Archiv
Arbeitsordner | Sichere Synchronisation in der Private Cloud
Seit Jahren benutze ich mehrere Geräte und es war nicht immer einfach, die richtige Methode des Abgleichs zu finden. Aus der Folder-Redirection, über SkyDrive, OneDrive und OneDrive for Business und Arbeitsordner. Wichtig für mich war, dass ich für bestimmte Geräte eine sichere und einfache Synchronisation über mehrere Geräte hinweg bekomme. Keine Zusammenarbeit. Einfach bestimmte Business-Dokumente synchronisieren.
Auf Channel 9 sprechen Tommy Patterson und Young Kwon über diese Technologie und zeigen, wie die IT von Microsoft dass für Ihre Mitarbeiter umgesetzt hat. (22 Minuten)
weitere Informationen zum Arbeitsordner auf meinem Blog finden Sie hier
OEM Server Kompetenz Club
- Sie sind Wiederverkäufer ?
- Sie wollen Ihre Kompetenz zu Windows Server weiter aufbauen?
- Sie brauchen weitere Informationen zum Windows Server?
- Sie haben Fragen zur Lizensierung von Windows Server?
- Sie wollen Ihre Erfahrungen mit anderen teilen?
- Sie wollen sich einmal live mit anderen austauschen?
- Sie suchen weitere technische Informationen?
- Sie benötigen Unterstützung bei Ihrem Projekt mit Windows Server?
- Sie benötigen das richtige Tool?
- Sie benötigen Marketingmaterialien, eine Präsentation oder ein Whitepaper?
Wenn auch nur eine Frage mit “Ja” beantwortet werden kann, dann sollten Sie sich beim
OEM Server Kompetenz Club
registrieren. Mit ein paar Klicks sind Sie drin. Und haben Zugriff auf alle Informationen. Direkt vom Hersteller Microsoft. Hier geht’s zum OEM Server Kompetenz Club
Work Folders | Zertifikate ausrollen
der 4. Teil der Implementierung der Work Folders geht es um den DNS Einträge und der Implementierung des Zertifikates, damit wir mit allen Geräten nicht nur innerhalb unseres Firmennetzwerkes Zugriff haben, sondern auch über das Internet von jeder beliebigen Stelle. Dabei gehe ich auch auf die Problematik eines bestehenden Exchange Servers und der mittlerweile von Microsoft abgekündigten Firewall Thread Management Gateway (TMG 2010) ein
Wenn in einer Firma sowohl ein Sync-Server als auch ein Mail Server eingesetzt werden sollen, so ergibt sich auf Grund des verwendeten Protokolls (hppts= Port 443) ein Problem. Der Datenstrom muss an der Firewall getrennt werden. Die nachfolgende Beschreibung hier gilt für folgende Komponenten:
- Proxy-Server: TMG 2010 auf Windows Server 2008 R2
- Mail-Server: Exchange Server
- Sync-Server: Windows Server 2012 R2
- Es ist nur eine externe IP Adresse vorhanden
Exchange Server verlangt beim Protokoll Outlook Web Access (OWA) SSL Verschlüsselung. Für den Zugriff muss öffentlich ein DNS Eintrag beim Provider eingerichtet werden. Der Sync- Server benötigt für die Work Folders ebenfalls einen öffentlichen DNS Eintrag - mail.contoso.com
- workfolders.contoso.com
ich habe im DNS Manger der Domäne auch noch einen Host-Eintrag workfolders erzeugt, dessen IP auf den Sync-Server (Fileserver) zeigt:
Und natürlich benötigen wir in SAN-Zertifikat (Multi-Domain Zertifikat), bei dem beide Einträge vorhanden sind. Dann kann auf der TMG mittels Bridging der SSL Datenstrom je nach Anforderung zum Mail-Server also auch zum Sync-Server weitergeleitet werden.
Dieses Zertifikat muss sowohl auf dem Mail-Server (Exchange) als auch auf dem Sync-Server und natürlich auf dem Proxy-Server (TMG) ausgerollt werden.
Exchange-Server
Es gibt genügend Beschreibungen im Internet, wie ein Zertifikat auf dem Exchange Server aus zu rollen ist, das ist auch abhängig von der Version des Exchange Servers. Hier ein paar Links:
- Erstellen einer Anforderung für ein digitales Zertifikat
- Digitale Zertifikate und SSL
- Exchange 2013 Serverzertifikat erstellen
- Exchange 2007 Zertifikate
Es gibt genügend Hilfen im Internet, einfach mal Bingen oder Googlen.
Sync-Server (File Server)
hier ist eine Besonderheit zu beachten, weil eine SSL-Bindung ans den Web-Server IIS nicht über die Oberfläche funktionierten kann, weil der Web-Server (IIS) gar nicht installiert werden muss und auch gar nicht installiert wurde.
Es wurde aber (automatisch) mit den Work Folders die IIS Hostable Web Core installiert, die aber keine graphische Oberfläche hat.
Das Powershell-Kommando hierfür: get-windowsfeature | where {$_.installed -eq $True}
Ist die Rolle Web Server (IIS) installiert, dann gibt es hier eine Beschreibung, wie Sie da Zertifikat an die Website binden können.
und hier der Weg, bei dem wir mit Powershell und der CMD die Bindung vornehmen können.
1- Zuerst muss das Zertifikat importiert werden: (Powershell)
PS C:\>Import-PfxCertificate –FilePath <certFile.pfx> -CertStoreLocation cert:LocalMachine\My
natürlich können wir das ganze auch über das über das Zertifikats Snap-in der MMC erledigen. Dann sollte nach dem Import die Einstellung so aussehen:
2– Danach müssen den thumbprint des soeben importierten ermitteln:
PS C:\>Get-ChildItem –Path cert:\LocalMachine\My
3- Das SSL Zertifikat muss nun mittel einer CMD-Konsole (!!!) gebunden werden.
netsh http add sslcert ipport=0.0.0.0:443 certhash=<Cert thumbprint> appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY
Nachdem die Zeile in die CMD Konsole eingegeben (kopiert) wurde, wechseln wir wieder in die Powershell und kopieren den richtigen Thumprint des weiter oben installierten Zertifikates. und ersetzen in der Kommando-Zeile (CMD) <Cert thumbprint> durch die Zeichenfolge und dann erst wird das Kommando mit Return abgesetzt.
Das Kommando bindet das Zertifikat an das Root (alle Hostnamen dieses Servers) dieses Servers mit Port 443
Eine Besonderheit ist noch zu beachten, wenn sich ein Exchange Server in der Domäne befindet.Diese Beschreibung hier setzte aber auf bestimmte Gegebenheiten auf:
- Es ist nur eine feste IP Adresse vorhanden
- Benutzer nutzen auch OWA um auf Ihre Mail-Daten des Exchange Servers zuzugreifen
- Als Firewall wird ein Thread Management Server 2010 (TMG) eingesetzt
- Das Problem ist, das sowohl OWA als auch Work Folders SSL (Port 443) benutzen und wir auf an der Firewall Bridging einsetzen müssen, um die SSL Daten entweder zum Exchange Server oder aber zum Sync-Server weiter zu leiten.
- 1- Zertifikat importieren
- Das Zertifikat ist mit der MMC (Zertifikats Snap in) auf der der TMG zu importieren. Danach sieht der persönliche Zertifikatsspeicher so aus

- Der rote Pfeil zeigt auf das “alte” OWA Zertifikat, der blaue auf das neue Zertifikat
- 2- Web Listener erstellen bzw. umstellen
- Der existierende Web-Listener muss nun umgestellt werden:
Damit haben wir die Änderung des Web Listeners an der TMG abgeschlossen und klicken auf OK
- 3- Regel OWA ändern
- 4- Work Folder Regeln erstellen
- Der Einfachheit habe ich die “OWA” Regel in der TM kopiert , den Namen dann geändert und dann die Änderungen durchgeführt.
![]() |
Name und Beschreibung geändert |
![]() |
|
![]() |
|
![]() |
Der Client kennt den externen oder internen DNS Namen (publish Sites) und als Computer habe wird der Namen des Sync-Servers eingetragen |
![]() |
Es geht um HTTPS (Port 443) |
![]() |
hier wieder den Web-Listener eintragen. |
![]() |
hier wird der öffentliche DNS Name eingetragen
(beim der OWA Regel steht hier der öffentliche DNS Name für OWA) |
![]() |
bei dem internen Pfad tragen wir ein:
/sync/1.0/* |
![]() |
an der Firewall wird nicht authentifiziert, sondern nur weitergereicht… |
![]() |
443 Traffic wird an den Web-Server weitergeleitet. |
![]() |
Ich habe hier “alle Benutzer” eingetragen… |
![]() |
Ein Klick auf “Test Rue” zeigt, dass die Weiterleitung korrekt ist. |
- Damit ist die Konfiguration an der TMG 2010 abgeschlossen. Im nächsten Blog Post werde ich dann den Abschluss dieser Work Folders Serie beschreiben, nämlich die Implementierung der Work Folders unter Windows 8.1, und zwar für ein Gerät in der Domäne als auch ein BYOD Gerät.
- Work Folders | Überblick
- Work Folders | Einrichtung Server und Konfiguration
- Work Folders | Quota und SMB
- Work Folders | Zertifikate ausrollen
- Work Folders | Client Konfiguration
Work Folders | Quota und SMB
Heute geht es um Quotas und SMB.
Quotas:
Um Quotas für Work Folders auf dem File Server zu installieren, muss der File Server Resource Manager installiert sein, das habe ich hier beschrieben.
Nach dessen Aufruf (Tools im Server Manager) bekommen wir folgendes zu sehen:
Nach einem Klick auf Quota Management …
und einem weiteren auf Quota Templates…
ist ersichtlich, dass unter Umständen die von Microsoft angelegten Templates nicht passen. Ich habe 17 GB Dateien zu synchronisieren, aber mein Surface RT muss ich beschränken, weil dort nicht unbegrenzt Speicherplatz zur Verfügung stehen. Und bei den Templates gibt es nur 250 MB (zu wenig) und 200 GB (zu viel).
In der dritten Spalte werden Quota Typen angezeigt: Hard und Soft. Vereinfacht gesagt, kann der Benutzer später beim Typ Hard beim Erreichen des Grenzwertes keine weiteren Dateien anlegen, beim Typ Soft bekommt er nur Warnmeldungen etc. Schauen Sie sich die Eigenschaften der vorhandenen Quotas an, welche am besten passt, dann können wir diese Einstellungen zu unserem neu zu erstellen Quota Template kopieren.
Um ein neues Quota Template zu erzeugen. genügt ein Rechtsklick auf Quota Template – Create Quoat Template…
Wenn wir später DLP (Data Loss Prevention) konfigurieren wollen, so müssen wir uns mit dem Classification Management beschäftigen.
Zur Zuordnung von Quotas zu einem Work Folder gibt es 2 Möglichkeiten, direkt über Quotas oder aber, wenn mehrere Work Folder mit unterschiedlichen Quotas
Wechseln wir jetzt zum unseren Work Folders. (
und klicken auf Set Quotas
Damit haben wir die Quotas für diesen Work Folder erstellt und zugewiesen.
eine generelle Einstellung für Work Folders sollten wir nicht vergessen:
Hier können generell für alle Work Folders weitere Eigenschaften wie Authentifizierung, Support-Email und Gruppen, bei denen eine Synchronisierung unterdrückt werden soll, hinterlegt werden:
![]() |
Klicken Sie hier auf Show All |
![]() |
Wählen Sie hier die Art der Authentifizierung und tragen Sie eine E-Mail-Adresse ein |
SMB
Da Windows 7 derzeit noch nicht für Work Folders unterstützt wird, ich denke, das wird mit dem nächsten Service Pack für Windows 7 kommen, müssen wir uns für Rechner innerhalb des Firmen-Netzwerkes mit SMB Share helfen.
[Update 1.7.2014] seit dem 23.4.2014 steht ein Windows 7 Client zur Verfügung
Damit kann die Konfiguration von SMB entfallen
![]() |
2 Möglichkeiten gibt es um den New Share Wizzard zu starten |
![]() |
Wählen Sie SMB Share Advanced |
![]() |
Geben Sie den Pfad ein, wo Sie den Work Folder definiert haben.
Siehe hier |
![]() |
Übernehmen Sie die Angaben und / oder tragen Sie eine Beschreibung ein |
![]() |
Haken Sie ABE (Access-based enumeration) an. Die Benutzer sehen dann nur ihren eigenen Ordner. Ordner, bei dem nicht Minimal Lese-Rechte vorhanden sind, werden ausgeblendet |
![]() |
Hier können, wenn notwendig, weitere Rechte hinzugefügt werden |
![]() |
Unter Quotas habe ich schon darauf hingewiesen, dass Management Policies und Klassifizierungs-Regeln erstellt werden können.
Deshalb sollten Sie User Files anhaken |
![]() |
Da wir schon Quotas hinterlegt haben, meldet der Assistent dies und wir können diesen Schritt überspringen. Haben Sie noch keine Quotas angelegt, ist hier jetzt die Möglichkeit… |
![]() |
Die Zusammenfassung |
![]() |
und das Ergebnis |
Je nach Größe Ihres Unternehmens und Anzahl der Benutzer müssen wir bei SMB Share jedoch bedenken, wie oft eine Synchronisierung durchgeführt wird. Die Standard-Zeit für eine Synchronisierung (voreingestellt) ist 5 Minuten. Diese kann herabgesetzt werden auf Minimum 1 Minute. Beachten Sie jedoch, dass das Auswirkungen auf die Serverlast ihres File-Server hat.
Dazu gibt es 2 Powershell-Kommandos
Ermitteln der gesetzten Zeit | Get-SyncServerSetting |
Setzen einer Synchronisierungs-Zeit | Set-SyncServerSetting |
![]() |
Starten Sie Powershell und geben ein PS C:\ >Get-SyncServerSetting |
![]() |
Reduzierung der Zeit auf eine Minute
PS C:\>Set-SyncServerSetting -MinimumChangeDetectionMins 1 anschließend zur Überprüfung nochmals |
Damit können wir jetzt unter Windows 7 auf diesen SMB Share zugreifen.
In den nachfolgenden Blog Posts möchte ich etwas tiefer in bestimmte Details gehen.
Work Folders | Einrichtung Server und Konfiguration
Bevor wir zur Einrichtung der Work Folders kommen, hier nochmal zu meinem Case: ich bin mit mehreren Geräten unterwegs…
[Update 1.7.2014]
Client für Windows 7 verfügbar, aus SkyDrive Pro wird OneDrive for Business
Windows 7 | Desktop, weil ich einige Programme benutze, bei dem es noch keine Freigabe für Windows 8.1 gibt, muss (darf) ich noch Windows 7 benutzen. Noch gibt es keinen Work Folders Client, aber da es sich um eine stationäre Maschine handelt, die sich in der Domäne befindet, kann ich SMB Share benutzen*). Hier werden derzeit Dateien mit Offline Folders und einem dahinter liegenden Windows Server 2008 R2 synchronisiert. (3000 Dateien in 564 Ordner: 17 GB) Installiert sind dort auch OneDrive (SkyDrive) (3 Identitäten, ja ich wechsle diese, das geht übrigens auch nicht mehr unter Windows 8.1, habe ich hier und hier beschrieben). Weiterhin benutze ich OneDrive for Business (SkyDrive Pro) zu verschiedenen Organisationen auf Office 365 und zu meinem lokalen SharePoint Server 2013. Und für interne Firmenabläufe gibt es auch noch die klassische Ablage auf einem File-Server, hier benutze ich DFS (Distributed File System). Auf diese Daten muss ich aber nicht zugreifen, wenn ich unterwegs bin. *) mittlerweile gibt es einen Windows 7 Client für Work Folders Zusammenfassung: |
Windows 8.1 im Firmen-Netzwerk |
Da wäre also Rechner mit Windows 8.1 im Firmen-Netzwerk. (Domain-Joined devices). Ich habe (fast alle) mobile Geräte auf Windows 8.1 umgestellt. Auch ein paar uralte. Und bei diesen passiert es mir immer öfter, dass ich mich beim Wischen erwische, obwohl diese Maschinen nicht in der Lage sind, darauf zu reagieren…
Auch bei diesen Geräten arbeite ich mit OneDrive (SkyDrive) (nur noch ein Konto), OneDrive for Business (SkyDrive Pro), Offline Folders und DFS |
Windows 8.1 mit Microsoft Konto |
Und da wären noch Geräte, die mit Windows RT arbeiten. Dabei handelt es sich um Surface RT und das Surface 2. Beide Geräte können aber nicht zum Firmennetzwerk hinzugefügt werden (non domain joined) , aber weil ich die wichtigsten Programme von Office auf diesen Maschinen installiert habe, habe ich diese netten Tablets schätzen gelernt. Das Problem mit nur einem OneDrive (SkyDrive) Konto habe ich durch 2 angelegte Benutzer gelöst. OneDrive for Business (SkyDrive Pro): das ist das Dilemma, weil ich nur Online auf die dahinter liegenden Ressourcen zugreifen kann. (Es gibt keinen OneDrive for Business (SkyDrive Pro) Client für Windows RT) Offline Files: sind unter Windows 8.1 RT nicht verfügbar Mit DFS Laufwerken kann ich arbeiten. |
Zusammenfassung
Windows 7 | OneDrive (SkyDrive) |
ja, mehrere Accounts |
OneDrive for Business (SkyDrive Pro) |
ja, Offline und Online (Keine IRM*) | |
Offline Folders | Ja | |
DFS | Ja (Verbindung zum Firmennetzwerk notwendig) |
|
Windows 8.1 im Firmen-Netzwerk |
OneDrive (SkyDrive) |
Ja, nur ein Account |
OneDrive for Business (SkyDrive Pro) |
Ja, Offline und Online (keine IRM*) | |
Offline Folders | Ja | |
DFS | Ja (Verbindung zum Firmennetzwerk notwendig) |
|
Windows 8.1 mit MS Konto |
OneDrive (SkyDrive) |
ja, nur ein Account |
OneDrive for Business (SkyDrive Pro) |
Ja, Offline und Online (keine IRM*) | |
Offline Folders | Ja | |
DFS | Ja (Verbindung zum Firmennetzwerk notwendig) |
|
Offline Folders | Ja | |
Windows 8.1 RT mit MS Konto |
OneDrive (SkyDrive) |
JA, nur ein Account |
OneDrive for Business (SkyDrive Pro) |
Nein, nur Online (kein IRM*) | |
Offline Folders | Nein | |
DFS | Ja (Verbindung zum Firmennetzwerk notwendig) |
* wichtige Dokumente werden bei mir IRM (Information Rights Management) geschützt. Hier ein paar Links zu IRM
Einführung in die Verwendung von IRM für –EMail
Planen der Verwaltung von IRM in Office 2013
Einige Kunden, wo ich Zugriff auf deren SharePoint Server 2013 habe, nutzen dieses Feature, dort gibt es ganze IRM geschützte Bibliotheken. Das OneDrive for Business (SkyDrive Pro) Protokoll, welches auf SharePoint Workspace 2010, und das wiederum auf Groove aufsetzt, konnte aber noch nie IRM geschützte Dateien synchronisieren.
Und jetzt kommen die unter Windows Server 2012 R2 enthaltenen Work Folders in Spiel. Microsoft hat ein völlig neues Übertragungsprotokoll entwickelt. Die Übertragung zwischen Client und Server erfolgt verschlüsselt per SSL , Auf dem Client und Server werden die Daten wenn gewünscht, ebenfalls verschlüsselt abgelegt, und es ist möglich, Dokumente bei der Ablage automatisch per IRM zu schützen, wenn im Dokument selbst kritische Informationen abgelegt sind. Hier kommt DLP (Data Loss Prevention) zum Einsatz. Das kennen wir vielleicht schon, wenn wir der Exchange Server 2013 einsetzen (Verhinderung von Datenverlust). Und nicht zuletzt: In SharePoint Server 2013 und SharePoint Online (Office 365) gibt es ja eine Limitierung von 2 GB pro Datei, die allerdings dem darunter liegenden SQL Server zuzuordnen ist. Die Dateigröße bei Work Folders liegt bei 10 GB
und wie würde die obige Tabelle mit Work Folders aussehen
Windows 7 | Work Folders mit SMB: ja möglich seit dem 23.4.2014 gibt es Work Folder für Windows 7, siehe |
Windows 8.1 im Firmennetzwerk | JA |
Windows 8.1 mit MS Konto | JA |
Windows 8.1 RT | Ja |
wenn Work Folders komplett installiert sind, dann geht das ganze auch über das Internet. Damit stand für mich fest: Die Offline Folders sollen in die neue Technologie der Work Folders migriert werden und danach abgeschaltet werden.
Welche Komponenten werden für die Implementierung benötigt?
Welche Komponenten sind optional ?
Hier ein Schaubild mit allen Komponenten
folgende Schritte sind notwendig (siehe Technet englisch)
- SSL Zertifikate
- DNS Record einrichten
- Work Folders auf File-Server einrichten
- SSL Zertifikat binden
- Security Gruppen für Work Folders einrichten
- User Attribute delegieren für Work Folders Administratoren
- Sync Shares einrichten
- E-Mail Adressen für technischen Support einrichten
- Einrichten von Automatic Discovery
- Konfiguration von Web Applikation Proxy oder einem anderen Reverse Proxy
- Einrichten einer Gruppenrichtlinie für Firmen-Geräte
Für Testumgebungen oder für Umgebungen ohne Synchronisation über das Internet sind nur die Schritte 3, 5 und 7 notwendig.
Nachfolgende Tabelle zeigt die benötigten Server
Domain Controller | |
File Server | Windows Server 2012 R2 |
optional, wenn über das Internet synchronisiert werden soll
ein Server-Zertifikat | |
Reverse-Proxy | oder eine geeignete Firewall (TMG) |
Optional: Schema Erweiterung für multiple File Server Dann muss der Domain-Controller Windows Server 2012 R2 sein Optional: ADFS (Active Directory Federation Service (AD FS) Infrastruktur, wenn AD FS Authentifizierung benutzt werden soll |
Installation File Server (Sync Server)
Windows Server 2012 R2 | Installieren Sie Windows Server 2012 R2 |
Hinzufügen zur Domäne | |
Updates Installieren (WSUS) | |
Optional: NTFS formatiertes Laufwerk hinzufügen |
|
Installier der Rollen und Features | File and Storage Services: Work Folders
PowerShell: |
optional: Quotas, Klassifizierungen (DLP) benötigen: File and Storage Services: File Server Ressource Manager PowerShell: |
Einrichten von Work Folders
Alle meine Server werden immer mit englischem Betriebssystem angelegt, nicht weil ich die deutsche Übersetzung fürchte, sondern weil ich bei auftretenden Problemen und Fehlermeldungen viel mehr englische Ergebnisse beim Suchen mit dem Internet Browser finde.
Vorbereitungen:
1. Anlegen einer Security Gruppe im AD
Dies kann mit verschiedenen Tools erledigt werden
2. Ordner anlegen im Verzeichnis des File-Servers oder auf separater Festplatte
Sync Share einrichten
![]() |
Wechseln Sie im Server-Manager des File-Servers zu File and Storage Services und dort zu Work Folders. Wenn noch keine Synchronisierungen angelegt sind starten Sie den Wizzard durch den angezeigten Link oder rechts oben unter Tasks New Sync Share |
![]() |
Start des New Sync Share Wizzard |
![]() |
Beim ersten Mal müssen wir festlegen, wo wir die Daten auf dem File-Server abspeichern. Mit einem Klick auf Browse… |
![]() |
Der File-Server wurde bei mir virtualisiert und ich habe auch eine separate, mit NTFS formatierte Festplatte hinzugefügt. Dort dann einen Ordner Workfolders angelegt. Hintergrund ist, dass ich irgendwann in der Zukunft diese Festplatte auch an einen anderen Server binden könnte.
Diesen Ordner wähle ich aus |
![]() |
und weiter… mit Next |
![]() |
User alias oder User alias@domain?
Ich wähle hier User alias@domain, weil ich mit verschiedenen Domains arbeite |
![]() |
Sync Share Name.
Der Wizzard schlägt hier den Ordnername (workfolders) vor, den ich zu WF ändere |
![]() |
Und wer bekommt Zugriff?
Sie werden sich vielleicht gefragt haben, warum der File-Server als Member-Server in die Domäne hinzugefügt wurde? Die Antwort ist einfach. Weil ich dann auf die hinterlegten Gruppen des ADs zugreifen kann, also auf Sales, Finance oder so. |
![]() |
ich habe die in den Vorbereitungen erstellte Security Gruppe hinzugefügt |
![]() |
Unter Device Policies können wir festlegen, ob der Ordner auf den Geräten verschlüsselt wird und /oder der Bildschirm automatisch gesperrt wird und ein Passwort verlangt wird, um das Geräte wieder aus dem Sperrmodus heraus zu nehmen.
Eine Eigenschaft der EFS-Verschlüsselung ist es, dass nur damit später die Möglichkeit besteht, auch BYOD Geräte, teileweise ferngesteuert die Daten zu Löschen. Diese Geräte-Regeln können wir auch später noch ändern. |
![]() |
noch einmal die Zusammenfassung lesen… |
![]() |
… und dann ist der Work Folder angelegt.
Zu Beginn konnte ich keinen |
Für die Feunde der Console: Alle Befehle sind auch per PowerShell verfügbar. z.B.:
New-SyncShare wf -path "E:\Workfolders" -User "HBsoft\Sync Share Users
" -RequireEncryption $false -RequirePasswordAutoLock $false -InheritParentFolderPermission
Damit wären wir eigentlich mit der Grundkonfiguration fertig. Im nächsten Blog Post zum Thema Work Folders werden ich über die Quota-Einstellungen und dem SMB Share berichten. Hintergrund dazu ist, dass ich auf dem Surface RT und Surface 2 nicht Speicher ohne Ende zur Verfügung habe (Quota) und ich natürlich auch mit Windows 7 arbeiten möchte (SMB Share)
In den nachfolgenden Blog Posts möchte ich etwas tiefer in bestimmte Details gehen.
MVP Award 2014
das 2. Mal in Folge. Und ich bin immer noch stolz, einer von etwa 4000 weltweiten MVPs zu sein. Und heute erreichte mich eine E-Mail von Microsoft:
Sehr geehrte(r) Hans Brender,
herzlichen Glückwunsch! Wir freuen uns, Ihnen den Microsoft® MVP Award 2014 verleihen zu können! Diese Auszeichnung wird an herausragende, führende Mitglieder der technischen Communities verliehen, die ihre wertvollen praktischen Erfahrungen mit anderen Menschen teilen. Wir schätzen Ihren außerordentlich bedeutenden Beitrag in den technischen Communities zum Thema SharePoint Server im vergangenen Jahr hoch ein.
Im vergangenen Jahr habe ich 69 neue Beiträge auf diesem Blog geschrieben, jetzt sind es schon 350. Und da mein Spezialgebiet “Collaboration” mit SharePoint, SkyDrive Pro, SkyDrive, Office, SharePoint Workspace 2010, Groove und neuerdings Work Folders doch ein schmales Segment ist, möchte ich hier Danke sagen.
Danke für die fast 150.000 Besucher, die sich den einen oder anderen Post angesehen und auch kommentiert haben.
Work Folders | Alternative zu SkyDrive Pro?
in Gesprächen mit Partnern und Firmen ist besonders in Deutschland eine gewisse, sagen wir “Hemmung” zu spüren, Informationen in die Cloud zu speichern. Das ist zu verstehen, und ich möchte hier keine weitere Diskussion anstoßen. Aber die Frage nach einer möglichen Alternative wird immer wieder gestellt.
Und Microsoft hat auch dazu eine Lösung, auch wenn wir über die Implementierung von “Non Domain joined” Geräten reden wollen.
[Update 01.07.2014] Wegen der Namensänderung von SkyDrive zu OneDrive wurden entsprechende Änderungen
Hier ein Überblick über die gängigen Microsoft Technologien:
|
Consumer |
Individuell work data |
Team Group Work data |
Personal Devices |
Access protocoll |
Data location |
OneDrive |
X |
|
|
X |
HTTPS |
Public Cloud |
OneDrive for Business |
X |
X |
X |
HTTPS |
SharePoint / Office 365 |
|
Work Folders |
X |
X |
HTTPS |
File Server |
||
Folder Redirection Client-Side Caching |
X |
SMB |
File Server |
OneDrive (SkyDrive)
Für Firmen ist die persönliche Cloud OneDrive (SkyDrive) ein Dorn im Auge, weil die IT keine Kontrolle darüber hat. Firmen-Dokumente gehören nicht in OneDríve (SkyDrive), mangels nicht bekannter Alternativen finden sich immer mehr Dokumente im privaten Cloud Speicher OneDrive (SkyDrive). Und wenn wir dann mit Windows 8.1 sehen, dass OneDrive nativ in das Betriebssystem eingebunden ist, kann man das verstehen. Und die Wünsche, die Anwender an Microsoft richten, um OneDrive zu erweitern, zeigen auf, dass hier noch viel Aufklärungsbedarf herrscht.
OneDrive for Business (SkyDrive Pro)
Die Voraussetzungen für OneDrive for Business (SkyDrive Pro) sind nun einmal SharePoint Online (Office 365) oder SharePoint Server 2013 (on Premise). Viele Firmen kennen SharePoint noch gar nicht, oder aber haben SharePoint Server 2010 im Einsatz, bei dem OneDrive for Business (SkyDrive Pro) nicht eingesetzt werden kann. Allerdings ist diese Technologie die einzige, die mit Team-Daten umgehen kann.
Folder Redirection
Diese, schon länger verfügbare Technologie hat den Nachteil, dass ich diese Technik nur auf Firmen-PC’s anwenden kann, und für die mobilen Mitarbeiter für die Synchronisation zwingend ein VPN-Tunnel aufgebaut werden muss.
Work Folder
und das ist die Technologie, die Microsoft in den Windows Server 2012 R2 eingebaut hat. Und die derzeit Windows 8.0 und Windows 8.1 unterstützt, aber Microsoft arbeitet auch an der Unterstützung von Windows 7 [Released]. Egal welches Gerät ich einsetze, also auch Geräte, die nicht zur Firme gehören (BYOD), meine Firmendaten werden über den persönlichen Speicher auf alle Geräte synchronisiert. Ohne VPN.
Also doch genau die Alternative. Nun, Ja und Nein. Die Daten bleiben in der Firma, sollte ein Mitarbeiter die Firma verlassen, kann ein Remote Wipe Out angestoßen werden, die Daten werden dann auch BYOD-Geräten gelöscht. Für Team-Arbeit ist diese Technologie jedoch nicht geeignet. Aber der Ansatz bietet viele neue Möglichkeiten, über die ich weiterhin berichten werde.
Windows Server 2012 | DC Update
Vor kurzem stand ich vor der Herausforderung, eine bestehende Windows Server 2008 R2 Domäne mit 2 DC’s auf Windows Server 2012 upzugraden. Normalerweise steht einem Implace-Upgrade laut Technet nichts im Wege, aber natürlich wollte ich mich von dem alten “Müll” befreien.
im nächsten Schritt wurden dann vom vorhandenen aktivem DHCP ein Backup erstellt, dieses im neuen Server importiert und dann dort aktiviert und beim alten Server deaktiviert.
Der nächste Schritt war DCPROMO auf dem bestehenden Windows Server 2008 R2 DC1. Leider schlug DCPROMO fehl, weil sich im AD noch alter Müll (seit dem Jahr 2000!) angesammelt hatte. Nun bin ich im AD nicht zu Hause, aber nach einigen Recherchen im Internet habe ich dann doch die Lösung gefunden und dann mit ADSI “manuell” korrigiert.
![]() |
Erneuer Aufruf und dann waren es nur mehr 2 DC’s.
Dann wurden die Replikate im DFS aufgelöst, und anschließend konnte der Server mit neuer Software bestückt werden. |
Die Recherche im Internet gab leider nichts her. Also mal wieder von vorne. Identifizierung auf den Intel Seiten nach dem neusten BIOS, Memory-Stick mit MS-DOS bootbar erstellt, das von den Intel Seiten heruntergeladene BISO draufgespielt, Server-Schrank geöffnet, Server geöffnet, BIOS identifiziert, umgestellt und dann mit dem Stick gebootet. BIOS des Servers upgedatet., wieder zurückgewechselt und dann neu gebootet.
Dies ist die Kurzversion von doch einigen Schritten, die etwas länger dauern. Danach das RAID-System aufgelöst und ein neues Array erzeugt. Erneut mit der DVD gebootet, und siehe da, Windows Server 2012 ließ sich auf dem neuen Festplatten (Raid 1) installieren.
So nebenbei, es gab natürlich ein kleines Problem: Exchange Server 2010 (die Mailboxrolle) hatte ein Problem: SACL… aber das ist ein anderer Beitrag
Exchange Server 2010 | Best Practices for Virtualizing
eine englischsprachiges, 38-seitiges Dokument steht im Downloadcenter bei Microsoft bereit. Der genaue Wortlaut: Best Practices for Virtualizing Exchange Server 2010 with Windows Server® 2008 R2 Hyper‑V™
Hier die Inhaltsangabe:
- Virtualized Exchange Server Best Practices
- Server Deployment Best Practices
- Capacity, Sizing, and Performance of Exchange Server on Hyper-V Best Practices
- Best Practices for Maintaining High Availability of Exchange Server 2010 on Hyper-V
- Running Exchange Alongside Other Workloads in a Virtual Environment
- Audience
- Background Information About Hyper-V
- Server Core Installation Option
- Virtualized Exchange Server Best Practices
- Scale Up or Scale Out?
- Hyper-V Root Sizing
- Hyper V Guest Configuration
- Guest Memory
- Guest Storage
- Determining Exchange Server Role Virtual Machine Locations
- Deployment Recommendations
- Server Deployment Best Practices
- Mailbox Server Deployment
- Edge Transport or Hub Transport Server Deployment
- Client Access Server Deployment
- Unified Messaging Server Deployment
- Client Access Server/Hub Transport Multi-role Deployment
- Exchange Hosting Mode
- Storage Options When Using Hyper-V
- Internal or External Storage
- Direct-Attached Storage
- iSCSI
- Fibre Channel over Ethernet
- For More Information
- Virtualization Scenarios That Are Not Supported
- Hyper-V Best Practices Analyzer
- Improvements with Windows Server 2008 R2 Hyper-V
- Dynamic Virtual Machine Storage
- Enhanced Processor Support
- Enhanced Networking Support
- Live Migration
- Dynamic Memory
- Microsoft RemoteFX
- Hyper V Failover Clustering
- Capacity, Sizing, and Performance of Exchange on Hyper-V Best Practices
- Hardware Considerations
- Organization Requirements
- Mailbox Storage Requirements
- Mailbox Size Requirements
- Mailbox Profile Requirements
- Deleted Item Retention
- Calendar Version Logging
- Mailbox Server Capacity Planning
- Calculate Mailbox Size on Disk
- Calculate Database Storage Capacity Requirements
- Calculate Transaction Log Storage Capacity Requirements
- Review Total Storage Capacity Requirements
- Estimate Mailbox CPU Requirements
- Hub Transport Server Capacity Planning
- Hub Transport Disk Requirements
- Hub Transport Processor Cores
- Client Access Server Capacity Planning
- Client Access Server Processor Cores
- Client Access and Hub Transport Server Combined Roles Capacity Planning
- Unified Messaging Server Capacity Planning
- Number of Concurrent Calls
- Best Practices for Maintaining High Availability of Exchange Server 2010 on Hyper-V
- Determine High Availability Strategy
- Mailbox Servers
- Hyper V Failover Clustering
- Determine Placement of Exchange Server Roles
- Hub Transport Servers
- Determining How Many Available Megacycles a Server Can Support
- Running Exchange Alongside Other Workloads in a Virtual Environment
- Virtualizing Domain Controllers
- Domain Controller Disk Space Requirements
- Domain Controller Memory Requirements
Hier auch noch ein Link zu einem Blog eines Exchange Server 2010 Spezialisten, der zu diesem Thema auch auf der TechEd 2011 in Atlanta spricht.
System Center Virtual Machine Manager 2012 Beta | Installation (VHD)
am 22.3.2011hat Microsoft die Beta-Version des SCVMM 2012 Beta freigegeben. In der Erprobungsphase gibt es mehrere Möglichkeiten, den SCVMM 2012 zu installieren:
- Setup mit allen Installations-Dateien
- fertig konfigurierte VHD mit Windows Server 2008 R2 Enterprise (ohne SP1)
dazu natürlich die wichtigen BETA-Dokumente wie
- VMM 2012 Beta documentation.docx (350 Seiten)
- VMM 2012 Beta Known Issues.docx (19 Seiten)
- VMM 2012 General Troubleshooting Guide.docx (47 Seiten)
ein Dokument fehlt, aber auf der Technet wurde bereits mehrere Seiten zur Verfügung gestellt:
- Getting Started with VMM 2012
- Deploying VMM 2012
- Administering VMM 2012
- Configuring Security for VMM 2012
- Scripting for VMM 2012
- Troubleshooting VMM 2012
Der schnellste Einstieg schien mir, eine bereits mit allem versehene VHD zu verwenden. Der Download dauert zwar ein bisschen länger, aber nach dem Extrahieren steht eine 12 GByte große VHD zur Verfügung. Auf den nächsten Hyper-V Host kopieren, und dann die VM konfigurieren. Dann wird zuerst Windows Server konfiguriert, nachdem Sie Land und Sprachen ausgewählt haben. Danach müssen noch ein paar Punkte abgearbeitet werden:
- die fettgedruckten Punkte sind wichtig, sonst können sie die Konfiguration des SCVMM 2012 nicht einrichten.
- Ist die virtuelle Maschine in Ihrer Domäne, sollten (können) Sie auch noch die diversen Updates installieren, bei mir waren es einschließlich Windows Server Service Pack 1 insgesamt 20 verschiedenen Updates:
- Das Windows Server 2008 R2 Service Pack 1 konnte installiert werden, aber andere Patche wurde nicht sofort installiert.
Installieren Sie alle Patche und starten dann erst die Installation des SCVMM 2012 Beta durch ein Klick auf das Icon auf dem Desktop:
Soweit die Installation der VHD-Lösung des SCVMM 2012 Beta. Diese Beta hat eine Laufzeit von 180 Tagen.
Problem mit Windows 7 Service Pack 1– Update 2
Das Windows Service Pack 1 für Windows 7 und Windows Server 2008 RT2 kann Probleme bei der Installation bereiten. Muss es aber nicht. Hier und hier habe ich schon darüber gebloggt. Anwender berichteten mir vor allem um Probleme, wenn das Service Pack 1 mit WSUS ausgerollt wird. Ein Blick auf die WSUS Konsole zeigt, dass bei mir noch 3 Server mit jeweils 17 Updates zu versorgen sind. Hierbei handelt es sich um 3 Groove Server 2010 , alles Windows Server 2008 R2 Datacenter Edition, in einer virtuellen Umgebung (Hyper-V).
Der nächste Screenshot zeigt die Updates, die Windows Update auf allen 3 VM’s installieren möchte:
beim selektierten Eintrag handelt es sich um das SP1, verteilt über WSUS. Also starten wir einmal die Updates…. Zuerst werden die anderen Updates installiert, dann folgendes Ergebnis
manuelle Installation des Windows Service Pack 1 auf Windows Server 2008 R2:
![]() |
![]() |
![]() |
|
![]() |
bei den Server 2+3 dauerte es etwas länger, dort lief das über WSUS vermittelte Update nach einer manuellen Wiederholung ebenfalls durch. Nach kurzer Zeit folgen dann nochmals 3 Updates…
nach geraumer Zeit dann ein Blick auf die WSUS Konsole:
alle Service Packs auf auf allen Server installiert. Ich hoffe, bei Ihnen sieht es genau so aus. Wenn nicht, lassen Sie es mich via Kommentar wissen.
Windows Server 2008 R2 SP1 | Dynamische Speicherzuweisung
Mit dem Service Pack 1 für Windows Server 2008 R2 und Windows 7 haben wir innerhalb der Hyper-V Rolle die Möglichkeit erhalten, einem Gast-OS dynamischen Speicher zuzuweisen. Hier sollte aber mit Bedacht vorgegangen werden, weil die Applikationen, die auf dem Gast OS laufen, diese Funktion nicht kennen. Bekannte Applikationen sind Exchange Server und SQL Server, welche den verfügbaren Speicher vereinnahmen, aber leider nicht mehr freigeben. Deshalb sind in den Eigenschaften hier bei Maximum RAM nicht der Default-Wert zu übernehmen, sondern Sie weisen hier einen ”vernünftigen” Grenzwert zu.
Exchange Server | SQL Server |
![]() |
![]() |
Startup RAM: 3072 MB Maximum RAM: 5120 MB Memory Buffer: 20% Gewichtung: Höher |
Startup RAM: 2048 MB Maximum RAM: 5120 MB Memory Buffer: 30% Gewichtung: höher |
Dies sind keinesfalls Werte, die Sie übernehmen sollten. Dies sind Werte, die bezogen auf meinem Host zur Verfügung stehender Speicher und den Applikationen benötigter Speicher von mir festgelegt wurden. Beim Exchange Server handelt es sich um alle Rollen, bis auf den die Datenbanken. Auf diesem Server werden auch mittels Forefront Security für Exchange die E-Mails mehrfach auf Viren überprüft. Hier sei auch noch auf einen Blogeintrag verwiesen, der sogar sagt: Dynamic Memory und Exchange : Don’t. Auf dem SQL Server laufen ein paar Datenbanken (u.a. WSUS und SharePoint Server). Da der SQL-Server hier auf Bedarf mehr Leistung bekommen soll, habe ich die Gewichtung höher (als normal ) eingestellt.
So nach und nach holen sich dann die Applikationen Speicher und dann kann es beim Memory Status zur Warnmeldungen kommen:
Hier können Sie sehen, dass wir alle mögliche Statusmeldungen haben
Beim Mail-Server ist die Grenze erreicht: 5120 MB +20% = 6144 MB (überschritten: Warnung). Beim SQL-Server ist die Grenze noch nicht erreicht: 5120 MB + 30% = 6166 (noch nicht erreichte Grenze, Anzeige-Warnung “Low”
ein, leider nur in englischer Sprache zur Verfügung stehender “Hyper-V Dynamic Memory Configuration Guide” finden sie hier.
Dort wird auch beschrieben, wie Sie die optimalen Werte per Performance Counter überwachen.
Desweiteren hier die Voraussetzungen für Exchange Server 2010 SP1 und hier für den SQL Server