Технология рабочих папок (Work Folders) позволяет организовать удаленный доступ пользователей к своим файлам на внутреннем файловом сервере компании и работать с ними в офлайн режиме с любого устройства (ноутбук, планшет или смартфон). При следующем подключения к сети все изменения в файлах на устройстве пользователя синхронизируются с корпоративным файловым сервером. В этой статье мы покажем, как установить и настроить функционал Work Folders на базе файлового сервера Windows Server 2016 и клиента с Windows 10 .
В качестве хранилища файлов может использоваться файловый сервер с Windows Server 2012 R2, в качестве клиентов все версии Windows, начиная с Windows 7, а также устройства с Android 4.4 или iOS 8 и выше (клиент Work Folders для этих устройств доступен в Google Play и App Store соответственно). С помощью политик безопасности можно потребовать от клиентов Work Folders обязательное хранение содержимого рабочих папок в зашифрованном виде, что гарантирует защиту данных даже в случае утери/кражи устройства.
Установка и настройка роли Work Folders в Windows Server 2016
Роль Work Folders в Windows Server 2016 можно установить из графического интерфейса Server Manager или с помощью PowerShell.
В первом случае нужно в Server Manager внутри роли File and Storage Services выбрать службу Work Folders (к установке будут автоматически добавлены требуемые компоненты IIS Hostable Web Core).
Установка роли Work Folders с помощью PowerShell выполняется такой командой:
Install-WindowsFeature FS-SyncShareService,Web-WHC
Для предоставления доступа к рабочим папкам в Active Directory нужно создать группы безопасности, в которые нужно включить пользователей, которым будет разрешено синхронизировать свои устройства с рабочими папками на файловом сервере (для более быстрой работы службы Work Folders за счет уменьшения количества запросов к AD, Microsoft рекомендует помещать в данные группы только учетные записи пользователей, но не другие группы безопасности).
Следующий этап – создание на файловом сервере сетевых каталогов, с которыми будут синхронизироваться пользователи. Эти каталоги можно создать из консоли Server Manager или PowerShell.
Откройте Server Manager, выберите роль File and Storage Services -> Work Folders. Выберите меню Tasks -> New Sync Share.
Далее нужно указать каталог, к которому будет предоставляться доступ. В нашем примере это папка C:\finance.
Далее нужно выбрать какая структура пользовательских папок будет использоваться. Папки могут называться по учетной записи пользователя (alias), либо в формате user@domain.
Затем указывается имя шары.
Далее нужно указать группы доступа, которым нужно предоставить доступ к данному каталогу.
Далее указываются политики безопасности рабочих папок, которые должны применяться на клиенте. Имеются две политики:
- Encrypt Work Folders – обязательное шифрование данных в каталоге Work Folder на клиенте с помощью BitLocker
- Automatically lock screen and require a password– автоматическая блокировка экрана через 15 минут неактивности устройства и защита его паролем (не менее 6 символов)
На этом настройка новой рабочей папки закончена.
Те же самые действия по созданию новой папки синхронизации можно выполнить с помощью командлета New-SyncShare. К примеру, следующая команда создаст новую папку синхронизации и предоставит доступ к ней группе
New-SyncShare "Sales" C:\sales –User "Sales_Users_Remote_WorkFolder"
Для доступа к рабочим файлам по защищенному протоколу HTTPS, к веб сайту IIS, который обслуживает работу папок Work Folder нужно привязать валидный SSL сертификат.
Проще всего воспользоваться бесплатным SSL сертификатом от Let’s Encrypt. Процесс выпуска и привязки такого сертификата в IIS описан в статье Cертификат Let’s Encrypt для Windows(IIS).
Настройка клиента Work Folders
В данном примере в качестве клиента Work Folders используется устройство с Windows 10. Настройка производится через имеющийся апплет в панели управления Control Panel -> System and Security -> Work Folders (этот пункт отсутствует в серверных редакциях).
Чтобы приступить к настройке, нажмите кнопку Set up Work Folders.
Далее нужно указать Email пользователя или URL адрес сервера Work Folders.
По умолчанию, клиент подключается к серверу по защищенному HTTPS протоколу. В тестовой среде это требование можно отменить, выполнив на клиенте команду:
Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1
Для доступа к данным нужно авторизоваться и подтвердить согласие с политиками безопасности, которые будут применены к клиенту.
На Windows клиентах рабочие файлы по умолчанию хранятся в профиле пользователя в каталоге %USERPROFILE%\Work Folders и их размер не может превышать 10 Гб.
После подключения клиента к серверу, создается каталог Work Folders. Если файлы в рабочих папках не изменились, клиент каждые 10 минут синхронизируется с файловым сервером. Синхронизация измененных файлов выполняет сразу. Кроме того, при наличии изменений сервер автоматически оповещает другие клиенты о необходимости обновить свои данные с центрального сервера (таким образом, изменения должны максимально быстро появиться на всех подключенных устройствах).
Статус синхронизации, наличие ошибок, размер свободного места на сервере можно посмотреть в том же элементе панели управления.
Чтобы проверить работу синхронизации создайте в папке Work Folders новый каталог, а затем в контекстном меню выберите пункт Sync now.
Через некоторое время данный каталог должен появится на сервере.
Настройка клиента Work Folders групповыми политиками Windows
Для автоматической настройки Work Folders можно использовать две специализированные групповые политики в разделе User Configuration -> Policies -> Administrative Templates -> Windows Components -> WorkFolders:
- Specify Work Folders Settings – в ней можно указать URL адрес сервера Work Folders
- Force automatic setup for all users – инициирует автоматическую настройку клинета
Ошибка синхронизации Work Folders 0x80c80317
В тествой конфигурации столкулся с тем, что при синхронизации файлов на клиенте возникает ошибка:
В логе сервера при этом содержатся такие записи:
Данные ошибки свидетельствуют о наличии проблемы в механизме синхронизации. В этом случае для пользователя нужно выполнить команды
Repair-SyncShare -name Finance -user Domain\user1
Get-SyncUserStatus -syncshare Finance -user Domain\user1
Как правило, это решает проблему поломанной синхронизации.
Заключение
Итак, мы рассмотрели, как настроить и пользоваться функцией Work Folders в Windows Server 2016. Данная технология позволяет пользователям удаленно работать с корпоративными файлами практически на любом устройстве, причем можно обеспечить адекватный уровень защиты данных от компрометации с помощью шифрования на стороне клиентского устройства. Конечно, этому решению далеко до удобства и гибкости облачных хранилищ Dropbox или OneDrive, но тут главный аспект заключается в простоте настройки и хранении данные внутри компании, а не в стороннем облаке. Дополнительно с Work Folders можно использовать такие технологии, как возможность управления квотами и типами файлов с помощью FSRM, поддержка файловых кластеров, управление доступом к данным с помощью Dynamic Access Control и File Classification Infrastructure.
откуда инфа про макс.размер в 10 гб?
у меня на 2012р2 есть папки по 50 гб….
ну и главный вопрос — что изменилось в версии 2016 относительно 2012р2 ? 🙂
Особых видимых изменений немного.
Согласно докуменатации: обеспечивается более быстрая репиликация изменений за счет механизма оповещения о наличии изменений в рабочих файлах на стороне клиента, расширенная интеграция с Azure и Office, расширен набор управляющих командлетов PowerShell.
Как будет произведена синхронизация с файлами. Которые отредактировали в хранилище пока шла работа локально?
При наличии подключении к серверу клиент попытается автоматически синхронизировать изменения.
Как обрабатываются конфликты (одновременное изменений файлов в разных хранилищах в офлайн режиме) — пока сам не разобрался, скорее всего для более старой версии документов будет создаваться отдельная копия.
Они хоронят шарепойнт?
Work Folder все-таки более простое и бесплатное по сути решение, в отличии от монструозного SharePoint
Когда выводили на рынок WSS 3 особенно бесплатный, говорили что папки должны исчезнуть.
В итоге исчез бесплатный SPF.
WF это аналог Dropbox а SP — корп.портал.
Но аналог сделан как по мне убого ….
Коллеги, а WF может предоставить группе юзеров доступ к одной и той же папке ?
Суть в том что нужна «коллективная» работа с файлами даже в оффлайне ..
В теории да, вот только придется делать некую общую учетку, под которой нужно настраивать клиента WF на компах. Плюс могут возникнуть различные проблемы синхронизации, когда один и тот же файл редактируется на разных устройствах.
Как вариант нарезать для каждого пользователя свой каталог по фамилии, а клиент WF будет видеть список всех каталогов пользователей. Придется объяснить пользователям, что изменять файлы нужно только в своей личной папки и некой папке обмена. Остальные — использовать только для чтения (в общем костыль 🙂 ).
В этом плане на самом деле лучше подойдет SharePoint
Судя по описанию функционала, точная копия офлайновых файлов из 2003 винды.
Установил и настроил Work Folders у себя в домене. Спустя какое то время клиенті перестали синхронизироваться, при повторном подключении к серверу через панель управления при вводе URL сервера пишет ошибку 0x80c80301. Гугл результатов не дал, права на папку правильніе. Может кто подскажет куда двигаться?
Проблема проявляется только у внешних клиентов Work Folders или и у внутренних?
Проверьте действующие разрешения на папку синхронизации у пользователя.
Какие версии клиента и сервера?
Сервер Windows Server 2016 (14393). Клиенті Windows 10 1709 и 1803.
Проблема наблюдается на всех клиентах, пробовал даже чистую Windows 10 1709 без ввода в домен, пишет такую же ошибку.
Разрешения стоят согласно рекомендациям https://blogs.technet.microsoft.com/canitpro/2015/01/19/step-by-step-creating-a-work-folders-test-lab-deployment-in-windows-server-2012-r2/. Я их проверял именно на пользователя. Более того, пробовал давать Full Access на пользователей, без результата.
Посмотрите более подробное описание ошибки в журнале сервера и клиента. Скорее всего будет что-то типа:
Sync Share discovery failed. Server URL: ttp://yourservername; Partnership type: User Data; Error: (0x80c80301) No sync server could be found for the user.
1. Проверьте доступ с сервера до контролера домена (перезагрузите сервер)
2. Проверьте корректность DNS записей для сервера Work Folders
Вы подлючаете пользователя по email адресу или по URL адресу?
Нашел в чем проблема. У нас почтовій сервер не принимает никого не авторизированного по SSL. Поєтому мне пришлось поднять службу SMTP Server которая в свою очередь тянет за собой роль IIS со всеми вітекающими из нее зависимостями. Отключив SMTP сервер и удалив роль IIS все сразу же заработало. Я так полагаю, т.к. WorkFolder использует IIS Hostable Web Core, включение полноценного IIS мешает его работе.
Отлично! Спасибо за информацию.
Здр.
Тут написано что Control Panel -> System and Security -> Work Folders (этот пункт отсутствует в серверных редакциях).
А как же тогда быть с Терминальными решениями?
Например пользователи подключаются и работают через Терминальный сервера RDS Host. Для них есть решение?