Archiv

Posts Tagged ‘Offline Folders’

Work Folders | Einrichtung Server und Konfiguration

2. Januar 2014 4 Kommentare

Bevor wir zur Einrichtung der Work Folders kommen, hier nochmal zu meinem Case: ich bin mit mehreren Geräten unterwegs…

[Update 1.7.2014]
Client  für Windows 7 verfügbar, aus SkyDrive Pro wird OneDrive for Business

Windows 7 Desktop, weil ich einige Programme benutze, bei dem es noch keine Freigabe für Windows 8.1 gibt, muss (darf) ich noch Windows 7 benutzen. Noch gibt es keinen Work Folders Client, aber da es sich um eine stationäre Maschine handelt, die sich in der Domäne befindet, kann ich SMB Share benutzen*). Hier werden derzeit Dateien mit Offline Folders und einem dahinter liegenden Windows Server 2008 R2 synchronisiert. (3000 Dateien in 564 Ordner: 17 GB)
Installiert sind dort auch OneDrive (SkyDrive) (3 Identitäten, ja ich wechsle diese, das geht übrigens auch nicht mehr unter Windows 8.1, habe ich hier und hier beschrieben).
Weiterhin benutze ich OneDrive for Business (SkyDrive Pro) zu verschiedenen Organisationen auf Office 365 und zu meinem lokalen SharePoint Server 2013. Und für interne Firmenabläufe gibt es auch noch die klassische Ablage auf einem File-Server, hier benutze ich DFS (Distributed File System). Auf diese Daten muss ich aber nicht zugreifen, wenn ich unterwegs bin.

*) mittlerweile gibt es einen Windows 7 Client für Work Folders

Zusammenfassung:
OneDrive, OneDrive for Business, Offline Folders und DFS

Windows 8.1
im Firmen-Netzwerk
Da wäre also Rechner mit Windows 8.1 im Firmen-Netzwerk. (Domain-Joined devices). Ich habe (fast alle) mobile Geräte  auf Windows 8.1 umgestellt. Auch ein paar uralte. Und bei diesen passiert es mir immer öfter, dass ich mich beim Wischen erwische, obwohl diese Maschinen nicht in der Lage sind, darauf zu reagieren…

Auch bei diesen Geräten arbeite ich mit OneDrive (SkyDrive) (nur noch ein Konto), OneDrive for Business (SkyDrive Pro), Offline Folders und DFS

Windows 8.1
mit Microsoft Konto
Und da wären noch Geräte, die mit Windows RT arbeiten. Dabei handelt es sich um Surface RT und das Surface 2. Beide Geräte können aber nicht zum Firmennetzwerk hinzugefügt werden (non domain joined) , aber weil ich die wichtigsten Programme von Office auf diesen Maschinen installiert habe, habe ich diese netten Tablets schätzen gelernt. Das Problem mit nur einem OneDrive (SkyDrive) Konto habe ich durch 2 angelegte Benutzer gelöst.
OneDrive for Business (SkyDrive Pro): das ist das Dilemma, weil ich nur Online auf die dahinter liegenden Ressourcen zugreifen kann.
(Es gibt keinen OneDrive for Business (SkyDrive Pro)  Client für Windows RT)
Offline Files: sind unter Windows 8.1 RT nicht verfügbar
Mit DFS Laufwerken kann ich arbeiten.

Zusammenfassung

Windows 7 OneDrive
(SkyDrive)
ja, mehrere Accounts
  OneDrive for Business
(SkyDrive Pro)
ja, Offline und Online (Keine IRM*)
  Offline Folders Ja
  DFS Ja
(Verbindung zum Firmennetzwerk notwendig)
Windows 8.1
im Firmen-Netzwerk
OneDrive
(SkyDrive)
Ja, nur ein Account
  OneDrive for Business
(SkyDrive Pro)
Ja, Offline und Online (keine IRM*)
  Offline Folders Ja
  DFS Ja
(Verbindung zum Firmennetzwerk notwendig)
Windows 8.1
mit MS Konto
OneDrive
(SkyDrive)
ja, nur ein Account
  OneDrive for Business
(SkyDrive Pro)
Ja, Offline und Online (keine IRM*)
  Offline Folders Ja
  DFS Ja
(Verbindung zum Firmennetzwerk notwendig)
  Offline Folders Ja
Windows 8.1 RT
mit MS Konto
OneDrive
(SkyDrive)
JA, nur ein Account
  OneDrive for Business
(SkyDrive Pro)
Nein, nur Online (kein IRM*)
  Offline Folders Nein
  DFS Ja
(Verbindung zum Firmennetzwerk notwendig)

* wichtige Dokumente werden bei mir IRM (Information Rights Management) geschützt. Hier ein paar Links zu IRM

Einführung in die Verwendung von IRM für –EMail
Planen der Verwaltung von IRM in Office 2013

Einige Kunden, wo ich Zugriff auf deren SharePoint Server 2013 habe, nutzen dieses Feature, dort gibt es ganze IRM geschützte Bibliotheken. Das OneDrive for Business (SkyDrive Pro) Protokoll, welches auf SharePoint Workspace 2010, und das wiederum auf Groove aufsetzt, konnte aber noch nie IRM geschützte Dateien synchronisieren.

Und jetzt kommen die unter Windows Server 2012 R2 enthaltenen Work Folders in Spiel. Microsoft hat ein völlig neues Übertragungsprotokoll entwickelt. Die Übertragung zwischen Client und Server erfolgt verschlüsselt per SSL , Auf dem Client und Server werden die Daten wenn gewünscht, ebenfalls verschlüsselt abgelegt, und es ist möglich, Dokumente bei der Ablage automatisch per IRM zu schützen, wenn im Dokument selbst kritische Informationen abgelegt sind. Hier kommt DLP (Data Loss Prevention) zum Einsatz. Das kennen wir vielleicht schon, wenn wir der Exchange Server 2013 einsetzen (Verhinderung von Datenverlust). Und nicht zuletzt: In SharePoint Server 2013 und SharePoint Online (Office 365) gibt es ja eine Limitierung von 2 GB pro Datei, die allerdings dem darunter liegenden SQL Server zuzuordnen ist. Die Dateigröße bei Work Folders liegt bei 10 GB

und wie würde die obige Tabelle mit Work Folders aussehen

Windows 7 derzeit gibt es noch keinen Work Folders Client für Windows 7, Microsoft arbeitet aber daran
Work Folders mit SMB: ja möglich
JA
seit dem 23.4.2014 gibt es Work Folder für Windows 7, siehe
Windows 8.1 im Firmennetzwerk JA
Windows 8.1  mit MS Konto JA
Windows 8.1 RT Ja

wenn Work Folders komplett installiert sind, dann geht das ganze auch über das Internet. Damit stand für mich fest: Die Offline Folders sollen in die neue Technologie der Work Folders migriert werden und danach abgeschaltet werden.


Welche Komponenten werden  für die Implementierung benötigt?
Welche Komponenten sind optional ?

Hier ein Schaubild mit allen Komponenten

Single Server Deployment

folgende Schritte sind notwendig (siehe Technet englisch)

  1. SSL Zertifikate
  2. DNS Record einrichten
  3. Work Folders auf File-Server einrichten
  4. SSL Zertifikat binden
  5. Security Gruppen für Work Folders einrichten
  6. User Attribute  delegieren für Work Folders Administratoren
  7. Sync Shares einrichten
  8. E-Mail Adressen für technischen Support einrichten
  9. Einrichten von Automatic Discovery
  10.   Konfiguration von Web Applikation Proxy oder einem anderen Reverse Proxy
  11.   Einrichten einer Gruppenrichtlinie  für Firmen-Geräte

Für Testumgebungen oder für Umgebungen ohne Synchronisation über das Internet sind nur die Schritte 3, 5 und 7 notwendig.

 

Nachfolgende Tabelle zeigt die benötigten Server

Domain Controller  
File Server Windows Server 2012 R2

optional, wenn über das Internet synchronisiert werden soll

  ein Server-Zertifikat
Reverse-Proxy oder eine geeignete Firewall (TMG)
  Optional:
Schema Erweiterung für multiple File Server
Dann muss der Domain-Controller Windows Server 2012 R2 sein
Optional:
ADFS (Active Directory Federation Service (AD FS) Infrastruktur, wenn AD FS Authentifizierung benutzt werden soll

Installation File Server (Sync Server)

Windows Server 2012 R2 Installieren Sie Windows Server 2012 R2
  Hinzufügen zur Domäne
  Updates Installieren (WSUS)
  Optional:
NTFS formatiertes Laufwerk hinzufügen
Installier der Rollen und Features File and Storage Services: Work Folders

PowerShell:
Add-WindowsFeature FS-SyncShareService

  optional: 
Quotas, Klassifizierungen (DLP) benötigen:
File and Storage Services: File Server Ressource Manager

PowerShell:
Add-WindowsFeatures FS-Resource-Manager

Einrichten von Work Folders


Alle meine Server werden immer mit englischem Betriebssystem angelegt, nicht weil ich die deutsche Übersetzung fürchte, sondern weil ich bei auftretenden Problemen und Fehlermeldungen viel mehr englische Ergebnisse beim Suchen mit dem Internet Browser finde.

Vorbereitungen:

1. Anlegen einer Security Gruppe im AD
Dies kann mit verschiedenen Tools erledigt werden

Active Directory User und Computers

Active Directory Users and Computers: Anlegen einer Sicherheitsgruppe

Users: rechte Maustaste
New Group

Active Directory Users and Computers: Anlegen einer Sicherheitsgruppe Es handelt sich um eine Globale Security Gruppe, bei der alle Domänenbenutzer Zugriff erhalten sollen.

Name eintragen und OK
Danach ein Doppelklick auf  die angelegte Gruppe und Klick auf Members  und danach Add

Active Directory Users and Computers: Anlegen einer Sicherheitsgruppe wählen Sie die benötigte Gruppe aus, in meinem Fall Domänen-Benutzer

Danach OK

Active Directory Users and Computers: Anlegen einer Sicherheitsgruppe und noch einmal OK
alternativ:
Active Directory Administrative Center
Active Directory Administrative Center: Anlegen einer Sicherheitsgruppe

Der Aufruf erfolgt wie oben. Rechte Maustaste auf den Server und dann
New und Group

Active Directory Administrative Center: Anlegen einer Sicherheitsgruppe Name eintragen und Security und Global auswählen.

Dann das Feld Description ausfüllen

Dann links in der Leiste auf Members und Add

Auswahl der Gruppe

Active Directory Administrative Center: Anlegen einer Sicherheitsgruppe und OK

 

2. Ordner anlegen im Verzeichnis des File-Servers oder auf separater Festplatte

Ordner anlegen Der File-Server wurde bei mir virtualisiert und ich habe auch eine separate, mit NTFS formatierte Festplatte hinzugefügt. Dort dann einen Ordner Workfolders angelegt. Hintergrund ist, dass ich irgendwann in der Zukunft diese Festplatte auch an einen anderen Server binden könnte.

 

Sync Share einrichten

image Wechseln Sie im Server-Manager des File-Servers zu File and Storage Services und dort zu Work Folders.
Wenn noch keine Synchronisierungen angelegt sind starten Sie den Wizzard durch den angezeigten Link oder rechts oben unter Tasks New Sync Share
Windows Server 2012 R2, New Sync Share Wizzard Start des New Sync Share Wizzard
Snyc Server Wizzard, Requirements Beim ersten Mal müssen wir festlegen, wo wir die Daten auf dem File-Server abspeichern. Mit einem Klick auf Browse…
New Sync Share Wizzard Der File-Server wurde bei mir virtualisiert und ich habe auch eine separate, mit NTFS formatierte Festplatte hinzugefügt. Dort dann einen Ordner Workfolders angelegt. Hintergrund ist, dass ich irgendwann in der Zukunft diese Festplatte auch an einen anderen Server binden könnte.

Diesen Ordner wähle ich aus

New Sync Share Wizzard und weiter… mit Next
New Sync Share Wizzard User alias oder User alias@domain?

Ich wähle hier User alias@domain, weil ich mit verschiedenen Domains arbeite

New Sync Share Wizzard Sync Share Name.

Der Wizzard schlägt hier den Ordnername (workfolders) vor, den ich zu WF ändere

New Sync Share Wizzard Und wer bekommt Zugriff?

Sie werden sich vielleicht gefragt haben, warum der File-Server als Member-Server in die Domäne hinzugefügt wurde?

Die Antwort ist einfach. Weil ich dann auf die hinterlegten Gruppen des ADs zugreifen kann, also auf Sales, Finance oder so.

New Sync Share Wizzard ich habe die in den Vorbereitungen erstellte Security Gruppe hinzugefügt
New Sync Share Wizzard Unter Device Policies können wir festlegen, ob der Ordner auf den Geräten verschlüsselt wird und /oder der Bildschirm automatisch gesperrt wird und ein Passwort verlangt wird, um das Geräte wieder aus dem Sperrmodus heraus zu nehmen.

Eine Eigenschaft der EFS-Verschlüsselung ist es, dass nur damit später die Möglichkeit besteht, auch BYOD Geräte, teileweise ferngesteuert die Daten zu Löschen.

Diese Geräte-Regeln können wir auch später noch ändern.

New Sync Share Wizzard noch einmal die Zusammenfassung lesen…
New Sync Share Wizzard … und dann ist der Work Folder angelegt.

Zu Beginn konnte ich keinen
Work Folder generieren. Ich bekam dann eine Fehlermeldung … die ich hier beschrieben habe.

Für die Feunde der Console: Alle Befehle sind auch per PowerShell verfügbar. z.B.:

New-SyncShare wf -path "E:\Workfolders" -User "HBsoft\Sync Share Users" -RequireEncryption $false -RequirePasswordAutoLock $false -InheritParentFolderPermission

Damit wären wir eigentlich mit der Grundkonfiguration fertig. Im nächsten Blog Post zum Thema Work Folders werden ich über die Quota-Einstellungen und dem SMB Share berichten. Hintergrund dazu ist, dass ich auf dem Surface RT und Surface 2 nicht Speicher ohne Ende zur Verfügung habe (Quota) und ich natürlich auch mit Windows 7 arbeiten möchte (SMB Share)

 

In den nachfolgenden Blog Posts möchte ich etwas tiefer in bestimmte Details gehen.

    1. Work Folders | Überblick
    2. Work Folders | Einrichtung Server und Konfiguration
    3. Work Folders | Quota und SMB
    4. Work Folders | Zertifikate ausrollen
    5. Work Folders | Client Konfiguration

Work Folders | Überblick

29. Dezember 2013 4 Kommentare

Work Folders

wir können nicht in die Cloud. Unsere Richtlinien untersagen uns…

[Update 1.7.2014] aus SkyDrive Pro wird OneDrive for Business

Mögliche Argumente für den Einsatz von OneDrive for Business (SkyDrive Pro) und SharePoint Server 2013 (OnPremise) oder Office 365 gibt es viele. Aber das derzeitige Sicherheits-Konzept von OneDrive for Business (SkyDrive Pro) und sensible Daten greift weder in der Cloud (Office 365) noch onPremise. Darf ich auf meinen SharePoint Server zugreifen, dann kann ich das von jedem Client aus. Auch von Geräten, die nicht in der Domäne der Firma sind  (BYOD). Microsoft ist zwar dabei, dafür Lösungen zu entwickeln, aber die einfachste Lösung, Dokumente mit IRM- oder DRM-Schutz zu versehen, besteht auf der SharePoint Seite, diese Dokumente (bzw. komplette IRM geschützte Bibliotheken) werden leider (derzeit?) nicht via OneDrive for Business (SkyDrive Pro) zum Client synchronisiert.

Ein anderes Problem ist, dass immer mehr Benutzer mehr als ein Gerät ihr eigen nennen. Und bestimmte Daten werden bei Windows 8.0 und 8.1 ja schon synchronisiert. Leider noch nicht alles. Und genau hier setzt das Konzept der Work Folders (Arbeitsordner) an.
Eine Übersicht oder Unterscheidung habe ich ja schon hier beschrieben.

Nein, Work Folders sind nicht geeignet für Team-Arbeit. Und Nein, viele Firmen haben das Collaboration-Konzept von SharePoint und OneDrive for Business (SkyDrive Pro) nicht verstanden. Wie schon viele Jahre zuvor werden Daten auf dem File-Server abgelegt. Trotzdem mag es sinnvoll erscheinen, sich mit dem Konzept der Arbeitsordner (Work Folders) auseinander zu setzen. Vor allem im Hinblick auf BYOD (Bring Your Own Device) und IRM (Information Rights Management.

Work Folders

  • Benutzer erhalten Zugriff zu ihren individuellen Daten
  • … die zentral auf einem klassischen File-Server abgelegt werden
  • … von all Ihren unterschiedlichen Geräten
  • … von überall
  • … nach Richtlinien, die in der Firma vorhanden sind
  • … integrierte Schutzmechanismen (Data Loss Prevention)
    Case

Ich möchte hier ein Case vorstellen, welches sich mit verschiedenen Geräten und den verschiedenen Synchronisierungsmöglichkeiten auseinandersetzt:

Im Einsatz sind folgende Clients

Windows 7 aus hier nicht genannten Gründen muss weiterhin mit Windows 7 Clients gearbeitet werden
Windows 8.1 Hier sind mehrere Geräte im Einsatz
a) Domain-joined Geräte
b) NON Domain –Joined Geräte (z.B. Surface RT und Surface 2)

Bisher wurden folgende Synchronisierungstechniken eingesetzt:

Offline Folders automatische Synchronisierung von Dateien über einen
Windows Server 2008

Nachteile:
a) keine Synchronisierung über das Internet
(nur VPN, Direct Access oder andere Remote Access Technologien)
b) keine Synchronisierung für Windows RT (Surface RT, Surface 2)
c) keine Synchronisierung von BYOD Geräte

OneDrive for Business
(SkyDrive Pro)
Synchronisierung zu SharePoint Server 2013
(intern und Extern (Office 365))

Nachteile:
a) keine Synchronisierung von IRM Dokumenten
b) Windows RT: z.B. Surface RT und Surface 2: keine Offline Dateien
c) max. Dateigröße 2 GB

OneDrive
(SkyDrive)
funktioniert auf allen Geräten

Nachteile:
a) ausschließlich  persönliche Daten
b) nicht von der IT zu kontrollieren:
c) max. Dateigröße 2 GB

Verlässt ein Mitarbeiter das Unternehmen, nimmt er alle Daten auf OneDrive (SkyDrive) mit.

Eigentlich würde OneDrive for Business (SkyDrive Pro) fast alle Voraussetzungen erfüllen, wären da die derzeit gravierenden  Sicherheitsmängel. Mit IRM Schutz versehene Dokumente werden leider (derzeit) nicht synchronisiert (also auch keine SharePoint IRM Bibliotheken. Und auf bestimmten Geräten wie Surface RT oder Surface 2 besteht nur Zugriff, wenn ich eine Internetverbindung habe. Sind Anmeldenamen und Passwort bekannt, lassen sich Daten auch auf BYOD Geräten aus dem SharePoint synchronisieren und die IT des Unternehmens hat darüber keine Kontrolle!

Wer also mehrere Geräte im Einsatz hat und in Gebieten unterwegs ist, wo kein oder nur schlechtes Internet vorhanden ist, der möchte bestimmte Daten Offline immer zur Verfügung haben. Und diese Daten auf jedem Gerät. Im Hinblick auf BYOD, also dem Einsatz von Geräten, die nicht im Firmen-Netzwerk sind oder wo dies schlichtweg nicht möglich ist (Surface RT, Surface 2) stellt sich hier die Frage, ob die mit Windows Server 2012 R2 zur Verfügung gestellte Technik der Work Folders oder deutsch Arbeitsordner Abhilfe schaffen kann.

Work Folders

  • Synchronisierung über das Internet möglich
  • Synchronisierung auch mit Geräten, die sich nicht im Firmennetzwerk befinden (BYOD)
  • Synchronisierung auch auf Geräten wie Surface RT und Surface 2
  • Synchronisierung von IRM Dokumenten
  • Wird von der IT gesteuert
  • Verfügbar für Windows 8.1 und Windows RT 8.1, [ab April 2014 auch Windows 7]
  • keine Windows 8 Modern App verfügbar
  • max. Dateigröße 10 GB
  • Benutzerfreundliche, bekannte Integration in den Windows Explorer
  • Benutzerfreundliche Auflösung von möglichen Datei-Konflikten
  • auch für große Unternehmen geeignet (Enterprise ready)
  • Teilweises Löschen von Dateien auf allen Geräten via Intune durch die Administration

Der letzte Punkt ist für die IT des Unternehmens besonders interessant. Verlässt ein Mitarbeiter das Unternehmen, so hat die IT die Möglichkeit,auf allen Geräten, auch BYOD Geräte, die sich nicht in der Domäne befinden, also alle Dateien die via Work Folders zur Verfügung wurden,  Remote zu löschen . Private Dateien bleiben erhalten.

Ein kleiner Nachteil ist, dass nur das Betriebssystem Windows 8.1 unterstützt wird. Für stationäre Geräte ist das kein Problem, weil die IT eine SMB Share einrichten kann. Für mobile Geräte, oder Mitarbeiter die damit unterwegs sind, bleibt nur das Update auf Windows 8.1 Für BYOD mit dem sich Unternehmen beschäftigen, sehe ich das Probleme nicht, weil diese Geräte meistens mit Windows 8 bzw. Windows 8.1 ausgestattet sind. Microsoft hat aber verkündet, dass die native Unterstützung von Windows 7 und sogar  iPad  geplant ist.
[Update] Windows 7 wird für zum Firmennetzwerk gehörende Geräte unterstützt, siehe
 

Es sei nochmal erwähnt. Ein gemeinsames und möglicherweise gleichzeitige Bearbeiten von Dokumenten ist nicht möglich. Es geht darum, bestimmte Dateien und Dokumente eines Benutzers auf verschiedene Rechner vollautomatisch zu synchronisieren

In den nachfolgenden Blog Posts möchte ich etwas tiefer in bestimmte Details gehen.

    1. Work Folders | Überblick
    2. Work Folders | Einrichtung Server und Konfiguration
    3. Work Folders | Quota und SMB
    4. Work Folders | Zertifikate ausrollen
    5. Work Folders | Client Konfiguration

Offline Dateien versus SharePoint Workspace 2010

29. Dezember 2010 2 Kommentare

Wann soll, wann kann, wann muss ich SharePoint Workspace 2010 verwenden ?
Warum kann ich nicht die im Betriebssystem vorhandene Möglichkeit der Offline Dateien zur Synchronisation benutzen ?

 

  Offline Dateien SharePoint Workspace
Limitierung keine max. 2 GB pro Arbeitsbereich
synchronisiert alle Dateitypen JA NEIN, Standardmäßig sind Beschränkungen enthalten. Diese können leider nur für das jeweilige Konto komplett ein- und ausgeschaltet und geändert werden. Außerdem habe ich keine Übersicht, was der /die Mitglieder des jeweiligen Arbeitsbereiches bzw. des freigegebene Ordners für Einstellungen haben. Administratoren in Firmen können via OCT verhindern, dass der Anwender Änderungen daran vornehmen kann.
Synchronisierung LAN LAN und WAN über Firewallgrenzen hinweg
gezielte Synchronisations-Einstellungen JA, Zeitplan und Resourcen abhängig NEIN, nur sehr bedingt, dazu ist manuelles Eingreifen notwendig
Kosten keine, im Betriebssystem vorhanden 2x Lizenzkosten eines Office Paketes (Office Professional Plus 2010) bzw.  minimal 2x SharePoint Workspace 2010

 

Also:

Wann Offline Dateien? Für den Abgleich in lokalen Netzwerk, wenn Dateien mehrerer Rechner synchron gehalten werden müssen.
Wann SharePoint Workspace 2010 ? Immer dann, wenn ich sicher mit anderen Teilnehmern auf der Welt Daten austauschen und synchronisieren will, bin ich leider an die diversen Limits von SharePoint Workspace 2010 gebunden.

Achtung: Natürlich ist es möglich, beide Komponenten einzusetzen. Dabei sind jedoch einige Hinweise zu beachten. Die schnelle “Replizierung” ihrer SharePoint Workspace 2010 freigegebener Ordner auf einem 2. Rechner habe ich hier beschrieben.

%d Bloggern gefällt das: