Work Folders overview
Applies to: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, Windows 8.1, Windows 7
This topic discusses Work Folders, a role service for file servers running Windows Server that provides a consistent way for users to access their work files from their PCs and devices.
If you’re looking to download or use Work Folders on Windows 10, Windows 7, or an Android or iOS device, see the following:
Role description
With Work Folders users can store and access work files on personal computers and devices, often referred to as bring-your-own device (BYOD), in addition to corporate PCs. Users gain a convenient location to store work files, and they can access them from anywhere. Organizations maintain control over corporate data by storing the files on centrally managed file servers, and optionally specifying user device policies such as encryption and lock-screen passwords.
Work Folders can be deployed with existing deployments of Folder Redirection, Offline Files, and home folders. Work Folders stores user files in a folder on the server called a sync share. You can specify a folder that already contains user data, which enables you to adopt Work Folders without migrating servers and data or immediately phasing out your existing solution.
Practical applications
Administrators can use Work Folders to provide users with access to their work files while keeping centralized storage and control over the organization’s data. Some specific applications for Work Folders include:
Provide a single point of access to work files from a user’s work and personal computers and devices
Access work files while offline, and then sync with the central file server when the PC or device next has Internet or intranet connectivity
Deploy with existing deployments of Folder Redirection, Offline Files, and home folders
Use existing file server management technologies, such as file classification and folder quotas, to manage user data
Specify security policies to instruct user’s PCs and devices to encrypt Work Folders and use a lock screen password
Use Failover Clustering with Work Folders to provide a high-availability solution
Important functionality
Work Folders includes the following functionality.
| Functionality | Availability | Description |
|---|---|---|
| Work Folders role service in Server Manager | Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2 | File and Storage Services provides a way to set up sync shares (folders that store user’s work files), monitors Work Folders, and manages sync shares and user access |
| Work Folders cmdlets | Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2 | A Windows PowerShell module that contains comprehensive cmdlets for managing Work Folders servers |
| Work Folders integration with Windows | Windows 10 Windows 7 (download required) | Work Folders provides the following functionality in Windows computers: — A Control Panel item that sets up and monitors Work Folders |
| Work Folders app for devices | Android Apple iPhone and iPadВ® | An app that allows popular devices to access files in Work Folders |
New and changed functionality
The following table describes some of the major changes in Work Folders.
| Feature/functionality | New or updated? | Description |
|---|---|---|
| Improved logging | New in Windows Server 2019 | Event logs on the Work Folders server can be used to monitor sync activity and identify users that are failing sync sessions. Use Event ID 4020 in the Microsoft-Windows-SyncShare/Operational event log to identify which users are failing sync sessions. Use Event ID 7000 and Event ID 7001 in the Microsoft-Windows-SyncShare/Reporting event log to monitor users that are successfully completing upload and download sync sessions. |
| Performance counters | New in Windows Server 2019 | The following performance counters were added: Bytes downloaded/sec, Bytes uploaded/sec, Connected Users, Files downloaded/sec, Files uploaded/sec, Users with change detection, Incoming requests/sec and Outstanding requests. |
| Improved server performance | Updated in Windows Server 2019 | Performance improvements were made to handle more users per server. The limit per server varies and is based on the number of files and file churn. To determine the limit per server, users should be added to the server in phases. |
| On-demand file access | Added to Windows 10 version 1803 | Enables you to see and access all of your files. You control which files are stored on your PC and available offline. The rest of your files are always visible and don’t take up any space on your PC, but you need connectivity to the Work Folders file server to access them. |
| Azure AD Application Proxy support | Added to Windows 10 version 1703, Android, iOS | Remote users can securely access their files on the Work Folders server using Azure AD Application Proxy. |
| Faster change replication | Updated in Windows 10 and Windows Server 2016 | For Windows Server 2012 R2, when file changes are synced to the Work Folders server, clients are not notified of the change and wait up to 10 minutes to get the update. When using Windows Server 2016, the Work Folders server immediately notifies Windows 10 clients and the file changes are synced immediately. This capability is new in Windows Server 2016 and requires a Windows 10 client. If you’re using an older client or the Work Folders server is Windows Server 2012 R2, the client will continue to poll every 10 minutes for changes. |
| Integrated with Windows Information Protection (WIP) | Added to Windows 10 version 1607 | If an administrator deploys WIP, Work Folders can enforce data protection by encrypting the data on the PC. The encryption is using a key associated with the Enterprise ID, which can be remotely wiped by using a supported mobile device management package such as Microsoft Intune. |
Software requirements
Work Folders has the following software requirements for file servers and your network infrastructure:
A server running Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2 for hosting sync shares with user files
A volume formatted with the NTFS file system for storing user files
To enforce password policies on Windows 7 PCs, you must use Group Policy password policies. You also have to exclude the Windows 7 PCs from Work Folders password policies (if you use them).
A server certificate for each file server that will host Work Folders. These certificates should be from a certification authority (CA) that is trusted by your users—ideally a public CA.
(Optional) An Active Directory Domain Services forest with the schema extensions in Windows Server 2012 R2 to support automatically referring PCs and devices to the correct file server when using multiple file servers.
To enable users to sync across the Internet, there are additional requirements:
The ability to make a server accessible from the Internet by creating publishing rules in your organization’s reverse proxy or network gateway
(Optional) A publicly registered domain name and the ability to create additional public DNS records for the domain
(Optional) Active Directory Federation Services (AD FS) infrastructure when using AD FS authentication
Work Folders has the following software requirements for client computers:
PCs and devices must be running one of the following operating systems:
Android 4.4 KitKat and later
Windows 7 PCs must be running one of the following editions of Windows:
Windows 7 Professional
Windows 7 Ultimate
Windows 7 Enterprise
Windows 7 PCs must be joined to your organization’s domain (they can’t be joined to a workgroup).
Enough free space on a local, NTFS-formatted drive to store all the user’s files in Work Folders, plus an additional 6 GB of free space if Work Folders is located on the system drive, as it is by default. Work Folders uses the following location by default: %USERPROFILE%\Work Folders
However, users can change the location during setup (microSD cards and USB drives formatted with the NTFS file system are supported locations, though sync will stop if the drives are removed).
The maximum size for individual files is 10 GB by default. There is no per-user storage limit, although administrators can use the quotas functionality of File Server Resource Manager to implement quotas.
Work Folders doesn’t support rolling back the virtual machine state of client virtual machines. Instead perform backup and restore operations from inside the client virtual machine by using System Image Backup or another backup app.
Work Folders compared to other sync technologies
The following table discusses how various Microsoft sync technologies are positioned and when to use each.
| Work Folders | Offline Files | OneDrive for Business | OneDrive | |
|---|---|---|---|---|
| Technology summary | Syncs files that are stored on a file server with PCs and devices | Syncs files that are stored on a file server with PCs that have access to the corporate network (can be replaced by Work Folders) | Syncs files that are stored in Microsoft 365 or in SharePoint with PCs and devices inside or outside a corporate network, and provides document collaboration functionality | Syncs personal files that are stored in OneDrive with PCs, Mac computers, and devices |
| Intended to provide user access to work files | Yes | Yes | Yes | No |
| Cloud service | None | None | Microsoft 365 | Microsoft OneDrive |
| Internal network servers | File servers running Windows Server 2012 R2, Windows Server 2016, and Windows Server 2019 | File servers | SharePoint server (optional) | None |
| Supported clients | PCs, iOS, Android | PCs in a corporate network or connected through DirectAccess, VPNs, or other remote access technologies | PCs, iOS, Android, Windows Phone | PCs, Mac computers, Windows Phone, iOS, Android |
In addition to the sync technologies listed in the previous table, Microsoft offers other replication technologies, including DFS Replication, which is designed for server-to-server replication, and BranchCache, which is designed as a branch office WAN acceleration technology. For more information, see DFS Namespaces and DFS Replication and BranchCache Overview
Server Manager information
Work Folders is part of the File and Storage Services role. You can install Work Folders by using the Add Roles and Features Wizard or the Install-WindowsFeature cmdlet. Both methods accomplish the following:
Adds the Work Folders page to File and Storage Services in Server Manager
Installs the Windows Sync Shares service, which is used by Windows Server to host sync shares
Installs the SyncShare Windows PowerShell module to manage Work Folders on the server
Interoperability with Windows Azure virtual machines
You can run this Windows Server role service on a virtual machine in Windows Azure. This scenario has been tested with Windows Server 2012 R2, Windows Server 2016, and Windows Server 2019.
To learn about how to get started with Windows Azure virtual machines, visit the Windows Azure web site.
Планирование развертывания рабочих папок Planning a Work Folders deployment
Область применения: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10, Windows 8.1, Windows 7 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10, Windows 8.1, Windows 7
В этой статье описан процесс проектирования реализации рабочих папок; предполагается наличие следующих знаний: This topic explains the design process for a Work Folders implementation, and assumes that you have the following background:
базовое представление о рабочих папках (см. статью Рабочие папки); Have a basic understanding of Work Folders (as described in Work Folders)
базовое представление о принципах доменных служб Active Directory (AD DS), Have a basic understanding of Active Directory Domain Services (AD DS) concepts
базовое представление об общем доступе к файлам Windows и связанных технологиях, Have a basic understanding of Windows file sharing and related technologies
базовое представление об использовании сертификата SSL, Have a basic understanding of SSL certificate usage
базовое представление о предоставлении веб-доступа к внутренним ресурсам через обратный веб-прокси. Have a basic understanding of enabling web access to internal resources via a web reverse proxy
Следующие разделы помогут вам при проектировании реализации рабочих папок. The following sections will help you design your Work Folders implementation. Развертывание рабочих папок обсуждается в следующей статье о развертывании рабочих папок. Deploying Work Folders is discussed in the next topic, Deploying Work Folders.
Требования к программному обеспечению Software requirements
Рабочие папки предъявляют следующие требования к программному обеспечению файловых серверов и сетевой инфраструктуры: Work Folders has the following software requirements for file servers and your network infrastructure:
сервер под управлением Windows Server 2012 R2 или Windows Server 2016 для размещения синхронизируемых общих папок с файлами пользователей; A server running Windows Server 2012 R2 or Windows Server 2016 for hosting sync shares with user files
Том, отформатированный в файловой системе NTFS, для хранения пользовательских файлов. A volume formatted with the NTFS file system for storing user files
Для принудительного применения политики паролей на ПК под управлением Windows 7 необходимо использовать групповые политики паролей. To enforce password policies on Windows 7 PCs, you must use Group Policy password policies. Также следует исключить компьютеры под управлением Windows 7 из политик пароля рабочих папок (если они используются). You also have to exclude the Windows 7 PCs from Work Folders password policies (if you use them).
Сертификат сервера для каждого файлового сервера, на котором будут размещаться рабочие папки. A server certificate for each file server that will host Work Folders. Эти сертификаты должны быть выданы центром сертификации (ЦС), которому доверяют пользователи — в идеале общедоступным ЦС; These certificates should be from a certification authority (CA) that is trusted by your users—ideally a public CA.
(необязательно) лес доменных служб Active Directory с расширениями схемы в Windows Server 2012 R2 для автоматического обращения компьютеров и устройств к правильному файловому серверу при использовании нескольких файловых серверов; (Optional) An Active Directory Domain Services forest with schema extensions in Windows Server 2012 R2 to support automatically referring PCs and devices to the correct file server when using multiple file servers.
Чтобы обеспечить пользователям возможность синхронизации через Интернет, необходимо выполнить дополнительные требования: To enable users to sync across the Internet, there are additional requirements:
возможность предоставить доступ к серверу через Интернет путем создания правил публикации на обратном прокси-сервере организации или сетевом шлюзе; The ability to make a server accessible from the Internet by creating publishing rules in your organization’s reverse proxy or network gateway
(необязательно) открыто зарегистрированное доменное имя и возможность создать дополнительные общедоступные записи DNS для домена; (Optional) A publicly registered domain name and the ability to create additional public DNS records for the domain
(Необязательно) Инфраструктура служб федерации Active Directory (AD FS) при использовании проверки подлинности AD FS. (Optional) Active Directory Federation Services (AD FS) infrastructure when using AD FS authentication
Рабочие папки предъявляют следующие требования к программному обеспечению клиентских компьютеров: Work Folders has the following software requirements for client computers:
Компьютеры должны работать под управлением одной из следующих операционных систем: Computers must be running one of the following operating systems:
быть под управлением ОС Windows 10; Windows 10
Windows 8.1 Windows 8.1
Windows RT 8.1 Windows RT 8.1
Windows 7 Windows 7
Android 4.4 KitKat и более поздние версии; Android 4.4 KitKat and later
iOS 10.2 и более поздних версий. iOS 10.2 and later
На ПК под управлением Windows 7 должна быть установлена одна из следующих версий Windows: Windows 7 PCs must be running one of the following editions of Windows:
Windows 7 Профессиональная Windows 7 Professional
Windows 7 Максимальная Windows 7 Ultimate
Windows 7 Корпоративная Windows 7 Enterprise
Компьютеры с Windows 7 должны быть присоединены к домену организации (их нельзя присоединить к рабочей группе). Windows 7 PCs must be joined to your organization’s domain (they can’t be joined to a workgroup).
Достаточное свободное пространство на локальном диске, отформатированном в NTFS, для хранения всех пользовательских файлов в рабочих папках, а также 6 ГБ дополнительного свободного пространства, если рабочие папки размещаются на системном диске (по умолчанию). Enough free space on a local, NTFS-formatted drive to store all the user’s files in Work Folders, plus an additional 6 GB of free space if Work Folders is located on the system drive, as it is by default. По умолчанию расположение рабочих папок следующее: %USERPROFILE%\Work Folders Work Folders uses the following location by default: %USERPROFILE%\Work Folders
Однако пользователи могут изменить это расположение во время установки (поддерживается размещение на картах microSD и USB-накопителях, отформатированных в файловой системе NTFS, хотя в случае удаления накопителей синхронизация будет прекращена). However, users can change the location during setup (microSD cards and USB drives formatted with the NTFS file system are supported locations, though sync will stop if the drives are removed).
Максимальный размер отдельного файла по умолчанию составляет 10 ГБ. The maximum size for individual files is 10 GB by default. Размер хранилища на пользователя не ограничен, но администраторы могут установить квоты при помощи функции диспетчера ресурсов файлового сервера. There is no per-user storage limit, although administrators can use the quotas functionality of File Server Resource Manager to implement quotas.
Рабочие папки не поддерживают откат состояния клиентских виртуальных машин. Work Folders doesn’t support rolling back the virtual machine state of client virtual machines. Вместо этого операции архивации и восстановления выполняются на клиентских виртуальных машинах с помощью компонента «Резервная копия образа системы» или другого приложения для архивации. Instead perform backup and restore operations from inside the client virtual machine by using System Image Backup or another backup app.
Установите накопительный пакет обновления общей доступности для Windows 8.1 и Windows Server 2012 R2 на все серверы рабочих папок и все клиентские компьютеры с Windows 8.1 или Windows Server 2012 R2. Make sure to install the Windows 8.1 and Windows Server 2012 R2 General Availability update rollup on all Work Folders servers and any client computers running Windows 8.1 or Windows Server 2012 R2. Дополнительную информацию см. в статье 2883200 в библиотеке базы знаний Майкрософт. For more information, see article 2883200 in the Microsoft Knowledge Base.
Сценарии развертывания Deployment scenarios
Рабочие папки можно реализовать на любом числе файловых серверов в пользовательской среде. Work Folders can be implemented on any number of file servers within a customer environment. Это позволяет масштабировать реализацию рабочих папок в зависимости от потребностей клиента и в итоге создавать развертывания с высоким уровнем персонализации. This allows Work Folders implementations to scale based on customer needs and can result in highly individualized deployments. Однако большинство развертываний относятся к одному из следующих трех основных сценариев. However, most deployments will fall into one of the following three basic scenarios.
Односайтовое развертывание Single-Site Deployment
При односайтовом развертывании файловые серверы размещены на центральном узле в инфраструктуре клиента. In a single-site deployment, file servers are hosted within a central site in the customer infrastructure. Этот тип развертывания наиболее часто встречается у клиентов с высоким уровнем централизации инфраструктуры или с небольшими филиалами, в которых отсутствуют локальные файловые серверы. This deployment type is seen most often in customers with a highly centralized infrastructure or with smaller branch offices that do not maintain local file servers. Такая модель развертывания проще в администрировании для ИТ-персонала, поскольку все серверные ресурсы размещены локально, а входной и выходной интернет-трафик также обычно централизованно управляется из этого же узла. This deployment model can be easier for IT staff to administer, since all server assets are local, and internet ingress/egress is likely centralized at this location as well. Однако для данной модели развертывания требуется надежное подключение WAN между центральным узлом и всеми филиалами, и пользователи в филиалах подвержены риску нарушения обслуживания из-за состояния сети. However, this deployment model also relies on good WAN connectivity between the central site and any branch offices, and users in branch offices are vulnerable to an interruption of service due to network conditions.
Многосайтовое развертывание Multiple-Site Deployment
При многосайтовом развертывании файловые серверы размещены на нескольких узлах в инфраструктуре клиента. In a multiple-site deployment, file servers are hosted in multiple locations within the customer’s infrastructure. Это бывает в случае нескольких центров обработки данных или при наличии отдельных файловых серверов в филиалах. This could mean multiple datacenters or it could mean that branch offices maintain individual file servers. Такой тип развертывания наиболее часто встречается в крупных пользовательских средах или в компаниях с несколькими крупными филиалами, имеющими локальные серверные ресурсы. This deployment type is seen most often in larger customer environments or in customers that have several larger branch offices that maintain local server assets. Такая модель развертывания сложнее в администрировании для ИТ-персонала, а также требует точной координации хранения данных и обслуживания доменных служб Active Directory (AD DS), чтобы пользователи обращались к правильному серверу синхронизации для рабочих папок. This deployment model is more complex for IT personnel to administer, and relies on careful coordination of data storage and maintenance of Active Directory Domain Services (AD DS) to ensure that users are using the correct sync server for Work Folders.
Размещенное развертывание Hosted Deployment
При размещенном развертывании серверы синхронизации развертываются в среде IAAS («инфраструктура как услуга») — например, на виртуальной машине Windows Azure. In a hosted deployment, sync servers are deployed in an IAAS (Infrastructure-as-a-Service) solution such as Windows Azure VM. Преимущество этого метода развертывания заключается в том, что доступность файловых серверов меньше зависит от подключения WAN на предприятии клиента. This deployment method has the advantage of making the availability of file servers less dependent on WAN connectivity within a customer’s business. Если устройство способно подключаться к Интернету, оно может получить доступ к серверу синхронизации. If a device is able to connect to the Internet, it can get to its sync server. Однако при размещенном развертывании серверам по-прежнему нужен доступ к домену Active Directory организации, чтобы проводить проверку подлинности пользователей, и клиент тратит дополнительные ресурсы на поддержание такого подключения, пренебрегая требованиями локальной инфраструктуры. However, the servers deployed in the hosted environment still need to be able to reach the organization’s Active Directory domain to authenticate users, and the customer trades infrastructure requirements on-premises for additional complexity in maintaining that connection.
Технологии развертывания Deployment technologies
Развертывание рабочих папок использует несколько технологий, которые в совокупности обеспечивают обслуживание устройств во внутренней и внешней сетях. Work Folders deployments consist of a number of technologies that work together to provide service to devices on both the internal and external networks. Прежде чем проектировать развертывание рабочих папок, клиентам следует ознакомиться с требованиями каждой из следующих технологий. Before designing a Work Folders deployment, customers should be familiar with the requirements of each of the following technologies.
Доменные службы Active Directory Active Directory Domain Services
Службы AD DS предоставляют две важные услуги в развертывании рабочих папок. AD DS provides two important services in a Work Folders deployment. Во-первых, в качестве серверного компонента для проверки подлинности Windows службы AD DS предоставляют услуги безопасности и проверки подлинности, которые используются для обеспечения доступа к пользовательским данным. First, as the back-end for Windows authentication, AD DS provides the security and authentication services that are used to grant access to user data. Если контроллер домена недоступен, файловый сервер не сможет выполнить проверку подлинности входящего запроса и устройство не получит доступ к данным, хранящимся на общем ресурсе синхронизации этого файлового сервера. If a domain controller cannot be reached, a file server will be unable to authenticate an incoming request and the device will not be able to access any data stored in that file server’s sync share.
Во-вторых, службы AD DS (с обновлением схемы Windows Server 2012 R2) поддерживают атрибут msDS-SyncServerURL для каждого пользователя. При помощи этого атрибута пользователи автоматически перенаправляются на соответствующий сервер синхронизации. Second, AD DS (with the Windows Server 2012 R2 schema update) maintains the msDS-SyncServerURL attribute on each user, which is used to automatically direct users to the appropriate sync server.
Файловые серверы File Servers
На файловых серверах под управлением Windows Server 2012 R2 или Windows Server 2016 размещаются служба роли рабочих папок и общие ресурсы синхронизации, на которых хранятся данные пользовательских рабочих папок. File servers running Windows Server 2012 R2 or Windows Server 2016 host the Work Folders role service, and host the sync shares that store users’ Work Folders data. На файловых серверах могут также размещаться данные, для хранения которых применяются другие технологии во внутренней сети (например, общие файловые ресурсы). Файловые серверы могут объединяться в кластеры для обеспечения отказоустойчивости пользовательских данных. File servers can also host data stored by other technologies operating on the internal network (such as file shares), and can be clustered to provide fault tolerance for user data.
Групповая политика Group Policy
При наличии компьютеров под управлением Windows 7 в вашей среде рекомендуется следующее. If you have Windows 7 PCs in your environment, we recommend the following:
Используйте групповую политику для управления политиками паролей для всех присоединенных к домену компьютеров, использующих рабочие папки. Use Group Policy to control password policies for all domain-joined PCs that use Work Folders.
Используйте Автоматическое блокирование рабочих папок и запросите политику паролей на компьютерах, которые не присоединены к вашему домену. Use the Work Folders Automatically lock screen, and require a password policy on PCs that aren’t joined to your domain.
При помощи групповой политики можно также задать сервер рабочих папок для компьютеров, присоединенных к домену. You can also use Group Policy to specify a Work Folders server to domain-joined PCs. Это немного упрощает настройку рабочих папок, поскольку иначе пользователям потребовалось бы ввести свой рабочий адрес электронной почты для просмотра параметров (предполагая, что рабочие папки настроены правильно) или ввести URL-адрес рабочих папок, предоставленный им явным образом по электронной почте или другим способом. This simplifies Work Folders setup a little bit– users would otherwise need to enter their work email address to lookup the settings (assuming that Work Folders is set up properly), or enter the Work Folders URL that you explicitly provided them via email or another means of communication.
Можно также использовать групповую политику, чтобы принудительно настроить рабочие папки для каждого пользователя или компьютера, хотя в этом случае рабочие папки будут синхронизироваться на каждом компьютере, на котором пользователь выполнил вход (при настройке политики для каждого пользователя), и пользователи не смогут указать иное место для рабочих папок на своих компьютерах (например, карту microSD, чтобы сэкономить место на основном диске). You can also use Group Policy to forcibly set up Work Folders on a per-user or per-computer basis, though doing so causes Work Folders to sync on every PC a user signs in to (when using the per-user policy setting), and prevents users from specifying an alternate location for Work Folders on their PC (such as on a microSD card to conserve space on the primary drive). Рекомендуется тщательно проанализировать потребности пользователей, прежде чем проводить принудительную автоматическую установку. We suggest carefully evaluating your user’s needs before forcing automatic setup.
Windows Intune Windows Intune
Windows Intune также обеспечивает определенный уровень безопасности и управляемости для устройств, не присоединенных к домену, которые иначе не были бы представлены. Windows Intune also provides a layer of security and manageability for non-domain-joined devices that would not otherwise be present. При помощи Windows Intune можно настраивать личные устройства пользователей — например, планшеты, подключающиеся к рабочим папкам через Интернет, — и управлять такими устройствами. You can use Windows Intune to configure and manage users’ personal devices such as tablets that connect to Work Folders from across the Internet. Windows Intune может предоставлять устройства с использованием URL-адреса сервера синхронизации. в противном случае пользователи должны ввести свой рабочий адрес электронной почты для поиска параметров (при публикации URL-адреса общедоступных рабочих папок в формате https://workfolders . contoso.com) или введите URL-адрес сервера синхронизации напрямую. Windows Intune can provide devices with the sync server URL to use – otherwise users must enter their work email address to lookup the settings (if you publish a public Work Folders URL in the form of https://workfolders.contoso.com), or enter the sync server URL directly.
Без развертывания Windows Intune пользователи должны вручную настраивать внешние устройства, что может увеличить нагрузку на персонал службы технической поддержки клиента. Without a Windows Intune deployment, users must configure external devices manually, which can result in increased demands on a customer’s help desk staff.
Можно также использовать Windows Intune для выборочного удаления данных из рабочих папок на пользовательском устройстве, не затрагивая остальные данные. Это удобно, если пользователь увольняется из организации или его устройство украли. You can also use Windows Intune to selectively wipe the data from Work Folders on a user’s device without affecting the rest of their data – handy for if a user leaves your organization or has their device stolen.
Прокси-сервер веб-приложения и прокси-сервер приложения Azure AD Web Application Proxy/Azure AD Application Proxy
Основная идея рабочих папок заключается в обеспечении для устройств, подключенных к Интернету, возможности безопасно получать бизнес-данные из внутренней сети. Это позволяет пользователям переносить данные на своих планшетах и устройствах, которые обычно не имеют доступа к рабочим файлам. Work Folders is built around the concept of allowing Internet-connected devices to retrieve business data securely from the internal network, which allows users to «take their data with them» on their tablets and devices that would not normally be able to access work files. Для реализации этой идеи должен использоваться обратный прокси-сервер, чтобы публиковать URL-адреса серверов синхронизации и предоставлять интернет-клиентам доступ к ним. To do this, a reverse proxy must be used to publish sync server URLs and make them available to Internet clients.
Рабочие папки поддерживают использование прокси-сервера веб-приложения, прокси-сервера приложения Azure AD или обратных прокси-серверов сторонних производителей: Work Folders supports using Web Application Proxy, Azure AD Application Proxy or 3rd party reverse proxy solutions:
Прокси-сервер веб-приложения — это обратный прокси-сервер для локальной среды. Web Application Proxy is an on-premises reverse proxy solution. Дополнительные сведения см. в статье, посвященной Прокси-серверу веб-приложения в Windows Server 2016. To learn more, see Web Application Proxy in Windows Server 2016.
Прокси-сервер приложения Azure AD — это обратный прокси-сервер для облачной среды. Azure AD Application Proxy is a cloud reverse proxy solution. Дополнительные сведения см. в разделе Предоставление безопасного удаленного доступа для локальных приложений To learn more, see How to provide secure remote access to on-premises applications
Дополнительные аспекты проектирования Additional design considerations
В процессе проектирования клиенты должны не только разобраться в каждом из перечисленных выше компонентов, но и обдумать число серверов синхронизации и общих ресурсов, а также решить, следует ли использовать отказоустойчивую кластеризацию для обеспечения отказоустойчивости серверов синхронизации. In addition to understanding each of the components noted above, customers need to spend time in their design thinking about the number of sync servers and shares to operate, and whether or not to leverage failover clustering to provide fault tolerance on those sync servers
Число серверов синхронизации Number of Sync Servers
Клиент может управлять несколькими серверами синхронизации в своей среде. It is possible for a customer to operate multiple sync servers in an environment. Эта конфигурация может иметь преимущество по следующим причинам: This can be a desirable configuration for several reasons:
Географическое распределение пользователей — например, файловые серверы филиалов или региональные центры обработки данных. Geographic distribution of users – for example, branch office files servers or regional datacenters
Требования хранения данных — определенные подразделения могут иметь особые требования к хранению или обработке данных, которые проще выполнить с выделенным сервером. Data storage requirements – certain business departments might have specific data storage or handling requirements that are easier with a dedicated server
Балансировка нагрузки — в крупных средах хранение пользовательских данных на нескольких серверах может повысить производительность и время безотказной работы серверов. Load balancing – in large environments, storing user data on multiple servers can increase server performance and uptime.
Информацию о масштабировании и производительности серверов рабочих папок см. в статье о факторах производительности при развертывании рабочих папок. For information on Work Folders server scaling and performance, see Performance Considerations for Work Folders Deployments.
При использовании нескольких серверов синхронизации рекомендуется настроить автоматическое обнаружение серверов для пользователей. When using multiple sync servers, we recommend setting up automatic server discovery for users. Этот процесс зависит от конфигурации атрибута для каждой учетной записи пользователя в AD DS. This process relies upon the configuration of an attribute on each user account in AD DS. Атрибут имеет имя msDS-SyncServerURL и становится доступным для учетных записей пользователей после того, как контроллер домена Windows Server 2012 R2 будет добавлен в домен, или после применения обновлений схемы Active Directory. The attribute is named msDS-SyncServerURL and becomes available on user accounts after a Windows Server 2012 R2 domain controller is added to the domain or the Active Directory schema updates are applied. Этот атрибут следует задать для каждого пользователя, чтобы пользователи подключались к надлежащему серверу синхронизации. This attribute should be set for each user to ensure that users connect to the appropriate sync server. С помощью автоматического обнаружения серверов организации могут публиковать рабочие папки за «понятным» URL-адресом https://workfolders.contoso.com , таким как, независимо от числа серверов синхронизации в операции. By using automatic server discovery, organizations can publish Work Folders behind a «friendly» URL such as https://workfolders.contoso.com, regardless of the number of sync servers in operation.
Число общих ресурсов синхронизации Number of Sync Shares
Отдельные серверы синхронизации могут управлять несколькими общими ресурсами синхронизации. Individual sync servers can maintain multiple sync shares. Это может быть удобно по следующим причинам: This can be useful for the following reasons:
Требования аудита и безопасности — если данные, используемые определенным подразделением, должны подвергаться более тщательному аудиту или храниться более длительный период, то благодаря отдельным общим ресурсам синхронизации администраторы могут отделить пользовательские папки с другим уровнем аудита. Auditing and security requirements – If data used by a certain department must be more heavily audited or retained for a longer period of time, separate sync shares can help administrators keep user folders with differing audit levels separated.
Разные квоты или фильтры блокировки файлов — если вы хотите установить разные квоты хранилища или ограничения типов файлов, которые разрешено хранить в рабочих папках (фильтры блокировки файлов) для разных групп пользователей, отдельные общие ресурсы синхронизации могут упростить вашу задачу. Differing quotas or file screens – If you want to set different storage quotas or limits on which file types are allowed in Work Folders (file screens) for different groups of users, separate sync shares can help.
Контроль подразделений — если административные функции распределены между подразделениями, использование отдельных общих ресурсов для разных подразделений может упростить для администраторов применение квот или других политик. Departmental control – If administrative duties are distributed by department, utilizing separate shares for different departments can aid administrators in enforcing quotas or other policies.
Разные политики устройств — если в организации нужно применять несколько политик устройств (таких как шифрование рабочих папок) для разных групп пользователей, применение нескольких общих ресурсов обеспечит такую возможность. Differing device policies –If an organization needs to maintain multiple device policies (such as encrypting Work Folders) for different groups of users, using multiple shares enables this.
Емкость хранилища — если файловый сервер имеет несколько томов, то дополнительные общие ресурсы позволят использовать их преимущества. Storage capacity –If a file server has multiple volumes, additional shares can be used to take advantage of these additional volumes. У отдельного общего ресурса есть доступ только к конкретному тому, на котором он размещен, а преимущества дополнительных томов на файловом сервере для него недоступны. An individual share has access to only the volume that it is hosted on, and is unable to take advantage of additional volumes on a file server.
Доступ к общим ресурсам синхронизации Access to Sync Shares
В то время как сервер синхронизации, к которому обращается пользователь, определяется по URL-адресу, введенному на клиенте (или по URL-адресу, опубликованному для этого пользователя в AD DS при использовании автоматического обнаружения серверов), доступ к отдельным общим ресурсам синхронизации определяется разрешениями, представленными на общем ресурсе. While the sync server that a user accesses is determined by the URL entered at their client (or the URL published for that user in AD DS when using server automatic discovery), access to individual sync shares is determined by the permissions present on the share.
В результате, если у клиента несколько общих ресурсов синхронизации размещено на одном и том же сервере, необходимо тщательно следить за тем, чтобы у отдельных пользователей были разрешения на доступ только к одному из этих общих ресурсов. As a result, if a customer is hosting multiple sync shares on the same server, care must be taken to ensure that individual users have permissions to access only one of those shares. В противном случае при подключении пользователя к серверу его клиентское устройство может подключиться не к тому общему ресурсу. Otherwise, when users connect to the server, their client may connect to the wrong share. Правильную конфигурацию доступа можно обеспечить путем создания отдельной группы безопасности для каждого общего ресурса синхронизации. This can be accomplished by creating a separate security group for each sync share.
Тогда доступ к папке отдельного пользователя на общем ресурсе синхронизации будет определяться правами владельца для папки. Further, access to an individual user’s folder inside a sync share is determined by ownership rights on the folder. При создании общего ресурса синхронизации рабочие папки по умолчанию предоставляют пользователям монопольный доступ к их файлам (отменяя наследование и предоставляя пользователям права владельца для их папок). When creating a sync share, Work Folders by default grants users exclusive access to their files (disabling inheritance and making them the owner of their individual folders).
Контрольный список проектирования Design checklist
Следующий набор вопросов поможет клиентам в проектировании реализации рабочих папок, наилучшим образом отвечающей требованиям их среды. The following set of design questions is intended to aid customers in designing a Work Folders implementation that best serves their environment. Клиентам следует выполнить этот контрольный список до развертывания серверов. Customers should work through this checklist prior to attempting to deploy servers.
Целевая аудитория Intended Users
Какие пользователи будут использовать рабочие папки? Which users will use Work Folders?
Как организованы пользователи? How are users organized? (Географически, по офису, по подразделению и т. п.) (Geographically, by office, by department, etc)
Есть ли у пользователей особые требования к технологии и длительности хранения или безопасности данных? Do any users have special requirements for data storage, security, or retention?
Требуются ли пользователям особые политики устройств, например шифрование? Do any users have specific device policy requirements, such as encryption?
Какие клиентские компьютеры и устройства требуются для поддержки? Which client computers and devices do you need to support? (Windows 8.1, Windows RT 8.1, Windows 7) (Windows 8.1, Windows RT 8.1, Windows 7)
Если вы поддерживаете компьютеры под управлением Windows 7 и хотите использовать политики паролей, исключите домен, на котором хранятся учетные записи компьютеров, из политики паролей рабочих папок и вместо этого в этом домене используйте политики пароля групповой политики для компьютеров, присоединенных к этому домену. If you’re supporting Windows 7 PCs and want to use password policies, exclude the domain storing their computer accounts from the Work Folders password policy, and instead use Group Policy password policies for domain-joined PCs in that domain.
Нужно ли вам взаимодействовать с другими решениями для управления пользовательскими данными, такими как перенаправление папок, или переходить с таких решений на новые? Do you need to interoperate with or migrate from other user data management solutions such as Folder Redirection?
Требуется ли пользователям из нескольких доменов синхронизироваться с единственным сервером через Интернет? Do users from multiple domains need to sync across the Internet with a single server?
Требуется ли поддержка пользователей, которые не входят в группу локальных администраторов на своих компьютерах, присоединенных к домену? Do you need to support users who aren’t members of the Local Administrators group on their domain-joined PCs? (Если да, вам нужно будет исключить соответствующие домены из политик устройств рабочих папок, таких как политики шифрования и использования паролей.) (If so, you’ll need to exclude the relevant domains from Work Folders device policies such as encryption and password policies)
Планирование инфраструктуры и загрузки Infrastructure and Capacity Planning
На каких узлах должны быть размещены серверы синхронизации в сети? In what sites should sync servers be located on the network?
Будут ли какие-либо серверы синхронизации размещаться на ресурсах поставщика услуг IaaS («инфраструктура как услуга»), например на виртуальной машине Azure? Will any sync servers be hosted by an Infrastructure as a Service (IaaS) provider such as in an Azure VM?
Потребуются ли выделенные серверы для особых групп пользователей, и если да, то сколько пользователей будет приходиться на каждый выделенный сервер? Will dedicated servers be needed for any specific user groups, and if so, how many users for each dedicated server?
Где в сети находятся точки входа и выхода в Интернет? Where are the Internet ingress/egress points on the network?
Будут ли серверы синхронизации объединены в кластеры для обеспечения отказоустойчивости? Will sync servers be clustered for fault-tolerance?
Потребуется ли несколько томов данных на серверах синхронизации для размещения пользовательских данных? Will sync servers need to maintain multiple data volumes to host user data?
Защита данных Data Security
Потребуется ли создать несколько общих ресурсов синхронизации на каких-либо серверах синхронизации? Will multiple sync shares need to be created on any sync servers?
Какие группы будут использоваться для предоставления доступа к общим ресурсам синхронизации? What groups will be used to provide access to sync shares?
Если вы используете несколько серверов синхронизации, какую группу безопасности вы создадите для делегированной возможности изменять свойство msDS-SyncServerURL пользовательских объектов? If you’re using multiple sync servers, what security group will you create for the delegated ability to modify the msDS-SyncServerURL property of user objects?
Установлены ли особые требования безопасности или аудита для отдельных общих ресурсов синхронизации? Are there any special security or auditing requirements for individual sync shares?
Требуется ли многофакторная проверка подлинности (MFA)? Is multi-factor authentication (MFA) required?
Нужна ли возможность удаленного стирания данных рабочих папок с компьютеров и устройств? Do you need the ability to remotely wipe Work Folders data from PCs and devices?
Доступ устройств Device Access
Какой URL-адрес будет использоваться для предоставления доступа устройствам, подключенным к Интернету (URL-адрес по умолчанию, который требуется для автоматического обнаружения серверов на основе электронной почты — workfolders.имя_домена)? What URL will be used to provide access for Internet-based devices (the default URL that is required for email-based automatic server discovery is workfolders.domainname)?
Каким образом URL-адрес будет опубликован в Интернете? How will the URL be published to the Internet?
Будет ли использоваться автоматическое обнаружение серверов? Will automatic server discovery be used?
Будет ли использоваться групповая политика для настройки компьютеров, присоединенных к домену? Will Group Policy be used to configure domain-joined PCs?
Будет ли использоваться Windows Intune для настройки внешних устройств? Will Windows Intune be used to configure external devices?
Потребуется ли регистрация устройств, чтобы они могли подключаться к сети? Will Device Registration be required for devices to connect?
Дальнейшие действия Next steps
Следующий шаг после проектирования реализации рабочих папок — их развертывание. After designing your Work Folders implementation, it’s time to deploy Work Folders. Дополнительную информацию см. в статье о развертывании рабочих папок. For more information, see Deploying Work Folders.
Дополнительные ссылки Additional References
Дополнительные сведения по данной теме см. на следующих ресурсах. For additional related information, see the following resources.