Work Folders (Arbeitsordner) einrichten in Windows 8.1 und Server 2012 R2

    Dateien synchronisieren über ArbeitsordnerZu den wichtigsten Neuerungen von Windows Server 2012 R2 gehören Work Folders, die im Stil von Dropbox Dateien zwischen verschiedenen Endgeräten synchronisieren. Sie erfordern die In­stallation einer Server-Rolle, die Konfiguration von Sync-Shares, von SSL und der Clients.

    Nachdem Arbeitsordner herkömmliche File-Server in die Lage versetzen sollen, sowohl firmeneigenen als auch privaten Geräten innerhalb und außerhalb der Firewall Zugriff auf Dateien zu gewähren, sieht dieses Feature auch komplexe Deployment-Varianten vor. Dazu zählen Multi-Site- und Multi-Server-Konfigurationen, Autodetect von Arbeitsordnern oder die Nutzung eines Reverse Proxy inklusive AD FS.

    Basis-Installation von Work Folders

    Für die Evaluierung von Work Folders und für kleinere Umgebungen reicht indes ein Setup, das nur PCs unter Windows 8.1 bedient, die Mitglied einer Domäne sind, und das mit einem einzelnen File-Server auskommt. Die folgende Beschreibung orientiert sich an solchen bescheidenen Anforderungen und beschränkt sich daher etwa auf die Verwendung eines SSL-Zertifikats, das von den AD-Zertifikatsdiensten ausgestellt wurde.

    Arbeitsordner sind eine Erweiterung der Datei-/Speicherdienste und werden über den Server Manager installiert.

    Der einfachste Teil bei der Einrichtung von Work Folders ist die Installation der benötigten Server-Komponenten. Sie erfolgt erwartungsgemäß über den Server Manager, wo man im Wizard zum Hinzufügen von Rollen und Features im Zweig unterhalb von Datei-/Speicherdienste die Option Arbeitsordner wählt. Bei dieser Gelegenheit wird auch IIS Hostable Web Core ("Hostfähiger Webkern für Internetinformationsdienste") installiert.

    Synchronisierungsfreigabe anlegen

    Im nächsten Schritt legt man eine neue Synchronisierungs­freigabe an, unterhalb der später die Ordner der für die einzelnen Benutzer liegen. Auch diese Aufgabe erledigt man im Server Manager, und zwar indem man über die linke Navigationsleiste die Seite für Datei-/Speicherdienste öffnet und dort zu Arbeitsordner wechselt. Aus dem Menü Aufgaben startet man anschließend den Wizard Neue Synchronisierungsfreigabe.

    Nach der Installation der Rolle richtet man im nächsten Schritt eine neue Synchronisierungsfreigabe ein.

    Dieser belehrt auf der Seite Vorbereitung darüber, dass man den Speicher für Work Folders auf einem NTFS-Volume bereitstellen muss und bevorzugt AD-Sicherheitsgruppen nutzen sollte, um die Zugriffsrechte für Work Folders zu verwalten. Letzteres ist besonders dann empfehlenswert, wenn man mehrere Arbeitsordner anlegt. Dies kann man nun nachholen, bevor man den Wizard fortsetzt.

    Speicherort und Namen für Sync-Ordner

    In den folgenden Schritten wählt man erst den Server und Pfad für die Synchronisierungsfreigabe (entweder ein bestehendes SMB-Share oder ein lokales Laufwerk) und danach die Namenskonvention für die Benutzerverzeichnisse. Diese werden automatisch unterhalb des Arbeitsordners angelegt und bestehen entweder nur aus dem Benutzernamen alleine (Option "Benutzeralias") oder aus Benutzername plus "@<Domäne>".

    Als Speicherort für Work Folders wählt man eine vorhandene SMB-Freigabe oder ein lokales Server-Verzeichnis.

    Die zweite Variante wird man dann wählen, wenn Benutzer aus mehreren Domänen die Sync-Freigabe nutzen, weil auf diese Weise keine Namenskonflikte auftreten können. In diesem Dialog kann man zusätzlich bestimmen, dass nicht alle Verzeichnisse unterhalb des Benutzerordners synchronisiert werden, sondern nur ausgewählte.

    Das Domänen-Suffix in den Namen der Benutzerverzeichnisse braucht man, wenn User mehrerer Domains auf Work Folders zugreifen.

    Nach der Vergabe eines Namens für den Arbeitsordner legt man fest, wer darauf zugreifen darf. Zu diesem Zweck wählt man die AD-Benutzergruppe aus, die man zuvor dafür angelegt hat. Zum Abschluss aktiviert man noch die gewünschten Geräterichtlinien, über die man etwa die Verschlüsselung der synchronisierten Daten erzwingen kann.

    Um die Zugriffsrechte auf Work Folders zu regeln, sollte man für Arbeitsordner eigene AD-Gruppen anlegen.

    SSL-Zertifikat anfordern und an Port 443 binden

    Die Server-seitige Konfiguration erfordert schließlich noch die Installation eines SSL-Zertifikats, weil die Kommunikation zwischen Clients und Server durchgängig über HTTPS erfolgt. Aus diesem Grund wird IIS Hostable Web Core zusammen mit der Arbeitsordner-Rolle installiert.

    Verschiedene Anleitungen wie jene auf diesem TechNet-Blog bewältigen diese Aufgabe mit PowerShell oder mit Kommandozeilen-Tools wie netsh.exe, weil der IIS Manager mit Web Core nicht eingerichtet wird. Im Allgemeinen ist es aber einfacher, dieses grafische Tool am Workfolder-Server nachzuinstallieren und die Zertifikatsverwaltung damit zu erledigen. Zu diesem Zweck öffnet man ein PowerShell-Fenster mit administrativen Rechten und gibt den Befehl

    Install-WindowsFeature Web-Mgmt-Console

    ein.

    Im IIS Manager kann man sowohl Zertifikate einbinden, die man von externen CAs erworben hat, als auch selbstsignierte Zertifikate ausstellen. Eine weitere Option besteht darin, ein Zertifikat von den AD-Zertifikatsdiensten anzufordern. Ein solches reicht aus, wenn alle Clients Mitglied der Domäne sind.

    Domänenzertifikat ausstellen

    Dazu wählt man in der linken Strukturdarstellung den Server aus und öffnet anschließend das Applet Serverzertifikate. Im rechten Fenster erscheint dann unter anderem die Option Domänenzertifikat erstellen. Sie startet einen Dialog, in den man alle nötigen Angaben für das Zertifikat eingeben muss.

    Wenn alle Clients Mitglied in einer Domäne sind, dann reicht ein Zertifikat, das man über die eigene CA ausstellt.

    Nach dem erfolgreichen Ausstellen des Zertifikats wird es automatisch in den lokalen Speicher importiert. Nun muss es noch an den Port 443 gebunden werden. Dazu wählt man in der Baumstruktur Default Web Site aus, worauf dann rechts der Menüpunkt Bindungen auftaucht. Er öffnet einen Dialog, in dem man über Pull-down-Menüs den Port 443 und das installierte Zertifikat auswählen kann.

    Das Zertifikat muss an SSL-Port 443 der Default Web Site gebunden werden.

    Clients für Synchronisierung einrichten

    Der letzte Schritt besteht darin, die Clients für die Synchronisierung zu vorzubereiten. Neben der zentralen Konfiguration über Gruppenrichtlinien gibt es die Möglichkeit, diese Aufgabe den Benutzern selbst zu überlassen. Zu diesem Zweck existiert in der Systemsteuerung von Windows 8.1 unter System und Sicherheit => Arbeitsordner ein Applet namens Arbeitsordner einrichten.

    Die Konfiguration des Clients mittels Mail-Adresse setzt ein DNS-Alias für den Workfolder-Server voraus.

    Führt man dieses aus, dann verlangt es im ersten Dialog die Eingabe einer Mail-Adresse. Aus dieser entnimmt es den Namen der Domäne und sucht im DNS nach dem Workfolder-Server, indem es einen Eintrag in der Form workfolders.<meine-domain.com> nachschlägt. Will man den Client auf diesem Weg einrichten, dann muss man daher im DNS erst ein entsprechendes Alias (CNAME) für den Workfolder-Server anlegen. Alternativ kann man statt der Mail-Adresse direkt die URL eingeben, die man den Benutzern zuvor etwa per Mail zuschickt.

    Nach der erfolgreichen Verbindung mit dem Server bietet der Wizard die Möglichkeit an, das lokale Verzeichnis für den Arbeitsordner zu verändern. Der Vorgabewert ist %USERPROFILE%\Work Folders. Nach Abschluss der Konfiguration versucht Windows sofort, die Dateien im betreffenden Verzeichnis mit dem Server abzugleichen.

    Der Sync-Fehler 0x80c80001 lässt sich durch die Installation des Rollup für Server 2012 R2 beheben.

    Dabei kann jedoch der Fehler 0x80c80001 auftreten, wonach die übertragenen Daten nicht das richtige Format aufweisen. In diesem Fall liegt das Problem nicht bei den Dateien, vielmehr handelt es sich um einen Bug des Systems, den man durch Einspielen von KB2887595 auf dem Server beheben kann.

    Keine Kommentare