Arbeitsordner, so heißt ein neues Feature in Windows Server
2012 R2, das Clientcomputern mit dem Betriebssystem Windows 8.1 (und zur Zeit
nur diesen) das Synchronisieren von Daten unabhängig von Aufenthaltsort und
Domänenmitgliedschaft ermöglicht. Es stellt eine Alternative zu der Kombination
von Basisverzeichnissen und Offlinedateien aber auch zu Cloudspeichern wie
Dropbox, OneDrive etc.dar. Zudem dient es der Unterstützung des anhaltenden Trends Bring Your Own Device
(BYOD).
Die Einrichtung ist recht einfach und besteht im Wesentlich
aus drei Abschnitten:
1.
Installieren und Konfigurieren des Features
Arbeitsordner
2.
Anpassen von DNS und Zertifikaten
3.
Konfigurieren der Clients
Dieser Artikel soll einen Einstieg bieten und einem Client
mit dem Namen desktop-1 das Synchronisieren eines Arbeitsordners, unabhängig
vom Aufenthalt im internen Netzwerk oder im Internet ermöglichen.
Die Abbildung zeigt die beteiligten Geräte. Desktop-1 ist in
diesem Fall Mitglied der Domäne, für die Unterstützung des Features
Arbeitsordner ist dies jedoch nicht erforderlich.

Installieren und Konfigurieren des Features Arbeitsordner
Arbeitsordner werden als Rollendienst der Rolle
Datei-/Speicherdienste installiert.

Anstelle wie es sonst häufig der Fall ist, werden zur Unterstützung des webfähigen
Rollendienstes nicht die entsprechenden Funktionen der Internetinformationsdienste,
sondern nur der in Windows Server 2012 neu eingeführte Hostfähige Webkern der
Internetinformationsdienste installiert. Dies hat den Vorteil einer schlanken Installation
aber auch den Nachteil, dass Zertifikatbindungen nicht bequem über den IIS-Manager
geprüft und konfiguriert werden können.

Das Erstellen der Synchronisierungsfreigabe für
Arbeitsordner (ein Stammordner unter dem später die Benutzerordner erstellt
werden), erfolgt im Server-Manager. Hier können auch Kontingente, die zuvor mit
dem Ressourcen-Manager für Dateiserver erstellt werden angewendet werden.

Legen Sie Server und Pfad für das Speichern der
Arbeitsordern fest:

Im nächsten Schritt legen Sie das Format für die Benennung
der Benutzerordner fest. Wenn Sie Benutzer aus mehreren Domänen unterstützen
möchten, stellt die Option Benutzeralias@Domäne sicher, dass es nicht zu
Namenskonflikten aufgrund mehrfach vorkommender Benutzernamen kommt.

Auf der Seite Synchronisierungszugriff können Sie die
Sicherheitsprinzipale festlegen, denen das Erstellen und Synchronisieren eines
Arbeitsordners gestattet ist. Standardmäßig wird die Vererbung von
Berechtigungen übergeordneter Ordner deaktiviert und Benutzer erhalten
exklusiven Zugriff auf ihren Arbeitsordner. Wenn Sie Ihren Zugriff als
Administrator bewahren wollen, müssen Sie die Option an dieser Stelle deaktivieren.

Unter den Geräterichtlinien legen Sie fest, ob die Dateien
der Arbeitsordner auf der Clientseite verschlüsselt werden und ob die Clients
so eingestellt werden, dass bei längerer Abwesenheit ein Bildschirmschoner mit
Kennwortschutz aktiviert wird.

Zu guter Letzt können Sie ihre Einstellungen prüfen und die
Synchronisierungsfreigabe erstellen.

Anpassen von DNS und Zertifikaten
Im nächsten Schritt geht es darum den Clients das Auffinden
des Arbeitsordners zu ermöglichen. Zu diesem Zweck muss ein DNS Host (A) oder
ein Alias (CNAME) Eintrag mit dem Namen workfolders.domäne.tld für den Server
erstellt werden, der den Rollendienst hostet. Wenn den Benutzern das
Synchronisieren ihres Arbeitsordners auch von extern möglich sein soll, muss
dieser Name von extern in eine öffentliche IP des Unternehmens aufgelöst werden
und über eine Portweiterleitung oder einen Reverse-Proxy Zugriff auf den Server
ermöglichen.

Für den Zugriff auf die Arbeitsordner wird das Protokoll HTTPS
verwendet. Es ist daher ein Zertifikat erforderlich, das von einer
Zertifizierungsstelle stammt, der der Client vertraut. Das Zertifikat muss
zudem den Namen enthalten, der bei der Verbindungsherstellung verwendet wird
(entweder als allgemeinen Namen oder als alternativen Namen) und das Zertifikat
muss auf den Sperrstatus prüfbar sein.
Für den produktiven Einsatz ist ein Zertifikat einer
kommerziellen Zertifizierungsstelle sicher empfehlenswert. In diesem Beispiel registriere
ich ein Subject Alternate Name (SAN) Zertifikat von einer internen
Stammzertifizierungsstelle, importiere es auf Server-1 und binde es an den
HTTPS-Listener.
Meine CA befindet sich auf DC-1. Im ersten Schritt dupliziere
ich die Zertifikatvorlage Webserver.

Um das Eintragen alternativer Namen zu ermöglichen, muss auf
dem Register Antragstellername die Option Informationen werden in der
Anforderung angegeben aktiviert sein.

Auf dem Register Sicherheit müssen die Domänencomputer (oder
zumindest der Arbeitsordner-Server) Berechtigungen für das Registrieren des
Zertifikats erhalten. Die Berechtigung Automatisch registrieren ermöglicht,
dass das Zertifikat ohne Einwirken des Admins sofort und automatisch genehmigt
wird.

Anschließend kann die duplizierte Vorlage der Zertifizierungsstelle
als neue auszustellende Zertifikatvolrage hinzugefügt werden.

Im nächsten Schritt geht es darum, auf dem Server, der den
Rollendienst Arbeitsordner ausführt ein Zertifikat zu registrieren und an den
Web-Listener zu binden.
Auf Server-1 starte ich eine MMC und füge das Snap-In
Zertifikate mit Fokus auf den Speicher des lokalen Computerkontos hinzu. Über das
Kontextmenü des Knotens Eigene Zertifikate kann dann der Assistent für die Zertifikatregistrierung
gestartet werden.

Auf der Seite Zertifikatregistrierungsrichtline auswählen die Active Directory-Registrierungsrichtlinie auswählen und auf Weiter klicken. Hier
wird die zuvor erstellte Zertifikatvorlage angeboten und es erscheint ein
Hinweis, dass für eine Registrierung weitere Angaben erforderlich sind.

Wichtig ist, dass der Name workfolders.domäne.tld als
Allgemeiner Name oder als Alternativer DNS-Name eingetragen wird. Um mehrere
URL zu unterstützen, können Sie mehrere Namen angeben.

Das Zertifikat wird registriert und aufgrund der zuvor
erteilten Berechtigung Automatisch registrieren auch sofort ausgestellt und
installiert.

Wenn Sie den Internetinformationsdienste (IIS)-Manager
nachinstallieren, können Sie das Zertifikat dort einsehen. Die Bindung an eine
Website können Sie dort aber nicht prüfen oder konfigurieren, da der
Rollendienst Arbeitsordner nicht an eine Website gebunden ist.
Um das Zertifikat für alle verfügbaren IP-Adressen an Port 443
zu binden, muss zunächst der Thumbprint (Daumenabdruck bzw.
Identifikationsnummer des Zertifikats ermittelt werden.
Get-ChildItem
-Path cert:\LocalMachine\My

Anschließend muss der folgende Befehl mit dem soeben
ermittelten Thumbprint ausgeführt werden. Man kann sich die Sache etwas leichter
machen, indem man den Befehl in Notepad „zusammenkopiert" und dann in eine
Eingabeaufforderung mit erhöhten Rechten einfügt.
netsh http
add sslcert ipport=0.0.0.0:443 certhash=thumbprint appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D}
certstorename=MY

Konfigurieren der Clients
Das Einbinden des Arbeitsordners auf dem Client erfolgt über
die Systemsteuerung. Unterhalb der Kategorie System und Sicherheit findet sich
der relevante Link.

Für das Einrichten des Arbeitsordners kann entweder eine E-Mail-Adresse
oder ein URL angegeben werden. Bei Angabe einer E-Mail Adresse wird der
Arbeitsordner-Server durch Abfrage des Namens workfolders.mailsuffix ermittelt.
Das Präfix ist bei der Eingabe nicht relevant.

Wenn Sie an dieser Stelle einen Fehler bekommen (0x80072efe),
ist es unbedingt empfehlenswert vor einer weiteren Ursachenforschung alle
verfügbaren Windows Updates zu installieren. Bei mir trat dieser Fehler auf
zwei verschiedenen Servern auf, die noch keinerlei Updates installiert hatten. Mit
der Installation der Updates hatte sich der Fehler in beiden Fällen erledigt.

Um Festzustellen, ob eventuell noch andere Bindungen an den
Port 443 verwenden und können Sie auch das Cmdlet Get-WebBindings einsetzen.
Der Speicherort kann bei Bedarf abgeändert werden.

Es folgen Hinweise auf die Sicherheitsrichtlinie.

Der Arbeitsordner ist eingerichtet und die
Synchronisierung ist gestartet.

Der aktuelle Synchronisierungsstatus wird bei Auswahl des
Arbeitsordners in der Statusleiste eingeblendet.

Fazit:
Arbeitsordner sind kein Instrument zur Unterstützung von
Zusammenarbeit und gemeinsamen Dateizugriff und stellt insofern keine
Alternative zu SharePoint oder SkyDrive Pro dar. Für Unternehmen, die Ihren
Benutzern Daten auf mehr als nur auf einem Endgerät zugänglich machen wollen
und ihre Daten keinem Cloudanbieter anvertrauen mögen, steht mit Arbeitsordner
aber ein einfaches und robustes Werkzeug zur Verfügung.
Eingetragen
Sat, 15. Mar 2014 13:08
von
Maik