Wdrożenie usługi Foldery robocze (Work Folders)

Dostęp do własnych plików dzięki takim usługom jak OneDrive, iCloud czy Google Docs jest możliwy z dowolnego miejsca i niemal z każdego urządzenia podpiętego do sieci. Jeżeli dokumenty znajdują się w chmurze, nie musimy martwić się o ich utratę w przypadku awarii, a dzięki odpowiednim aplikacjom możliwy jest dostęp do nich w trybie offline. Takie aplikacje najczęściej zapewniają też synchronizacje folderów lokalnych z chmurą i to pomiędzy kilkoma urządzeniami. Dlaczego podobnego i tak popularnego mechanizmu nie wdrożyć w firmie i udostępnić pracownikom, bazując na zasobach wewnętrznej infrastruktury? Czyli dać im dostęp do swoich dokumentów nie tylko z komputerów firmowych, ale również z domowych.
Potrzeba udostępniania zasobów firmowych pracownikom poza biurem pojawia się w wielu organizacjach. Funkcjonalność ta najczęściej realizowana jest za pomocą Wirtualnych Sieci Prywatnych (VPN), udostępniania aplikacji webowych poprzez zabezpieczony protokół HTTPS czy też udostępnianie na zewnątrz aplikacji za pomocą protokołu RDP (tzw. pulpit zdalny). Do wymienionych rozwiązań warto jeszcze dodać połączenia typu Direct Access oraz mechanizm plików trybu offline dostępny w systemach Windows od dosyć dawna. Większość z tych rozwiązań wymaga podłączenia komputera do domeny Active Directory, a co za tym idzie – odpowiedniej wersji systemu oraz licencji. Dostęp do danych i aplikacji za pomocą protokołu RDP i aplikacji webowych nie daje możliwości pracy na dokumentach bez podłączenia do sieci.

Foldery robocze w porównaniu z innymi technologiami synchronizacji Zdjęcie 1. Foldery robocze w porównaniu z innymi technologiami synchronizacji.

Windows Server 2012 R2 dostarczył funkcję Work Folders. Rola ta umożliwia użytkownikom dostęp do swoich plików firmowych z różnych urządzeń. Pliki są dostępne offline na każdym jego urządzeniu oraz automatycznie synchronizowane w przypadku nawiązania połączenia z odpowiednim serwerem. Synchronizacja odbywa się z wykorzystaniem bezpiecznego protokołu HTTPS. Foldery robocze pojawiły się po raz pierwszy w Windows Server 2012 R2. Wcześniejsze wersje systemów serwerowych nie posiadają oraz nie obsługują tej funkcjonalności. Jeżeli chodzi o systemy klienckie, to wspierane są wszystkie systemy z rodziny Windows 8.1 i Windows 10. W tym przypadku komputery użytkowników mogą pracować zarówno w grupie roboczej, jak i być członkiem domeny Active Directory. W ograniczonym wymiarze obsługiwane są również systemy z rodziny Windows 7 (Proffesional/Enterprise/Ultimate). W tym wypadku jednak wymagane jest podłączenie komputera użytkownika do domeny oraz instalacja dodatku (KB2891638) ze strony Microsoft.
W przypadku urządzeń z systemem operacyjnym Android lub IOS wymagana jest instalacja aplikacji Work Folders (wydawca Microsoft) dostępnej w sklepie App Store i Google Play.

Wdrożenie infrastruktury Folderów Roboczych
Wszystkie serwery w opisanym środowisku testowym zarządzane są przez system operacyjny Windows Server 2016, ale pełne wdrożenie można przeprowadzić także przy wykorzystaniu serwerów z systemem operacyjnym Windows Server 2012 R2. Wdrożenie usługi wymagać będzie następujących komponentów:

Serwer z zainstalowaną usługą Folderów roboczych musi spełniać następujące wymagania w zakresie oprogramowania i infrastruktury sieci:
- serwer z systemem Windows Server 2012 R2 lub Windows Server 2016 na potrzeby hostingu udziałów synchronizacji z plikami użytkowników,
- wolumin sformatowany przy użyciu systemu plików NTFS do przechowywania plików użytkownika,
- posiadać zainstalowany certyfikat zawierający OID: Server Authentication (1.3.6.1.5.5.7.3.1). Powinnien on pochodzić od urzędu certyfikacji (CA), który   jest uznawany za zaufany przez użytkowników (najlepiej z publicznego urzędu certyfikacji). W celu zaoszczędzenia środków na zakupie certyfikatów z   publicznych urzędów certyfikacji można wykorzystać wewnętrzny urząd certyfikacji. W środowisku testowym taką rolę pełni serwer ca.msa.domena.pl.

Aby użytkownicy mogli wykonywać synchronizację w Internecie, muszą zostać spełnione dodatkowe wymagania:
- wdrożenie serwerze proxy zapewniającego dostępność serwera z usługą Foldery Robocze z Internetu. Rolę tą będzie pełniła usługa Web Application Proxy,
- dostęp do publicznych serwerów DNS w celu zarejestrowania odpowiednich publicznych rekordów DNS dla domeny,
- infrastruktura usług federacyjnych Active Directory (Active Directory Federation Services, AD FS).

Foldery Robocze mają następujące wymagania dotyczące oprogramowania na komputerach klienckich:
- Windows 7 Professional/Ultimate/Enterprise (wymagana instalacja dodatku KB2891638 i podłączenie do domeny AD),
- Windows 8.1, Windows 10,
- Android 4.4 KitKat lub nowszy i instalacja aplikacji Work Folders (wydawca Microsoft) ze sklepu Google Play,
- iOS 10.2 lub nowszy i instalacja aplikacji Work Folders (wydawca Microsoft) ze sklepu App Store.
- Na dysku lokalnym sformatowanym przy użyciu systemu NTFS musi być wystarczająca ilość wolnego miejsca do przechowywania wszystkich plików   użytkownika w folderach roboczych, a także dodatkowe 6 GB wolnego miejsca, jeśli znajdują się one na dysku systemowym (ustawienie domyślne). Usługa   Work Folders używa następującej lokalizacji domyślnej: %USERPROFILE%\Work Folders.
- Domyślnie maksymalny rozmiar poszczególnych plików wynosi 10 GB. Nie ma limitu rozmiaru magazynu dla poszczególnych użytkowników, choć    administratorzy mogą używać funkcji przydziałów lub Menedżera zasobów serwera plików do wdrażania przydziałów.

Instalacja usługi Foldery Robocze (Work Folders)
Instalacja tej usługi, która jest częścią roli File and Storage Services wykonana zostanie na serwerze server1.msa.domena.pl. Operację tą można dokonać przy użyciu Kreatora dodawania ról i funkcji lub polecenia cmdlet: Add-WindowsFeature -Name FS-SyncShareService w konsoli Power Shell uruchomionej z uprawnieniami administratora.

Używając Kreatora dodawania ról i funkcji należy:
1. W Menadżerze serwera uruchomić Kreatora dodawania ról i funkcji.
2. Na stronie Wybieranie typu instalacji wybrać opcję Wdrożenie oparte na rolach lub oparte na funkcjach.
3. Na stronie Wybieranie serwera docelowego wybrać serwer, na którym mają zostać zainstalowane foldery robocze.
4. Na stronie Wybieranie ról serwera rozwinąć opcję Usługi plików i magazynowania, rozwinąć węzeł Usługi plików i iSCSI, a następnie wybrać opcję     Work Folders.
5. Po wyświetleniu monitu o instalację składnika Zasoby sieci Web mogące pełnić rolę hosta usług IIS kliknąć przycisk OK, aby zainstalować minimalną     wersję usług Internet Information Services (IIS) wymaganą przez foldery robocze.
6. Klikać przycisk Dalej, aż do zakończenia pracy kreatora.

Foldery Robocze korzystają z bezpiecznego protokołu HTTPS do synchronizowania plików między komputerami klienckimi i serwerem. Najlepszym rozwiązaniem byłoby użycie certyfikatu SSL zakupionego od publicznego dostawcy. W celu ograniczenia kosztów i uproszczenia konfiguracji można wykorzystać certyfikat wydany przez wewnętrzny urząd certyfikacji. W środowisku testowym taką rolę pełni serwer ca.msa.domena.pl z zainstalowaną usługą Certificate Authority. Ogóne warunki jakie musi spełniać certyfikat są następujące:
- certyfikat musi być wystawiony przez zaufany urząd certyfikacji. W przypadku większości wdrożeń folderów roboczych zaleca się skorzystanie z urzędu   certyfikacji powszechnie uznawanego za zaufany, ponieważ certyfikaty będą używane przez urządzenia internetowe nieprzyłączone do domeny.
- Certyfikat musi być ważny.
- Musi być dostępna możliwość eksportu klucza prywatnego certyfikatu (ponieważ konieczna jest instalacja certyfikatu na wielu serwerach).
- Nazwa podmiotu certyfikatu musi zawierać publiczny adres URL folderów roboczych używany do odnajdowania usługi folderów roboczych przez Internet -   - musi on mieć format workfolders.nazwa_domeny. Użycie członu workfolders wraz z nazwą domeny, która jest identyczna jak nazwa domeny używanej w   adresie e-mail użytkownika, pozwoli na automatyczne skonfigurowanie aplikacji klienckiej usługi Foldery Robocze, w momencie podania adresu e-mail jako   loginu. Opisane wdrożenie użyje członu wf przez co konfiguracja klienta Folderów Roboczych będzie wymagała jawnego podania ścieżki https.

Szablonem certyfikatu spełniającym powyższe wymagania jest Computer. Po uruchomieniu konsoli Certificate Authority na serwerze z usługą Urzędu Certyfikacji należy przejść do gałęzi Certificate Templates i z menu podręcznego wbrać opcję Manage. Powielić szablon certyfikatu Computer i utworzć na jego podstawie nowy szablon o nazwie np.: MSA-Computer. Na zakładce Compatibility ustawić opcje na:
- Certification Authority: Windows Server 2008 R2
- Certificate recipient: Windows 7 / Server 2008 R2
Na zakładce Subject Name należy wybrać opcję Supply in the Request. Pozwoli to określić wartości pól Subject i Alternative Subject Name podczas składania prośby o wydanie certyfikatu z poziomu serwera Windows, na którym zainstalowana zostanie usługa Folderów Roboczych. Po zapisaniu zmian należy wydać certyfikat, aby był dostępny w Urzędzie Certyfikacji.

Na serwerze z usługą Folderów Roboczych zalogować się kontem aministratora domeny, uruchomić konsolę MMC, dodać przystawkę Certyficates (local computer). Przejść do gałęzi Certificates (Local Computer) > Personal > Certificates i z menu podręcznego wybrać All Task > Request New Certificate. W kreatorze wybrać szablon certyfikatu MSA-Computer i kliknąć More information is requireed to enroll...

Kreator prośby o certyfikat konsoli MMC certyfikaty Zdjęcie 2. Kreator prośby o certyfikat konsoli MMC certyfikaty.

W oknie właściwości certyfikatu należy zdefiniować pola Subject name oraz Alternative Name. Wartości odpowiednich pól powinny być następujące:
Subject name.
- Type Common Name: wf.domena.pl
Alternative Name.
- Type DNS: wf.domena.pl
- Type DNS: server1.msa.domena.pl

Dokończyć działanie kreatora, co spowoduje wydanie certyfikatu i umieszczenie go w kontenerze Certificates (Local Computer) > Personal > Certificates, oraz ponownie uruchomić serwer.
Następnie należy powiązać certyfikat z usługą IIS przy użyciu narzędzia wiersza poleceń netsh. Instalacja narzędzi do zarządzania usługami IIS nie włączyła pełnej wersji Internetowych usług informacyjnych (IIS). Z tego powodu zarządzanie może odbywać się tylko przez narzędzia wiersza poleceń.
Uruchomić konsolę Command Prompt lub PowerShell z uprawnieniami administratora. W konsoli MMC z dodaną przystawką Certifiactes (local computer) odszukać certyfikat wf.domena.pl. Kliknąć go dwa razy w celu podglądu jego parametrów. Na zakładce Details odszukać pole Thumbprint i skopiować jego wartość do notatnika. Usunąć wszystkie spacje w celu uzyskania jednego łańcucha znaków. W wybranej konsoli uruchomić poniższe polecenia umieszczając w polu Thumbprint uzyskany łańcuch.
netsh http delete sslcert ipport=0.0.0.0:443
netsh http add sslcert ipport=0.0.0.0:443 certhash=Thumbprint appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY

Następnie należy dodać odpowiedni rekord w usłudze DNS, mapujący alias wf na rzeczywistą kanoniczną nazwę serwera z zainstalowaną usługą Work Folders. Na kontrolerze domeny, w konsoli zarządzania usługą DNS należy utworzyć wpis (o ile nie został utworzony wcześniej) w Strefie wyszukiwania do przodu: domena.pl:
- Rekord CNAME: wf > server1.msa.domena.pl

Kolejnym krokierm jest utworzenie globalnej grupy zabezpieczeń zawierającej konta użytkowników, którzy otrzymają uprawnienia do korzystania z usługi. W tym celu na kontrolerze domeny w konsoli MMC: Active Directory Users and Computers tworzymy globalną grupę zebepiczeń (Group scope: Global, Group type: Security) o nazwie np.: MSA-WorkFolders. Dla każdego użytkownika, którego konto będzie członkiem tej grupy, utworzony zostanie folder na serwerze synchronizacji, w którym przechowywane będą plik udostępniane w ramach usługi Foldery Robocze.

Na serwerze z usługą Work Folders wymagany jest wolumin sformatowany przy użyciu systemu plików NTFS. Można wykorzystać wolumin systemowy, ale dla zwiększenia wydajności należy utworzyć nowy wolumin dedykowany dla usługi synchronizacji plików.

Konfiguracja folderu synchronizacji Zdjęcie 3. Konfiguracja folderu synchronizacji.

Po utworzeniu woluminu NTFS, o ile była taka potrzeba, należy uruchomić konsolę Menadżer serwera (Server Manager) i przechodzimy do folderu File and Storage Services > Work Folders. W górnej części okienka szczegółów będzie widoczna lista wszystkich istniejących udziałów synchronizacji. Aby utworzyć nowy udział synchronizacji, w menu Tasks wybierz pozycję New SyncShare.... Pojawi się Kreator nowego udziału synchronizacji. Na stronie Select the server and path należy określić miejsce przechowywania udziału synchronizacji. Serwer otrzymał dodatkowy wolumin NTFS z przypisaną literą D. Utworzony został folder D:\WorkFolders, który będzie pełnił rolę udziału synchronizacji usługi.





Na stronie Specify the structure for user folders wybierz konwencję nazewnictwa folderów użytkowników w obrębie udziału synchronizacji. Dostępne są dwie opcje:
- User alias powoduje tworzenie folderów użytkownika niezawierających nazwy domeny. W przypadku korzystania z udziału plików, który jest już używany   z funkcją Przekierowanie folderu lub innym rozwiązaniem danych użytkownika, należy wybrać tę konwencję nazewnictwa. Opcjonalnie można zaznaczyć   pole wyboru Sync only the followind subfolder, aby zsynchronizować tylko określony podfolder, np. folder Dokumenty.
- User alias@domain powoduje tworzenie folderów użytkownika, które zawierają nazwę domeny. Jeśli nie są już używane udziały plików przez usługę    Przekierowanie folderu lub inne rozwiązania, należy zaznaczyć zaznacz tę konwencję nazewnictwa w celu wyeliminowania konfliktów nazw folderów, gdy    wielu użytkowników udziału ma identyczne aliasy (co może się zdarzyć, jeśli użytkownicy należą do różnych domen).

W naszym środowisku testowym (tylko jedna domena wewnętrzna - msa) użyta zostanie opcja pierwsza. Na stronie Enter the sync share name określ nazwę i opis udziału synchronizacji. Nie jest on anonsowany w sieci, ale jest widoczny w Menedżerze serwera i programie Windows Powershell, co ułatwia odróżnienie udziałów synchronizacji od siebie.
Na stronie Grant sync access to groups należy dodać utworzoną wcześniej grupę MSA-WorkFolders. Od tego momentu użycie przez użytkownika, którego konto jest członkiem tej grupy, usługi Work Folders spowoduje utworzenie podfolderu opowiadającego loginowi użytkownika w zdefiniowanym folderze synchronizacji D:\WorkFolders\login_użytkownika.
Na stronie PC Security Policies należy określić, czy mają być żądane jakiekolwiek ograniczenia zabezpieczeń na komputerach i urządzeniach klienckich. Dostępne są dwie zasady urządzeń, które można z osobna wybierać:
- Encrypt Work Folders: wysyła żądanie szyfrowania folderów roboczych na komputerach i urządzeniach klienckich.
- Automatically lock screen, and require a password: wysyła żądanie automatycznego blokowania ekranów komputerów i urządzeń klienckich po 15   minutach, wymaga hasła o długości co najmniej 6 znaków w celu odblokowania ekranu oraz aktywuje tryb blokady urządzenia po 10 nieudanych próbach.
W opisanej konfiguracji nie należy zaznaczać żadnej opcji, a w kolejnych krokach zakończyć działanie kreatora co spowoduje utworzenie udziału synchronizacji.

Dodatkową opcję, którą można wdrożyć to zdefiniowanie limitu przydziału dla ilości danych przechowywanych przez użytkowników. Do tego celu można wykorzystać opcję New Quota Template dostępną w menu Tasks (zdjęcie 3). Można też użyć funkcji File Server Resource Manager dostępnej w kreatorze dodawania ról i funkcji w gałęzi File and Storage Services > File and iSCSI Services > File Server Resource Manager. Można także użyć cmdletu Add-WindowsFeature -Name FS-Resource-Manager w konsoli Power Shell.

Opcja ustawień Folderów Roboczych, w tym określenia adresu e-mail Zdjęcie 4. Opcja ustawień Folderów Roboczych, w tym określenia adresu e-mail.

Opcjonalnym ale przydatnym krokiem jest określenie adresu e-mail pomocy technicznej. W przypadku kłopotów użytkownika z usługą będzie on mógł przesłać dane diagnostyczne do osoby odpowiedzialnej za utrzymanie serwera. W tym celu w Menedżerze serwera należy kliknąć pozycję File and Storage services > Servers. Po kliknięciu prawym przyciskiem myszy serwera synchronizacji, z menu podręcznego należy wybrać pozycję Work Folders Settings (zdjęcie 4). Pojawi się okno Work Folders Settings. W okienku nawigacji należy wybrać opcję Support Email wpisać adres e-mail pomocy technicznej, na którą użytkownicy będą mogli wysyłać wiadomości e-mail w celu uzyskania pomocy dotyczącej folderów roboczych.
Użytkownicy folderów roboczych mogą kliknąć link w elemencie Panel sterowania > Foldery Robocze, co spowoduje wysłanie wiadomości e-mail zawierającej informacje diagnostyczne o komputerze klienckim na adresy określone w tym miejscu.

Na tym etapie usługa Work Folders jest w pełni skonfigurowana, ale jej zakres funkcjonowania obejmuje tylko sieć wewnętrzną przedsiębiorstwa. Jeżeli usługa ma być dostępne z poziomu Internetu i dla urządzeń mobilnych oraz komputerów nie będących w domenie wówczas wymagane jest wdrożenie dwóch dodatkowych serwerów z zainstalowanymi rolami: Active Directory Federation Services (AD FS) i Web Application Proxy (WAP).

W celu automatycznego wdrożenia folderów roboczych na komputerach, do których mają dostęp osoby będące członkiem grupy MSA-WorkFolders należy użyć zasad grupy (Group Policy) w celu automatycznej konfiguracji komputerów klienckich:
- Określenie serwera synchronizacji, z którym powinni przeprowadzać synchronizację użytkownicy.
- Wymuszenie automatycznej konfiguracji folderów roboczych przy użyciu ustawień domyślnych.
- Ustawienie zasady Specify Work Folders settings w sekcji User Configuration/Administrative Templates/Windows Componenet/Work Folders jak poniżej:
  - Work Folders URL: https://wf.domena.pl
  - Work Folders Local Path: %USERPROFILE%\Work Folders
  - Force automatic setup: Enabled

Strona: 1, 2, 3