Archiv
OneDrive – Next Generation Sync Client |Group Policies
Administrators of companies want to automate and control the behavior of OneDrive and OneDrive for Business. Sometimes their want to disable the usage of OneDrive (Personal). Or They want to say, where the user has to save their documents. And these administrators may do that with group policies. First, they have to download the OneDrive Deployment Package. You will find the following files:
ADMx/ADMl Templates are stored in %systemroot%\PolicyDefinitions folder. The language File has to be stored in the corresponding language folder. If you later open the Group policy editor, they will be opened and checked.
No you open the Group Management console on the Server
 |
You should create a new GPO and give it a name like “OneDrive”. |
 |
Now you may edit the entries. |
Just a reminder: The Next Generation Sync Client is running in a context of a user.Therefore you have to open the User configuration, admin templates and here OneDrive:
– Coauthoring and in-app sharing for Office files
– Configure OneDrive.exe to receive updates after consumer production
– Prevent users from changing the location of their OneDrive folder
– Prevent users from configuring personal OneDrive accounts
– Set the default location for the OneDrive folder
– Users can choose how to handle Office files in conflict
There are two more policies, which are on a different place: (Computer configuration, admin templates and the OneDrive
– Prevent users from using the remote file fetch feature to access files on the computer
– Set the maximum percentage of upload bandwidth that OneDrive.exe uses
you find all these descriptions and more here.
And here is another Link about “Use Group Policy in Windows 2012 R2 to disable OneDrive functionality in Windows 8.1 clients”
Often I hear the question : Is it possible, to automate install of the Next Generation Sync Client? The answer is yes and I will describe that in another blog post.
Summary
Group Policy is the ideal tool to provide different user groups have different preferences to OneDrive and OneDrive for Business with the Next Generation Sync Client.
OneDrive – Next Generation Sync Client |Gruppenrichtlinien
Firmen möchten steuern, was Ihre Benutzer mit OneDrive und OneDrive for Business tun. Bei manchen ist es erwünscht, OneDrive (Personal) komplett auszuklammern. Oder aber den Speicherort zu ändern. Das Mittel der Wahl: Gruppenrichtlinien. Um OneDrive über Gruppenrichtlinien zu steuern muss das das OneDrive Bereitstellungspaket heruntergeladen werden. Darin enthalten sind folgende Dateien
ADMx/ADMl Templates werden einfach in den %systemroot%\PolicyDefinitions Ordner kopiert,oder in den Central Store, wenn vorhanden. Die Sprach- (Language) Dateien (adml) speichert man in dem entsprechenden Länderkürzel Ordner Sie werden direkt beim nächsten öffnen des GP Editors gelesen und auf Syntax geprüft.
Dann rufen wir auf dem Server die Group Management Konsole auf.
 |
Wir erzeugen eine neue GPO und geben dieser einen neuen Namen. “OneDrive”. |
 |
Danach editieren wir die Einträge. |
Zur Erinnerung: der Next Generation Sync Client wirkt auf Benutzer-Ebene. Die Einträge finden wir also in der Benutzer-Konfiguration unter Administrative Vorlagen und dort unter OneDrive:
– Gemeinsame Dokumenterstellung und In-App-Freigabe für Office-Dateien
– Aktualisierung von "OneDrive.exe" bis zur zweiten Veröffentlichungswelle verzögern
– Benutzer am Ändern des Speicherorts ihres OneDrive-Ordners hindern
– Benutzer am Synchronisieren persönlicher OneDrive-Konten hindern
– Standardspeicherort für den OneDrive-Ordner festlegen
– Benutzer können wählen, wie in Konflikt stehende Office-Dateien behandelt werden
Zwei nachstehenden Richtlinien sind unter Computer-Konfiguration zu finden: Administrative Vorlagen und dort unter OneDrive:
– Legen Sie den maximalen Prozentwert für Upload Bandbreite, die OneDrive.exe verwendet.
– Legen Sie den maximalen Prozentwert für Upload Bandbreite, die OneDrive.exe verwendet
Alle einzelnen Einträge sind hier beschrieben.
Hier ein weiterer Link für eine Gruppenrichtlinie zu OneDrive für Windows 8.1 Geräte
Kann man den Next Generation Sync Client auch von Seiten der Administration automatisch installieren und verwalten? Ja, aber das werde ich in einem anderen Blog Post beschreiben.
Zusammenfassung
Gruppenrichtlinien sind das optimale Werkzeug, um verschiedene Benutzer Gruppen unterschiedliche Voreinstellungen zu OneDrive und OneDrive for Business mit dem Next Generation Sync Client zu versehen.
Arbeitsordner | Sichere Synchronisation in der Private Cloud
Seit Jahren benutze ich mehrere Geräte und es war nicht immer einfach, die richtige Methode des Abgleichs zu finden. Aus der Folder-Redirection, über SkyDrive, OneDrive und OneDrive for Business und Arbeitsordner. Wichtig für mich war, dass ich für bestimmte Geräte eine sichere und einfache Synchronisation über mehrere Geräte hinweg bekomme. Keine Zusammenarbeit. Einfach bestimmte Business-Dokumente synchronisieren.
Auf Channel 9 sprechen Tommy Patterson und Young Kwon über diese Technologie und zeigen, wie die IT von Microsoft dass für Ihre Mitarbeiter umgesetzt hat. (22 Minuten)
weitere Informationen zum Arbeitsordner auf meinem Blog finden Sie hier
OEM Server Kompetenz Club
- Sie sind Wiederverkäufer ?
- Sie wollen Ihre Kompetenz zu Windows Server weiter aufbauen?
- Sie brauchen weitere Informationen zum Windows Server?
- Sie haben Fragen zur Lizensierung von Windows Server?
- Sie wollen Ihre Erfahrungen mit anderen teilen?
- Sie wollen sich einmal live mit anderen austauschen?
- Sie suchen weitere technische Informationen?
- Sie benötigen Unterstützung bei Ihrem Projekt mit Windows Server?
- Sie benötigen das richtige Tool?
- Sie benötigen Marketingmaterialien, eine Präsentation oder ein Whitepaper?
Wenn auch nur eine Frage mit “Ja” beantwortet werden kann, dann sollten Sie sich beim
OEM Server Kompetenz Club
registrieren. Mit ein paar Klicks sind Sie drin. Und haben Zugriff auf alle Informationen. Direkt vom Hersteller Microsoft. Hier geht’s zum OEM Server Kompetenz Club
Work Folders | Zertifikate ausrollen
der 4. Teil der Implementierung der Work Folders geht es um den DNS Einträge und der Implementierung des Zertifikates, damit wir mit allen Geräten nicht nur innerhalb unseres Firmennetzwerkes Zugriff haben, sondern auch über das Internet von jeder beliebigen Stelle. Dabei gehe ich auch auf die Problematik eines bestehenden Exchange Servers und der mittlerweile von Microsoft abgekündigten Firewall Thread Management Gateway (TMG 2010) ein
Wenn in einer Firma sowohl ein Sync-Server als auch ein Mail Server eingesetzt werden sollen, so ergibt sich auf Grund des verwendeten Protokolls (hppts= Port 443) ein Problem. Der Datenstrom muss an der Firewall getrennt werden. Die nachfolgende Beschreibung hier gilt für folgende Komponenten:
- Proxy-Server: TMG 2010 auf Windows Server 2008 R2
- Mail-Server: Exchange Server
- Sync-Server: Windows Server 2012 R2
- Es ist nur eine externe IP Adresse vorhanden
Exchange Server verlangt beim Protokoll Outlook Web Access (OWA) SSL Verschlüsselung. Für den Zugriff muss öffentlich ein DNS Eintrag beim Provider eingerichtet werden. Der Sync- Server benötigt für die Work Folders ebenfalls einen öffentlichen DNS Eintrag - mail.contoso.com
- workfolders.contoso.com
ich habe im DNS Manger der Domäne auch noch einen Host-Eintrag workfolders erzeugt, dessen IP auf den Sync-Server (Fileserver) zeigt:
Und natürlich benötigen wir in SAN-Zertifikat (Multi-Domain Zertifikat), bei dem beide Einträge vorhanden sind. Dann kann auf der TMG mittels Bridging der SSL Datenstrom je nach Anforderung zum Mail-Server also auch zum Sync-Server weitergeleitet werden.
Dieses Zertifikat muss sowohl auf dem Mail-Server (Exchange) als auch auf dem Sync-Server und natürlich auf dem Proxy-Server (TMG) ausgerollt werden.
Exchange-Server
Es gibt genügend Beschreibungen im Internet, wie ein Zertifikat auf dem Exchange Server aus zu rollen ist, das ist auch abhängig von der Version des Exchange Servers. Hier ein paar Links:
- Erstellen einer Anforderung für ein digitales Zertifikat
- Digitale Zertifikate und SSL
- Exchange 2013 Serverzertifikat erstellen
- Exchange 2007 Zertifikate
Es gibt genügend Hilfen im Internet, einfach mal Bingen oder Googlen.
Sync-Server (File Server)
hier ist eine Besonderheit zu beachten, weil eine SSL-Bindung ans den Web-Server IIS nicht über die Oberfläche funktionierten kann, weil der Web-Server (IIS) gar nicht installiert werden muss und auch gar nicht installiert wurde.
Es wurde aber (automatisch) mit den Work Folders die IIS Hostable Web Core installiert, die aber keine graphische Oberfläche hat.
Das Powershell-Kommando hierfür: get-windowsfeature | where {$_.installed -eq $True}
Ist die Rolle Web Server (IIS) installiert, dann gibt es hier eine Beschreibung, wie Sie da Zertifikat an die Website binden können.
und hier der Weg, bei dem wir mit Powershell und der CMD die Bindung vornehmen können.
1- Zuerst muss das Zertifikat importiert werden: (Powershell)
PS C:\>Import-PfxCertificate –FilePath <certFile.pfx> -CertStoreLocation cert:LocalMachine\My
natürlich können wir das ganze auch über das über das Zertifikats Snap-in der MMC erledigen. Dann sollte nach dem Import die Einstellung so aussehen:
2– Danach müssen den thumbprint des soeben importierten ermitteln:
PS C:\>Get-ChildItem –Path cert:\LocalMachine\My
3- Das SSL Zertifikat muss nun mittel einer CMD-Konsole (!!!) gebunden werden.
netsh http add sslcert ipport=0.0.0.0:443 certhash=<Cert thumbprint> appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY
Nachdem die Zeile in die CMD Konsole eingegeben (kopiert) wurde, wechseln wir wieder in die Powershell und kopieren den richtigen Thumprint des weiter oben installierten Zertifikates. und ersetzen in der Kommando-Zeile (CMD) <Cert thumbprint> durch die Zeichenfolge und dann erst wird das Kommando mit Return abgesetzt.
Das Kommando bindet das Zertifikat an das Root (alle Hostnamen dieses Servers) dieses Servers mit Port 443
Eine Besonderheit ist noch zu beachten, wenn sich ein Exchange Server in der Domäne befindet.Diese Beschreibung hier setzte aber auf bestimmte Gegebenheiten auf:
- Es ist nur eine feste IP Adresse vorhanden
- Benutzer nutzen auch OWA um auf Ihre Mail-Daten des Exchange Servers zuzugreifen
- Als Firewall wird ein Thread Management Server 2010 (TMG) eingesetzt
- Das Problem ist, das sowohl OWA als auch Work Folders SSL (Port 443) benutzen und wir auf an der Firewall Bridging einsetzen müssen, um die SSL Daten entweder zum Exchange Server oder aber zum Sync-Server weiter zu leiten.
- 1- Zertifikat importieren
- Das Zertifikat ist mit der MMC (Zertifikats Snap in) auf der der TMG zu importieren. Danach sieht der persönliche Zertifikatsspeicher so aus
: 
- Der rote Pfeil zeigt auf das “alte” OWA Zertifikat, der blaue auf das neue Zertifikat
- 2- Web Listener erstellen bzw. umstellen
- Der existierende Web-Listener muss nun umgestellt werden:
 |
Ich habe nicht nur den Namen, sondern auch die Beschreibung geändert. |
 |
er muss zwingend auf die externe Adressen “lauschen” |
 |
es geht um SSL Verkehr an Port 443 |
 |
im Kartenreiter Certifikate müssen wir jetzt das neue Zertifikat zuweisen
Hier noch einmal der Hinweis, dass auch der Exchange Server natürlich mit dem neuen Zertifikat versehen wurde! Der Weblistener lauscht ja auf Port 443 und weil in dieser Konfiguration nur eine externer IP Adresse vorhanden ist, gilt dieser Web Listener sowohl für OWA als auch für WEorkfolders und erst im Bridging wird unterschieden … Klick auf Select Certificate… |
 |
Das Bild zeigt jetzt das ich bereits auf das neue Zertifikat (Blau) geklickt habe.
Anschließend auf “Select” klicken |
 |
Im Kartenreiter Authentication habe ich “no Authentication” eingestellt (gehabt).
Wir reichen ja nur durch und authentifizieren im Exchange Server bzw. im Sync Server |
Damit haben wir die Änderung des Web Listeners an der TMG abgeschlossen und klicken auf OK
- 3- Regel OWA ändern
 |
Alle Einstellungen bleiben, nur der Weblistener muss richtig ausgewählt werden. |
- 4- Work Folder Regeln erstellen
- Der Einfachheit habe ich die “OWA” Regel in der TM kopiert , den Namen dann geändert und dann die Änderungen durchgeführt.
 |
Name und Beschreibung geändert |
 |
|
 |
|
 |
Der Client kennt den externen oder internen DNS Namen (publish Sites) und als Computer habe wird der Namen des Sync-Servers eingetragen |
 |
Es geht um HTTPS (Port 443) |
 |
hier wieder den Web-Listener eintragen. |
 |
hier wird der öffentliche DNS Name eingetragen
(beim der OWA Regel steht hier der öffentliche DNS Name für OWA) |
 |
bei dem internen Pfad tragen wir ein:
/sync/1.0/* |
 |
an der Firewall wird nicht authentifiziert, sondern nur weitergereicht… |
 |
443 Traffic wird an den Web-Server weitergeleitet. |
 |
Ich habe hier “alle Benutzer” eingetragen… |
 |
Ein Klick auf “Test Rue” zeigt, dass die Weiterleitung korrekt ist. |
- Damit ist die Konfiguration an der TMG 2010 abgeschlossen. Im nächsten Blog Post werde ich dann den Abschluss dieser Work Folders Serie beschreiben, nämlich die Implementierung der Work Folders unter Windows 8.1, und zwar für ein Gerät in der Domäne als auch ein BYOD Gerät.
- Work Folders | Überblick
- Work Folders | Einrichtung Server und Konfiguration
- Work Folders | Quota und SMB
- Work Folders | Zertifikate ausrollen
- Work Folders | Client Konfiguration
Work Folders | Quota und SMB
Heute geht es um Quotas und SMB.
Quotas:
Um Quotas für Work Folders auf dem File Server zu installieren, muss der File Server Resource Manager installiert sein, das habe ich hier beschrieben.
Nach dessen Aufruf (Tools im Server Manager) bekommen wir folgendes zu sehen:
Nach einem Klick auf Quota Management …
und einem weiteren auf Quota Templates…
ist ersichtlich, dass unter Umständen die von Microsoft angelegten Templates nicht passen. Ich habe 17 GB Dateien zu synchronisieren, aber mein Surface RT muss ich beschränken, weil dort nicht unbegrenzt Speicherplatz zur Verfügung stehen. Und bei den Templates gibt es nur 250 MB (zu wenig) und 200 GB (zu viel).
In der dritten Spalte werden Quota Typen angezeigt: Hard und Soft. Vereinfacht gesagt, kann der Benutzer später beim Typ Hard beim Erreichen des Grenzwertes keine weiteren Dateien anlegen, beim Typ Soft bekommt er nur Warnmeldungen etc. Schauen Sie sich die Eigenschaften der vorhandenen Quotas an, welche am besten passt, dann können wir diese Einstellungen zu unserem neu zu erstellen Quota Template kopieren.
Um ein neues Quota Template zu erzeugen. genügt ein Rechtsklick auf Quota Template – Create Quoat Template…
 |
Wählen Sie aus der DropDown-Liste ein passendes Template aus und klciken Sie dann auf Copy. Die Daten werden dann übernommen. |
 |
Geben Sie dann dem Template einen Namen und eine Beschreibung und wählen Sie dann das Limit und wählen Sie dann den Quota Typ |
Wenn wir später DLP (Data Loss Prevention) konfigurieren wollen, so müssen wir uns mit dem Classification Management beschäftigen.
Zur Zuordnung von Quotas zu einem Work Folder gibt es 2 Möglichkeiten, direkt über Quotas oder aber, wenn mehrere Work Folder mit unterschiedlichen Quotas
Wechseln wir jetzt zum unseren Work Folders. (
und klicken auf Set Quotas
 |
Wählen Sie das gewünschte Template aus. Sollte dass soeben neu erzeugte Template nicht erscheinen, dann verlassen Sie den Configurations-Assistenten und klicken im File Server Manager auf Refresh. Danach erneuter Aufruf |
Damit haben wir die Quotas für diesen Work Folder erstellt und zugewiesen.
eine generelle Einstellung für Work Folders sollten wir nicht vergessen:
Hier können generell für alle Work Folders weitere Eigenschaften wie Authentifizierung, Support-Email und Gruppen, bei denen eine Synchronisierung unterdrückt werden soll, hinterlegt werden:
 |
Klicken Sie hier auf Show All |
 |
Wählen Sie hier die Art der Authentifizierung und tragen Sie eine E-Mail-Adresse ein |
SMB
Da Windows 7 derzeit noch nicht für Work Folders unterstützt wird, ich denke, das wird mit dem nächsten Service Pack für Windows 7 kommen, müssen wir uns für Rechner innerhalb des Firmen-Netzwerkes mit SMB Share helfen.
[Update 1.7.2014] seit dem 23.4.2014 steht ein Windows 7 Client zur Verfügung
Damit kann die Konfiguration von SMB entfallen
 |
2 Möglichkeiten gibt es um den New Share Wizzard zu starten |
 |
Wählen Sie SMB Share Advanced |
 |
Geben Sie den Pfad ein, wo Sie den Work Folder definiert haben.
Siehe hier |
 |
Übernehmen Sie die Angaben und / oder tragen Sie eine Beschreibung ein |
 |
Haken Sie ABE (Access-based enumeration) an. Die Benutzer sehen dann nur ihren eigenen Ordner. Ordner, bei dem nicht Minimal Lese-Rechte vorhanden sind, werden ausgeblendet |
 |
Hier können, wenn notwendig, weitere Rechte hinzugefügt werden |
 |
Unter Quotas habe ich schon darauf hingewiesen, dass Management Policies und Klassifizierungs-Regeln erstellt werden können.
Deshalb sollten Sie User Files anhaken |
 |
Da wir schon Quotas hinterlegt haben, meldet der Assistent dies und wir können diesen Schritt überspringen. Haben Sie noch keine Quotas angelegt, ist hier jetzt die Möglichkeit… |
 |
Die Zusammenfassung |
 |
und das Ergebnis |
Je nach Größe Ihres Unternehmens und Anzahl der Benutzer müssen wir bei SMB Share jedoch bedenken, wie oft eine Synchronisierung durchgeführt wird. Die Standard-Zeit für eine Synchronisierung (voreingestellt) ist 5 Minuten. Diese kann herabgesetzt werden auf Minimum 1 Minute. Beachten Sie jedoch, dass das Auswirkungen auf die Serverlast ihres File-Server hat.
Dazu gibt es 2 Powershell-Kommandos
| Ermitteln der gesetzten Zeit | Get-SyncServerSetting |
| Setzen einer Synchronisierungs-Zeit | Set-SyncServerSetting |
 |
Starten Sie Powershell und geben ein PS C:\ >Get-SyncServerSetting |
 |
Reduzierung der Zeit auf eine Minute
PS C:\>Set-SyncServerSetting -MinimumChangeDetectionMins 1 anschließend zur Überprüfung nochmals |
Damit können wir jetzt unter Windows 7 auf diesen SMB Share zugreifen.
In den nachfolgenden Blog Posts möchte ich etwas tiefer in bestimmte Details gehen.
Work Folders | Einrichtung Server und Konfiguration
Bevor wir zur Einrichtung der Work Folders kommen, hier nochmal zu meinem Case: ich bin mit mehreren Geräten unterwegs…
[Update 1.7.2014]
Client für Windows 7 verfügbar, aus SkyDrive Pro wird OneDrive for Business
| Windows 7 | Desktop, weil ich einige Programme benutze, bei dem es noch keine Freigabe für Windows 8.1 gibt, muss (darf) ich noch Windows 7 benutzen. Noch gibt es keinen Work Folders Client, aber da es sich um eine stationäre Maschine handelt, die sich in der Domäne befindet, kann ich SMB Share benutzen*). Hier werden derzeit Dateien mit Offline Folders und einem dahinter liegenden Windows Server 2008 R2 synchronisiert. (3000 Dateien in 564 Ordner: 17 GB) Installiert sind dort auch OneDrive (SkyDrive) (3 Identitäten, ja ich wechsle diese, das geht übrigens auch nicht mehr unter Windows 8.1, habe ich hier und hier beschrieben). Weiterhin benutze ich OneDrive for Business (SkyDrive Pro) zu verschiedenen Organisationen auf Office 365 und zu meinem lokalen SharePoint Server 2013. Und für interne Firmenabläufe gibt es auch noch die klassische Ablage auf einem File-Server, hier benutze ich DFS (Distributed File System). Auf diese Daten muss ich aber nicht zugreifen, wenn ich unterwegs bin. *) mittlerweile gibt es einen Windows 7 Client für Work Folders Zusammenfassung: |
| Windows 8.1 im Firmen-Netzwerk |
Da wäre also Rechner mit Windows 8.1 im Firmen-Netzwerk. (Domain-Joined devices). Ich habe (fast alle) mobile Geräte auf Windows 8.1 umgestellt. Auch ein paar uralte. Und bei diesen passiert es mir immer öfter, dass ich mich beim Wischen erwische, obwohl diese Maschinen nicht in der Lage sind, darauf zu reagieren…
Auch bei diesen Geräten arbeite ich mit OneDrive (SkyDrive) (nur noch ein Konto), OneDrive for Business (SkyDrive Pro), Offline Folders und DFS |
| Windows 8.1 mit Microsoft Konto |
Und da wären noch Geräte, die mit Windows RT arbeiten. Dabei handelt es sich um Surface RT und das Surface 2. Beide Geräte können aber nicht zum Firmennetzwerk hinzugefügt werden (non domain joined) , aber weil ich die wichtigsten Programme von Office auf diesen Maschinen installiert habe, habe ich diese netten Tablets schätzen gelernt. Das Problem mit nur einem OneDrive (SkyDrive) Konto habe ich durch 2 angelegte Benutzer gelöst. OneDrive for Business (SkyDrive Pro): das ist das Dilemma, weil ich nur Online auf die dahinter liegenden Ressourcen zugreifen kann. (Es gibt keinen OneDrive for Business (SkyDrive Pro) Client für Windows RT) Offline Files: sind unter Windows 8.1 RT nicht verfügbar Mit DFS Laufwerken kann ich arbeiten. |
Zusammenfassung
| Windows 7 | OneDrive (SkyDrive) |
ja, mehrere Accounts |
| OneDrive for Business (SkyDrive Pro) |
ja, Offline und Online (Keine IRM*) | |
| Offline Folders | Ja | |
| DFS | Ja (Verbindung zum Firmennetzwerk notwendig) |
|
| Windows 8.1 im Firmen-Netzwerk |
OneDrive (SkyDrive) |
Ja, nur ein Account |
| OneDrive for Business (SkyDrive Pro) |
Ja, Offline und Online (keine IRM*) | |
| Offline Folders | Ja | |
| DFS | Ja (Verbindung zum Firmennetzwerk notwendig) |
|
| Windows 8.1 mit MS Konto |
OneDrive (SkyDrive) |
ja, nur ein Account |
| OneDrive for Business (SkyDrive Pro) |
Ja, Offline und Online (keine IRM*) | |
| Offline Folders | Ja | |
| DFS | Ja (Verbindung zum Firmennetzwerk notwendig) |
|
| Offline Folders | Ja | |
| Windows 8.1 RT mit MS Konto |
OneDrive (SkyDrive) |
JA, nur ein Account |
| OneDrive for Business (SkyDrive Pro) |
Nein, nur Online (kein IRM*) | |
| Offline Folders | Nein | |
| DFS | Ja (Verbindung zum Firmennetzwerk notwendig) |
* wichtige Dokumente werden bei mir IRM (Information Rights Management) geschützt. Hier ein paar Links zu IRM
Einführung in die Verwendung von IRM für –EMail
Planen der Verwaltung von IRM in Office 2013
Einige Kunden, wo ich Zugriff auf deren SharePoint Server 2013 habe, nutzen dieses Feature, dort gibt es ganze IRM geschützte Bibliotheken. Das OneDrive for Business (SkyDrive Pro) Protokoll, welches auf SharePoint Workspace 2010, und das wiederum auf Groove aufsetzt, konnte aber noch nie IRM geschützte Dateien synchronisieren.
Und jetzt kommen die unter Windows Server 2012 R2 enthaltenen Work Folders in Spiel. Microsoft hat ein völlig neues Übertragungsprotokoll entwickelt. Die Übertragung zwischen Client und Server erfolgt verschlüsselt per SSL , Auf dem Client und Server werden die Daten wenn gewünscht, ebenfalls verschlüsselt abgelegt, und es ist möglich, Dokumente bei der Ablage automatisch per IRM zu schützen, wenn im Dokument selbst kritische Informationen abgelegt sind. Hier kommt DLP (Data Loss Prevention) zum Einsatz. Das kennen wir vielleicht schon, wenn wir der Exchange Server 2013 einsetzen (Verhinderung von Datenverlust). Und nicht zuletzt: In SharePoint Server 2013 und SharePoint Online (Office 365) gibt es ja eine Limitierung von 2 GB pro Datei, die allerdings dem darunter liegenden SQL Server zuzuordnen ist. Die Dateigröße bei Work Folders liegt bei 10 GB
und wie würde die obige Tabelle mit Work Folders aussehen
| Windows 7 | Work Folders mit SMB: ja möglich seit dem 23.4.2014 gibt es Work Folder für Windows 7, siehe |
| Windows 8.1 im Firmennetzwerk | JA |
| Windows 8.1 mit MS Konto | JA |
| Windows 8.1 RT | Ja |
wenn Work Folders komplett installiert sind, dann geht das ganze auch über das Internet. Damit stand für mich fest: Die Offline Folders sollen in die neue Technologie der Work Folders migriert werden und danach abgeschaltet werden.
Welche Komponenten werden für die Implementierung benötigt?
Welche Komponenten sind optional ?
Hier ein Schaubild mit allen Komponenten
folgende Schritte sind notwendig (siehe Technet englisch)
- SSL Zertifikate
- DNS Record einrichten
- Work Folders auf File-Server einrichten
- SSL Zertifikat binden
- Security Gruppen für Work Folders einrichten
- User Attribute delegieren für Work Folders Administratoren
- Sync Shares einrichten
- E-Mail Adressen für technischen Support einrichten
- Einrichten von Automatic Discovery
- Konfiguration von Web Applikation Proxy oder einem anderen Reverse Proxy
- Einrichten einer Gruppenrichtlinie für Firmen-Geräte
Für Testumgebungen oder für Umgebungen ohne Synchronisation über das Internet sind nur die Schritte 3, 5 und 7 notwendig.
Nachfolgende Tabelle zeigt die benötigten Server
| Domain Controller | |
| File Server | Windows Server 2012 R2 |
optional, wenn über das Internet synchronisiert werden soll
| ein Server-Zertifikat | |
| Reverse-Proxy | oder eine geeignete Firewall (TMG) |
| Optional: Schema Erweiterung für multiple File Server Dann muss der Domain-Controller Windows Server 2012 R2 sein Optional: ADFS (Active Directory Federation Service (AD FS) Infrastruktur, wenn AD FS Authentifizierung benutzt werden soll |
Installation File Server (Sync Server)
| Windows Server 2012 R2 | Installieren Sie Windows Server 2012 R2 |
| Hinzufügen zur Domäne | |
| Updates Installieren (WSUS) | |
| Optional: NTFS formatiertes Laufwerk hinzufügen |
|
| Installier der Rollen und Features | File and Storage Services: Work Folders
PowerShell: |
| optional: Quotas, Klassifizierungen (DLP) benötigen: File and Storage Services: File Server Ressource Manager PowerShell: |
Einrichten von Work Folders
Alle meine Server werden immer mit englischem Betriebssystem angelegt, nicht weil ich die deutsche Übersetzung fürchte, sondern weil ich bei auftretenden Problemen und Fehlermeldungen viel mehr englische Ergebnisse beim Suchen mit dem Internet Browser finde.
Vorbereitungen:
1. Anlegen einer Security Gruppe im AD
Dies kann mit verschiedenen Tools erledigt werden
Active Directory User und Computers
 |
Users: rechte Maustaste |
 |
Es handelt sich um eine Globale Security Gruppe, bei der alle Domänenbenutzer Zugriff erhalten sollen.
Name eintragen und OK |
 |
wählen Sie die benötigte Gruppe aus, in meinem Fall Domänen-Benutzer
Danach OK |
 |
und noch einmal OK |
| alternativ: Active Directory Administrative Center  |
Der Aufruf erfolgt wie oben. Rechte Maustaste auf den Server und dann |
 |
Name eintragen und Security und Global auswählen.
Dann das Feld Description ausfüllen Dann links in der Leiste auf Members und Add Auswahl der Gruppe |
 |
und OK |
2. Ordner anlegen im Verzeichnis des File-Servers oder auf separater Festplatte
 |
Der File-Server wurde bei mir virtualisiert und ich habe auch eine separate, mit NTFS formatierte Festplatte hinzugefügt. Dort dann einen Ordner Workfolders angelegt. Hintergrund ist, dass ich irgendwann in der Zukunft diese Festplatte auch an einen anderen Server binden könnte. |
Sync Share einrichten
 |
Wechseln Sie im Server-Manager des File-Servers zu File and Storage Services und dort zu Work Folders. Wenn noch keine Synchronisierungen angelegt sind starten Sie den Wizzard durch den angezeigten Link oder rechts oben unter Tasks New Sync Share |
 |
Start des New Sync Share Wizzard |
 |
Beim ersten Mal müssen wir festlegen, wo wir die Daten auf dem File-Server abspeichern. Mit einem Klick auf Browse… |
 |
Der File-Server wurde bei mir virtualisiert und ich habe auch eine separate, mit NTFS formatierte Festplatte hinzugefügt. Dort dann einen Ordner Workfolders angelegt. Hintergrund ist, dass ich irgendwann in der Zukunft diese Festplatte auch an einen anderen Server binden könnte.
Diesen Ordner wähle ich aus |
 |
und weiter… mit Next |
 |
User alias oder User alias@domain?
Ich wähle hier User alias@domain, weil ich mit verschiedenen Domains arbeite |
 |
Sync Share Name.
Der Wizzard schlägt hier den Ordnername (workfolders) vor, den ich zu WF ändere |
 |
Und wer bekommt Zugriff?
Sie werden sich vielleicht gefragt haben, warum der File-Server als Member-Server in die Domäne hinzugefügt wurde? Die Antwort ist einfach. Weil ich dann auf die hinterlegten Gruppen des ADs zugreifen kann, also auf Sales, Finance oder so. |
 |
ich habe die in den Vorbereitungen erstellte Security Gruppe hinzugefügt |
 |
Unter Device Policies können wir festlegen, ob der Ordner auf den Geräten verschlüsselt wird und /oder der Bildschirm automatisch gesperrt wird und ein Passwort verlangt wird, um das Geräte wieder aus dem Sperrmodus heraus zu nehmen.
Eine Eigenschaft der EFS-Verschlüsselung ist es, dass nur damit später die Möglichkeit besteht, auch BYOD Geräte, teileweise ferngesteuert die Daten zu Löschen. Diese Geräte-Regeln können wir auch später noch ändern. |
 |
noch einmal die Zusammenfassung lesen… |
 |
… und dann ist der Work Folder angelegt.
Zu Beginn konnte ich keinen |
Für die Feunde der Console: Alle Befehle sind auch per PowerShell verfügbar. z.B.:
New-SyncShare wf -path "E:\Workfolders" -User "HBsoft\Sync Share Users" -RequireEncryption $false -RequirePasswordAutoLock $false -InheritParentFolderPermission
Damit wären wir eigentlich mit der Grundkonfiguration fertig. Im nächsten Blog Post zum Thema Work Folders werden ich über die Quota-Einstellungen und dem SMB Share berichten. Hintergrund dazu ist, dass ich auf dem Surface RT und Surface 2 nicht Speicher ohne Ende zur Verfügung habe (Quota) und ich natürlich auch mit Windows 7 arbeiten möchte (SMB Share)
In den nachfolgenden Blog Posts möchte ich etwas tiefer in bestimmte Details gehen.
