Distribuera arbetsmappar

I den här artikeln beskrivs de steg som krävs för att distribuera arbetsmappar. Det förutsätter att du redan har läst Planera en distribution av arbetsmappar.

För att distribuera Arbetsmappar använder en process som kan omfatta flera servrar och tekniker följande steg.

Steg 1: Hämta SSL-certifikat

Arbetsmappar använder HTTPS för att synkronisera filer på ett säkert sätt mellan work folders-klienterna och servern Arbetsmappar. Kraven för SSL-certifikat som används av Arbetsmappar är följande:

• Certifikatet måste utfärdas av en betrodd certifikatutfärdare. För de flesta implementeringar av Arbetsmappar rekommenderas en offentligt betrodd certifikatutfärdare eftersom certifikat används av icke-domänanslutna, Internetbaserade enheter.

• Certifikatet måste vara giltigt.

• Certifikatets privata nyckel måste kunna exporteras (eftersom du måste installera certifikatet på flera servrar).

• Certifikatets ämnesnamn måste innehålla den offentliga url:en för arbetsmappar som används för att identifiera tjänsten Arbetsmappar från internet – detta måste vara i formatet workfolders.<domain_name>.

• Alternativa namn på certifikatämne (SAN) måste finnas på certifikatet som listar servernamnet för varje synkserver som används.

  Bloggen Certifikathantering för arbetsmappar innehåller ytterligare information om hur du använder certifikat med Arbetsmappar.

Steg 2: Skapa DNS-poster

Om du vill tillåta användare att synkronisera över Internet måste du skapa en värdpost (A) i offentlig DNS så att Internetklienter kan matcha url:en för arbetsmappar. Den här DNS-posten bör matcha det externa gränssnittet för den omvända proxyservern.

I ditt interna nätverk skapar du en CNAME-post i DNS-namngivna arbetsmappar som matchar FDQN för en arbetsmappsserver. När Work Folders-klienter använder automatisk identifiering är url:en som används för att identifiera arbetsmappsservern https://workfolders.domain.com. Om du planerar att använda automatisk identifiering måste CNAME-posten för arbetsmappar finnas i DNS.

Steg 3: Installera arbetsmappar på filservrar

Du kan installera Arbetsmappar på en domänansluten server med hjälp av Serverhanteraren eller med hjälp av Windows PowerShell, lokalt eller via fjärranslutning i ett nätverk. Det här är användbart om du konfigurerar flera synkroniseringsservrar i nätverket.

Om du vill distribuera rollen i Serverhanteraren gör du följande:

1. Öppna guiden Lägg till roller och funktioner.

2. På sidan Välj installationstyp väljer du Rollbaserad eller funktionsbaserad distribution.

3. På sidan Välj målserver väljer du den server där du vill installera Arbetsmappar.

4. På sidan Välj serverroller expanderar du Fil- och lagringstjänster, expanderar Fil- och iSCSI-tjänsteroch väljer sedan Arbetsmappar.

5. När du tillfrågas om du vill installera IIS Hostable Web Coreklickar du på Ok för att installera den minimala version av Internet Information Services (IIS) som krävs av Arbetsmappar.

6. Klicka på Nästa tills du har slutfört guiden.

Om du vill distribuera rollen med hjälp av Windows PowerShell använder du följande cmdlet:

Add-WindowsFeature FS-SyncShareService

Steg 4: Binda SSL-certifikatet på synkroniseringsservrarna

Arbetsmappar installerar IIS Hostable Web Core, som är en IIS-komponent som är utformad för att aktivera webbtjänster utan att kräva en fullständig installation av IIS. När du har installerat IIS Hostable Web Core bör du binda SSL-certifikatet för servern till standardwebbplatsen på filservern. IIS Hostable Web Core installerar dock inte IIS-hanteringskonsolen.

Det finns två alternativ för att binda certifikatet till standardwebbgränssnittet. Om du vill använda något av alternativen måste du ha installerat den privata nyckeln för certifikatet i datorns personliga arkiv.

• Använd IIS-hanteringskonsolen på en server som har den installerad. Från konsolen ansluter du till den filserver som du vill hantera och väljer sedan standardwebbplatsen för den servern. Standardwebbplatsen visas inaktiverad, men du kan fortfarande redigera bindningarna för webbplatsen och välja certifikatet för att binda den till webbplatsen.

• Använd netsh-kommandot för att binda certifikatet till https-gränssnittet för standardwebbplatsen. Kör följande kommando för att binda certifikatet. Ersätt <Cert thumbprint> med tumavtrycket för det certifikat som du vill binda, <IP address> med serverns IP-adress och <App GUID> med ett GUID som du genererar. Du kan generera ett GUID med hjälp av cmdleten New-Guid i Windows PowerShell.

  netsh http add sslcert ipport=<IP address>:443 certhash=<Cert thumbprint> appid={App GUID} certstorename=MY
  

Steg 5: Skapa säkerhetsgrupper för arbetsmappar

Innan du skapar synkroniseringsresurser måste en medlem i grupperna Domänadministratörer eller Företagsadministratörer skapa vissa säkerhetsgrupper i Active Directory Domain Services (AD DS) för Arbetsmappar (de kanske också vill delegera viss kontroll enligt beskrivningen i steg 6). Här är de grupper du behöver:

• En grupp per synkroniseringsresurs för att ange vilka användare som ska kunna synkroniseras med synkroniseringsresursen

• En grupp för alla arbetsmappsadministratörer så att de kan redigera ett attribut för varje användarobjekt som länkar användaren till rätt synkroniseringsserver (om du ska använda flera synkroniseringsservrar)

  Grupper bör följa en standardnamnkonvention och bör endast användas för Arbetsmappar för att undvika potentiella konflikter med andra säkerhetskrav.

  Om du vill skapa lämpliga säkerhetsgrupper använder du följande procedur flera gånger – en gång för varje synkroniseringsresurs och en gång för att skapa en grupp för filserveradministratörer.

Skapa säkerhetsgrupper för arbetsmappar

1. Öppna Serverhanteraren på en Windows Server 2012 R2- eller Windows Server 2016-dator med Active Directory Administrationscenter installerat.

2. På menyn Verktyg klickar du på Active Directory Administrationscenter. Active Directory Administrationscenter öppnas.

3. Högerklicka på containern där du vill skapa den nya gruppen (till exempel containern Användare för lämplig domän eller organisationsenhet), klicka på Ny och klicka sedan på Grupp.

4. I fönstret Skapa grupp i avsnittet Grupp anger du följande inställningar:

   • I Gruppnamn skriver du namnet på säkerhetsgruppen, till exempel HR Sync Share Users eller Administratörer för arbetsmappar.

   • I Gruppomfång klickar du på Säkerhet och sedan på Global.

5. I avsnittet Medlemmar klickar du på Lägg till. Dialogrutan Välj användare, kontakter, datorer, tjänstkonton eller grupper visas.

6. Ange namnen på de användare eller grupper som du beviljar åtkomst till en viss synkroniseringsresurs (om du skapar en grupp för att styra åtkomsten till en synkroniseringsresurs) eller skriv namnen på administratörerna för Arbetsmappar (om du ska konfigurera användarkonton för att automatiskt identifiera rätt synkroniseringsserver) klickar du på OK och klickar sedan på OK igen.

Om du vill skapa en säkerhetsgrupp med hjälp av Windows PowerShell använder du följande cmdletar:

$GroupName = "Work Folders Administrators"
$DC = "DC1.contoso.com"
$ADGroupPath = "CN=Users,DC=contoso,DC=com"
$Members = "CN=Maya Bender,CN=Users,DC=contoso,DC=com","CN=Irwin Hume,CN=Users,DC=contoso,DC=com"

New-ADGroup -GroupCategory:"Security" -GroupScope:"Global" -Name:$GroupName -Path:$ADGroupPath -SamAccountName:$GroupName -Server:$DC
Set-ADGroup -Add:@{'Member'=$Members} -Identity:$GroupName -Server:$DC

Steg 6: Du kan också delegera användarattributkontroll till arbetsmappsadministratörer

Om du distribuerar flera synkroniseringsservrar och automatiskt vill dirigera användare till rätt synkroniseringsserver måste du uppdatera ett attribut för varje användarkonto i AD DS. Detta kräver dock normalt att en medlem i grupperna Domänadministratörer eller Företagsadministratörer uppdaterar attributen, vilket snabbt kan bli tröttsamt om du ofta behöver lägga till användare eller flytta dem mellan synkroniseringsservrar.

Därför kanske en medlem i grupperna Domänadministratörer eller Företagsadministratörer vill delegera möjligheten att ändra egenskapen msDS-SyncServerURL för användarobjekt till gruppen Arbetsmappsadministratörer som du skapade i steg 5, enligt beskrivningen i följande procedur.

Delegera möjligheten att redigera egenskapen msDS-SyncServerURL på användarobjekt i AD DS

1. Öppna Serverhanteraren på en Windows Server 2012 R2- eller Windows Server 2016-dator med Active Directory-användare och datorer installerade.

2. På menyn Verktyg klickar du på Active Directory-användare och datorer. Active Directory-användare och datorer visas.

3. Högerklicka på organisationsenheten där alla användarobjekt finns för Arbetsmappar (om användare lagras i flera organisationsenheter eller domäner högerklickar du på den container som är gemensam för alla användare) och klickar sedan på Delegera kontroll.... Delegeringsguiden för kontroll visas.

4. På sidan användare eller grupper klickar du på Lägg till... och anger sedan den grupp som du skapade för arbetsmappsadministratörer (till exempel Administratörer för arbetsmappar).

5. På sidan Uppgifter att delegera klickar du på Skapa en anpassad uppgift för att delegera.

6. På sidan Active Directory-objekttyp klickar du på Endast följande objekt i mappenoch markerar sedan kryssrutan Användarobjekt.

7. På sidan Behörigheter avmarkerar du kryssrutan Allmänt , markerar kryssrutan Egenskapsspecifik och markerar sedan kryssrutorna Läs msDS-SyncServerUrl och Skriv msDS-SyncServerUrl .

Om du vill delegera möjligheten att redigera egenskapen msDS-SyncServerURL på användarobjekt med hjälp av Windows PowerShell använder du följande exempelskript som använder DsAcls-kommandot.

$GroupName = "Contoso\Work Folders Administrators"
$ADGroupPath = "CN=Users,dc=contoso,dc=com"

DsAcls $ADGroupPath /I:S /G ""$GroupName":RPWP;msDS-SyncServerUrl;user"

Steg 7: Skapa synkroniseringsdelningar för användardata

Nu är du redo att ange en mapp på synkroniseringsservern för att lagra användarens filer. Den här mappen kallas för en synkdelning och du kan använda följande metod för att skapa en.

1. Om du inte redan har en NTFS-volym med ledigt utrymme för synkroniseringsresursen och användarfilerna som den innehåller skapar du en ny volym och formaterar den med NTFS-filsystemet.

2. I Serverhanteraren klickar du på Fil- och lagringstjänsteroch klickar sedan på Arbetsmappar.

3. En lista över befintliga synkroniseringsresurser visas överst i informationsfönstret. Om du vill skapa en ny synkroniseringsresurs går du till menyn Uppgifter och väljer Ny synkroniseringsresurs.... Guiden Ny synkroniseringsdelning visas.

4. På sidan Välj server och sökväg anger du var synkroniseringsdelning ska lagras. Om du redan har skapat en filresurs för dessa användardata kan du välja den resursen. Du kan också skapa en ny mapp.

   Note

   Som standard är synkroniseringsresurser inte direkt tillgängliga via en filresurs (såvida du inte väljer en befintlig filresurs). Om du vill göra en synkroniseringsresurs tillgänglig via en filresurs använder du panelen Resurser i Serverhanteraren eller cmdleten New-SmbShare för att skapa en filresurs, helst med åtkomstbaserad uppräkning aktiverad.

5. På sidan Ange strukturen för användarmappar väljer du en namngivningskonvention för användarmappar i synkdelningen. Det finns två alternativ tillgängliga:

   • Användaralias skapar användarmappar som inte innehåller ett domännamn. Om du använder en filresurs som redan används med mappomdirigering eller en annan lösning för användardata väljer du den här namngivningskonventionen. Du kan också markera kryssrutan Synkronisera endast följande undermapp om du bara vill synkronisera en viss undermapp, till exempel mappen Dokument.

   • Användare alias@domain skapar användarmappar som innehåller ett domännamn. Om du inte använder en filresurs som redan används med mappomdirigering eller en annan lösning för användardata väljer du den här namngivningskonventionen för att eliminera mappnamnskonflikter när flera användare av resursen har identiska alias (vilket kan inträffa om användarna tillhör olika domäner).

6. På sidan , Ange synkroniseringsresursens namn, anger du ett namn och en beskrivning för synkroniseringsresursen. Detta annonseras inte i nätverket men visas i Serverhanteraren och Windows PowerShell för att hjälpa till att skilja synkroniseringsresurser från varandra.

7. På sidan Bevilja synkroniseringsåtkomst till grupper anger du den grupp som du skapade som visar de användare som tillåts använda den här synkroniseringsresursen.

   Important

   För att förbättra prestanda och säkerhet beviljar du åtkomst till grupper i stället för enskilda användare och är så specifika som möjligt, så att du undviker allmänna grupper som autentiserade användare och domänanvändare. Om du beviljar åtkomst till grupper med ett stort antal användare ökar tiden det tar för Arbetsmappar att fråga AD DS. Om du har ett stort antal användare bör du skapa flera synkroniseringsandelar för att sprida belastningen.

8. På sidan Ange enhetsprinciper anger du om du vill begära några säkerhetsbegränsningar på klientdatorer och enheter. Det finns två enhetspolicyer som kan väljas individuellt.

   • Kryptera arbetsmappar begäranden om att arbetsmappar ska krypteras på klientdatorer och enheter

   • Lås skärmen automatiskt och kräver ett lösenord Begäranden om att klientdatorer och enheter automatiskt låser sina skärmar efter 15 minuter, kräver ett lösenord med sex tecken eller längre för att låsa upp skärmen och aktivera ett läge för enhetsutelåsning efter 10 misslyckade återförsök

     Important

     Om du vill tillämpa lösenordsprinciper för Windows 7-datorer och för icke-administratörer på domänanslutna datorer använder du grupprinciplösenordprinciper för datordomänerna och undantar dessa domäner från lösenordsprinciperna för Arbetsmappar. Du kan exkludera domäner med hjälp av cmdleten Set-Syncshare -PasswordAutoExcludeDomain när du har skapat synkroniseringsdelningen. Information om hur du anger lösenordsprinciper för grupprincip finns i Lösenordsprincip.

9. Granska dina val och slutför guiden för att skapa synkroniseringsdelningen.

Du kan skapa synkshares med hjälp av Windows PowerShell med cmdleten New-SyncShare. Nedan visas ett exempel på den här metoden:

New-SyncShare "HR Sync Share" K:\Share-1 –User "HR Sync Share Users"

I exemplet ovan skapas en ny synkroniseringsresurs med namnet HR Sync Share med sökvägen K:\Share-1och åtkomst beviljas till gruppen med namnet ANVÄNDARE av HR-synkroniseringsresurs

Steg 8: Om du vill kan du ange en e-postadress för teknisk support

När du har installerat Arbetsmappar på en filserver vill du förmodligen ange en e-postadress för administrativ kontakt för servern. Om du vill lägga till en e-postadress använder du följande procedur:

Ange ett e-postmeddelande för administrativ kontakt

1. I Serverhanteraren klickar du på Fil- och lagringstjänsteroch klickar sedan på Servrar.

2. Högerklicka på synkroniseringsservern och klicka sedan på Inställningar för arbetsmappar. Fönstret Inställningar för arbetsmappar visas.

3. I navigeringsfönstret klickar du på Support e-post och skriver sedan den e-postadress eller de adresser som användarna ska använda när de skickar e-post för hjälp med Arbetsmappar. Klicka på OK när du är klar.

   Användare av arbetsmappar kan klicka på en länk i kontrollpanelen för arbetsmappar som skickar ett e-postmeddelande som innehåller diagnostikinformation om klientdatorn till de adresser som du anger här.

Steg 9: Valfritt konfigurera automatisk serveridentifiering

Om du är värd för flera synkroniseringsservrar i din miljö bör du konfigurera automatisk serveridentifiering genom att fylla i egenskapen msDS-SyncServerURL på användarkonton i AD DS.

Innan du kan göra det måste du installera en Windows Server 2012 R2-domänkontrollant eller uppdatera skogs- och domänscheman med hjälp av kommandona Adprep /forestprep och Adprep /domainprep. Information om hur du kör dessa kommandon på ett säkert sätt finns i Köra Adprep.

Du vill förmodligen också skapa en säkerhetsgrupp för filserveradministratörer och ge dem delegerade behörigheter för att ändra det här specifika användarattributet, enligt beskrivningen i steg 5 och steg 6. Utan dessa steg skulle du behöva skaffa en medlem i gruppen Domänadministratörer eller Företagsadministratörer för att konfigurera automatisk identifiering för varje användare.

Så här anger du synkroniseringsservern för användare

1. Öppna Serverhanteraren på en dator med Active Directory Administrationsverktyg installerat.

2. På menyn Verktyg klickar du på Active Directory Administrationscenter. Active Directory Administrationscenter öppnas.

3. Navigera till containern Användare i rätt domän, högerklicka på den användare som du vill tilldela till en synkroniseringsresurs och klicka sedan på Egenskaper.

4. I navigeringsfönstret klickar du på Tillägg.

5. Klicka på fliken Attributredigerare , välj msDS-SyncServerUrl och klicka sedan på Redigera. Dialogrutan Flervärdessträngsredigerare visas.

6. I rutan Värde för att lägga till skriver du URL:en för synkroniseringsservern som du vill att användaren ska synkronisera med, klickar på Lägg till, klickar på OKoch klickar sedan på OK igen.

   Note

   Synkroniseringsserverns URL är helt enkelt https:// eller http:// (beroende på om du vill kräva en säker anslutning) följt av synkroniseringsserverns fullständigt kvalificerade domännamn. Till exempel https://sync1.contoso.com.

Om du vill fylla i attributet för flera användare använder du Active Directory PowerShell. Nedan visas ett exempel som fyller i attributet för alla medlemmar i gruppen HR Sync Share Users, som beskrivs i steg 5.

$SyncServerURL = "https://sync1.contoso.com"
$GroupName = "HR Sync Share Users"

Get-ADGroupMember -Identity $GroupName |
Set-ADUser –Add @{"msDS-SyncServerURL"=$SyncServerURL}

Steg 10: Du kan också konfigurera webbprogramproxy, Microsoft Entra-programproxy eller en annan omvänd proxy

Om du vill göra det möjligt för fjärranvändare att komma åt sina filer måste du publicera arbetsmappsservern via en omvänd proxy, vilket gör Arbetsmappar tillgängliga externt på Internet. Du kan använda Webbapplikationsproxy, Microsoft Entra-applikationsproxy eller en annan omvänd proxylösning.

Information om hur du konfigurerar åtkomst till arbetsmappar med AD FS och webbprogramproxy finns i Distribuera arbetsmappar med AD FS och webbprogramproxy (WAP). Bakgrundsinformation om webbprogramproxy finns i Webbprogramproxy i Windows Server 2016. Mer information om hur du publicerar program som Arbetsmappar på Internet med hjälp av webbprogramproxy finns i Publiceringsprogram med AD FS-förautentisering.

Information om hur du konfigurerar åtkomst till Arbetsmappar med hjälp av Microsoft Entra-programproxy finns i Aktivera fjärråtkomst till Arbetsmappar med hjälp av Microsoft Entra-programproxy

Steg 11: Du kan också använda grupprincip för att konfigurera domänanslutna datorer

Om du har ett stort antal domänanslutna datorer som du vill distribuera Arbetsmappar till kan du använda grupprincip för att utföra följande konfigurationsuppgifter för klientdatorer:

• Ange vilken synkroniseringsserver som användare ska synkronisera med

• Tvinga arbetsmappar att konfigureras automatiskt med hjälp av standardinställningar (granska grupprincipdiskussionen i Utforma en implementering av arbetsmappar innan du gör det)

  Om du vill styra de här inställningarna skapar du ett nytt grupprincipobjekt (GPO) för Arbetsmappar och konfigurerar sedan följande grupprincipinställningar efter behov:

• Principinställningen "Ange inställningar för arbetsmappar" i Användarkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Arbetsmappar

• Principinställningen "Framtvinga automatisk installation för alla användare" i Datorkonfiguration\Principer\Administrativa mallar\Windows-komponenter\Arbetsmappar

Se även

Mer relaterad information finns i följande resurser.