Hallo Serverfreunde,

heute möchte ich mich mal nicht mit Microsoft Exchange beschäftigen sondern das Feature „Work Folders“ vorstellen. Das Feature ist mit Windows Server 2012 R2 erstmals erschienen und kann sowohl für Windows 7 als auch für Windows 8.1 RT und Windows 8.1 verwendet werden.

Arbeitsordner ermöglichen die Verwendung von Arbeitsdateien auf verschiedenen Computern, einschließlich Arbeitsgeräten und persönlichen Geräten. So können mithilfe von Arbeitsordnern Benutzer Dateien hosten und synchronisieren – unabhängig davon, ob Benutzer im Netzwerk oder über das Internet auf ihre Dateien zugreifen. = Dropbox on Premise.

Voraussetzungen für Workfolders

  • DNS Name workfolders.domäne.dom
  • SSL Zertifikate
  • AD FS 3.0
  • WAP
  • Fileserver mit NTFS
Dieser Post setzt auf folgenden Post auf: Server 2012 R2: Webanwendungsproxy mit Exchange 2013. Exchange muss nicht dafür konfiguriert werden, es geht ausschließlich um ADFS und WAP!!! 

Auch hier wird wieder klar das Microsoft die AD FS 3.0 für die Neuerung von Windows Server 2012 R2 verstärkt einsetzt. Workfolders innerhalb des Domänennetzwerkes benötigen keine AD FS!! Sollte aber der Zugriff über das Internet ermöglicht werden so benötige ich diese Dienste für Authentifizierung und natürlich auch für den Web Application Proxy. Ich empfehle den Einsatz auf einem Server der ausschließlich Fileserver ist und auf dem noch keine IIS o.ä. installiert ist. Ausgangsituation meiner Anleitung heute ist meine bereits bekannte Testumgebung die ich um einen Server erweitert habe. (siehe hier).

Diese neue Server bekommt die Workfolder – Rolle installiert. Ich habe bereits einen „öffentlichen“ DNS Eintrag erstellt: workfolders.sichel.com. Der Server hat passend zu dem Domänennamen ein Zertifikat erhalten, dieses habe ich vom ADFS- Server kopiert. Ich nutze weiterhin mein Wildcard Zertifikat mit dem identischen Thumbprint. Das ist zwar nicht wichtig, aber ich muss später mit dem Zertifikat noch arbeiten, daher der Hinweis.

Schritt 1 – Rolle installieren

  1. Auf dem Fileserver den Server Manager öffnen
  2.  Rollen hinzufügen auswählen
  3. Datei und Speicherdienste –> Datei und iSCSI Dienste –> Arbeitsordner auswählen –> erforderliche Features hinzufügen –> Weiter (Bild 1)
  4. Den Assistenten abschließen und Rollendienst installieren lassen
  5. Über den Server Manager zu Arbeitsordner navigieren (Bild 2)
  6. Den Einrichtungsassistenten öffnen mit klick auf „Starten Sie zum Erstellen eine neuen….“
    1. Vorbereitungsfenster –> Weiter (Bild 3)
    2. Server und Pfad bestimmen –> Weiter (Bild 4)
    3. Benutzerordnerstruktur konfigurieren –> Weiter (Bild 5)
    4. Namen der Synchronisierungsfreigabe festlegen –> Weiter (Bild 6)
    5. Synchronisierungszugriff definieren –> Weiter (Bild 7)
    6. Geräterichtlinien Konfigurieren –> Weiter(Bild 8)
    7. Bestätigung und Übersicht –> Weiter (Bild 9)
    8. Freigabe wurde erstellt –> Fertig (Bild 10)
  7. Fertig

Ich habe mit Absicht einen Benutzer und keine Gruppe verwendet. Sobald ich eine Gruppe verwendet habe hat der Zugriff auf den Arbeitsordner nicht funktioniert :(

 

Hinweise zur Benutzerordnerstruktur (Quelle: TechNet):

Benutzeralias erstellt Benutzerordner, die keinen Domänennamen enthalten. Wählen Sie diese Benennungskonvention aus, wenn Sie eine Dateifreigabe verwenden, die bereits mit der Ordnerumleitung oder einer anderen Benutzerdatenlösung genutzt wird. Optional können Sie das Kontrollkästchen Nur den folgenden Unterordner synchronisieren aktivieren, um nur einen bestimmten Unterordner zu synchronisieren, z. B. den Ordner „Dokumente“.

Benutzeralias@Domäne erstellt Benutzerordner, die einen Domänennamen enthalten. Wählen Sie diese Benennungskonvention aus, wenn Sie keine bereits mit der Ordnerumleitung oder einer anderen Benutzerdatenlösung genutzte Dateifreigabe verwenden. Durch diese Einstellung werden Konflikte bei der Ordnerbenennung verhindert, wenn mehrere Benutzer der Freigabe identische Aliase haben (dies kann passieren, wenn die Benutzer unterschiedlichen Domänen angehören).

 

Schritt 2 – Zertifikatsbindung für Workfolders

Workfolders funktionieren ausschließlich mit SSL Zertifikaten. Ich habe bereits mein Wildcard-Zertifikat aus der vorherigen Konfiguration ( Server 2012 R2: Webanwendungsproxy mit Exchange 2013. Schritt 2 – Wildcard Zertifikat)! Dieses habe ich auf meinem Server mit installierte Workfolder Rolle in Computer\Eigene Zertifikat importiert (Bild 11).

Wichtig ist der „Thumbprint“ da ich das Zertifikat mit netsh an den Port 443 binden muss. Ähnlich wie hier: Exchange 2013 SP1 und ADFS Authentifizierung (Accept ADFS Claims).

  1. Zertifikat am APP2 auslesen
    dir cert:localmachine\my
  2. Zertifikat auf APP2 an Port 443 binden
    Try
    {
    
    $thumbprint = "B2D96D09F600EB701ECC0F9265A33207BD137D4B"
    $Command = "http add sslcert ipport=0.0.0.0:443 certhash=$thumbprint appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY"
    $Command | netsh
    }
    Catch
    {
    "Fehler bei der Zertifikatsbindung"
    Exit
    }

Thumbprint bitte durch eigenen ersetzten. Das Zertifikat kann auch über das IIS SnapIn hinterlegt werden, dieses müsste jedoch zuvor installiert werden, was ich mir gespart habe ;)

Schritt 3 – ADFS Konfiguration

Auch hier werde ich wie in meine letzten Post keine komplexe Anleitung hinterlegen sondern ausschließlich ein PowerShell Script verwenden. Das ist deutlich weniger aufwendig als die 25 Steps in der ADFS Konsole.

ADFS Regel hinzufügen via PowerShell:

$URL = "https://Windows-Server-Work-Folders/V1";
$WorkFolders = "Workfolders";
$AnspruchsRegel = '@RuleTemplate = "LdapClaims" @RuleName = "ActiveDirectory" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"), query = ";userPrincipalName,displayName,sn,givenName;{0}", param = c.Value);' ;
$AusstellerRegel = '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",Value = "true");' ;
Add-ADFSRelyingPartyTrust -Identifier $URL -Name $WorkFolders -IssuanceTransformRules $AnspruchsRegel -IssuanceAuthorizationRules $AusstellerRegel -EncryptClaims:$false -EnableJWT:$true -AllowedClientTypes Public;
 Die Workfolder URL ist HardCoded und IMMER identisch!
  • Nach anschließender Ausführung des Scripts habe ich eine neue Vertrauensstellung der vertrauenden Seite namens Workfolders (Bild 12)
  • Diese beinhaltet die URL als Bezeichner (Bild 13)
  • Via rechtsklick lassen sich die Anspruchsregeln einsehen / bearbeiten (Bild 14)

Schritt 4 – WAP Konfiguration

Nachdem also Workfolders und ADFS eingerichtet sind fehlt nur noch der Zugriff von außen via WAP. Auch das habe ich wiederholt mit einem PowerShell Script gelöst da es die Konfiguration vereinfacht:

$WAPCert = "B2D96D09F600EB701ECC0F9265A33207BD137D4B"
$URL = "https://workfolders.sichel.com"
Add-WebApplicationProxyApplication -BackendServerUrl "$URL/" -ExternalCertificateThumbprint $WAPCert -ExternalUrl "$URL/" -Name 'Workfolders' -ExternalPreAuthentication ADFS -ADFSRelyingPartyName 'Workfolders'
Get-WebApplicationProxyApplication -Name "Workfolders" | Set-WebApplicationProxyApplication  -UseOAuthAuthentication 
Write-host "WAP Regeln erfolgreich hinzugefügt"

Anschließend ist in der Remotezugriffs-Verwaltungskonsole folgender neuer Eintrag vorhanden:

Die Konfiguration ist damit vollständig abgeschlossen und der Benutzer kann sich mit dem Workfolder verbinden!

Schritt 5 – Internen Client verbinden

Es ist soweit, alle Konfigurationsschritte sind erfolgreich getätigt worden und der Benutzer kann nun mit seinem „Arbeitsordner“ arbeiten. Ich bleibe lieber bei der Englischen Bezeichnung da diese, so denke ich, populärer ist. An einem deutschen Windows System ist es nun mal als Arbeitsordner betitelt.

  1. Am Windows 8 Client mit einem Benutzer der berechtigt ist Workfolders zu nutzen anmelden
  2. Systemsteuerung –> „Arbeitsordner“ öffnen und Assistenten „Arbeitsordner einrichten“ starten (Bild 16)
  3. Im Assistenten die eigene E-Mail-Adresse eingeben und mit „Weiter“ bestätigen (Bild 17)
  4. Einführung von Workfolders und Speicherort bestimmen –> Weiter (Bild 18)
  5. Sicherheitsrichtlinien akzeptieren und „Arbeitsordner einrichten“ (Bild 19)
  6. Synchronisierung wurde gestartet (Bild 20)
  7. Unterhalb von „Dieser PC“ erscheint nun der Ordner Arbeitsordner (Bild 21)

In der Regel erhält der Benutzer beim Verbinde eine Anmeldeaufforderung zum Verbinden mit dem Arbeitsordner. Da ich allerdings folgenden Domänen in den Internetexplorer Optionen, unterhalb von Lokales Intranet, hinterlegt habe, werde ich automatisch angemeldet (Bild 22).

  • https://adfs.sichel.com
  • https://workfolders.sichel.com
Workfolders erwarten lokale Administratorberechtigung des angemeldeten Benutzers. Zu erkennen an dem „Schutzschild“ des Buttons „Arbeitsordner einrichten“. Zudem darf kein Lokaler Benutzer ohne Kennwort auf dem Client existieren!

Schritt 6 – Externen Client verbinden

Der externe Client wird identisch eingerichtet wie der Interne Client. Einziger Unterschied ist die ADFS Authentifizierung nachdem die E-Mail-Adresse eingegeben worden ist (Bild 23)

Weitere Hinweise

  • Sollte die Automatische Konfiguration mit der E-Mail-Adresse nicht funktionieren so kann die Workfolders URL auch manuell eingegeben werden. Stimmt E-Mail-Domäne mit Workfolder-URL-Domäne allerdings überein sucht der Assistent anhand der Domäne in der E-Mail-Adresse nach der URL: Workfolders.domain.com.
  • Zu Workfolders gibt es im übrigen auch ein Ereignislog in dem sämtliche Ereignisse Protokolliert werden. (Bild 24)
  • Workfolders können vom Client auch wieder entfernet werden. Damit wird ausschließlich die Synchronisation beendet. Die Daten bleiben weiterhin auf dem PC, in dem zuvor bei der Einrichtung bestimmten Ordner, vorhanden. (Bild 25)
  • Bei der erneuten Synchronisierung vom externen Client, bspw. nach einem Neustart, ist eine erneute ADFS Authentifizierung erforderlich. (Bild 26)
  • Intern entfällt die erneute Anmeldung durch die Automtatische Anmeldung in der Zone Intranet. (Bild 27)
  • Wie auf dem Arbeitsgruppen PC die Geräterichtlinien entfernt wird steht hier: Windows 8 Sicherheitsrichtlinien mit Exchange ActiveSync (EAS)

Puhhhh, geschafft :)  Wie üblich alle Bilder in der Übersicht:

Ich hoffe doch es gefällt, wenn ja bitte teilen und posten :)
Andi