Arbeitsordner, so heißt ein neues Feature in Windows Server 2012 R2, das Clientcomputern mit dem Betriebssystem Windows 8.1 (und zur Zeit nur diesen) das Synchronisieren von Daten unabhängig von Aufenthaltsort und Domänenmitgliedschaft ermöglicht. Es stellt eine Alternative zu der Kombination von Basisverzeichnissen und Offlinedateien aber auch zu Cloudspeichern wie Dropbox, OneDrive etc.dar. Zudem dient es der Unterstützung des anhaltenden Trends Bring Your Own Device (BYOD).

Die Einrichtung ist recht einfach und besteht im Wesentlich aus drei Abschnitten:

1.       Installieren und Konfigurieren des Features Arbeitsordner

2.       Anpassen von DNS und Zertifikaten

3.       Konfigurieren der Clients

Dieser Artikel soll einen Einstieg bieten und einem Client mit dem Namen desktop-1 das Synchronisieren eines Arbeitsordners, unabhängig vom Aufenthalt im internen Netzwerk oder im Internet ermöglichen.

Die Abbildung zeigt die beteiligten Geräte. Desktop-1 ist in diesem Fall Mitglied der Domäne, für die Unterstützung des Features Arbeitsordner ist dies jedoch nicht erforderlich.

Installieren und Konfigurieren des Features Arbeitsordner

Arbeitsordner werden als Rollendienst der Rolle Datei-/Speicherdienste installiert.

Anstelle wie es sonst häufig der Fall ist, werden zur Unterstützung des webfähigen Rollendienstes nicht die entsprechenden Funktionen der Internetinformationsdienste, sondern nur der in Windows Server 2012 neu eingeführte Hostfähige Webkern der Internetinformationsdienste installiert. Dies hat den Vorteil einer schlanken Installation aber auch den Nachteil, dass Zertifikatbindungen nicht bequem über den IIS-Manager geprüft und konfiguriert werden können.

Das Erstellen der Synchronisierungsfreigabe für Arbeitsordner (ein Stammordner unter dem später die Benutzerordner erstellt werden), erfolgt im Server-Manager. Hier können auch Kontingente, die zuvor mit dem Ressourcen-Manager für Dateiserver erstellt werden angewendet werden.

Legen Sie Server und Pfad für das Speichern der Arbeitsordern fest:

Im nächsten Schritt legen Sie das Format für die Benennung der Benutzerordner fest. Wenn Sie Benutzer aus mehreren Domänen unterstützen möchten, stellt die Option Benutzeralias@Domäne sicher, dass es nicht zu Namenskonflikten aufgrund mehrfach vorkommender Benutzernamen kommt.

Auf der Seite Synchronisierungszugriff können Sie die Sicherheitsprinzipale festlegen, denen das Erstellen und Synchronisieren eines Arbeitsordners gestattet ist. Standardmäßig wird die Vererbung von Berechtigungen übergeordneter Ordner deaktiviert und Benutzer erhalten exklusiven Zugriff auf ihren Arbeitsordner. Wenn Sie Ihren Zugriff als Administrator bewahren wollen, müssen Sie die Option an dieser Stelle deaktivieren.

Unter den Geräterichtlinien legen Sie fest, ob die Dateien der Arbeitsordner auf der Clientseite verschlüsselt werden und ob die Clients so eingestellt werden, dass bei längerer Abwesenheit ein Bildschirmschoner mit Kennwortschutz aktiviert wird.

Zu guter Letzt können Sie ihre Einstellungen prüfen und die Synchronisierungsfreigabe erstellen.

Anpassen von DNS und Zertifikaten

Im nächsten Schritt geht es darum den Clients das Auffinden des Arbeitsordners zu ermöglichen. Zu diesem Zweck muss ein DNS Host (A) oder ein Alias (CNAME) Eintrag mit dem Namen workfolders.domäne.tld für den Server erstellt werden, der den Rollendienst hostet. Wenn den Benutzern das Synchronisieren ihres Arbeitsordners auch von extern möglich sein soll, muss dieser Name von extern in eine öffentliche IP des Unternehmens aufgelöst werden und über eine Portweiterleitung oder einen Reverse-Proxy Zugriff auf den Server ermöglichen.

Für den Zugriff auf die Arbeitsordner wird das Protokoll HTTPS verwendet. Es ist daher ein Zertifikat erforderlich, das von einer Zertifizierungsstelle stammt, der der Client vertraut. Das Zertifikat muss zudem den Namen enthalten, der bei der Verbindungsherstellung verwendet wird (entweder als allgemeinen Namen oder als alternativen Namen) und das Zertifikat muss auf den Sperrstatus prüfbar sein.

Für den produktiven Einsatz ist ein Zertifikat einer kommerziellen Zertifizierungsstelle sicher empfehlenswert. In diesem Beispiel registriere ich ein Subject Alternate Name (SAN) Zertifikat von einer internen Stammzertifizierungsstelle, importiere es auf Server-1 und binde es an den HTTPS-Listener.

Meine CA befindet sich auf DC-1. Im ersten Schritt dupliziere ich die Zertifikatvorlage Webserver.

Um das Eintragen alternativer Namen zu ermöglichen, muss auf dem Register Antragstellername die Option Informationen werden in der Anforderung angegeben aktiviert sein.

Auf dem Register Sicherheit müssen die Domänencomputer (oder zumindest der Arbeitsordner-Server) Berechtigungen für das Registrieren des Zertifikats erhalten. Die Berechtigung Automatisch registrieren ermöglicht, dass das Zertifikat ohne Einwirken des Admins sofort und automatisch genehmigt wird.

Anschließend kann die duplizierte Vorlage der Zertifizierungsstelle als neue auszustellende Zertifikatvolrage hinzugefügt werden.

Im nächsten Schritt geht es darum, auf dem Server, der den Rollendienst Arbeitsordner ausführt ein Zertifikat zu registrieren und an den Web-Listener zu binden.

Auf Server-1 starte ich eine MMC und füge das Snap-In Zertifikate mit Fokus auf den Speicher des lokalen Computerkontos hinzu. Über das Kontextmenü des Knotens Eigene Zertifikate kann dann der  Assistent für die Zertifikatregistrierung gestartet werden.

Auf der Seite Zertifikatregistrierungsrichtline auswählen die Active Directory-Registrierungsrichtlinie auswählen und auf Weiter klicken. Hier wird die zuvor erstellte Zertifikatvorlage angeboten und es erscheint ein Hinweis, dass für eine Registrierung weitere Angaben erforderlich sind.

Wichtig ist, dass der Name workfolders.domäne.tld als Allgemeiner Name oder als Alternativer DNS-Name eingetragen wird. Um mehrere URL zu unterstützen, können Sie mehrere Namen angeben.

Das Zertifikat wird registriert und aufgrund der zuvor erteilten Berechtigung Automatisch registrieren auch sofort ausgestellt und installiert.

Wenn Sie den Internetinformationsdienste (IIS)-Manager nachinstallieren, können Sie das Zertifikat dort einsehen. Die Bindung an eine Website können Sie dort aber nicht prüfen oder konfigurieren, da der Rollendienst Arbeitsordner nicht an eine Website gebunden ist.

Um das Zertifikat für alle verfügbaren IP-Adressen an Port 443 zu binden, muss zunächst der Thumbprint (Daumenabdruck bzw. Identifikationsnummer des Zertifikats ermittelt werden.

Get-ChildItem -Path cert:\LocalMachine\My

Anschließend muss der folgende Befehl mit dem soeben ermittelten Thumbprint ausgeführt werden. Man kann sich die Sache etwas leichter machen, indem man den Befehl in Notepad „zusammenkopiert" und dann in eine Eingabeaufforderung mit erhöhten Rechten einfügt.

netsh http add sslcert ipport=0.0.0.0:443 certhash=thumbprint appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY

Konfigurieren der Clients

Das Einbinden des Arbeitsordners auf dem Client erfolgt über die Systemsteuerung. Unterhalb der Kategorie System und Sicherheit findet sich der relevante Link.

Für das Einrichten des Arbeitsordners kann entweder eine E-Mail-Adresse oder ein URL angegeben werden. Bei Angabe einer E-Mail Adresse wird der Arbeitsordner-Server durch Abfrage des Namens workfolders.mailsuffix ermittelt. Das Präfix ist bei der Eingabe nicht relevant.

Wenn Sie an dieser Stelle einen Fehler bekommen (0x80072efe), ist es unbedingt empfehlenswert vor einer weiteren Ursachenforschung alle verfügbaren Windows Updates zu installieren. Bei mir trat dieser Fehler auf zwei verschiedenen Servern auf, die noch keinerlei Updates installiert hatten. Mit der Installation der Updates hatte sich der Fehler in beiden Fällen erledigt.

Um Festzustellen, ob eventuell noch andere Bindungen an den Port 443 verwenden und können Sie auch das Cmdlet Get-WebBindings einsetzen.

Der Speicherort kann bei Bedarf abgeändert werden.

Es folgen Hinweise auf die Sicherheitsrichtlinie.

Der Arbeitsordner ist eingerichtet und die Synchronisierung ist gestartet.

Der aktuelle Synchronisierungsstatus wird bei Auswahl des Arbeitsordners in der Statusleiste eingeblendet.

Fazit:

Arbeitsordner sind kein Instrument zur Unterstützung von Zusammenarbeit und gemeinsamen Dateizugriff und stellt insofern keine Alternative zu SharePoint oder SkyDrive Pro dar. Für Unternehmen, die Ihren Benutzern Daten auf mehr als nur auf einem Endgerät zugänglich machen wollen und ihre Daten keinem Cloudanbieter anvertrauen mögen, steht mit Arbeitsordner aber ein einfaches und robustes Werkzeug zur Verfügung.