默认的 443,添加好绑定。
https 绑定在花生壳内网穿透中添加第二个映射规则,选择映射类型为【应用类】,内网主机 IP 为 127.0.0.1 ,端口为 443。
内网映射添加完成后花生壳会动态分配一个端口,记下这个端口号,重新配置映射规则,将内网端口修改为花生壳外网端口一致,然后在 IIS 站点绑定监听端口也修改为同样的端口号。
端口绑定
内网端口最后,在路由器上配置域名解析,这样做之后,无论访问 WebDAV 的设备是在局域网内还是外网,都可以保持配置一致,无需更改。注意:如果在路由器上设置解析,内网主机需要指定 DNS 服务器为路由器,并且内网设备上花生壳诊断结果会有解析 IP 与映射 IP 不一致的异常警告,需要自己判断是否正常。
路由器设置到这一步,就可以使用 Windows 10 自带的【映射网络驱动器】功能来将 WebDAV 映射为本地驱动器,地址需要使用 https://example.eicp.net:45213输入账号密码后,就可以访问操作文件了。
映射网络驱动器注意:文中所有提到的花生壳域名和端口需要根据实际情况进行修改,不可直接复制。
文件安全
数据备份有 “321原则”——三份备份,两种介质,一份异地。作为轻量级方案,只能提供一下思路和方法,需要根据自己能接受的成本与复杂程度来选择具体的方案。
文件历史记录通过安装 IIS 服务并配置 WebDAV 实现了网络存储访问,但是数据安全问题还是没有解决。同样,可以利用 Windows 10 自带的【文件历史记录】功能来实现。
首先需要对系统默认的备份策略进行一些定制,否则可能会产生大量的备份文件,或者备份不需要备份的文件。
通过 Windows 系统搜索 【备份设置】打开设置页面,并进入【更多选项】中,注意,先不要开启【自动备份我的文件】功能。
备份设置显然默认配置下备份的文件并不满足需要,这里就需要将不需要备份的目录删除掉,或者配置一些排除目录。添加备份介质可以直接利用外接移动硬盘,或者其他可以通过网络访问的存储设备。如果没有移动需求,那么购买一个硬盘盒底座加上大容量 3.5 寸硬盘是个性价比很高的选择。
【文件历史记录】的备份机制是增量机制,是将文件保存到选择的备份介质中。同步间隔和保留时间可以根据需要配置,但是过短的间隔会造成一些问题。
备份选项注意:虽然可以直接使用映射的 WebDAV 设备作为备份盘,但是因为是同一设备,一旦磁盘损坏,无法起到备份的作用。设置完成后,在配置好备份的目录或者文件属性中就可以查看到历史版本,并且可以将历史版本恢复到指定路径。
文件历史记录也可以通过【在文件记录历史中打开】功能查看文件夹或者文件的变更历史,并恢复指定版本。实际备份的文件都是直接保存在备份盘中,可以直接查看文件的方式管理,无需担心格式问题。但是切记备份间隔不可过短,以免影响系统性能。
文件历史记录同步软件Windows 平台最大的好处就应用可以很方便的找到各种同步软件,来实现异地备份。常见的各种网盘客户端就可以很轻松的实现,根据需要选择即可。
这里推荐 FileGee,同样有免费版本,虽然有一些限制,但是足够满足一般应用。
具体功能可以安装后摸索。软件绿色无捆绑,良心国产软件,有需求可以购买付费版本支持。为啥要推荐整个软件,最主要的原因是支持【移动存储设备接入时自动执行任务】,非常方便。
移动存储备份同时它还支持百度网盘和 OneDriver 备份,可以不用安装百度网盘客户端。如果购买付费版本,可以完全替代系统自带的【文件历史记录】功能,可以实现灵活的备份策略。
网盘支持移动平台
移动平台主要是看应用对 WebDAV 的支持是否完善,iOS 与 Android 上都有很多应用支持。需要注意,请确保按照本文做法,保证外部端口与 IIS 服务监听端口一致,再加上路由器上配置 DNS 解析。
这样同一个配置可以在公网与内网使用,无需且换,在内网时不会产生外网流量,也不依赖花生壳服务。注意:截止本文写作时,Android 上 FolderSync 在修改 HTTPS 默认端口的情况下,同步会报错,无法完成同步,但其他 App (Synchronize Ultimate)可以正常同步。修改为默认端口(443)时后同步正常,可以判断为应用本身问题,已经提交问题到开发商。收尾工作如果成功完成上面的操作,并且一切工作正常的话,那么需要一点收尾工作。
注意:以下操作需要选择 【Internet Information Services (IIS)管理器】根节点进行设置。日志处理
IIS 默认情况下会将日志保存在系统目录,需要将这些日志转移到别的目录。由于这些日志可以为后续出现问题排查时提供线索,所以不太建议关闭日志。
IIS 日志请求限制
默认设置下 IIS 有着上传文件大小的限制。默认为 30000000 Byte 字节,换算成 MB 的话为 30MB,加个 0 就是 300 MB。但是由于协议本身的一些限制,大文件传输时间过长时会产生一些问题(显然不支持续传),所以即便修改了大小限制,最终能否上传成功还需要看带宽。也正因为这些原因,大体积文件、高读写、视频等场景,建议还是用内网 SMB 解决。
请求筛选安全问题
群晖的登陆页面中如果连续输入密码错误,会在一定时间内阻止尝试,但 IIS 并没有自带类似的功能。虽然Windows Server 中有着连续错误密码就禁用用户的安全策略,但是不能解决问题——禁用用户的结果就是都没法用。
从安全考量,有以下几点建议:不要使用默认的系统管理员账号作为WebDAV指定用户
映射端口不要使用默认端口
更新系统安全补丁
閱讀更多 Hao4K影音 的文章
