Teil 28a: Arbeitsordner installieren und konfigurieren

Nachdem ich Split-DNS (Teil 28) eingerichtet habe, kann ich schon die Arbeitsordner installieren und konfigurieren. Den Anfang macht wieder einmal das SSL-Zertifikat (Teil 6j), gefolgt von der Server-Rolle WorkFolders. Danach können die Clients im Intranet die Arbeitsordner schon verwenden.

Arbeitsordner installieren und konfigurieren – Schritte:

  • SSL-Zertifikat für Arbeitsordner ausstellen
  • Zertifikat in IIS binden
  • Die Server-Rolle WorkFolders installieren
  • Globale Sicherheitsgruppen für die Verwendung von Arbeitsordnern erstellen
  • Optional: Die Verwaltung des Benutzer-Attributes msDS-SyncShareURL delegieren
  • Arbeitsordner konfigurieren
  • Arbeitsordner am Client einrichten

SSL-Zertifikat für Arbeitsordner ausstellen

  1. Als Administrator an APP1 anmelden
  2. Eine MMC als Admin starten
  3. Das Snap-in Certificates für das lokale Computerkonto hinzufügen
  4. Den Ordner Personal rechts anklicken > All Tasks > Request New Certificate…
  5. Folgendes Web Server Zertifikat anfordern
    1. Subject name
      1. Type: Common name
      2. Value: arbeitsordner.einfaches-netzwerk.at
    2. Alternative name
      1. Type: DNS
      2. Value: arbeitsordner.einfaches-netzwerk.at
      3. Value: app1.intern.einfaches-netzwerk.at
        WORKFOLDER-001
    3. Friendly name: Arbeitsordner SSL Certificate
      WORKFOLDER-002
    4. WICHTIG: Private Key > Make private key exportable > OK
      WORKFOLDER-003
  6. Das ausgestellte Zertifikat rechts anklicken > All Tasks > Export…
  7. Das Zertifikat
    1. mit Private Key
    2. dem Passwort Password1
    3. nach \\APP1\Sourcen\ADFS\arbeitsordner.pfx exportieren
  8. Alle Fenster schließen

Zertifikat in IIS binden

  1. Server Manager > Tools > IIS Manager
  2. Default Web Site markieren
  3. Auf der rechten Seite auf Bindings… klicken
  4. Site Bindings > Add…
  5. Add Site Binding
    1. Type: https
    2. SSL certificate: Arbeitsordner SSL Certificate > OK
      WORKFOLDER-004
  6. Fenster schließen

 Die Server-Rolle WorkFolders installieren

  1. Server Manager > Add Roles and Features
  2. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: APP1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: File and Storage Services\File and SCSI Services\Work Folders > Add Features > Next
      ADFS-051
    5. Features > Next
    6. Confirmation > Install
    7. Results > Close
  3. WICHTIG: Server auf jeden Fall neu starten!

Globale Sicherheitsgruppen für die Verwendung von Arbeitsordnern erstellen

  1. Server Manager > Tools > Active Directory Users and Computers
  2. OU Einfaches-Netzwerk erweitern
  3. In der OU Sicherheitsgruppen folgende globale Sicherheitsgruppen erstellen
    1. Sync Share Administrators
      1. Mitglieder: Domain Administrators
    2. Sync Share Benutzer Linz
      1. Mitglieder: USER1, USER2
        WORKFOLDER-029

Optional: Die Verwaltung des Benutzer-Attributes msDS-SyncShareURL delegieren

Mit diesem Recht kann ein Sync Share Administrator (hier in meinem Labor die Domain Admins, welche das Recht aber ohnehin haben) bei jedem Benutzer das Attribut msDS-SyncServerURL konfigurieren. Das ist praktisch, wenn mehrere Sync Server konfiguriert und die Benutzer automatisch zum richtigen Server geleitet werden sollen. In großen Umgebungen ist das nicht empfehlenswert. Das geht auch mittels Gruppenrichtlinien.
WORKFOLDER-012

  1. OU Einfaches-Netzwerk\Benutzer\Linz rechts anklicken > All Tasks > Delegate Control…
    WORKFOLDER-006
  2. Delegation of Control Wizard
    1. Welcome… > Next
    2. Users or Groups: Sync Share Administrators > Next
      WORKFOLDER-007
    3. Tasks to Delegate: Create a custom task to delegate > Next
      WORKFOLDER-008
    4. Active Directory Object Type
      1. Only the following objects in the folder: User objects > Next
        WORKFOLDER-009
    5. Permissions
      1. Property-specific
        1. Read msDS-SyncServerURL
        2. Write msDS-SyncServerURL > Next
          WORKFOLDER-010
    6. Completing the Wizard > Finish
      WORKFOLDER-011
  3. Alle Fenster schließen

Arbeitsordner konfigurieren

  1. Server Manager > File and Storage Services > Workfolders > Start the New Sysnc Share Wizard
    ADFS-052
  2. New Sync Share Wizard
    1. Before You Begin > Next
    2. Server and Path
      1. Enter a local path: D:\SyncShare_Linz > Next
        WORKFOLDER-013
    3. User Folder Structure: User alias
      WORKFOLDER-014
    4. Sync Share Name
      1. Name: Arbeitsordner Linz
      2. Description: Einfaches-Netzwerk > Next
        WORKFOLDER-015
    5. Sync Access:
      1. INTERN\Sync Share Benutzer Linz
      2. Disable inherited permissions and grant users exclusive access to their files deaktivieren > Next
        WORKFOLDER-016
    6. Device Policies: Encrypt Work Folders > Next
      WORKFOLDER-017
    7. Confirmation > Create
      WORKFOLDER-018
    8. Results > Close

Bei der Aktivierung der Einstellung Automatically lock screen, and require a password konnte auf meinen Windows 8.1-Geräten kein Standardbenutzer den Arbeitsordner einrichten, es wären Administrator-Rechte notwendig. Deshalb lasse ich diese Option deaktiviert.

Arbeitsordner am Client einrichten

  1. Als USER1 an CLIENT1 anmelden
  2. Start rechts anklicken > Systemsteuerung
  3. System und Sicherheit > Arbeitsordner
    WORKFOLDER-019
  4. Geben Sie stattdessen eine Arbeitsordner-URL ein
    WORKFOLDER-020
  5. Arbeitsordner-URL: https://arbeitsordner.einfaches-netwzerk.at > Weiter
    WORKFOLDER-021
  6. Einführung in Arbeitsordner > Weiter
    WORKFOLDER-022
  7. Sicherheitsrichtlinien > Ich stimme diesen Richtlinien auf meinem PC zu.  aktivieren > Arbeitsordner einrichten (genau hier wären Administratorenrechte notwendig, siehe oben)
    WORKFOLDER-023
  8. Schließen
  9. Ordner und Dateien in den Arbeitsordner kopieren
  10. Die grüne Farbe der Dateien symbolisiert die lokale Verschlüsselung (selective wipe bei Windows 8, EFS bei Windows 7) der Dateien
    WORKFOLDER-025
  11. Als USER1 an CLIENT2 anmelden
  12. Arbeitsordner wie oben einrichten
    WORKFOLDER-026
  13. Arbeitsordner auf CLIENT2
    WORKFOLDER-028
  14. Und am Sync Server (APP1)
    WORKFOLDER-027

Im Intranet funktioniert der Arbeitsordner schon. Dabei ist es egal, ob der Client domain-joined oder non-domain-joined ist (nur Windows 8.1, Windows 7 muss domain-joined sein). Der Ordner wird auf den verschiedenen Rechnern synchronisiert. Damit das Ganze auch im Internet funktioniert, muss ich die Active Directory Federation Services AD FS und einen Reverse Proxy, wie den Web Application Proxy, konfigurieren. AD FS werde ich im nächsten Teil implementieren. 🙂

3 Gedanken zu „Teil 28a: Arbeitsordner installieren und konfigurieren

  1. Moin,

    danke für die Anleitung, hat mir gut geholfen.
    Eine Frage dazu habe ich noch:
    Wir haben das ganze so aufgebaut, dass jeder Außendienstmitarbeiter einen Arbeitsordner zugewiesen bekommen hat. Soweit ist das auch problemlos gegangen.
    Jetzt Soll der Innendienst den Mitarbeitern im Außendienst Dateien bereitstellen, dafür wurden den Benutzern die NTFS Berechtigung erteilt. Wenn der Außendienst jetzt Dateien in den Arbitsordner kopiert, werden diese nicht synchronisiert, sondern nur auf dem Server angezeigt.
    Dieses Problem schon einmal gehabt?

    Mit freundlichen Grüßen

  2. Mal eine Frage:
    Wie handelt man das wenn man seine WWW-Adresse gehostet hat und diese also nicht im AD/DC existiert, es also nur eine interne Domain DE-XYZ gibt?

    Gruß,
    Andreas

  3. Ich würde gern einen Ordner als Sync Ziel freigeben. Also alle User verbinden sich mit dem selben Ordner und könne darin Arbeiten. Derzeit ist es so, dass für jeden User ein Ordner erstellt wird und jeder User in seinem Ordner Daten ablegen kann. Ich hätte gern dass mehrere User den selben Ordner verwenden um gemeinsam auf die Daten zuzugreifen. Hast du da eine Idee?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert