pascals.blog

Pascal Sauliere | Microsoft France | Infrastructure, sécurité, cloud, et plus si affinités

Mise en œuvre des “Work Folders” avec Windows Server 2012 R2 et Windows 8.1

Mise en œuvre des “Work Folders” avec Windows Server 2012 R2 et Windows 8.1

  • Comments 3
  • Likes

Parmi les nouveautés de Windows Server 2012 R2 et Windows 8.1, les Work Folders font partie de celles qui offrent de nouvelles possibilités dans le domaine du BYOD. Il s’agit de synchroniser des fichiers entre plusieurs PC ou appareils appartenant à un même utilisateur, qu’il s’agisse de PC joints au domaine ou non. Aujourd’hui la synchronisation concerne Windows 8.1 Preview mais dans le futur d’autres systèmes seront supportés. Les Work Folders permettent cette synchronisation avec un niveau de confiance digne d’un environnement d’entreprise, ce qui n’est pas le cas avec des systèmes grand public comme SkyDrive. Pour un aperçu des Work Folders, vous pouvez consulter ces articles :

Aujourd’hui je vais montrer comment mettre en œuvre rapidement cette fonctionnalité grâce aux versions Preview de Windows Server 2012 et Windows 8.1, que vous pouvez télécharger ici :

1. Préparation des machines virtuelles

Pour cette démonstration nous avons besoin de 4 machines virtuelles sur le même réseau virtuel (par exemple un réseau Hyper-V privé) :

  • Un serveur Windows Server 2012 R2 contrôleur de domaine pour une nouvelle forêt. J’ai choisi demor2.local comme nom de domaine dans mon exemple, et dc comme nom de serveur. Sur ce serveur il faut donc :
    • Configurer une IP fixe.
    • Renommer le serveur en dc.
    • Installer le rôle Active Directory Domain Services et promouvoir le serveur en contrôleur de domaine.
    • Installer le rôle DHCP et configurer une étendue DHCP pour les autres machines.
  • Un serveur Windows Server 2012 R2 membre du domaine, que j’appelle file.
  • Un client Windows 8.1 membre du domaine, que j’appelle officepc et qui représentera le PC de bureau de l’utilisateur.
  • Enfin, un client Windows 8.1 en workgroup (non joint au domaine), que j’appelle homepc et qui représentera le PC personnel de l’utilisateur.

2. Utilisateurs et DNS

Sur dc :

  • Créer un ou deux utilisateurs dans le domaine.
  • Créer un groupe global de sécurité nommé “Sales”et inclure les utilisateurs créés précédemment dans ce groupe.
  • Dans le serveur DNS, créer un CNAME nommé workfolders pour le serveur file.demor2.local.

DNS : CNAME pour workfolders

Cette dernière opération n’est pas obligatoire pour le test. C’est juste une expérimentation de ma part. Le principe est que par défaut, les clients chercheront à joindre workfolders.demor2.local et le CNAME simplifiera les choses, du moins sur le réseau interne. Pour ce qui est de l’utilisation des Work Folders depuis le réseau externe, ce n’est pas l’objet de cette première mise en œuvre rapide.

3. Préparation du “Sync Share”

Dans cette section nous allon installer le rôle et créer le partage (“sync share”) sur le serveur de fichiers file.

Tout peut se résumer à deux commandes PowerShell :

Add-WindowsFeature FS-SyncShareService

New-SyncShare SalesShare -path C:\SalesShare -User Contoso\Sales -RequireEncryption $true -RequirePasswordAutoLock $true

Voici maintenant comment faire ces deux opérations manuellement :

3.1. Installer le rôle Work Folders

Dans le Server Manager, lancer l’assistant Add Roles and Features et, sous File and Storage Services, cocher le rôle Work Folders :

wf01

3.2. Créer le “Sync Share”

Dans le Server Manager - File and Storage Services - Work Folders : cliquer sur Tasks – New Sync Share :

wf03

Dans l’assistant, choisir l’emplacement du Sync Share. En l’occurrence, choisir un chemin local comme c:\salesshare, ou c:\workfolders\sales. Il sera créé s’il n’existe pas déjà. Comme vous l’aurez compris, on crée un partage pour notre groupe “Sales”.

wf05

Puis, choisissez la façon dont seront nommés les sous-répertoires correspondant aux utilisateurs : User alias.

wf07

Remarquez ici qu’il est possible de choisir un seul sous répertoire à synchroniser sous le répertoire de l’utilisateur. Ce peut être intéressant si l’on réutilise des dossiers utilisateurs préexistants.

Choisir ensuite le nom du Sync Share :

wf08

Définir ensuite le ou les groupes de sécurité qui pourront utiliser ce partage : en l’occurrence, le groupe “Sales”.

wf09

Définir la politique de sécurité désirée sur le partage : on peut imposer le chiffrement EFS des fichiers synchronisés sur le poste client, ainsi que le verrouillage de l’écran et un mot de passe obligatoire –ce qui est intéressant pour les appareils personnels.

wf10

Sur l’écran récapitulatif, terminer en cliquant sur Create :

wf11

Dans le Server Manager, nous voyons maintenant le partage, ainsi que la liste des utilisateurs qui y ont accès (ici, les membres du groupe Sales) :

wf13

 

4. Configuration des clients

Par défaut le client cherchera à se connecter au serveur en https (SSL), ce qui suppose de configurer un certificat sur le serveur. Pour simplifier la configuration de test nous allons autoriser la connexion en http sans SSL. Cela n’est évidemment pas à mettre en œuvre en production (voir à la fin ce det article pour la mise en œuvre de SSL).

Pour autoriser la connexion en http, exécuter cette commande pour ajouter cette clé et cette valeur dans le registre, sur chacun des deux clients :

Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1

wf17

Il s’agit maintenant de connecter les clients. Pour ce faire, dans le panneau de configuration, aller dans System and Security – Work Folders :

wf18

Lancer l’assistant de connexion en cliquant sur Setup up Work Folders. La première étape est d’entrer l’adresse email de l’utilisateur :

wf19

Cette adresse email n’en est pas vraiment une. En fait l’assistant se contente d’utiliser cette adresse email pour trouver le serveur de synchronisation. Dans notre cas, si l’on entre user@demor2.local, l’assistant prendra comme URL : https://workfolders.demor2.local. Si cette URL ne répond pas, l’assistant demande à l’utilisateur l’URL à utiliser, comme ci-dessous.

wf20

Comme nous avons créé le CNAME pour workfolders dans le DNS, nous pouvons utiliser ce nom dans l’URL. Mais, comme nous n’avons pas configuré SSL, nous devons utiliser http au lieu d’https pour cette fois. Il faut donc entrer comme URL : http://workfolders.demor2.local. On peut également entrer http://file.demor2.local si l’on n’a pas créé le CNAME.

Notons également que sur le client dans le domaine (officepc), l’authentification sera implicite. Alors que sur le client hors domaine (homepc), l’utilisateur devra s’authentifier avec son compte du domaine et son mot de passe.

wf21

L’utilisateur doit accepter la politique de sécurité pour continuer :

wf22

Si tout se passe bien, on doit obtenir ceci :

wf23

Et, dans l’explorateur Windows, on doit trouver les Work Folders de l’utilisateur dans “This PC” :

wf24

Si l’on a configuré le chiffrement des données, on constate également que les fichiers créés dans ce dossier sont affichés en vert dans l’explorateur Windows, ce qui indique qu’ils sont chiffrés avec EFS :

wf25

Pour la démonstration, notez que lorsque l’on créé un fichier sur un des deux clients, le fichier n’arrive pas immédiatement sur le second client. En effet, si aucun changement n’est produit sur un client, celui-ci vérifie le serveur toutes les 10 minutes. Pour provoquer une mise à jour, il suffit d’effectuer un autre changement sur le second client.

5. Pour aller plus loin

Pour ceux qui veulent aller plus loin et utiliser SSL, il faut un certificat SSL pour workfolders.demor2.local à attacher à https sur le site web par défaut sur le serveur de fichiers. Cela se fait dans le console de configuration d’IIS. Dans celle-ci vous constaterez que le site web par défaut est arrêté. C’est normal, car le service de synchronisation de fichiers n’utilise pas un site IIS mais le service IIS Hostable Web Core (HWC).

Quelques remarques pour faire fonctionner SSL :

  • Si le certificat est au nom de file.demor2.local, il faudra spécifier l’URL https://file.demor2.local lors de l’inscription d’un client.
  • Si le certificat est émis par une CA d’entreprise du domaine, alors il faudra importer le certificat de l’autorité de certification dans le magasin des autorités racines de confiance des machines hors domaine. en effet, celles-ci ne font pas confiance par défaut à la CA du domaine. Par contre les membres du domaine lui font confiance automatiquement. Ce point milite en faveur de l’achat d’un certificat SSL auprès d’une autorité de certification publique déjà reconnue par tous les types de clients.
  • Si l’on utilise un web proxy pour les clients externes, celui-ci devra être joignable sous le nom workfolders.demor2.local et porter le certificat en question.

Il est également possible de configurer automatiquement les Work Folders sur les clients membres du domaine, grâce à une stratégie de groupe sous Administrative Templates – Windows Components – Work Folders :

image

Une prochaine étape également est d’utiliser ADFS pour l’authentification, nous verrons cela plus tard.

Comments
  • Bonjour Pascal, j'ai suivi les sessions du TechDays 2012 et voulant mettre en place le WorkFolder chez moi j'ai donc trouvé votre blog et suivi les étapes. J'ai 2 problèmes : 1: Sur un PC intégré au domaine, il découvre bien le WorkFolder mais j'ai l'erreur suivante dans la page de résumé du WorkFolder : Elément introuvable, erreur 0x8002802b. la synchronisation s'est arrêté car un problème s'est produit. Dans l'EventLog, j'ai le message suivant : Échec de la synchronisation. Chemin d’accès de Dossiers de travail : D:\WorkFolders ; erreur : (0x8002802b) Élément introuvable. Auriez-vous une idée ? 2: Autre problème, sur ma Surface RT (sous 8.1). Quand j'initialise le WorkFolder sur ma tablette, je rentre l'URL puis ne me prompt pas la fenêtre d'authentification. Du coup je ne peux pas aller au bout du wizard en saisissant mes credentials de mon utilisateur de domaine. En vous remerciant par avance pour vos réponses et votre aide. Cordialement.

  • Bonjour Pascal, J'ai suivi votre turo pour mettre en place le Work folders, mais j'ai le problème suivant : le client ne se synchronise pas. Il est bien connecté, je vois le dossier profil créé sur le dossier de synchro. J'ai les erreurs suivantes : - Sur le client : "Element not found (0x8002802b)" - Sur le serveur : The Windows Sync Share service failed to setup a new sync partnership with a device. Database: \\?\E:\SyncShareState\workfolders\Metadata; User folder name: \\?\E:\workfolders\jeff; Error code: (0x8002802b) Element not found Auriez-vous une idée ? Merci d'avance.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment