Windows Server部署工作文件夹

部署工作文件夹

• 2017/06/24

适用于：Windows Server（半年频道）、Windows Server 2016、Windows Server 2012 R2、Windows 10、Windows 8.1、Windows 7

本主题介绍部署工作文件夹需要执行的步骤。 所述内容假设你已阅读规划工作文件夹部署。

若要部署工作文件夹（部署过程可能涉及到多个服务器和技术），请执行以下步骤。

提示

最简单的工作文件夹部署是不支持通过 Internet 同步的单一文件服务器（通常称为同步服务器），这种部署对于测试实验室而言可能非常有用，也可以用作已加入域的客户端计算机的同步解决方案。 若要创建简单部署，至少需要执行以下步骤：

· 步骤 1：获取 SSL 证书

· 步骤 2：创建 DNS 记录

· 步骤 3：在文件服务器上安装工作文件夹

· 步骤 4：在同步服务器上绑定 SSL 证书

· 步骤 5：创建工作文件夹的安全组

· 步骤 7：创建用户数据的同步共享

步骤 1：获取 SSL 证书

工作文件夹使用 HTTPS 以在工作文件夹客户端和工作文件夹服务器之间安全同步文件。 工作文件夹使用的 SSL 证书的要求如下：

· 该证书必须由受信任的证书颁发机构颁发。 对于大多数工作文件夹实施方案，建议使用公众信任的 CA，因为证书将由未加入域的、基于 Internet 的设备使用。

· 该证书必须有效。

· 该证书的私钥必须可导出（因为需要在多个服务器上安装该证书）。

· 证书使用者名称必须包含用于通过 Internet 发现工作文件夹服务时使用的公用工作文件夹 URL - 它必须采用格式 workfolders.<domain_name>。

· 使用者可选名称 (SAN) 必须在该证书中存在，其中列出了使用中的每个同步服务器的服务器名称。

工作文件夹证书管理博客提供了有关借助工作文件夹使用证书的其他信息。

步骤 2：创建 DNS 记录

若要允许用户通过 Internet 同步，必须在公用 DNS 中创建一个主机 (A) 记录，使 Internet 客户端能够解析你的工作文件夹 URL。 此 DNS 记录应解析为反向代理服务器的外部接口。

在内部网络上，在名为 workfolders 的 DNS 中创建 CNAME 记录，该 DNS 解析为工作文件夹服务器的 FDQN。 当工作文件夹客户端使用自动发现时，用于发现工作文件夹服务器的 URL 是 https://workfolders.domain.com。如果你打算使用自动发现，则 DNS 中必须存在工作文件夹 CNAME 记录。

步骤 3：在文件服务器上安装工作文件夹

可以使用服务器管理器或 Windows PowerShell，于本地或者通过网络以远程方式在已加入域的服务器上安装工作文件夹。 如果你要通过网络配置多个同步服务器，则这种做法将十分有效。

若要在服务器管理器中部署角色，请执行以下操作：

1. 启动添加角色和功能向导。

2. 在选择安装类型页页上择基于角色或基于功能的部署。

3. 在选择目标服务器页上，选择你要在其上安装工作文件夹的服务器。

4. 在选择服务器角色页上，依次展开文件和存储服务及文件和 iSCSI 服务，然后选择工作文件夹。

5. 当系统询问你是否想要安装 IIS 可承载 Web 核心时，请单击确定以安装工作文件夹所需最小版本的 Internet 信息服务 (IIS)。

6. 单击下一步，直到完成向导操作。

若要使用 Windows PowerShell 部署该角色，请使用以下 cmdlet：

PowerShell复制

Add-WindowsFeature FS-SyncShareService

步骤 4：在同步服务器上绑定 SSL 证书

工作文件夹将会安装 IIS 可承载 Web 核心，这是一个 IIS 组件，根据设计，使用它无需完整安装 IIS，就能启用 Web 服务。 安装 IIS 可承载 Web 核心后，应该将服务器的 SSL 证书绑定到文件服务器上的默认网站。 但是，IIS 可承载 Web 核心不会安装 IIS 管理控制台。

有两个选项可用于将证书绑定到默认 Web 接口。 若要使用其中的任一选项，你必须事先将证书的私钥安装到计算机的个人存储中。

· 在装有 IIS 管理控制台的服务器上使用该控制台。 从控制台内部连接到你要管理的文件服务器，然后选择该服务器的默认网站。 默认网站将显示为已禁用，但是，你仍可以编辑站点的绑定，并选择要绑定到该网站的证书。

· 使用 netsh 命令将证书绑定到默认网站 https 接口。 命令如下：

复制

netsh http add sslcert ipport=<IP address>:443 certhash=<Cert thumbprint> appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY

步骤 5：创建工作文件夹的安全组

在创建同步共享之前，域管理员组或企业管理员组的成员需要在 Active Directory 域服务 (AD DS) 中为工作文件夹创建一些安全组（可能还需要按步骤 6 中所述委派某种控制）。 下面是所需的组：

· 为每个同步共享创建一个组，用于指定允许哪些用户与该同步共享同步

· 为所有工作文件夹管理员创建一个组，使他们能够编辑每个用户对象上的某个属性，该属性可将用户链接到正确的同步服务器（如果你要使用多个同步服务器）

组应该遵守标准的命名约定，并且只应该用于工作文件夹，以免与其他安全要求造成潜在的冲突。

若要创建适当的安全组，请执行以下过程多次 - 针对每个同步共享执行一次，还有一次是为了有选择性地为文件服务器管理员创建组。

为工作文件夹创建安全组的步骤

1. 在装有 Active Directory 管理中心的 Windows Server 2012 R2 或 Windows Server 2016 计算机上打开服务器管理器。

2. 在工具菜单中单击 Active Directory 管理中心。 此时将出现 Active Directory 管理中心。

3. 右键单击你想要创建新组的容器（例如相应域或 OU 的用户容器），依次单击新建和组。

4. 在创建组窗口的组部分，指定以下设置：

· 在组名中键入安全组的名称，例如：HR Sync Share Users 或 Work Folders Administrators。

· 在组作用域中单击安全，然后单击全局。

5. 在成员部分中单击添加。 此时将出现“选择用户、联系人、计算机、服务帐户或组”对话框。

6. 键入你要向其授予对特定同步共享的访问权限的用户或组的名称（如果要创建一个组用于控制对同步共享的访问），或者键入工作文件夹管理员的名称（如果要配置用户帐户以自动发现相应的同步服务器），单击确定，然后再次单击确定。

若要使用 Windows PowerShell 创建安全组，请使用以下 cmdlet：

PowerShell复制

$GroupName = "Work Folders Administrators"

$DC = "DC1.contoso.com"

$ADGroupPath = "CN=Users,DC=contoso,DC=com"

$Members = "CN=Maya Bender,CN=Users,DC=contoso,DC=com","CN=Irwin Hume,CN=Users,DC=contoso,DC=com"

New-ADGroup -GroupCategory:"Security" -GroupScope:"Global" -Name:$GroupName -Path:$ADGroupPath -SamAccountName:$GroupName -Server:$DC

Set-ADGroup -Add:@{'Member'=$Members} -Identity:$GroupName -Server:$DC

步骤 6：（可选）向工作文件夹管理员委派用户属性控制

如果你正在部署多个同步服务器，并想要自动将用户定向到正确的同步服务器，则需要在 AD DS 中更新每个用户帐户的某个属性。 但是，这通常需要请求域管理员组或企业管理员组的成员更新属性，因此，如果你经常要添加用户或者在同步服务器之间移动用户，则很快就会感到厌烦。

出于此原因，域管理员组或企业管理员组的成员可能需要根据以下过程中所述，将修改用户对象的 msDS-SyncServerURL 属性的能力委派给你在步骤 5 中创建的工作文件夹管理员组。

在 AD DS 中委派编辑用户对象的 msDS-SyncServerURL 属性的能力

1. 在装有 Active Directory 用户和计算机的 Windows Server 2012 R2 或 Windows Server 2016 计算机上打开服务器管理器。

2. 在工具菜单上，单击 Active Directory 用户和计算机。 此时将出现 Active Directory 用户和计算机。

3. 右键单击其下的所有用户对象已在工作文件夹中存在的 OU（如果用户存储在多个 OU 或域中，请右键单击通用于所有用户的容器），然后单击委派控制...。 此时将出现控制委派向导。

4. 在用户或组页上，单击添加...， 然后指定你为工作文件夹管理员创建的组（如工作文件夹管理员）。

5. 在要委派的任务页上，单击创建要委派的自定义任务。

6. 在Active Directory 对象类型页上，单击仅限以下文件夹中的对象，然后选中用户对象复选框。

7. 在权限页上，清除常规复选框，选中特定于属性复选框，然后选中读取 msDS-SyncServerUrl 复选框和写入 msDS-SyncServerUrl 复选框。

若要使用 Windows PowerShell 委派编辑用户对象的 msDS-SyncServerURL 属性的能力，请使用以下包含 DsAcls 命令的示例脚本。

PowerShell复制

$GroupName = "Contoso\Work Folders Administrators"

$ADGroupPath = "CN=Users,dc=contoso,dc=com"

DsAcls $ADGroupPath /I:S /G ""$GroupName":RPWP;msDS-SyncServerUrl;user"

备注

在包含大量用户的域中，委派操作可能需要较长时间才能运行完毕。

步骤 7：创建用户数据的同步共享

现在，你已准备好在同步服务器上指定一个文件夹用于存储用户的文件。 此文件夹称为同步共享，你可以使用以下过程来创建。

1. 如果你尚未准备好一个有足够可用空间（可以存储同步共享及其包含的用户文件）的 NTFS 卷，请创建一个新卷并使用 Windows NT 文件系统将其格式化。

2. 在服务器管理器中，依次单击文件和存储服务和工作文件夹。

3. 细节窗格的顶部将显示所有现有同步共享的列表。 若要创建新的同步共享，请在任务菜单中选择新建同步共享...。 此时将出现新建同步共享向导。

4. 在选择服务器和路径页上，指定该同步共享要存储到的位置。 如果你已经为此用户数据创建了一个文件共享，则可以选择该共享。 你也可以创建一个新文件夹。

备注

默认情况下，无法通过文件共享直接访问同步共享（除非你选择了现有的文件共享）。 如果你想要通过文件共享使同步共享可以访问，请使用服务器管理器的共享磁贴或 New-SmbShare cmdlet 创建文件共享，最好还启用了基于访问权限的枚举。

5. 在指定用户文件夹的结构页上，选择用户文件夹在同步共享中的命名约定。 可以使用两个选项：

· 用户别名用于创建不包含域名的用户文件夹。 如果使用的文件共享已在文件夹重定向或其他用户数据解决方案中使用，请选择此命名约定。 （可选）你可以选中仅同步以下子文件夹复选框，以便仅同步特定的子文件夹（例如“文档”文件夹）。

· 用户 alias@domain 用于创建包含域名的用户文件夹。 如果你未使用已在文件夹重定向或其他用户数据解决方案中使用的文件共享，请选择此命名约定，以防在共享的多个用户具有相同的别名（当用户属于不同的域时，可能会发生这种情况）时出现文件夹命名冲突。

6. 在输入同步共享名称页上，指定该同步共享的名称和描述。 此信息不会在网络中播发，但会显示在服务器管理器和 Windows Powershell 中，以帮助将同步共享彼此区分开来。

7. 在向组授予同步访问权限页上，指定你创建的、列出了允许使用此同步共享的用户的组。

重要

若要提高性能和安全性，请向组而不是单个用户授予访问权限，并且应尽量具体，避免向“经过身份验证的用户”和“域用户”等常规组授予访问权限。 向包含大量用户的组授予访问权限会增加工作文件夹查询 AD DS 所花费的时间。 如果有大量的用户，请创建多个同步共享以帮助分散负载。

8. 在指定设备策略页上，指定是否在客户端电脑和设备上请求任何安全限制。 可以单独选择两个设备策略：

· 加密工作文件夹请求在客户端电脑和设备上加密工作文件夹

· 自动锁定屏幕，并要求输入密码请求客户端电脑和设备在 15 分钟后自动锁定其屏幕，要求输入包含六个或更多字符的密码来解锁屏幕，并在 10 次重试失败后激活设备锁定模式。

重要

若要强制执行 Windows 7 电脑和加入域的电脑上非管理员的密码策略，请将组策略密码策略用于计算机域，并将这些域从工作文件夹密码策略中排除。 创建同步共享后，你可以使用 Set-Syncshare -PasswordAutoExcludeDomain cmdlet 排除域。有关设置组策略密码策略的信息，请参阅密码策略。

9. 复查所做的选择，然后完成向导操作以创建同步共享。

通过 New-SyncShare cmdlet，你可以使用 Windows PowerShell 创建同步共享。 下面是此方法的一个示例：

PowerShell复制

New-SyncShare "HR Sync Share" K:\Share-1 –User "HR Sync Share Users"

以上示例将创建一个名为 Share01 的新同步共享，其路径为 K:\Share-1，其访问权限已授予名为 HR Sync Share Users 的组

提示

创建同步共享后，可以使用文件服务器资源管理器功能来管理共享中的数据。 例如，可以使用服务器管理器中“工作文件夹”页面内的配额磁贴来设置用户文件夹的配额。 还可以使用文件屏蔽管理来控制工作文件夹要同步的文件类型，或者，使用动态访问控制中所述的方案来完成更复杂的文件分类任务。

步骤 8：根据需要，指定一个技术支持电子邮件地址

在文件服务器上安装工作文件夹之后，你可能希望为服务器指定一个管理联系人电子邮件地址。 若要添加电子邮件地址，请执行以下过程：

指定管理联系人电子邮件

1. 在服务器管理器中，依次单击文件和存储服务和服务器。

2. 右键单击同步服务器，然后单击工作文件夹设置。 此时将出现“工作文件夹设置”窗口。

3. 在导航窗格中单击支持电子邮件，然后键入用户在通过电子邮件请求工作文件夹相关帮助时要使用的一个或多个电子邮件地址。 完成后单击确定。

工作文件夹用户可以在“工作文件夹控制面板”项中单击一个链接，将包含客户端电脑诊断信息的电子邮件发送到此处指定的地址。

步骤 9：根据需要，设置服务器自动发现

如果你在环境中托管了多个同步服务器，则应该通过在 AD DS 中填充用户帐户的 msDS-SyncServerURL 属性，来配置服务器自动发现。

备注

不应为通过 Web 应用程序代理或 Azure AD 应用程序代理等反向代理解决方案访问工作文件夹的远程用户定义 Active Directory 中的 msDS-SyncServerURL 属性。 如果定义了 msDS-SyncServerURL 属性，工作文件夹客户端将尝试访问无法通过反向代理解决方案访问的内部 URL。 使用 Web 应用程序代理或 Azure AD 应用程序代理时，需要为每个工作文件夹服务器创建唯一的代理应用程序。 有关详细信息，请参阅使用 AD FS 和 Web 应用程序代理部署工作文件夹：概述或使用 Azure AD 应用程序代理部署工作文件夹。

在执行此操作之前，必须先安装 Windows Server 2012 R2 域控制器，或使用 Adprep /forestprep 和 Adprep /domainprep 命令更新林和域的架构。有关如何安全地运行这些命令的信息，请参阅运行 Adprep。

你也许还想要根据步骤 5 和步骤 6 中所述为文件服务器管理员创建安全组，并向他们委派修改此特定用户属性的权限。 如果不执行这些步骤，则你需要请求域管理员组或企业管理员组的成员为每个用户配置自动发现。

为用户指定同步服务器的步骤

1. 在装有 Active Directory 管理工具的计算机上打开服务器管理器。

2. 在工具菜单中单击 Active Directory 管理中心。 此时将出现 Active Directory 管理中心。

3. 导航到相应域中的用户容器，右键单击想要分配到同步共享的用户，然后单击属性。

4. 在导航窗格中单击扩展。

5. 单击属性编辑器选项卡，选择 msDS-SyncServerUrl，然后单击编辑。 此时将出现“多值字符串编辑器”对话框。

6. 在要添加的值框中，键入要与此用户同步的同步服务器的 URL，然后依次单击添加、确定、确定。

备注

同步服务器 URL 无非是 https:// 或 http://（取决于你是否需要使用安全连接）后接同步服务器的完全限定域名。 例如 https://sync1.contoso.com。

若要填充多个用户的属性，请使用 Active Directory PowerShell。 下面是填充步骤 5 中所述的 HR Sync Share Users 组的所有成员的该属性的示例。

PowerShell复制

$SyncServerURL = "https://sync1.contoso.com"

$GroupName = "HR Sync Share Users"

Get-ADGroupMember -Identity $GroupName |

Set-ADUser –Add @{"msDS-SyncServerURL"=$SyncServerURL}

步骤 10：根据需要，配置 Web 应用程序代理、Azure AD 应用程序代理或其他反向代理

若要使远程用户能够访问文件，需要通过反向代理发布工作文件夹服务器，以便在 Internet 上从外部使用工作文件夹。 可以使用 Web 应用程序代理、Azure Active Directory 应用程序代理或其他反向代理解决方案。

若要使用 AD FS 和 Web 应用程序代理配置工作文件夹访问权限，请参阅使用 AD FS 和 Web 应用程序代理 (WAP) 部署工作文件夹。 有关 Web 应用程序代理的背景信息，请参阅 Windows Server 2016 中的 Web 应用程序代理。 有关使用 Web 应用程序代理在 Internet 上发布应用程序（如工作文件夹）的详细信息，请参阅使用 AD FS 预身份验证发布应用程序。

若要使用 Azure Active Directory 应用程序代理配置工作文件夹访问权限，请参阅使用 Azure Active Directory 应用程序代理启用对工作文件夹的远程访问

步骤 11：根据需要，使用组策略来配置已加入域的电脑

如果你要向大量已加入域的电脑部署工作文件夹，可以使用组策略来完成以下客户端电脑配置任务：

· 指定要与哪些同步服务器用户同步

· 使用默认设置强制自动设置工作文件夹（在执行此操作之前，请回顾设计工作文件夹实施方案中有关组策略的内容）

若要控制这些设置，请为工作文件夹创建一个新的组策略对象 (GPO)，然后相应地配置以下组策略设置：

· User Configuration\Policies\Administrative Templates\Windows Components\WorkFolders 中的“指定工作文件夹设置”策略设置

· Computer Configuration\Policies\Administrative Templates\Windows Components\WorkFolders 中的“强制为所有用户自动设置”策略设置

备注

仅当从运行组策略管理的 Windows 8.1、Windows Server 2012 R2 或更高版本的计算机编辑组策略时，这些策略设置才可用。 早期操作系统中的组策略管理版本未提供此项设置。 这些策略设置确实适用于安装了适用于 Windows 7 的工作文件夹应用的 Windows 7 电脑。