配置Windows Server 2012 R2工作文件夹以实现BYOD同步

工作文件夹是Windows Server 2012 R2中的一个新特性，允许用户在多个设备上同步工作数据。通过工作文件夹，无论信息工作者身在何处，IT 管理员能够向他们提供对其所有设备上的工作数据进行同步的功能。哦，哦，很神奇吧？！其实就是通过将设备上的用户数据同步到本地文件服务器来完成的。不过，目前"工作文件夹"只支持Windows 8.1客户端。将来也会支持Windows 7和iPad、Android设备。

一、实验环境：

其中LON-DC1是域控制器和AD证书服务器，LON-SVR1是加入到域内的成员服务器，在LON-SVR1上安装工作文件夹功能，LON-DC1和LON-SVR1都运行Windows Server 2012 R2版本的操作系统。Client1和Client2都安装了Windows 8.1操作系统，其实Client1加入到了域XueHao51.com，Client2是处于工作组环境，Client1和Client2的DNS服务器IP地址都指向了LON-DC1的IP地址。

请先自行安装域环境和安装AD CS，本例不作介绍。

二、实验步骤：

1、"工作文件夹"功能的安装

工作文件夹是文件和存储服务的角色的一个组件，你可以通过服务器管理器或PowerShell启用。

1）在LON-SVR1上"服务器管理器"，单击"管理"，选择"添加角色和功能"按钮，弹出"添加角色和功能向导"对话框。单击"下一步"

2）在"选择安装类型"中，选择"基于角色或基于功能的安装"，单击"下一步"

3）在"选择目标服务器"中，选择"从服务器池中选择服务器"，如图，然后单击"下一步"

4）在"选择服务器角色"中，选中"Web服务器(IIS)"，在"文件和存储服务→文件和iSCSI服务"中选择"工作文件夹"，单击"下一步"。

接下来，一直使用默认选项，安装安为止。

2、配置"工作文件夹"

要为企业中的每个用户配置"工作文件夹"，需要在服务器上找一个空间比较大的"分区"，在此分区上创建文件夹来存放"工作文件夹"数据。下面介绍配置工作文件夹的主要步骤。

1）在"服务器管理器"中，单击"文件和存储服务→工作文件夹"，单击"若要为工作文件夹创建同步共享，请启动新建同步共享向导"链接。

2）在"新同步共享向导"的"开始之前"界面中单击"下一步"。

3）在"选择服务器和路径"对话框中，要求你选择同步分享的服务器，然后选择一个现有的文件共享或输入本地路径。

4）接下来要求你选择命名文件夹的格式。你有两个选择：

使用用户别名：如果你的目录结构是基于用户别名创建的单域环境，请选择用户别名。

使用user@domain格式：这通常最适合有多个域的组织，因为它消除了不同领域中多个有相同别名的不同用户产生冲突的可能性。

这里还包含一个复选框，用来指定你想要同步的文件夹。

同步发生在每个用户的基础上，这就是为什么同步分享可以使用用户别名或电子邮件地址。工作文件夹只能作为一种允许用户离线获取文件的机制，不能用于协同工作。

5）单击下一步，会提示你输入同步共享名。你还可以输入一个可选的文档描述。

6）接下来会要求你指定需要访问的用户或组。我选择的是"Domain Users"，表示要为域中的每个用户启用同步功能。最值得关注的是一个"标记禁用继承权限，并授予用户对其文件的独占访问权限"的复选框。默认情况下是选中的，但推荐取消。否则，管理员将不能访问用户文件。

7）单击下一步，你就会进入"指定设备策略"对话框，有两个复选框："自动锁定屏幕，并要求输入密码"。如果要进一步保证工作文件夹的数据安全，可以选择"加密工作文件夹"。

8）单击下一步确认。如果一切顺利，点击"创建"创建同步共享

9）最后在"查看结果"对话框中，单击"关闭"。

10）配置之后，在"服务器管理器→文件和存储服务→工作文件夹"对话框中，可以看到，工作文件夹向导已经为域中的每个用户创建了一个同步共享。

3、为工作文件夹服务器申请证书

"工作文件夹"服务器需要绑定证书，管理员可以从"企业证书服务器"申请一个"计算机证书"。本实验中，我已经在LON-DC1上配置好了"企业证书服务器"。

1）在LON-SVR1中，打开"运行"对话框，执行mmc。

2）打开"控制台1"，在"文件"菜单中选择"添加/删除管理单元"。

3）在"添加或删除管理单元"对话框，在"可用的管理单元"列表中选择"证书"，单击"添加"按钮。

4）在"证书管理单元"对话框中选择"计算机帐户"。

5）在"选择计算机"对话框中，选择"本地计算机（运行此控制台的计算机）"。

6）返回到"添加或删除管理单元"对话框，在"所选管理单元"列表中可以看到，已经添加"证书（本地计算机）"，单击"确定"按钮。

7）返回到"控制台"后，在"证书（本地计算机）→个人→证书"管理单元中，在右侧用鼠标右击，在弹出的空白菜单中选择"所有任务→申请新证书"，准备申请计算机证书。

8）在"证书注册→选择证书注册策略"对话框，选择"Active Directory注册策略"，单击"下一步"按钮。

9）在"证书注册→请求证书"对话框，选中"计算机"，单击"注册"按钮

10）证书申请并注册之后，在"证书安装结果"对话框，显示状态为"成功"，单击"完成"按钮

11）申请证书之后，在"证书→个人→证书"选项中，可以看到申请的名为LON-SVR1.XueHao51.com的证书（与当前计算机的名称相同），

4、在IIS管理器绑定证书

在申请"计算机证书"之后，可以在"IIS管理器"中绑定证书，步骤如下：

1）在"服务器管理器→IIS"中，右击计算机名称，在弹出的快捷菜单中选择"Internet Information Services（IIS）管理器"。

2）在"IIS管理器"中，选择"Default Web Site"，在右侧的"操作"列表中选择"绑定"按钮。

3）在"网站绑定"对话框中，可以看到当前只有http类型的站点，需要添加https站点并绑定证书。单击"添加"按钮

4）在弹出的"添加网站绑定"对话框，在"类型"下拉列表中选择https，端口默认选择为443，在"SSL证书"下拉列表中选择上一节申请的名为LON-SVR1.XueHao51.com的证书，然后单击"确定"按钮。

5）返回到"网站绑定"对话框，可以看到已经添加了https类型网站。

6）返回到IIS管理器之后，可以看到80及443端口的网站已经配置，从状态中可以看到当前的默认站点已经停止，因为工作文件夹占用了TCP的80及443端口的原因。

在绑定了证书之后，IIS管理器可以卸载。工作文件夹并不需要IIS管理器。

5、配置组策略以支持工作文件夹

最后，还要在Active Directory服务器上，配置组策略以支持工作文件夹，主要步骤如下。

1）切换到Active Directory服务器上（LON-DC1），在"服务器管理器"中，从"工具"菜单选择"组策略管理"。在"组策略管理"对话框，右击"Default Domain Policy"选择"编辑"。在"计算机配置→策略→管理模板→Windows组件→工作文件夹"中，双击右侧的"强制为所有用户自动设置"，选择"启用"单选按钮。

2）在"用户配置→策略→管理模板→Windows组件→工作文件夹"，双击右侧的"指定工作文件夹设置"，在"指定工作文件夹设置"对话框中，先选择"己启用"，并在"工作文件夹URL"文本框中，输入工作文件夹服务器的URL，在此为https://LON-SVR1.xuehao51.com（此证书名称与工作文件夹服务器计算机名一致），并选择"强制自动设置"。

执行gpupdate /force，强制更新组策略。

如有疑问，需要交流请加刘老师微信号：