Planera distribution av arbetsmappar

Det här avsnittet förklarar designprocessen för en implementering av arbetsmappar och förutsätter att du har följande bakgrund:

• Ha en grundläggande förståelse för arbetsmappar (enligt beskrivningen i Arbetsmappar)

• Ha en grundläggande förståelse för AD DS-begrepp (Active Directory Domain Services)

• Ha en grundläggande förståelse för Fildelning i Windows och relaterade tekniker

• Ha en grundläggande förståelse för SSL-certifikatanvändning

• Ha en grundläggande förståelse för att aktivera webbåtkomst till interna resurser via en omvänd webbproxy

  Följande avsnitt hjälper dig att utforma implementeringen av arbetsmappar. Distribution av arbetsmappar beskrivs i nästa avsnitt , Distribuera arbetsmappar.

Programvarukrav

Arbetsmappar har följande programvarukrav för filservrar och din nätverksinfrastruktur:

• En server som kör Windows Server 2012 R2 eller Windows Server 2016 för att vara värd för synkroniseringsdelningar med användarfiler

• En volym formaterad med NTFS-filsystemet för lagring av användarfiler

• För att tillämpa lösenordspolicyer på Windows 7-datorer måste du använda Gruppolicy-lösenordspolicyer. Du måste också undanta Windows 7-datorerna från lösenordsprinciper för Arbetsmappar (om du använder dem).

• Ett servercertifikat för varje filserver som ska vara värd för Arbetsmappar. Dessa certifikat bör komma från en certifikatutfärdare (CA) som är betrodd av dina användare – helst en offentlig certifikatutfärdare.

• (Valfritt) En Active Directory Domain Services-skog med schematillägg i Windows Server 2012 R2 som stöd för automatiskt refererande datorer och enheter till rätt filserver när du använder flera filservrar.

För att göra det möjligt för användare att synkronisera över Internet finns det ytterligare krav:

• Möjligheten att göra en server tillgänglig från Internet genom att skapa publiceringsregler i organisationens omvända proxy eller nätverksgateway

• (Valfritt) Ett offentligt registrerat domännamn och möjligheten att skapa ytterligare offentliga DNS-poster för domänen

• (Valfritt) Active Directory Federation Services-infrastruktur (AD FS) när du använder AD FS-autentisering

Arbetsmappar har följande programvarukrav för klientdatorer:

• Datorer måste köra något av följande operativsystem:

  • Windows 10

  • Windows 8.1

  • Windows RT 8.1

  • Windows 7

  • Android 4.4 KitKat och senare

  • iOS 10.2 och senare

• Windows 7-datorer måste köra någon av följande utgåvor av Windows:

  • Windows 7 Professional

  • Windows 7 Ultimate

  • Windows 7 Enterprise

• Windows 7-datorer måste vara anslutna till organisationens domän (de kan inte anslutas till en arbetsgrupp).

• Tillräckligt med ledigt utrymme på en lokal, NTFS-formaterad enhet för att lagra alla användarens filer i Arbetsmappar, plus ytterligare 6 GB ledigt utrymme om Arbetsmappar finns på systemenheten, som det är som standard. Arbetsmappar använder följande plats som standard: %USERPROFILE%\Arbetsmappar

  Användare kan dock ändra platsen under installationen (microSD-kort och USB-enheter som är formaterade med NTFS-filsystemet stöds, men synkroniseringen stoppas om enheterna tas bort).

  Den maximala storleken för enskilda filer är som standard 10 GB. Det finns ingen lagringsgräns per användare, även om administratörer kan använda kvotfunktionerna i hanteraren för filserverresurser för att implementera kvoter.

• Arbetsmappar stöder inte återställning av tillståndet för virtuella klientdatorer. Utför i stället säkerhetskopierings- och återställningsåtgärder inifrån den virtuella klientdatorn med hjälp av System Image Backup eller en annan säkerhetskopieringsapp.

Distributionsscenarier

Arbetsmappar kan implementeras på valfritt antal filservrar i en kundmiljö. Detta gör att implementeringar av Arbetsmappar kan skalas baserat på kundernas behov och kan resultera i mycket individualiserade distributioner. De flesta distributioner hamnar dock i något av följande tre grundläggande scenarier.

Single-Site-utplacering

I en distribution med en enda plats finns filservrar på en central plats i kundens infrastruktur. Den här distributionstypen visas oftast hos kunder med en mycket centraliserad infrastruktur eller med mindre avdelningskontor som inte underhåller lokala filservrar. Den här distributionsmodellen kan vara enklare för IT-personal att administrera, eftersom alla servertillgångar är lokala och ingress/utgående internet sannolikt även centraliseras på den här platsen. Den här distributionsmodellen förlitar sig dock också på god WAN-anslutning mellan den centrala platsen och alla avdelningskontor, och användare på avdelningskontor är sårbara för avbrott i tjänsten på grund av nätverksförhållanden.

Multiple-Site-utplacering

I en distribution med flera platser finns filservrar på flera platser i kundens infrastruktur. Det kan innebära flera datacenter eller att avdelningskontor underhåller enskilda filservrar. Den här distributionstypen visas oftast i större kundmiljöer eller i kunder som har flera större avdelningskontor som underhåller lokala servertillgångar. Den här distributionsmodellen är mer komplex för IT-personal att administrera och förlitar sig på noggrann samordning av datalagring och underhåll av Active Directory Domain Services (AD DS) för att säkerställa att användarna använder rätt synkroniseringsserver för Arbetsmappar.

Värdbaserad distribution

I en värdbaserad distribution distribueras synkroniseringsservrar i en IAAS-lösning (infrastruktur som en tjänst), till exempel virtuell Windows Azure-dator. Den här distributionsmetoden har fördelen att göra tillgängligheten för filservrar mindre beroende av WAN-anslutning inom en kunds verksamhet. Om en enhet kan ansluta till Internet kan den komma till sin synkroniseringsserver. Servrarna som distribueras i den värdbaserade miljön måste dock fortfarande kunna nå organisationens Active Directory-domän för att autentisera användare, och kunden byter infrastrukturkrav lokalt för ytterligare komplexitet när det gäller att upprätthålla anslutningen.

Distribueringsteknologier

Distributioner av arbetsmappar består av ett antal tekniker som fungerar tillsammans för att tillhandahålla tjänster till enheter i både interna och externa nätverk. Innan du utformar en distribution av Arbetsmappar bör kunderna känna till kraven för var och en av följande tekniker.

Active Directory-domäntjänster

AD DS tillhandahåller två viktiga tjänster i en distribution av Arbetsmappar. Som serverdel för Windows-autentisering tillhandahåller AD DS först de säkerhets- och autentiseringstjänster som används för att bevilja åtkomst till användardata. Om det inte går att nå en domänkontrollant kan en filserver inte autentisera en inkommande begäran och enheten kommer inte att kunna komma åt data som lagras i filserverns synkroniseringsresurs.

För det andra underhåller AD DS (med schemauppdateringen för Windows Server 2012 R2) attributet msDS-SyncServerURL för varje användare, som används för att automatiskt dirigera användare till rätt synkroniseringsserver.

Filservrar

Filservrar som kör Windows Server 2012 R2 eller Windows Server 2016 är värdar för rolltjänsten Arbetsmappar och är värd för de synkroniseringsresurser som lagrar användarnas arbetsmappar. Filservrar kan också vara värdar för data som lagras av andra tekniker som arbetar i det interna nätverket (till exempel filresurser) och kan grupperas för att ge feltolerans för användardata.

Grupppolicy

Om du har Windows 7-datorer i din miljö rekommenderar vi följande:

• Använd grupprincip för att styra lösenordsprinciper för alla domänanslutna datorer som använder Arbetsmappar.

• Använd skärmen Arbetsmappar låses automatiskt och kräver en lösenordsprincip på datorer som inte är anslutna till din domän.

  Du kan också använda grupprincip för att ange en arbetsmappsserver till domänanslutna datorer. Detta förenklar konfigurationen av Arbetsmappar lite– användarna skulle annars behöva ange sin e-postadress för arbetet för att söka efter inställningarna (förutsatt att Arbetsmappar har konfigurerats korrekt) eller ange url:en för Arbetsmappar som du uttryckligen angav via e-post eller något annat kommunikationsmedel.

  Du kan också använda grupprincip för att med tvåman konfigurera arbetsmappar per användare eller per dator, men detta gör att Arbetsmappar synkroniseras på varje dator som en användare loggar in på (när de använder principinställningen per användare) och hindrar användare från att ange en alternativ plats för Arbetsmappar på datorn (till exempel på ett microSD-kort för att spara utrymme på den primära enheten). Vi rekommenderar att du noggrant utvärderar användarens behov innan du tvingar fram automatisk installation.

Windows Intune

Windows Intune ger också ett lager av säkerhet och hanterbarhet för icke-domänanslutna enheter som annars inte skulle finnas. Du kan använda Windows Intune för att konfigurera och hantera användarnas personliga enheter, till exempel surfplattor som ansluter till Arbetsmappar från hela Internet. Windows Intune kan ge enheter den synkroniseringsserver-URL som ska användas – annars måste användarna ange sin e-postadress för arbetet för att söka efter inställningarna (om du publicerar en offentlig URL för arbetsmappar i form av https://workfolders.contoso.com) eller ange synkroniseringsserverns URL direkt.

Utan en Windows Intune-distribution måste användarna konfigurera externa enheter manuellt, vilket kan leda till ökade krav på kundens supportpersonal.

Du kan också använda Windows Intune för att selektivt rensa data från Arbetsmappar på en användares enhet utan att påverka resten av deras data – praktiskt för om en användare lämnar organisationen eller får sin enhet stulen.

Webbapplikationsproxy eller Microsoft Entra-programproxy

Arbetsmappar bygger på konceptet att tillåta Internetanslutna enheter att hämta affärsdata på ett säkert sätt från det interna nätverket, vilket gör att användarna kan "ta med sig sina data" på sina surfplattor och enheter som normalt inte skulle kunna komma åt arbetsfiler. För att göra detta måste en omvänd proxy användas för att publicera url:er för synkroniseringsservern och göra dem tillgängliga för Internetklienter.

Arbetsmappar stöder användning av webbapplikationsproxy, Microsoft Entra-programproxy eller omvända proxy-lösningar från tredje part.

•  Web Application Proxy är en lokal lösning för omvänd proxy. Mer information finns i Webbprogramproxy i Windows Server 2016.

•  Microsoft Entra-programproxy är en omvänd proxylösning i molnet. Mer information finns i Så här ger du säker fjärråtkomst till lokala program

Ytterligare designöverväganden

Förutom att förstå var och en av de komponenter som anges ovan måste kunderna ägna tid åt sin design med att tänka på antalet synkroniseringsservrar och resurser som ska användas och om de ska utnyttja redundanskluster för att ge feltolerans på dessa synkroniseringsservrar

Antal synkroniseringsservrar

Det är möjligt för en kund att använda flera synkroniseringsservrar i en miljö. Detta kan vara en önskvärd konfiguration av flera orsaker:

• Geografisk distribution av användare – till exempel filservrar för avdelningskontor eller regionala datacenter

• Krav på datalagring – vissa företagsavdelningar kan ha specifika krav på datalagring eller hantering som är enklare med en dedikerad server

• Belastningsutjämning – i stora miljöer kan lagring av användardata på flera servrar öka serverns prestanda och drifttid.

  Information om skalning och prestanda för arbetsmappar finns i Prestandaöverväganden för distributioner av arbetsmappar.

Antal synkroniseringsdelningar

Enskilda synkroniseringsservrar kan hantera flera synkroniseringsdelningar. Detta kan vara användbart av följande skäl:

• Gransknings- och säkerhetskrav – Om data som används av en viss avdelning måste granskas eller behållas mer under en längre tid kan separata synkroniseringsresurser hjälpa administratörer att hålla användarmappar med olika granskningsnivåer åtskilda.

• Olika kvoter eller filskärmar – Om du vill ange olika lagringskvoter eller gränser för vilka filtyper som tillåts i Arbetsmappar (filgaller) för olika användargrupper kan separata synkroniseringsresurser hjälpa till.

• Avdelningskontroll – Om administrativa uppgifter distribueras av avdelning kan användning av separata resurser för olika avdelningar hjälpa administratörer att tillämpa kvoter eller andra principer.

• Olika enhetsprinciper – Om en organisation behöver underhålla flera enhetsprinciper (till exempel kryptering av arbetsmappar) för olika användargrupper möjliggör användning av flera resurser detta.

• Lagringskapacitet – Om en filserver har flera volymer kan ytterligare resurser användas för att dra nytta av dessa ytterligare volymer. En enskild resurs har endast åtkomst till den volym som den finns på och kan inte dra nytta av ytterligare volymer på en filserver.

Åtkomst till synkdelningar

Även om synkroniseringsservern som en användare har åtkomst till bestäms av den URL som anges på klienten (eller den URL som publicerats för användaren i AD DS när du använder automatisk identifiering av servern), bestäms åtkomsten till enskilda synkroniseringsresurser av de behörigheter som finns på resursen.

Om en kund är värd för flera synkroniseringsresurser på samma server måste det därför vara viktigt att se till att enskilda användare bara har behörighet att komma åt en av dessa resurser. Annars, när användarna ansluter till servern, kan deras klient ansluta till fel resurs. Detta kan åstadkommas genom att skapa en separat säkerhetsgrupp för varje synkroniseringsresurs.

Dessutom bestäms åtgången till en enskild användares mapp i en synkroniseringsdelning av ägarrättigheter för mappen. När du skapar en synkroniseringsresurs ger Arbetsmappar som standard användarna exklusiv åtkomst till sina egna filer (vilket inaktiverar arv och gör dem till ägare av sina individuella mappar).

Checklista för design

Följande uppsättning designfrågor är avsedda att hjälpa kunder att utforma en implementering av arbetsmappar som bäst hanterar deras miljö. Kunder bör gå igenom den här checklistan innan de försöker distribuera servrar.

• Avsedda användare

  • Vilka användare kommer att använda Arbetsmappar?

  • Hur organiseras användare? (Geografiskt, per kontor, avdelning osv.)

  • Har några användare särskilda krav för datalagring, säkerhet eller kvarhållning?

  • Har några användare specifika krav på enhetsprinciper, till exempel kryptering?

  • Vilka klientdatorer och enheter behöver du stöd för? (Windows 8.1, Windows RT 8.1, Windows 7)

    Om du stöder Windows 7-datorer och vill använda lösenordsprinciper undantar du domänen som lagrar deras datorkonton från lösenordsprincipen Arbetsmappar och använder i stället grupprinciplösenordprinciper för domänanslutna datorer i domänen.

  • Behöver du samverka med eller migrera från andra lösningar för hantering av användardata, till exempel mappomdirigering?

  • Behöver användare från flera domäner synkronisera över Internet med en enda server?

  • Behöver du stöd för användare som inte är medlemmar i gruppen Lokala administratörer på sina domänanslutna datorer? (I så fall måste du undanta relevanta domäner från enhetsprinciper för Arbetsmappar, till exempel krypterings- och lösenordsprinciper)

• Infrastruktur- och kapacitetsplanering

  • På vilka platser ska synkroniseringsservrar finnas i nätverket?

  • Kommer alla synkroniseringsservrar att hanteras av en IaaS-provider (Infrastruktur som en tjänst), till exempel på en virtuell Azure-dator?

  • Kommer dedikerade servrar att behövas för specifika användargrupper, och i så fall hur många användare för varje dedikerad server?

  • Var finns ingress-/utgående internetpunkter i nätverket?

  • Kommer synkroniseringsservrar att grupperas för feltolerans?

  • Behöver synkroniseringsservrar underhålla flera datavolymer som värd för användardata?

• Datasäkerhet

  • Måste flera synkroniseringsresurser skapas på alla synkroniseringsservrar?

  • Vilka grupper kommer att användas för att ge åtkomst till synkroniseringsresurser?

  • Om du använder flera synkroniseringsservrar, vilken säkerhetsgrupp skapar du för den delegerade möjligheten att ändra egenskapen msDS-SyncServerURL för användarobjekt?

  • Finns det några särskilda säkerhets- eller granskningskrav för enskilda synkdelningar?

  • Krävs multifaktorautentisering (MFA)?

  • Behöver du möjlighet att fjärr-radera data i Arbetsmappar från datorer och enheter?

• Enhetsåtkomst

  • Vilken URL används för att ge åtkomst till Internetbaserade enheter (standard-URL:en som krävs för e-postbaserad automatisk serveridentifiering är workfolders.domainname)?

  • Hur publiceras URL:en till Internet?

  • Kommer automatisk serveridentifiering att användas?

  • Kommer grupprincip att användas för att konfigurera domänanslutna datorer?

  • Kommer Windows Intune att användas för att konfigurera externa enheter?

  • Kommer enhetsregistrering att krävas för att enheter ska kunna ansluta?

Nästa steg

När du har skapat implementeringen av Arbetsmappar är det dags att distribuera Arbetsmappar. Mer information finns i Distribuera arbetsmappar.

Ytterligare referenser

Mer relaterad information finns i följande resurser.