Archiv

Archive for the ‘Windows Server’ Category

Arbeitsordner | Sichere Synchronisation in der Private Cloud

22. August 2014 Hinterlasse einen Kommentar

Arbeitsordner, Work Folders

Seit Jahren benutze ich mehrere Geräte und es war nicht immer einfach, die richtige Methode des Abgleichs zu finden. Aus der Folder-Redirection, über SkyDrive, OneDrive und OneDrive for Business und Arbeitsordner. Wichtig für mich war, dass ich für bestimmte Geräte eine sichere und einfache Synchronisation über mehrere Geräte hinweg bekomme. Keine Zusammenarbeit. Einfach bestimmte Business-Dokumente synchronisieren.

Arbeitsordner für die sichere Synchronisation über mehrere Geräte hinweg

Auf Channel 9 sprechen Tommy Patterson und Young Kwon über diese Technologie und zeigen, wie die IT von Microsoft dass für Ihre Mitarbeiter umgesetzt hat. (22 Minuten)

Tommy Patterson, Young Kwon

weitere Informationen zum Arbeitsordner auf meinem Blog finden Sie hier

OEM Server Kompetenz Club

15. Januar 2014 Hinterlasse einen Kommentar

OEM Server Kompetenz Club

  • Sie sind Wiederverkäufer ?
  • Sie wollen Ihre Kompetenz zu Windows Server weiter aufbauen?
  • Sie brauchen weitere Informationen zum Windows Server?
  • Sie haben Fragen zur Lizensierung von Windows Server?
  • Sie wollen Ihre Erfahrungen mit anderen teilen?
  • Sie wollen sich einmal  live mit anderen austauschen?
  • Sie suchen weitere technische Informationen?
  • Sie benötigen Unterstützung bei Ihrem Projekt mit Windows Server?
  • Sie benötigen das richtige Tool?
  • Sie benötigen Marketingmaterialien, eine Präsentation oder ein Whitepaper?
  • Wenn auch nur eine Frage mit “Ja” beantwortet werden kann, dann sollten Sie sich beim

OEM Server Kompetenz Club

registrieren. Mit ein paar Klicks sind Sie drin. Und haben Zugriff auf alle Informationen. Direkt vom Hersteller Microsoft. Hier geht’s zum OEM Server Kompetenz Club

Work Folders | Zertifikate ausrollen

14. Januar 2014 4 Kommentare

der 4. Teil der Implementierung der Work Folders geht es um den DNS Einträge und der Implementierung des Zertifikates, damit wir mit allen Geräten nicht nur innerhalb unseres Firmennetzwerkes Zugriff haben, sondern auch über das Internet von jeder beliebigen Stelle. Dabei gehe ich auch auf die Problematik eines bestehenden Exchange Servers und der mittlerweile von Microsoft abgekündigten Firewall Thread  Management Gateway (TMG 2010) einNetzwerk-Diagramm  für Work Folders

Wenn in einer Firma sowohl ein Sync-Server als auch ein Mail Server eingesetzt werden sollen, so ergibt sich auf Grund des verwendeten Protokolls (hppts= Port 443) ein Problem. Der Datenstrom muss an der Firewall getrennt werden. Die nachfolgende Beschreibung hier gilt für folgende Komponenten:

  • Proxy-Server: TMG 2010 auf Windows Server 2008 R2
  • Mail-Server: Exchange Server
  • Sync-Server: Windows Server 2012 R2
  • Es ist nur eine externe IP Adresse vorhanden
    Exchange Server verlangt beim Protokoll Outlook Web Access (OWA) SSL Verschlüsselung. Für den Zugriff muss öffentlich ein DNS Eintrag beim Provider eingerichtet werden. Der Sync- Server benötigt für die Work Folders ebenfalls einen öffentlichen DNS Eintrag
  • mail.contoso.com
  • workfolders.contoso.com
    ich habe im DNS Manger der Domäne auch noch einen Host-Eintrag workfolders erzeugt, dessen  IP auf den Sync-Server (Fileserver) zeigt:

DNS Eintrag für Workfolders

 

Und natürlich benötigen wir in SAN-Zertifikat (Multi-Domain Zertifikat), bei dem beide Einträge vorhanden sind. Dann kann auf der TMG mittels Bridging der SSL Datenstrom je nach Anforderung zum Mail-Server also auch zum Sync-Server weitergeleitet werden.

Dieses Zertifikat muss sowohl auf dem Mail-Server (Exchange) als auch auf dem Sync-Server und natürlich auf dem Proxy-Server (TMG) ausgerollt werden.

Exchange-Server

Es gibt genügend Beschreibungen im Internet, wie ein Zertifikat auf dem Exchange Server aus zu rollen ist, das ist auch abhängig von der Version des Exchange Servers. Hier ein paar Links:

 

Sync-Server (File Server)

hier ist eine Besonderheit zu beachten, weil eine SSL-Bindung ans den Web-Server IIS nicht über die Oberfläche funktionierten kann, weil der Web-Server (IIS) gar nicht installiert werden muss und auch gar nicht installiert wurde.

Besonderheiten bei den Rollen: Workfolders und Web Server

Es wurde aber (automatisch) mit den Work Folders die IIS Hostable Web Core installiert, die aber keine graphische Oberfläche hat.

PowerShell Abfrage: welche Komponenten sind installiert?

Das Powershell-Kommando hierfür: get-windowsfeature | where {$_.installed -eq $True}

Ist die Rolle Web Server (IIS) installiert, dann gibt es hier eine Beschreibung, wie Sie da Zertifikat an die Website binden können.

und hier der Weg, bei dem wir mit  Powershell und der CMD die Bindung vornehmen können.

1- Zuerst muss das Zertifikat importiert werden: (Powershell)

PS C:\>Import-PfxCertificate –FilePath <certFile.pfx> -CertStoreLocation cert:LocalMachine\My

natürlich können wir das ganze auch über das über das Zertifikats Snap-in der MMC erledigen. Dann sollte nach dem Import die Einstellung so aussehen:

MMC: installierte Zertifikate

 

2– Danach müssen den thumbprint des soeben importierten ermitteln:

PS C:\>Get-ChildItem –Path cert:\LocalMachine\My

Powersehll Abfrage: Thumbprint der installierte Zertifikate ermitteln

3- Das SSL Zertifikat muss nun mittel einer CMD-Konsole (!!!) gebunden werden.

netsh http add sslcert ipport=0.0.0.0:443 certhash=<Cert thumbprint> appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY

Nachdem die Zeile in die CMD Konsole eingegeben (kopiert) wurde, wechseln wir wieder in die Powershell und kopieren den richtigen Thumprint des weiter oben installierten Zertifikates. und ersetzen in der Kommando-Zeile (CMD) <Cert thumbprint> durch die Zeichenfolge und dann erst wird das Kommando mit Return abgesetzt.

CMD: Zertifikat an WebServer binden 

Das  Kommando bindet das Zertifikat an das Root (alle Hostnamen dieses Servers) dieses Servers mit Port 443


Eine Besonderheit ist noch zu beachten, wenn sich ein Exchange Server in der Domäne befindet.Diese Beschreibung hier setzte aber auf bestimmte Gegebenheiten auf:
  • Es ist nur eine feste IP Adresse vorhanden
  • Benutzer nutzen auch OWA um auf Ihre Mail-Daten des Exchange Servers zuzugreifen
  • Als Firewall wird ein Thread Management Server 2010 (TMG) eingesetzt
    Das Problem ist, das sowohl OWA als auch Work Folders SSL (Port 443) benutzen und wir auf an der Firewall Bridging einsetzen müssen, um die SSL Daten entweder zum Exchange Server oder aber zum Sync-Server weiter zu leiten.
    1- Zertifikat importieren
    Das Zertifikat ist mit der MMC (Zertifikats Snap in)  auf der der TMG zu importieren. Danach sieht der persönliche Zertifikatsspeicher so ausSmiley mit geöffnetem Mund:

MMC: welche Zertifikate sind installiert

        Der rote Pfeil zeigt auf das “alte” OWA Zertifikat, der blaue auf das neue Zertifikat
          2- Web Listener erstellen bzw. umstellen
          Der existierende Web-Listener muss nun umgestellt werden:
      TMG Weblistener für SSL Ich habe nicht nur den Namen, sondern auch die Beschreibung geändert.
      TMG Weblistener : für welche IP er muss zwingend auf die externe Adressen “lauschen”
      TMG Weblistener : für SSL Traffic es geht um SSL Verkehr an Port 443
      TMG Weblistener : SAN Zertifikat zuweisen im Kartenreiter Certifikate müssen wir jetzt das neue Zertifikat zuweisen

      Hier noch einmal der Hinweis, dass auch der Exchange Server natürlich mit dem neuen Zertifikat versehen wurde!

      Der Weblistener lauscht ja auf Port 443 und weil in dieser Konfiguration nur eine externer IP Adresse vorhanden ist, gilt dieser Web Listener sowohl für OWA als auch für WEorkfolders und erst im Bridging wird unterschieden …

      Klick auf Select Certificate…

      TMG Weblistener : SAN Zertifikkat auswählen Das Bild zeigt jetzt das ich bereits auf das neue Zertifikat (Blau) geklickt habe.

      Anschließend auf “Select” klicken

      TMG Weblistener : Authentifizierung Im Kartenreiter Authentication habe ich “no Authentication” eingestellt (gehabt).

      Wir reichen ja nur durch und authentifizieren im Exchange Server bzw. im Sync Server

    Damit haben wir die Änderung des Web Listeners an der TMG abgeschlossen und klicken auf OK

    3- Regel OWA ändern
    TMG Regel für OWA: Weblistener auswählen Alle Einstellungen bleiben, nur der Weblistener muss richtig ausgewählt werden.
    4- Work Folder Regeln erstellen
    Der Einfachheit habe ich die “OWA” Regel in der TM kopiert , den Namen dann geändert und dann die Änderungen durchgeführt.
    TMG Regel für Work Folders: Name und Beschreibung Name und Beschreibung geändert
    TMG Regel für Work Folders: Erlaubnis  
    TMG Regel für Work Folders: für welche Quelle?  
    TMG Regel für Work Folders: Webserver eintragen Der Client kennt den externen oder internen DNS Namen (publish Sites) und als Computer habe wird der Namen des Sync-Servers eingetragen
    TMG Regel für Work Folders: Protokoll https eintragen Es geht um HTTPS (Port 443)
    TMG Regel für Work Folders: Weblistener auswählen hier wieder den Web-Listener eintragen.

    TMG Regel für Work Folders: DNS eintragen hier wird der öffentliche DNS Name eingetragen

    (beim der OWA Regel steht hier der öffentliche DNS Name für OWA)

    TMG Regel für Work Folders: Pfad umsetzen bei dem internen Pfad tragen wir ein:

    /sync/1.0/*

    Danke an meinen MVP Kollegen Christian Gröbner, der mich bei den Zertifikaten unterstützt hat und der diesen Eintrag aus dem Live-Logging ausgelesen hat.

    TMG Regel für Work Folders: keine Authentifizierung an der Firewall wird nicht authentifiziert, sondern nur weitergereicht…
    TMG Regel für Work Folders: WebServer und Protokoll 443 Traffic wird an den Web-Server weitergeleitet.
    TMG Regel für Work Folders: Benutzer auswählen und eintragen Ich habe hier “alle Benutzer” eingetragen…
    TMG Regel für Work Folders: Regel testen Ein Klick auf “Test Rue” zeigt, dass die Weiterleitung korrekt ist.
    Damit ist die Konfiguration an der TMG 2010 abgeschlossen. Im nächsten Blog Post werde ich dann den Abschluss dieser Work Folders Serie beschreiben, nämlich die Implementierung der Work Folders unter Windows 8.1, und zwar für ein Gerät in der Domäne als auch ein BYOD Gerät.
  1. Work Folders | Überblick
  2. Work Folders | Einrichtung Server und Konfiguration
  3. Work Folders | Quota und SMB
  4. Work Folders | Zertifikate ausrollen
  5. Work Folders | Client Konfiguration

        Work Folders | Quota und SMB

        7. Januar 2014 4 Kommentare

        Heute geht es um Quotas und SMB.

        Quotas:

        Um Quotas für Work Folders auf dem File Server zu installieren, muss der File Server Resource Manager installiert sein, das habe ich hier beschrieben.

        Nach dessen Aufruf (Tools im Server Manager) bekommen wir folgendes zu sehen:

        File Server Resource Manager

        Nach einem Klick auf Quota Management …

        File Server Resource Manager: Quota Management

        und einem weiteren auf Quota Templates…

        File Server Resource Manager: Quota Templates

        ist ersichtlich, dass unter Umständen die von Microsoft angelegten Templates nicht passen. Ich habe 17 GB  Dateien zu synchronisieren, aber mein Surface RT muss ich beschränken, weil dort nicht unbegrenzt Speicherplatz zur Verfügung stehen. Und bei den Templates gibt es nur 250 MB (zu wenig) und 200 GB (zu viel).

        In der dritten Spalte werden Quota Typen angezeigt: Hard und Soft. Vereinfacht gesagt, kann der Benutzer später beim Typ Hard beim Erreichen des Grenzwertes keine weiteren Dateien anlegen, beim Typ Soft bekommt er nur Warnmeldungen etc.  Schauen Sie sich die Eigenschaften der vorhandenen Quotas  an, welche am besten passt, dann können wir diese Einstellungen zu unserem neu zu erstellen Quota Template kopieren.

        Um ein neues Quota Template zu erzeugen. genügt ein Rechtsklick auf Quota Template – Create Quoat Template…

        File Server Resource Manager: Quota Templates erzeugen Wählen Sie aus der DropDown-Liste ein passendes Template aus und klciken Sie dann auf Copy.
        Die Daten werden dann übernommen.
        File Server Resource Manager: Quota Templates erzeugen Geben Sie dann dem Template einen Namen und eine Beschreibung und wählen Sie dann das Limit und wählen Sie dann den Quota Typ

        File Server Resource Manager: Quota Templates erzeugen

        Wenn wir später DLP (Data Loss Prevention) konfigurieren wollen, so müssen wir uns mit dem Classification Management beschäftigen.

        Zur Zuordnung von Quotas zu einem Work Folder gibt es 2 Möglichkeiten, direkt über Quotas oder aber, wenn mehrere Work Folder mit unterschiedlichen Quotas

        Wechseln wir jetzt zum unseren Work Folders. (

        Work Folders: Quota zuweisen

        und klicken auf Set Quotas

        Work Folders: Quota Template auswählen Wählen Sie das gewünschte Template aus. Sollte dass soeben neu erzeugte Template nicht erscheinen, dann  verlassen Sie den Configurations-Assistenten und klicken im File Server Manager auf Refresh.
        Danach erneuter Aufruf

        Work Folders: Quota Template zugewiesen

        Damit haben wir die Quotas für diesen Work Folder erstellt und zugewiesen.


        eine generelle Einstellung für Work Folders sollten wir nicht vergessen:

        File and Storgae Services: Work Folders: Einstellungen

        Hier können generell für alle Work Folders weitere Eigenschaften wie Authentifizierung, Support-Email und Gruppen, bei denen eine Synchronisierung unterdrückt werden soll, hinterlegt werden:

        File and Storgae Services: Work Folders: Einstellungen Klicken Sie hier auf Show All
        File and Storgae Services: Work Folders: Einstellungen Wählen Sie hier die Art der Authentifizierung und tragen Sie eine E-Mail-Adresse ein

        SMB

        Da Windows 7 derzeit noch nicht für Work Folders unterstützt wird, ich denke, das wird mit dem nächsten Service Pack für Windows 7 kommen, müssen wir uns für Rechner innerhalb des Firmen-Netzwerkes mit SMB Share helfen.

        [Update 1.7.2014] seit dem 23.4.2014 steht ein Windows 7 Client zur Verfügung
        Damit kann die Konfiguration von SMB entfallen

        SMB Share erzeugen 2 Möglichkeiten gibt es um den New Share Wizzard zu starten
        SMB Share erzeugen Wählen Sie SMB Share Advanced
        SMB Share erzeugen: Zuweisung des Work Folders Pfad Geben Sie den Pfad ein, wo Sie den Work Folder definiert haben.

        Siehe hier

        SMB Share erzeugen: Beschreibung für den Share Übernehmen Sie die Angaben und / oder tragen Sie eine Beschreibung ein
        SMB Share erzeugen: ABE Haken Sie ABE (Access-based enumeration) an. Die Benutzer sehen dann nur ihren eigenen Ordner. Ordner, bei dem nicht Minimal Lese-Rechte  vorhanden sind, werden ausgeblendet
        SMB Share erzeugen: weitere Rechte Hier können, wenn notwendig, weitere Rechte hinzugefügt werden
        SMB Share erzeugen: Policies und Klassifizierungen Unter Quotas habe ich schon darauf hingewiesen, dass Management Policies und Klassifizierungs-Regeln erstellt werden können.

        Deshalb sollten Sie User Files anhaken

        SMB Share erzeugen: Quota zuweisen Da wir schon Quotas hinterlegt haben, meldet der Assistent dies und wir können diesen Schritt überspringen. Haben Sie noch keine Quotas angelegt, ist hier jetzt die Möglichkeit…
        SMB Share erzeugen: Zusammenfassung Die Zusammenfassung
        SMB Share erzeugen: Resultat und das Ergebnis

        Je nach Größe Ihres Unternehmens und Anzahl der Benutzer müssen wir bei SMB Share jedoch bedenken, wie oft eine Synchronisierung durchgeführt wird. Die Standard-Zeit für eine Synchronisierung (voreingestellt) ist 5 Minuten. Diese kann herabgesetzt werden auf Minimum 1 Minute. Beachten Sie jedoch, dass das Auswirkungen auf die Serverlast ihres File-Server hat.

        Dazu gibt es 2 Powershell-Kommandos

        Ermitteln der gesetzten Zeit Get-SyncServerSetting
        Setzen einer Synchronisierungs-Zeit Set-SyncServerSetting
        Powershell-Scriptlet für die Anzeige der SMB Synchronisationszeit Starten Sie Powershell und geben ein PS C:\ >Get-SyncServerSetting
        Powershell-Scriptlet für die Einstellung  der SMB Synchronisationszeit Reduzierung der Zeit auf eine Minute

        PS C:\>Set-SyncServerSetting -MinimumChangeDetectionMins 1

        anschließend zur Überprüfung nochmals
        PS C:\ >Get-SyncServerSetting

        Damit können wir jetzt unter Windows 7 auf diesen SMB Share zugreifen.

        In den nachfolgenden Blog Posts möchte ich etwas tiefer in bestimmte Details gehen.

          1. Work Folders | Überblick
          2. Work Folders | Einrichtung Server und Konfiguration
          3. Work Folders | Quota und SMB
          4. Work Folders | Zertifikate ausrollen
          5. Work Folders | Client Konfiguration

        Work Folders | Einrichtung Server und Konfiguration

        2. Januar 2014 4 Kommentare

        Bevor wir zur Einrichtung der Work Folders kommen, hier nochmal zu meinem Case: ich bin mit mehreren Geräten unterwegs…

        [Update 1.7.2014]
        Client  für Windows 7 verfügbar, aus SkyDrive Pro wird OneDrive for Business

        Windows 7 Desktop, weil ich einige Programme benutze, bei dem es noch keine Freigabe für Windows 8.1 gibt, muss (darf) ich noch Windows 7 benutzen. Noch gibt es keinen Work Folders Client, aber da es sich um eine stationäre Maschine handelt, die sich in der Domäne befindet, kann ich SMB Share benutzen*). Hier werden derzeit Dateien mit Offline Folders und einem dahinter liegenden Windows Server 2008 R2 synchronisiert. (3000 Dateien in 564 Ordner: 17 GB)
        Installiert sind dort auch OneDrive (SkyDrive) (3 Identitäten, ja ich wechsle diese, das geht übrigens auch nicht mehr unter Windows 8.1, habe ich hier und hier beschrieben).
        Weiterhin benutze ich OneDrive for Business (SkyDrive Pro) zu verschiedenen Organisationen auf Office 365 und zu meinem lokalen SharePoint Server 2013. Und für interne Firmenabläufe gibt es auch noch die klassische Ablage auf einem File-Server, hier benutze ich DFS (Distributed File System). Auf diese Daten muss ich aber nicht zugreifen, wenn ich unterwegs bin.

        *) mittlerweile gibt es einen Windows 7 Client für Work Folders

        Zusammenfassung:
        OneDrive, OneDrive for Business, Offline Folders und DFS

        Windows 8.1
        im Firmen-Netzwerk
        Da wäre also Rechner mit Windows 8.1 im Firmen-Netzwerk. (Domain-Joined devices). Ich habe (fast alle) mobile Geräte  auf Windows 8.1 umgestellt. Auch ein paar uralte. Und bei diesen passiert es mir immer öfter, dass ich mich beim Wischen erwische, obwohl diese Maschinen nicht in der Lage sind, darauf zu reagieren…

        Auch bei diesen Geräten arbeite ich mit OneDrive (SkyDrive) (nur noch ein Konto), OneDrive for Business (SkyDrive Pro), Offline Folders und DFS

        Windows 8.1
        mit Microsoft Konto
        Und da wären noch Geräte, die mit Windows RT arbeiten. Dabei handelt es sich um Surface RT und das Surface 2. Beide Geräte können aber nicht zum Firmennetzwerk hinzugefügt werden (non domain joined) , aber weil ich die wichtigsten Programme von Office auf diesen Maschinen installiert habe, habe ich diese netten Tablets schätzen gelernt. Das Problem mit nur einem OneDrive (SkyDrive) Konto habe ich durch 2 angelegte Benutzer gelöst.
        OneDrive for Business (SkyDrive Pro): das ist das Dilemma, weil ich nur Online auf die dahinter liegenden Ressourcen zugreifen kann.
        (Es gibt keinen OneDrive for Business (SkyDrive Pro)  Client für Windows RT)
        Offline Files: sind unter Windows 8.1 RT nicht verfügbar
        Mit DFS Laufwerken kann ich arbeiten.

        Zusammenfassung

        Windows 7 OneDrive
        (SkyDrive)
        ja, mehrere Accounts
          OneDrive for Business
        (SkyDrive Pro)
        ja, Offline und Online (Keine IRM*)
          Offline Folders Ja
          DFS Ja
        (Verbindung zum Firmennetzwerk notwendig)
        Windows 8.1
        im Firmen-Netzwerk
        OneDrive
        (SkyDrive)
        Ja, nur ein Account
          OneDrive for Business
        (SkyDrive Pro)
        Ja, Offline und Online (keine IRM*)
          Offline Folders Ja
          DFS Ja
        (Verbindung zum Firmennetzwerk notwendig)
        Windows 8.1
        mit MS Konto
        OneDrive
        (SkyDrive)
        ja, nur ein Account
          OneDrive for Business
        (SkyDrive Pro)
        Ja, Offline und Online (keine IRM*)
          Offline Folders Ja
          DFS Ja
        (Verbindung zum Firmennetzwerk notwendig)
          Offline Folders Ja
        Windows 8.1 RT
        mit MS Konto
        OneDrive
        (SkyDrive)
        JA, nur ein Account
          OneDrive for Business
        (SkyDrive Pro)
        Nein, nur Online (kein IRM*)
          Offline Folders Nein
          DFS Ja
        (Verbindung zum Firmennetzwerk notwendig)

        * wichtige Dokumente werden bei mir IRM (Information Rights Management) geschützt. Hier ein paar Links zu IRM

        Einführung in die Verwendung von IRM für –EMail
        Planen der Verwaltung von IRM in Office 2013

        Einige Kunden, wo ich Zugriff auf deren SharePoint Server 2013 habe, nutzen dieses Feature, dort gibt es ganze IRM geschützte Bibliotheken. Das OneDrive for Business (SkyDrive Pro) Protokoll, welches auf SharePoint Workspace 2010, und das wiederum auf Groove aufsetzt, konnte aber noch nie IRM geschützte Dateien synchronisieren.

        Und jetzt kommen die unter Windows Server 2012 R2 enthaltenen Work Folders in Spiel. Microsoft hat ein völlig neues Übertragungsprotokoll entwickelt. Die Übertragung zwischen Client und Server erfolgt verschlüsselt per SSL , Auf dem Client und Server werden die Daten wenn gewünscht, ebenfalls verschlüsselt abgelegt, und es ist möglich, Dokumente bei der Ablage automatisch per IRM zu schützen, wenn im Dokument selbst kritische Informationen abgelegt sind. Hier kommt DLP (Data Loss Prevention) zum Einsatz. Das kennen wir vielleicht schon, wenn wir der Exchange Server 2013 einsetzen (Verhinderung von Datenverlust). Und nicht zuletzt: In SharePoint Server 2013 und SharePoint Online (Office 365) gibt es ja eine Limitierung von 2 GB pro Datei, die allerdings dem darunter liegenden SQL Server zuzuordnen ist. Die Dateigröße bei Work Folders liegt bei 10 GB

        und wie würde die obige Tabelle mit Work Folders aussehen

        Windows 7 derzeit gibt es noch keinen Work Folders Client für Windows 7, Microsoft arbeitet aber daran
        Work Folders mit SMB: ja möglich
        JA
        seit dem 23.4.2014 gibt es Work Folder für Windows 7, siehe
        Windows 8.1 im Firmennetzwerk JA
        Windows 8.1  mit MS Konto JA
        Windows 8.1 RT Ja

        wenn Work Folders komplett installiert sind, dann geht das ganze auch über das Internet. Damit stand für mich fest: Die Offline Folders sollen in die neue Technologie der Work Folders migriert werden und danach abgeschaltet werden.


        Welche Komponenten werden  für die Implementierung benötigt?
        Welche Komponenten sind optional ?

        Hier ein Schaubild mit allen Komponenten

        Single Server Deployment

        folgende Schritte sind notwendig (siehe Technet englisch)

        1. SSL Zertifikate
        2. DNS Record einrichten
        3. Work Folders auf File-Server einrichten
        4. SSL Zertifikat binden
        5. Security Gruppen für Work Folders einrichten
        6. User Attribute  delegieren für Work Folders Administratoren
        7. Sync Shares einrichten
        8. E-Mail Adressen für technischen Support einrichten
        9. Einrichten von Automatic Discovery
        10.   Konfiguration von Web Applikation Proxy oder einem anderen Reverse Proxy
        11.   Einrichten einer Gruppenrichtlinie  für Firmen-Geräte

        Für Testumgebungen oder für Umgebungen ohne Synchronisation über das Internet sind nur die Schritte 3, 5 und 7 notwendig.

         

        Nachfolgende Tabelle zeigt die benötigten Server

        Domain Controller  
        File Server Windows Server 2012 R2

        optional, wenn über das Internet synchronisiert werden soll

          ein Server-Zertifikat
        Reverse-Proxy oder eine geeignete Firewall (TMG)
          Optional:
        Schema Erweiterung für multiple File Server
        Dann muss der Domain-Controller Windows Server 2012 R2 sein
        Optional:
        ADFS (Active Directory Federation Service (AD FS) Infrastruktur, wenn AD FS Authentifizierung benutzt werden soll

        Installation File Server (Sync Server)

        Windows Server 2012 R2 Installieren Sie Windows Server 2012 R2
          Hinzufügen zur Domäne
          Updates Installieren (WSUS)
          Optional:
        NTFS formatiertes Laufwerk hinzufügen
        Installier der Rollen und Features File and Storage Services: Work Folders

        PowerShell:
        Add-WindowsFeature FS-SyncShareService

          optional: 
        Quotas, Klassifizierungen (DLP) benötigen:
        File and Storage Services: File Server Ressource Manager

        PowerShell:
        Add-WindowsFeatures FS-Resource-Manager

        Einrichten von Work Folders


        Alle meine Server werden immer mit englischem Betriebssystem angelegt, nicht weil ich die deutsche Übersetzung fürchte, sondern weil ich bei auftretenden Problemen und Fehlermeldungen viel mehr englische Ergebnisse beim Suchen mit dem Internet Browser finde.

        Vorbereitungen:

        1. Anlegen einer Security Gruppe im AD
        Dies kann mit verschiedenen Tools erledigt werden

        Active Directory User und Computers

        Active Directory Users and Computers: Anlegen einer Sicherheitsgruppe

        Users: rechte Maustaste
        New Group

        Active Directory Users and Computers: Anlegen einer Sicherheitsgruppe Es handelt sich um eine Globale Security Gruppe, bei der alle Domänenbenutzer Zugriff erhalten sollen.

        Name eintragen und OK
        Danach ein Doppelklick auf  die angelegte Gruppe und Klick auf Members  und danach Add

        Active Directory Users and Computers: Anlegen einer Sicherheitsgruppe wählen Sie die benötigte Gruppe aus, in meinem Fall Domänen-Benutzer

        Danach OK

        Active Directory Users and Computers: Anlegen einer Sicherheitsgruppe und noch einmal OK
        alternativ:
        Active Directory Administrative Center
        Active Directory Administrative Center: Anlegen einer Sicherheitsgruppe

        Der Aufruf erfolgt wie oben. Rechte Maustaste auf den Server und dann
        New und Group

        Active Directory Administrative Center: Anlegen einer Sicherheitsgruppe Name eintragen und Security und Global auswählen.

        Dann das Feld Description ausfüllen

        Dann links in der Leiste auf Members und Add

        Auswahl der Gruppe

        Active Directory Administrative Center: Anlegen einer Sicherheitsgruppe und OK

         

        2. Ordner anlegen im Verzeichnis des File-Servers oder auf separater Festplatte

        Ordner anlegen Der File-Server wurde bei mir virtualisiert und ich habe auch eine separate, mit NTFS formatierte Festplatte hinzugefügt. Dort dann einen Ordner Workfolders angelegt. Hintergrund ist, dass ich irgendwann in der Zukunft diese Festplatte auch an einen anderen Server binden könnte.

         

        Sync Share einrichten

        image Wechseln Sie im Server-Manager des File-Servers zu File and Storage Services und dort zu Work Folders.
        Wenn noch keine Synchronisierungen angelegt sind starten Sie den Wizzard durch den angezeigten Link oder rechts oben unter Tasks New Sync Share
        Windows Server 2012 R2, New Sync Share Wizzard Start des New Sync Share Wizzard
        Snyc Server Wizzard, Requirements Beim ersten Mal müssen wir festlegen, wo wir die Daten auf dem File-Server abspeichern. Mit einem Klick auf Browse…
        New Sync Share Wizzard Der File-Server wurde bei mir virtualisiert und ich habe auch eine separate, mit NTFS formatierte Festplatte hinzugefügt. Dort dann einen Ordner Workfolders angelegt. Hintergrund ist, dass ich irgendwann in der Zukunft diese Festplatte auch an einen anderen Server binden könnte.

        Diesen Ordner wähle ich aus

        New Sync Share Wizzard und weiter… mit Next
        New Sync Share Wizzard User alias oder User alias@domain?

        Ich wähle hier User alias@domain, weil ich mit verschiedenen Domains arbeite

        New Sync Share Wizzard Sync Share Name.

        Der Wizzard schlägt hier den Ordnername (workfolders) vor, den ich zu WF ändere

        New Sync Share Wizzard Und wer bekommt Zugriff?

        Sie werden sich vielleicht gefragt haben, warum der File-Server als Member-Server in die Domäne hinzugefügt wurde?

        Die Antwort ist einfach. Weil ich dann auf die hinterlegten Gruppen des ADs zugreifen kann, also auf Sales, Finance oder so.

        New Sync Share Wizzard ich habe die in den Vorbereitungen erstellte Security Gruppe hinzugefügt
        New Sync Share Wizzard Unter Device Policies können wir festlegen, ob der Ordner auf den Geräten verschlüsselt wird und /oder der Bildschirm automatisch gesperrt wird und ein Passwort verlangt wird, um das Geräte wieder aus dem Sperrmodus heraus zu nehmen.

        Eine Eigenschaft der EFS-Verschlüsselung ist es, dass nur damit später die Möglichkeit besteht, auch BYOD Geräte, teileweise ferngesteuert die Daten zu Löschen.

        Diese Geräte-Regeln können wir auch später noch ändern.

        New Sync Share Wizzard noch einmal die Zusammenfassung lesen…
        New Sync Share Wizzard … und dann ist der Work Folder angelegt.

        Zu Beginn konnte ich keinen
        Work Folder generieren. Ich bekam dann eine Fehlermeldung … die ich hier beschrieben habe.

        Für die Feunde der Console: Alle Befehle sind auch per PowerShell verfügbar. z.B.:

        New-SyncShare wf -path "E:\Workfolders" -User "HBsoft\Sync Share Users" -RequireEncryption $false -RequirePasswordAutoLock $false -InheritParentFolderPermission

        Damit wären wir eigentlich mit der Grundkonfiguration fertig. Im nächsten Blog Post zum Thema Work Folders werden ich über die Quota-Einstellungen und dem SMB Share berichten. Hintergrund dazu ist, dass ich auf dem Surface RT und Surface 2 nicht Speicher ohne Ende zur Verfügung habe (Quota) und ich natürlich auch mit Windows 7 arbeiten möchte (SMB Share)

         

        In den nachfolgenden Blog Posts möchte ich etwas tiefer in bestimmte Details gehen.

          1. Work Folders | Überblick
          2. Work Folders | Einrichtung Server und Konfiguration
          3. Work Folders | Quota und SMB
          4. Work Folders | Zertifikate ausrollen
          5. Work Folders | Client Konfiguration

        MVP Award 2014

        1. Januar 2014 1 Kommentar

        MVP

        das 2. Mal in Folge. Und ich bin immer noch stolz, einer von etwa 4000 weltweiten MVPs  zu sein. Und heute erreichte mich eine E-Mail von Microsoft:

        MVP Award

        Sehr geehrte(r) Hans Brender,
        herzlichen Glückwunsch! Wir freuen uns, Ihnen den Microsoft® MVP Award 2014 verleihen zu können! Diese Auszeichnung wird an herausragende, führende Mitglieder der technischen Communities verliehen, die ihre wertvollen praktischen Erfahrungen mit anderen Menschen teilen. Wir schätzen Ihren außerordentlich bedeutenden Beitrag in den technischen Communities zum Thema SharePoint Server im vergangenen Jahr hoch ein.


        Im vergangenen Jahr habe ich 69 neue Beiträge auf diesem Blog geschrieben, jetzt sind es schon 350. Und da mein Spezialgebiet “Collaboration” mit SharePoint, SkyDrive Pro, SkyDrive, Office, SharePoint Workspace 2010, Groove und neuerdings Work Folders doch ein schmales Segment ist, möchte ich hier Danke sagen.

        Danke für die fast 150.000 Besucher, die sich den einen oder anderen Post angesehen und auch kommentiert haben.

        Folgen

        Erhalte jeden neuen Beitrag in deinen Posteingang.

        Schließe dich 87 Followern an

        %d Bloggern gefällt das: