Work Folders in Windows Server 2012 R2: Nachfolger für Offline-Files und Ordnerumleitung

    Work Folder (Arbeitsordner) sind eine Funktion der Rolle Datei- und Speicherdienste.Eine relativ wenig beachtete Neuerung von Windows Server 2012 R2 sind die so genannten Work Folders (Arbeitsordner). Sie ergänzen File-Server um die Synchronisierung von Dateien, so dass sich die zentrale Datenablage endlich gegenüber heterogenen und mobilen Clients öffnet. Die erste Version leidet noch unter einigen Limitierungen, aber zukünftig werden Work Folders herkömmliche Techniken wie Offline-Dateien und Ordnerumleitung wohl weitgehend ersetzen.

    Microsoft ließ den Dateidiensten im Lauf der letzten Updates zwar einige Neuerungen angedeihen, darunter die Classification Infrastructure oder Dynamic Access Control. Aber in wesentlichen Punkten gab es kaum Fortschritte, so dass die sich die normale Nutzung der File-Services bis heute weitgehend darauf beschränkt, dass PCs über SMB freigegebene Ordner im Firmennetzwerk als gemeinsamen Speicher nutzen.

    Mobiles Arbeiten verlangt neue File-Server

    Dieses Szenario repräsentiert aber immer weniger die Anforderungen von Firmen, deren Mitarbeiter vermehrt von unterwegs mit diversen Endgeräten auf ihre Daten zugreifen möchten. Daher nimmt in vielen Unternehmen der unautorisierte Einsatz von Dropbox und anderen Consumer-Services überhand. Wer eine Enterprise-taugliche Alternative haben will, kann eine solche von verschiedenen Herstellern beziehen. Nur die Microsoft-Plattform selbst hatte bis dato kaum etwas zu bieten.

    Zwar entwickelte Microsoft in der Vergangenheit eine Reihe von Produkten und Services zur Synchronisierung von Dateien. Genannt seien etwa Live Mesh, Live Sync oder die aktuelle Version von SkyDrive (jetzt "OneDrive"). Sie richten sich jedoch nicht an Firmenkunden. Diese Zielgruppe spricht dagegen SkyDrive Pro an. Es handelt sich dabei jedoch um einen Service in der Cloud, in die viele Firmen keine Daten replizieren möchten. Zudem ist es primär für die Synchronisierung von SharePoint-Dokumenten gedacht.

    Work Folders benötigen keine Cloud

    Work Folders sind dagegen eine Lösung, die von Firmen selbst betrieben wird (on premise) und keine Cloud-Services nutzen muss. Sie basieren auf einem eigens entwickelten Sync-Protokoll, das über verschlüsselte HTTP-Verbindungen mit Clients außerhalb des LANs kommuniziert. SMB ist hier also nicht im Spiel, und die Notwendigkeit für den Aufbau eines VPN-Tunnels entfällt.

    Work Folder können heterogene mobile Geräte über das Internet an den File-Server anbinden.

    Als Dreh- und Angelpunkt für Work Folders dient ein neues Feature der Rolle Datei/Speicherdienste namens Arbeitsordner. Sobald ein Benutzer in einem lokalen Work Folder eine Datei neu anlegt oder ändert, wird sie auf den File-Server repliziert und dort als Kopie gespeichert. Dieser verteilt sie umgehend auf alle Endgeräte des jeweiligen Users, vorausgesetzt sie haben eine Partnerschaft mit dem Server eingerichtet.

    Limitierungen der Version 1.0

    In der Version 1.0 kann pro Gerät und Benutzer nur eine solche Partnerschaft festgelegt werden. Außerdem beschränken sich Work Folders auf die Synchronisierung von Dateien individueller User. Team- oder Projektordner sind nicht vorgesehen, zudem bietet Microsoft derzeit noch keine Collaboration- und Sharing-Funktionen, wie sie etwa Novell in Filr unterstützt. Eine weitere Limitierung besteht darin, dass ein Server 2012 R2 derzeit nur lokale Laufwerke für Work Folders nutzen kann.

    Obendrein ist der Client-Support derzeit noch mager und beschränkt sich auf alle Editionen von Windows 8.1. Allerdings kündigte Microsoft die Unterstützung für Windows 7 und das iPad an. Darüber hinaus gibt es bereits Erklärungen des Herstellers, wonach weitere Plattformen folgen sollen. Work Folder sind für andere Betriebssysteme relativ offen, weil die Mitgliedschaft in einer AD-Domäne keine Bedingung ist. Sie gilt nur für den Server.

    Integration externer Endgeräte

    Sollen Endgeräte von außerhalb der Firewall ihre Daten über den File-Server mit anderen Clients austauschen, dann geht das mit üblichen Mechanismen wie Reverse Proxy oder einfach über Port Forwarding in der Firewall. Eine weitere Voraussetzung ist eine entsprechende DNS-Konfiguration, so dass der Proxy- oder der File-Server über eine im öffentlichen Internet gültige Adresse erreichbar ist.

    Work Folders können auf mehrere File-Server verteilt werden, beispielsweise wenn dezentrale Unternehmen den Sync-Dienst in verschiedenen Niederlassungen betreiben möchten. Nachdem jeder User nur eine Instanz der Arbeitsordner nutzen kann, muss sichergestellt sein, dass er dem richtigen Server zugeordnet wird. Diese Aufgabe lässt sich manuell durch die Vergabe von individuellen URLs an verschiedene Benutzergruppen erledigen.

    Deployment mehrerer Work-Folder-Server

    Alternativ dient Auto Discovery der selbständigen Zuteilung von Benutzern zu Arbeitsordnern. Microsoft empfiehlt, den Zugriff auf Work Folders über eine jeweils eigene Security Group im AD zu regeln. Wenn ein Benutzer bei ersten Sync-Vorgang mit einem Work Folder verbunden wird, für die er keine Berechtigung besitzt, dann liest der Server im Rahmen des Auto Discovery die korrekte URL aus einem eigens dafür angelegten AD-Attribut und gibt sie an den Client zurück. Der kann nun seine Daten mit dem zuständigen Server abgleichen. Dieser Mechanismus greift auch dann, wenn der Administrator bestimmten Benutzern die Rechte für einen Arbeitsordner entzieht, weil er sie auf einen anderen Work Folder migrieren möchte.

    Bei Multi-Server-Deployments hilft Auto Discovery dabei, Benutzer mit dem richtigen Work Folder zu verbinden.

    Die Zuordnung von Anwendern zu verschiedenen Work Folders kann erfolgen, um die Last auf mehrere File-Server zu verteilen oder um eine dezentrale Firmenstruktur abzubilden. Ein weiterer Grund besteht darin, dass Richtlinien auf der Ebene der Arbeitsordner definiert werden. Wenn man beispielsweise für die Abteilung Finanzbuchhaltung die Verschlüsselung aller Dateien oder bestimmte Passwortregeln erzwingen möchte, dann würde man für sie einen eigenen Work Folder mit den entsprechenden Policies einrichten.

    Alle Zugriffsregeln des File-Servers gelten

    Neben den Richtlinien, die über die Arbeitsordner selbst vorgegeben werden, gelten weiterhin uneingeschränkt alle Restriktionen des File-Servers. So regeln die NTFS-Berechtigungen den Zugriff auf die Dateien und eventuelle Disk-Quotas beschränken den für Benutzer verfügbaren Plattenplatz auch dann, wenn die Dateien nicht über SMB, sondern via Synchronisierung auf den Server gelangen.

    Nachdem Work Folders auf die bestehende Infrastruktur für File-Server aufsetzen, stehen ihnen auch andere ergänzende Dienste zur Verfügung. So lassen sich die Rights Management Services (RMS) nutzen, um die Weitergabe von vertraulichen Dateien an Unbefugte zu verhindern, etwa wenn sie auf private Geräte von Mitarbeitern synchronisiert werden.

    Eine weitere Konsequenz aus der Integration der neuen Sync-Funktionen mit herkömmlichen Netzfreigaben besteht darin, dass der Inhalt von Arbeitsordnern entweder auf Clients repliziert oder von diesen über SMB genutzt werden kann. Ältere Windows-PCs, die Work Folders nicht unterstützen, können daher auf herkömmliche Weise Dateien lesen und schreiben, die von Kollegen auf den Server synchronisiert wurden.

    Versionskonflikte und Replikationsprobleme

    Im Vergleich zum traditionellen Zugriff auf File-Shares via SMB konfrontiert die Synchronisierung sowohl User als auch Administratoren mit spezifischen Eigenheiten. Dazu gehören Replikationskonflikte, wenn eine Datei auf mehreren Geräten gleichzeitig verändert wird. In diesem Fall setzt sich der letzte Schreibzugriff durch und andere Versionen des Dokuments (bis zu 100) werden beibehalten (und entsprechend markiert). Der Benutzer muss dann selbst entscheiden, wie er den Konflikt auflöst.

    Die Änderung einer Datei auf dem Endgerät iinitiert die Synchronisierung.

    Aus der Sicht von Administratoren gilt es zu bedenken, dass ein Sync-Mechanismus wie jener von Work Folders genau Buch darüber führt, wann welche Version einer Datei auf welche Geräte übertragen wurde. Microsoft verwendet zu diesem Zweck wie in AD oder Exchange eine (angepasste) Jet-Datenbank (auf den Clients und auf dem Server).

    Und genau wie bei der AD-Replikation droht Chaos, wenn man durch einen Restore des gesamten Systems das Rad der Zeit zurückdreht oder alte Versionen von Dateien aus externen Quellen einspielt.

    Work Folders als Ersatz von Offline-Files

    Es liegt auf der Hand, dass Arbeitsordner als (überfällige) Nachfolger von Offline-Dateien zu betrachten sind. Letztere bieten nichts, was Work Folders nicht besser könnten. Aber auch die beiden anderen in die Jahre gekommenen Techniken, die Microsoft unter User State Virtualization zusammenfasst, stehen zu Disposition. Es handelt sich dabei um die Ordnerumleitung und Roaming Profiles.

    Rein technisch lassen sich Work Folders und Ordnerumleitung miteinander kombinieren, aber Microsoft rät davon ab, dies zu tun. Tatsächlich gibt es dafür keinen vernünftigen Grund, denn Arbeitsordner lösen das Problem der dezentralen Datenhaltung, indem sie alle Änderungen auf den Server replizieren. Gleichzeitig erlauben sie ein (Offline-)Arbeiten mit lokalen Kopien der Dateien und die Integration von Plattformen anderer Hersteller.

    Ablöse von Roaming Profiles zusammen mit UE-V

    Roaming Profiles dagegen gleichen nicht nur die Benutzerdaten zwischen dem Server und Windows-PCs ab, sondern übertragen als Teil des Profils auch die individuellen Einstellungen. Diese Aufgabe können Work Folders zwar nicht übernehmen, aber Microsoft bietet zu diesem Zweck eine eigene Software namens UE-V. Diese wurde erst kürzlich in der stark erweiterten Version 2.0 veröffentlicht.

    Während jedoch alle unterstützten Clients Work Folders nutzen können, sobald ein Server 2012 R2 im Netz ist, bleibt UE-V 2.0 als Teil des MDOP 2013 R2 jenen Kunden vorbehalten, die eine Software Assurance abgeschlossen haben.

    5 Kommentare

    Bild von Andreas Müller
    Andreas Müller sagt:
    18. April 2014 - 22:54

    Irgendwie irritiert Microsoft weiterhin in jedem einzelnen Aspekt den Laien Admin- Beispiel Frage: wo kann ich nachlesen wie ich mein lokales Ordner Verzeichnis auf dem Server 2008 R2 mit Office 365 live synchronisieren lassen kann? Ich brauche das Verzeichnis lokal, da unser Arbeitsprogramm dieses nutzt, Vorlagen verknüpft sind. Aber auch online um in Teams arbeiten zu können, vorerst QM Qualitätsmanagement bezogende Aufgaben. Ich Wechsel doch zu 365 um Supportkosten etc. zu sparen, aber jeder redet von individualen Lösungen/ Programmierungen. Ich will als Laie administrieren. Kann im Netz nichts finden, bin zudem ein kleines Unternehmen, muss vorankommen und kann mir so einen riesen Support nicht leisten, muss es selbst einrichten können. Hat jemand einen Tip für mich ?! Wäre echt klasse.

    Bild von Serialz
    Serialz sagt:
    27. April 2014 - 14:55

    Schaue dir mal den Windows Server 2012 R2 Essentials an, kostet 375€ als Einzellizenz. Man hat wenig Verwaltungsaufwand kann über das Dashboard Office 365 Abos einbinden. Recht komfortabel.
    Sollte man mehr als 25 User und oder 50 Device´s haben, so kann man zum Standard Server aufstufen. Dann hat man bis zu 100 User lizensiert. Im Standard Server ist dann der essential Server als Rolle zu haben. Beim aufstufen wird der vorhandene Server als Rolle eingerichtet und ausgeführt.

    Bild von Andreas Müller
    Andreas Müller sagt:
    28. April 2014 - 13:14

    Vielen Dank Serialz,
    so wie ich es verstanden habe mache ich ein Upgrade von 2008 R2 auf 2012 R2 Essentials bzw. besser noch Standard. 2012er wären wohl besser verknüpft mit Office 365- so das hier Ordner und Zugriffsberechtigungen einfach Synchronisiert werden können. Also muss ich mich durchringen 2012 zu besorgen wenn ich es unkompliziert haben möchte, mit 2008 R2 bleibt es also kompliziert. Hatte insgeheim gehofft das es ein Tool gibt für 2008 R2 zur Office 365 Integration.

    Bild von Andi's iT Blog
    25. Juni 2014 - 10:45

    Danke für den Artikel,

    ich habe das ganze mal aufgesetzt und dazu eine Anleitung geschrieben: http://blog.asichel.de/server-2012-r2-workfolders-einrichten/

    MfG

    Bild von Sebastian
    Sebastian sagt:
    14. Dezember 2015 - 11:53

    Im Prinzip müssten dann noch Self-Services für die Work Folders hinzukommen, damit ich a la Dropbox intern im Unternehmen anderen Benutzern Berechtigungen auf einzelne Sub-Verzeichnisse oder Dateien innerhalb meines zugewiesenen Work Folders geben kann.

    Das ist ein riesiger Benefit für Administratoren und lagert viele Berechtigungänderungen an die Anwender aus. Sie handeln dann allerdings eigenverantwortlich, wenn sie versehentlich der falschen Person Zugriff gewähren.