Archiv
Work Folders | Einrichtung Server und Konfiguration
Bevor wir zur Einrichtung der Work Folders kommen, hier nochmal zu meinem Case: ich bin mit mehreren Geräten unterwegs…
[Update 1.7.2014]
Client für Windows 7 verfügbar, aus SkyDrive Pro wird OneDrive for Business
| Windows 7 | Desktop, weil ich einige Programme benutze, bei dem es noch keine Freigabe für Windows 8.1 gibt, muss (darf) ich noch Windows 7 benutzen. Noch gibt es keinen Work Folders Client, aber da es sich um eine stationäre Maschine handelt, die sich in der Domäne befindet, kann ich SMB Share benutzen*). Hier werden derzeit Dateien mit Offline Folders und einem dahinter liegenden Windows Server 2008 R2 synchronisiert. (3000 Dateien in 564 Ordner: 17 GB) Installiert sind dort auch OneDrive (SkyDrive) (3 Identitäten, ja ich wechsle diese, das geht übrigens auch nicht mehr unter Windows 8.1, habe ich hier und hier beschrieben). Weiterhin benutze ich OneDrive for Business (SkyDrive Pro) zu verschiedenen Organisationen auf Office 365 und zu meinem lokalen SharePoint Server 2013. Und für interne Firmenabläufe gibt es auch noch die klassische Ablage auf einem File-Server, hier benutze ich DFS (Distributed File System). Auf diese Daten muss ich aber nicht zugreifen, wenn ich unterwegs bin. *) mittlerweile gibt es einen Windows 7 Client für Work Folders Zusammenfassung: |
| Windows 8.1 im Firmen-Netzwerk |
Da wäre also Rechner mit Windows 8.1 im Firmen-Netzwerk. (Domain-Joined devices). Ich habe (fast alle) mobile Geräte auf Windows 8.1 umgestellt. Auch ein paar uralte. Und bei diesen passiert es mir immer öfter, dass ich mich beim Wischen erwische, obwohl diese Maschinen nicht in der Lage sind, darauf zu reagieren…
Auch bei diesen Geräten arbeite ich mit OneDrive (SkyDrive) (nur noch ein Konto), OneDrive for Business (SkyDrive Pro), Offline Folders und DFS |
| Windows 8.1 mit Microsoft Konto |
Und da wären noch Geräte, die mit Windows RT arbeiten. Dabei handelt es sich um Surface RT und das Surface 2. Beide Geräte können aber nicht zum Firmennetzwerk hinzugefügt werden (non domain joined) , aber weil ich die wichtigsten Programme von Office auf diesen Maschinen installiert habe, habe ich diese netten Tablets schätzen gelernt. Das Problem mit nur einem OneDrive (SkyDrive) Konto habe ich durch 2 angelegte Benutzer gelöst. OneDrive for Business (SkyDrive Pro): das ist das Dilemma, weil ich nur Online auf die dahinter liegenden Ressourcen zugreifen kann. (Es gibt keinen OneDrive for Business (SkyDrive Pro) Client für Windows RT) Offline Files: sind unter Windows 8.1 RT nicht verfügbar Mit DFS Laufwerken kann ich arbeiten. |
Zusammenfassung
| Windows 7 | OneDrive (SkyDrive) |
ja, mehrere Accounts |
| OneDrive for Business (SkyDrive Pro) |
ja, Offline und Online (Keine IRM*) | |
| Offline Folders | Ja | |
| DFS | Ja (Verbindung zum Firmennetzwerk notwendig) |
|
| Windows 8.1 im Firmen-Netzwerk |
OneDrive (SkyDrive) |
Ja, nur ein Account |
| OneDrive for Business (SkyDrive Pro) |
Ja, Offline und Online (keine IRM*) | |
| Offline Folders | Ja | |
| DFS | Ja (Verbindung zum Firmennetzwerk notwendig) |
|
| Windows 8.1 mit MS Konto |
OneDrive (SkyDrive) |
ja, nur ein Account |
| OneDrive for Business (SkyDrive Pro) |
Ja, Offline und Online (keine IRM*) | |
| Offline Folders | Ja | |
| DFS | Ja (Verbindung zum Firmennetzwerk notwendig) |
|
| Offline Folders | Ja | |
| Windows 8.1 RT mit MS Konto |
OneDrive (SkyDrive) |
JA, nur ein Account |
| OneDrive for Business (SkyDrive Pro) |
Nein, nur Online (kein IRM*) | |
| Offline Folders | Nein | |
| DFS | Ja (Verbindung zum Firmennetzwerk notwendig) |
* wichtige Dokumente werden bei mir IRM (Information Rights Management) geschützt. Hier ein paar Links zu IRM
Einführung in die Verwendung von IRM für –EMail
Planen der Verwaltung von IRM in Office 2013
Einige Kunden, wo ich Zugriff auf deren SharePoint Server 2013 habe, nutzen dieses Feature, dort gibt es ganze IRM geschützte Bibliotheken. Das OneDrive for Business (SkyDrive Pro) Protokoll, welches auf SharePoint Workspace 2010, und das wiederum auf Groove aufsetzt, konnte aber noch nie IRM geschützte Dateien synchronisieren.
Und jetzt kommen die unter Windows Server 2012 R2 enthaltenen Work Folders in Spiel. Microsoft hat ein völlig neues Übertragungsprotokoll entwickelt. Die Übertragung zwischen Client und Server erfolgt verschlüsselt per SSL , Auf dem Client und Server werden die Daten wenn gewünscht, ebenfalls verschlüsselt abgelegt, und es ist möglich, Dokumente bei der Ablage automatisch per IRM zu schützen, wenn im Dokument selbst kritische Informationen abgelegt sind. Hier kommt DLP (Data Loss Prevention) zum Einsatz. Das kennen wir vielleicht schon, wenn wir der Exchange Server 2013 einsetzen (Verhinderung von Datenverlust). Und nicht zuletzt: In SharePoint Server 2013 und SharePoint Online (Office 365) gibt es ja eine Limitierung von 2 GB pro Datei, die allerdings dem darunter liegenden SQL Server zuzuordnen ist. Die Dateigröße bei Work Folders liegt bei 10 GB
und wie würde die obige Tabelle mit Work Folders aussehen
| Windows 7 | Work Folders mit SMB: ja möglich seit dem 23.4.2014 gibt es Work Folder für Windows 7, siehe |
| Windows 8.1 im Firmennetzwerk | JA |
| Windows 8.1 mit MS Konto | JA |
| Windows 8.1 RT | Ja |
wenn Work Folders komplett installiert sind, dann geht das ganze auch über das Internet. Damit stand für mich fest: Die Offline Folders sollen in die neue Technologie der Work Folders migriert werden und danach abgeschaltet werden.
Welche Komponenten werden für die Implementierung benötigt?
Welche Komponenten sind optional ?
Hier ein Schaubild mit allen Komponenten
folgende Schritte sind notwendig (siehe Technet englisch)
- SSL Zertifikate
- DNS Record einrichten
- Work Folders auf File-Server einrichten
- SSL Zertifikat binden
- Security Gruppen für Work Folders einrichten
- User Attribute delegieren für Work Folders Administratoren
- Sync Shares einrichten
- E-Mail Adressen für technischen Support einrichten
- Einrichten von Automatic Discovery
- Konfiguration von Web Applikation Proxy oder einem anderen Reverse Proxy
- Einrichten einer Gruppenrichtlinie für Firmen-Geräte
Für Testumgebungen oder für Umgebungen ohne Synchronisation über das Internet sind nur die Schritte 3, 5 und 7 notwendig.
Nachfolgende Tabelle zeigt die benötigten Server
| Domain Controller | |
| File Server | Windows Server 2012 R2 |
optional, wenn über das Internet synchronisiert werden soll
| ein Server-Zertifikat | |
| Reverse-Proxy | oder eine geeignete Firewall (TMG) |
| Optional: Schema Erweiterung für multiple File Server Dann muss der Domain-Controller Windows Server 2012 R2 sein Optional: ADFS (Active Directory Federation Service (AD FS) Infrastruktur, wenn AD FS Authentifizierung benutzt werden soll |
Installation File Server (Sync Server)
| Windows Server 2012 R2 | Installieren Sie Windows Server 2012 R2 |
| Hinzufügen zur Domäne | |
| Updates Installieren (WSUS) | |
| Optional: NTFS formatiertes Laufwerk hinzufügen |
|
| Installier der Rollen und Features | File and Storage Services: Work Folders
PowerShell: |
| optional: Quotas, Klassifizierungen (DLP) benötigen: File and Storage Services: File Server Ressource Manager PowerShell: |
Einrichten von Work Folders
Alle meine Server werden immer mit englischem Betriebssystem angelegt, nicht weil ich die deutsche Übersetzung fürchte, sondern weil ich bei auftretenden Problemen und Fehlermeldungen viel mehr englische Ergebnisse beim Suchen mit dem Internet Browser finde.
Vorbereitungen:
1. Anlegen einer Security Gruppe im AD
Dies kann mit verschiedenen Tools erledigt werden
Active Directory User und Computers
 |
Users: rechte Maustaste |
 |
Es handelt sich um eine Globale Security Gruppe, bei der alle Domänenbenutzer Zugriff erhalten sollen.
Name eintragen und OK |
 |
wählen Sie die benötigte Gruppe aus, in meinem Fall Domänen-Benutzer
Danach OK |
 |
und noch einmal OK |
| alternativ: Active Directory Administrative Center  |
Der Aufruf erfolgt wie oben. Rechte Maustaste auf den Server und dann |
 |
Name eintragen und Security und Global auswählen.
Dann das Feld Description ausfüllen Dann links in der Leiste auf Members und Add Auswahl der Gruppe |
 |
und OK |
2. Ordner anlegen im Verzeichnis des File-Servers oder auf separater Festplatte
 |
Der File-Server wurde bei mir virtualisiert und ich habe auch eine separate, mit NTFS formatierte Festplatte hinzugefügt. Dort dann einen Ordner Workfolders angelegt. Hintergrund ist, dass ich irgendwann in der Zukunft diese Festplatte auch an einen anderen Server binden könnte. |
Sync Share einrichten
 |
Wechseln Sie im Server-Manager des File-Servers zu File and Storage Services und dort zu Work Folders. Wenn noch keine Synchronisierungen angelegt sind starten Sie den Wizzard durch den angezeigten Link oder rechts oben unter Tasks New Sync Share |
 |
Start des New Sync Share Wizzard |
 |
Beim ersten Mal müssen wir festlegen, wo wir die Daten auf dem File-Server abspeichern. Mit einem Klick auf Browse… |
 |
Der File-Server wurde bei mir virtualisiert und ich habe auch eine separate, mit NTFS formatierte Festplatte hinzugefügt. Dort dann einen Ordner Workfolders angelegt. Hintergrund ist, dass ich irgendwann in der Zukunft diese Festplatte auch an einen anderen Server binden könnte.
Diesen Ordner wähle ich aus |
 |
und weiter… mit Next |
 |
User alias oder User alias@domain?
Ich wähle hier User alias@domain, weil ich mit verschiedenen Domains arbeite |
 |
Sync Share Name.
Der Wizzard schlägt hier den Ordnername (workfolders) vor, den ich zu WF ändere |
 |
Und wer bekommt Zugriff?
Sie werden sich vielleicht gefragt haben, warum der File-Server als Member-Server in die Domäne hinzugefügt wurde? Die Antwort ist einfach. Weil ich dann auf die hinterlegten Gruppen des ADs zugreifen kann, also auf Sales, Finance oder so. |
 |
ich habe die in den Vorbereitungen erstellte Security Gruppe hinzugefügt |
 |
Unter Device Policies können wir festlegen, ob der Ordner auf den Geräten verschlüsselt wird und /oder der Bildschirm automatisch gesperrt wird und ein Passwort verlangt wird, um das Geräte wieder aus dem Sperrmodus heraus zu nehmen.
Eine Eigenschaft der EFS-Verschlüsselung ist es, dass nur damit später die Möglichkeit besteht, auch BYOD Geräte, teileweise ferngesteuert die Daten zu Löschen. Diese Geräte-Regeln können wir auch später noch ändern. |
 |
noch einmal die Zusammenfassung lesen… |
 |
… und dann ist der Work Folder angelegt.
Zu Beginn konnte ich keinen |
Für die Feunde der Console: Alle Befehle sind auch per PowerShell verfügbar. z.B.:
New-SyncShare wf -path "E:\Workfolders" -User "HBsoft\Sync Share Users" -RequireEncryption $false -RequirePasswordAutoLock $false -InheritParentFolderPermission
Damit wären wir eigentlich mit der Grundkonfiguration fertig. Im nächsten Blog Post zum Thema Work Folders werden ich über die Quota-Einstellungen und dem SMB Share berichten. Hintergrund dazu ist, dass ich auf dem Surface RT und Surface 2 nicht Speicher ohne Ende zur Verfügung habe (Quota) und ich natürlich auch mit Windows 7 arbeiten möchte (SMB Share)
In den nachfolgenden Blog Posts möchte ich etwas tiefer in bestimmte Details gehen.
Work Folders | Überblick
wir können nicht in die Cloud. Unsere Richtlinien untersagen uns…
[Update 1.7.2014] aus SkyDrive Pro wird OneDrive for Business
Mögliche Argumente für den Einsatz von OneDrive for Business (SkyDrive Pro) und SharePoint Server 2013 (OnPremise) oder Office 365 gibt es viele. Aber das derzeitige Sicherheits-Konzept von OneDrive for Business (SkyDrive Pro) und sensible Daten greift weder in der Cloud (Office 365) noch onPremise. Darf ich auf meinen SharePoint Server zugreifen, dann kann ich das von jedem Client aus. Auch von Geräten, die nicht in der Domäne der Firma sind (BYOD). Microsoft ist zwar dabei, dafür Lösungen zu entwickeln, aber die einfachste Lösung, Dokumente mit IRM- oder DRM-Schutz zu versehen, besteht auf der SharePoint Seite, diese Dokumente (bzw. komplette IRM geschützte Bibliotheken) werden leider (derzeit?) nicht via OneDrive for Business (SkyDrive Pro) zum Client synchronisiert.
Ein anderes Problem ist, dass immer mehr Benutzer mehr als ein Gerät ihr eigen nennen. Und bestimmte Daten werden bei Windows 8.0 und 8.1 ja schon synchronisiert. Leider noch nicht alles. Und genau hier setzt das Konzept der Work Folders (Arbeitsordner) an.
Eine Übersicht oder Unterscheidung habe ich ja schon hier beschrieben.
Nein, Work Folders sind nicht geeignet für Team-Arbeit. Und Nein, viele Firmen haben das Collaboration-Konzept von SharePoint und OneDrive for Business (SkyDrive Pro) nicht verstanden. Wie schon viele Jahre zuvor werden Daten auf dem File-Server abgelegt. Trotzdem mag es sinnvoll erscheinen, sich mit dem Konzept der Arbeitsordner (Work Folders) auseinander zu setzen. Vor allem im Hinblick auf BYOD (Bring Your Own Device) und IRM (Information Rights Management.
Work Folders
- Benutzer erhalten Zugriff zu ihren individuellen Daten
- … die zentral auf einem klassischen File-Server abgelegt werden
- … von all Ihren unterschiedlichen Geräten
- … von überall
- … nach Richtlinien, die in der Firma vorhanden sind
- … integrierte Schutzmechanismen (Data Loss Prevention)
- Case
Ich möchte hier ein Case vorstellen, welches sich mit verschiedenen Geräten und den verschiedenen Synchronisierungsmöglichkeiten auseinandersetzt:
Im Einsatz sind folgende Clients
| Windows 7 | aus hier nicht genannten Gründen muss weiterhin mit Windows 7 Clients gearbeitet werden |
| Windows 8.1 | Hier sind mehrere Geräte im Einsatz a) Domain-joined Geräte b) NON Domain –Joined Geräte (z.B. Surface RT und Surface 2) |
Bisher wurden folgende Synchronisierungstechniken eingesetzt:
| Offline Folders | automatische Synchronisierung von Dateien über einen Windows Server 2008 Nachteile: |
| OneDrive for Business (SkyDrive Pro) |
Synchronisierung zu SharePoint Server 2013 (intern und Extern (Office 365)) Nachteile: |
| OneDrive (SkyDrive) |
funktioniert auf allen Geräten
Nachteile: Verlässt ein Mitarbeiter das Unternehmen, nimmt er alle Daten auf OneDrive (SkyDrive) mit. |
Eigentlich würde OneDrive for Business (SkyDrive Pro) fast alle Voraussetzungen erfüllen, wären da die derzeit gravierenden Sicherheitsmängel. Mit IRM Schutz versehene Dokumente werden leider (derzeit) nicht synchronisiert (also auch keine SharePoint IRM Bibliotheken. Und auf bestimmten Geräten wie Surface RT oder Surface 2 besteht nur Zugriff, wenn ich eine Internetverbindung habe. Sind Anmeldenamen und Passwort bekannt, lassen sich Daten auch auf BYOD Geräten aus dem SharePoint synchronisieren und die IT des Unternehmens hat darüber keine Kontrolle!
Wer also mehrere Geräte im Einsatz hat und in Gebieten unterwegs ist, wo kein oder nur schlechtes Internet vorhanden ist, der möchte bestimmte Daten Offline immer zur Verfügung haben. Und diese Daten auf jedem Gerät. Im Hinblick auf BYOD, also dem Einsatz von Geräten, die nicht im Firmen-Netzwerk sind oder wo dies schlichtweg nicht möglich ist (Surface RT, Surface 2) stellt sich hier die Frage, ob die mit Windows Server 2012 R2 zur Verfügung gestellte Technik der Work Folders oder deutsch Arbeitsordner Abhilfe schaffen kann.
Work Folders
- Synchronisierung über das Internet möglich
- Synchronisierung auch mit Geräten, die sich nicht im Firmennetzwerk befinden (BYOD)
- Synchronisierung auch auf Geräten wie Surface RT und Surface 2
- Synchronisierung von IRM Dokumenten
- Wird von der IT gesteuert
- Verfügbar für Windows 8.1 und Windows RT 8.1, [ab April 2014 auch Windows 7]
- keine Windows 8 Modern App verfügbar
- max. Dateigröße 10 GB
- Benutzerfreundliche, bekannte Integration in den Windows Explorer
- Benutzerfreundliche Auflösung von möglichen Datei-Konflikten
- auch für große Unternehmen geeignet (Enterprise ready)
- Teilweises Löschen von Dateien auf allen Geräten via Intune durch die Administration
Der letzte Punkt ist für die IT des Unternehmens besonders interessant. Verlässt ein Mitarbeiter das Unternehmen, so hat die IT die Möglichkeit,auf allen Geräten, auch BYOD Geräte, die sich nicht in der Domäne befinden, also alle Dateien die via Work Folders zur Verfügung wurden, Remote zu löschen . Private Dateien bleiben erhalten.
Ein kleiner Nachteil ist, dass nur das Betriebssystem Windows 8.1 unterstützt wird. Für stationäre Geräte ist das kein Problem, weil die IT eine SMB Share einrichten kann. Für mobile Geräte, oder Mitarbeiter die damit unterwegs sind, bleibt nur das Update auf Windows 8.1 Für BYOD mit dem sich Unternehmen beschäftigen, sehe ich das Probleme nicht, weil diese Geräte meistens mit Windows 8 bzw. Windows 8.1 ausgestattet sind. Microsoft hat aber verkündet, dass die native Unterstützung von Windows 7 und sogar iPad geplant ist.
[Update] Windows 7 wird für zum Firmennetzwerk gehörende Geräte unterstützt, siehe
Es sei nochmal erwähnt. Ein gemeinsames und möglicherweise gleichzeitige Bearbeiten von Dokumenten ist nicht möglich. Es geht darum, bestimmte Dateien und Dokumente eines Benutzers auf verschiedene Rechner vollautomatisch zu synchronisieren
In den nachfolgenden Blog Posts möchte ich etwas tiefer in bestimmte Details gehen.
Offline Dateien versus SharePoint Workspace 2010
Wann soll, wann kann, wann muss ich SharePoint Workspace 2010 verwenden ?
Warum kann ich nicht die im Betriebssystem vorhandene Möglichkeit der Offline Dateien zur Synchronisation benutzen ?
| Offline Dateien | SharePoint Workspace | |
| Limitierung | keine | max. 2 GB pro Arbeitsbereich |
| synchronisiert alle Dateitypen | JA | NEIN, Standardmäßig sind Beschränkungen enthalten. Diese können leider nur für das jeweilige Konto komplett ein- und ausgeschaltet und geändert werden. Außerdem habe ich keine Übersicht, was der /die Mitglieder des jeweiligen Arbeitsbereiches bzw. des freigegebene Ordners für Einstellungen haben. Administratoren in Firmen können via OCT verhindern, dass der Anwender Änderungen daran vornehmen kann. |
| Synchronisierung | LAN | LAN und WAN über Firewallgrenzen hinweg |
| gezielte Synchronisations-Einstellungen | JA, Zeitplan und Resourcen abhängig | NEIN, nur sehr bedingt, dazu ist manuelles Eingreifen notwendig |
| Kosten | keine, im Betriebssystem vorhanden | 2x Lizenzkosten eines Office Paketes (Office Professional Plus 2010) bzw. minimal 2x SharePoint Workspace 2010 |
Also:
| Wann Offline Dateien? | Für den Abgleich in lokalen Netzwerk, wenn Dateien mehrerer Rechner synchron gehalten werden müssen. |
| Wann SharePoint Workspace 2010 ? | Immer dann, wenn ich sicher mit anderen Teilnehmern auf der Welt Daten austauschen und synchronisieren will, bin ich leider an die diversen Limits von SharePoint Workspace 2010 gebunden. |
Achtung: Natürlich ist es möglich, beide Komponenten einzusetzen. Dabei sind jedoch einige Hinweise zu beachten. Die schnelle “Replizierung” ihrer SharePoint Workspace 2010 freigegebener Ordner auf einem 2. Rechner habe ich hier beschrieben.
