What if your organization is not using Microsoft OneDrive (yet) and you want to give users the possibilities to access corporate files that are stored on-premises on a file server from BYOD devices? You also want to stay in control of the corporate data and want to enforcing device policies like encryption and screen lock settings? In that case Work Folders can be a good solution for you.
In this blog I will show you step-by-step how to deploy Work Folders on Windows Server 2019.
My environment
Before we start, let me tell you some more about my test/demo environment. I have a new Windows Server 2019 (EMSFile01) with the File Server role installed and configured on it. The IP address of this server is 10.100.1.61. I also have a fresh installed Windows 10 device that I will use to test the results of the configuration in this blog.
The internal domain of this test environment is a “.local” domain. The external domain name is a “.nl” domain. On the internal DNS servers, there is also a DNS zone for the external domain. All test users have a primary UPN prefix of the external domain name. I have a wildcard certificate available for the external domain that I will use for the Work Folders server.
All devices are joined to the local domain (remote access will be covered in the next blog).
In this blog
I will cover the following steps in this blog;
- Create a DNS record for the Work Folders
- Install the Work Folder server role
- Install and configure the SSL Certificate
- Configure the Work Folders server
- Testing the results
Step 1 : Create a DNS record for the Work Folders
To use Autodiscover for Work Folders during the Work Folders setup on a client device, a DNS record must exist. If the DNS record exist within the domain a user can setup Work Folders based on his/her email address / UPN.
To add the correct DNS record login to a domain controller and open the DNS Manager.
Add a new A record for the relevant domain and fill in the following information;
Name : workfolders (otherwise Autodiscovery will not work!)
IP address : The IP address of the server you will be use as Work Folder server
Click Add Host
Note: If you have a different internal and external domain name you can add the DNS record for both domains so users can setup Work Folders with both UPN prefixes.
Click OK
Step 2 : Install the Work Folder server role
In the following steps I will install the Work Folders server role. I will also install the IIS role. IIS is not a requirement for Work Folders, it is just an easy way for me to use it for installing the SSL certificate. For the following steps, login to the new installed server and start the Server Manager.
Click Add roles and features
Select Role-based or feature-based installation and click Next
Make sure that the local server is selected and click Next
Expand Files and Storage Services > File and iSCSI Services and select Work Folders
Click Add Features
Scroll down and select Web Server (IIS) (once again this one is optionally)
Click Add Features
Click Next
Click Next
Click Next
Leave everything default and click Next
Click Install
Click Close
Step 3 : Install and configure the SSL Certificate
In the first step we have created a DNS record. To secure the connection between the Work Folders server and the clients, we need a SSL Certificate. In this case I will import an SSL certificate I already have (wildcard certificate). You can also request a new certificate, but I will not cover the steps to do that is this blog.
In the next few steps, I show you how to make the necessary steps for configure an existing SSL Certificate for use with the Work Folders server. There are several ways to do this, I will do this via IIS as you can see in the steps below.
Op the Internet Information Service (IIS) Manager and select the server name. From the Home blade open Server Certificates.
At the right click Import
Browse to your certificate file, fill in the password and click Ok
The certificate will now be displayed.
Open the Default Web Site, at the right click Bindings
Click Add…
Fill in the following information;
Type : https
IP address : All Unassigned
Port : 443
Host name : workfolders.<domain name>
SSL certificate : select the just imported SSL certificate
Click OK
Click Close
On the Default Web Site blade, click Stop at the right.
Step 4 : Configure the Work Folders server
Login to the server where the Work Folders role is installed. I will create a new folder for the Work Folders first.
On the E drive of my server I will create a new folder in the root with the name WorkFolders.
Now we need to add folder permissions for users to this folder. A best practice is to create an AD Security Group for the Work Folders users, but for this demo I will give the Domain Users group the Full control permissions.
Open the Server Manager and click File and Storage Services
Click Work Folders
At the right, click TASKS and New Sync Share…
Click Next
Select Enter a local path and click Browse…
Select the E:workfolders folder and click Next
Select User alias@domain if you want to make Work Folders available for different domains and click Next.
Give the sync share a name and click Next
Click Add to grant sync access to the users
In this demo I will add the Domain Users group, but a best practice is to have a separate security group for it. Click Next.
Here you have the option to apply device policies like to Encrypt Work Folder on the client and to enforce a lock screen and password policy. For this demo I do not enforce device policies. Click Next.
Click Create
Click Close
Step 5 : Testing the results
In this final part I will test the results on a fresh installed Windows 10 machine.
On a Windows device, search for Work Folders
Click Set up Work Folders
Fill in the user’s email address (you must have created the DNS record for that domain as described in step one of this blog). Click Next
Select if files needs to be available on-demand or not (if not selected, all files will be downloaded to the client). In this case I will not enable on-demand file access. Click Next
Select I accept these policies on my PC and click Set up Work Folders
Click Close
I have copied some files onto the Work Folders and as you can see in the Status column, all the files are synced with the Work Folders server.
You can also check the status here; Control Panel > System and Security > Work Folders
On the Work Folders server you can see that there is now a sub folder with the username@domain with his/her files in it.
- Remove From My Forums
-
Вопрос
-
Приветствую.
Настроена служба «Рабочие папки» в Windows 2019, папка подключена к клиенту.
При синхронизации возникает ошибка:
Синхронизация остановлена.
Возникла проблема. Недопустимая операция с облаком. (0x8007017c)
При этом какое-то время все работало корректно, без сбоев.
Куда смотреть пока что не могу сообразить (внятных сообщение в логах нет).
Буду признателен за наставление на путь истинный.
Все ответы
-
Вот результат поиска решения проблемы
https://docs.microsoft.com/en-us/answers/questions/197222/work-folder-arbeitsordner-errorfehler-0x8007017c-t.html
Здесь два момент:
1. Это некорректное обновление ОС, в результате чего перестает корректно синхронизироваться рабочая папка
2. Как вариант решения проблемы, на время устранения проблемы обновления — это отключить режим «Включить доступ к файлам по требованию».
Все же хотел бы услышать мнения тех кто работал с данным сервисом.
-
Вот результат поиска решения проблемы
https://docs.microsoft.com/en-us/answers/questions/197222/work-folder-arbeitsordner-errorfehler-0x8007017c-t.html
Здесь два момент:
1. Это некорректное обновление ОС, в результате чего перестает корректно синхронизироваться рабочая папка
2. Как вариант решения проблемы, на время устранения проблемы обновления — это отключить режим «Включить доступ к файлам по требованию».
Все же хотел бы услышать мнения тех кто работал с данным сервисом.
До сих пор не исправлено… (
Обновлено: 05.10.2020
Опубликовано: 2016 год или раньше
В качестве примера используется Windows Server 2012 R2 (2016, 2019). Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.
Выбор оборудования и подготовка сервера
Установка Windows и настройка системы
Базовые настройки файлового сервера
Тюнинг файлового сервера или профессиональные советы
Настройка средств обслуживания
Тестирование
Шаг 1. Выбор оборудования и подготовка сервера
В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:
- Процессор может быть самый простой;
- Оперативная память также не сильно используется;
- Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.
Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.
Дополнительные требования
- Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
- Сервер должен быть подключен к источнику бесперебойного питания;
- Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.
Подробнее о выборе оборудования читайте статью Как выбрать сервер.
Шаг 2. Установка Windows и настройка системы
Установка системы
На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 — 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.
Настройка системы
- Проверяем правильность настройки времени и часового пояса;
- Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
- Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
- Для удаленного администрирования, включаем удаленный рабочий стол;
- Устанавливаем все обновления системы.
Шаг 3. Базовые настройки файлового сервера
Это стандартные действия, которые выполняются при настройке обычного файлового сервера.
Установка роли и вспомогательных компонентов
Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.
Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.
Нажимаем Управление — Добавить роли и компоненты.
В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.
В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.
Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:
- Службы хранения;
- Файловый сервер;
Если данные службы не установлены, выбираем их и нажимаем Далее.
В окне Выбор компонентов просто нажимаем Далее.
Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.
Настройка шары (общей папки)
Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:
В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:
Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:
Предоставляем полный доступ всем пользователям:
* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).
Нажимаем OK и еще раз OK.
Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:
В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.
Нажимаем OK и Изменить.
Выставляем необходимые права на папку, например:
Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!
Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \fs1Общая папка.
Шаг 4. Тюнинг файлового сервера или профессиональные советы
Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.
DFS
С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:
- При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
- Администратор легко сможет создать отказоустойчивую систему при необходимости.
Как создать и настроить DFS читайте в статьях Как установить и настроить DFS и Как установить и настроить DFS с помощью Powershell.
Теневые копии
Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.
Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.
Аудит
Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.
О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows.
Анализатор соответствия рекомендациям
В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:
Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ — Начать проверку BPA:
Рассмотрим решения некоторых рекомендаций.
1. Для XXX должно быть задано рекомендованное значение.
Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5». Чтобы это сделать, открываем Powershell от администратора и вводим команду:
Set-SmbServerConfiguration -CachedOpenLimit 5
* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.
На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.
Остальные параметры задаем аналогичными действиями.
2. Файл Srv.sys должен быть настроен на запуск по требованию.
В командной строке от имени администратора вводим:
sc config srv start= demand
3. Создание коротких имен файлов должно быть отключено.
В командной строке от имени администратора вводим:
fsutil 8dot3name set 1
Шаг 5. Настройка средств обслуживания
Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.
Резервное копирование
Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.
Мониторинг
Мониторить стоит:
- Сетевую доступность сервера;
- Свободное дисковое пространство;
- Состояние жестких дисков.
Шаг 6. Тестирование
Тестирование состоит из 3-х основных действий:
- Проверить журналы Windows и убедиться в отсутствие ошибок. В случае их обнаружения, необходимо устранить все проблемы.
- Выполнить действия анализатора соответствий рекомендациям.
- Провести живой тест работы сервиса с компьютера пользователя.
Hey everybody,
last day we did made a new change on one of our systems. We moved one of our fileservers from WS2012 to WS2019.
The change upon itself is quite as easy, migrated all shares, files and such stuff.
On this system we also had workfolders running before.
In the latest changes (2012->2016) we had no issues with workfolders so far, but in this case we noticed serveral issues:
The first issue is, that the clients thought that it’s the same server (other name, but same workfolders URL) so we had alot of these issues:
Http request failed. User: smith@domain; Device: domain-W10-021; DeviceOS: Windows 10.0; Request: Get-UserConfig; Error code: (0x80070003) The system cannot find the path specified.
This could be corrected on the clients with setting up workfolders on theses devicve or screw up the config with a little script:
rem set service to disabled & stop it sc config workfolderssvc start=disabled sc stop workfolderssvc rem delete sync files rd /s /q %localappdata%MicrosoftWindowsWorkFoldersMetadata rem set service to manual & start it sc config workfolderssvc start=demand sc start workfolderssvc
But the main thing i noticed is, that the information about the synced devices of the users are fully missing.
Or healthy systems (WS2016) are looking like this:
Do you have any ideas why this happens? Is anyone else facing these kinds of issues?
-
Edited by
Thursday, October 10, 2019 9:16 AM
Hey everybody,
last day we did made a new change on one of our systems. We moved one of our fileservers from WS2012 to WS2019.
The change upon itself is quite as easy, migrated all shares, files and such stuff.
On this system we also had workfolders running before.
In the latest changes (2012->2016) we had no issues with workfolders so far, but in this case we noticed serveral issues:
The first issue is, that the clients thought that it’s the same server (other name, but same workfolders URL) so we had alot of these issues:
Http request failed. User: smith@domain; Device: domain-W10-021; DeviceOS: Windows 10.0; Request: Get-UserConfig; Error code: (0x80070003) The system cannot find the path specified.
This could be corrected on the clients with setting up workfolders on theses devicve or screw up the config with a little script:
rem set service to disabled & stop it sc config workfolderssvc start=disabled sc stop workfolderssvc rem delete sync files rd /s /q %localappdata%MicrosoftWindowsWorkFoldersMetadata rem set service to manual & start it sc config workfolderssvc start=demand sc start workfolderssvc
But the main thing i noticed is, that the information about the synced devices of the users are fully missing.
Or healthy systems (WS2016) are looking like this:
Do you have any ideas why this happens? Is anyone else facing these kinds of issues?
-
Edited by
Thursday, October 10, 2019 9:16 AM