Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit onderwerp wordt het ontwerpproces voor een implementatie van Werkmappen uitgelegd en wordt ervan uitgegaan dat u de volgende achtergrond hebt:
Basiskennis van Werkmappen (zoals beschreven in Werkmappen)
Basiskennis van AD DS-concepten (Active Directory Domain Services)
Basiskennis van het delen van Windows-bestanden en gerelateerde technologieën
Basiskennis van ssl-certificaatgebruik
Basiskennis van het inschakelen van webtoegang tot interne resources via een omgekeerde webproxy
De volgende secties helpen u bij het ontwerpen van uw implementatie van Werkmappen. Het implementeren van Werkmappen wordt besproken in het volgende onderwerp, Werkmappen implementeren.
Softwarevereisten
Werkmappen heeft de volgende softwarevereisten voor bestandsservers en uw netwerkinfrastructuur:
Een server met Windows Server 2012 R2 of Windows Server 2016 voor het hosten van synchronisatieshares met gebruikersbestanden
Een volume dat is geformatteerd met het NTFS-bestandssysteem voor het opslaan van gebruikersbestanden
Als u wachtwoordbeleid wilt afdwingen op Windows 7-pc's, moet u wachtwoordbeleid voor groepsbeleid gebruiken. U moet ook de Windows 7-pc's uitsluiten van het wachtwoordbeleid voor Werkmappen (als u deze gebruikt).
Een servercertificaat voor elke bestandsserver waarop Werkmappen worden gehost. Deze certificaten moeten afkomstig zijn van een certificeringsinstantie (CA) die wordt vertrouwd door uw gebruikers, in het ideale geval een openbare CA.
(Optioneel) Een Active Directory Domain Services-forest met schema-extensies in Windows Server 2012 R2 ter ondersteuning van automatisch verwijzen naar pc's en apparaten naar de juiste bestandsserver wanneer u meerdere bestandsservers gebruikt.
Als u wilt dat gebruikers via internet kunnen synchroniseren, zijn er aanvullende vereisten:
De mogelijkheid om een server toegankelijk te maken via internet door publicatieregels te maken in de omgekeerde proxy of netwerkgateway van uw organisatie
(Optioneel) Een openbaar geregistreerde domeinnaam en de mogelijkheid om extra openbare DNS-records voor het domein te maken
(Optioneel) Ad FS-infrastructuur (Active Directory Federation Services) bij gebruik van AD FS-verificatie
Werkmappen heeft de volgende softwarevereisten voor clientcomputers:
Op computers moet een van de volgende besturingssystemen worden uitgevoerd:
Windows 10
Windows 8.1
Windows RT 8.1
Windows 7
Android 4.4 KitKat en hoger
iOS 10.2 en hoger
Windows 7-pc's moeten een van de volgende edities van Windows uitvoeren:
Windows 7 Professional
Windows 7 Ultimate
Windows 7 Enterprise
Windows 7-pc's moeten lid zijn van het domein van uw organisatie (ze kunnen niet worden toegevoegd aan een werkgroep).
Voldoende vrije ruimte op een lokaal, NTFS-geformatteerd station voor het opslaan van alle bestanden van de gebruiker in Werkmappen, plus een extra 6 GB vrije ruimte als Werkmappen zich op het systeemstation bevindt, zoals standaard. Werkmappen gebruikt standaard de volgende locatie: %USERPROFILE%\Werkmappen
Gebruikers kunnen echter de locatie wijzigen tijdens de installatie (microSD-kaarten en USB-stations die zijn geformatteerd met het NTFS-bestandssysteem worden ondersteund, hoewel synchronisatie stopt als de stations worden verwijderd).
De maximale grootte voor afzonderlijke bestanden is standaard 10 GB. Er is geen opslaglimiet per gebruiker, hoewel beheerders de quotafunctionaliteit van File Server Resource Manager kunnen gebruiken om quota's te implementeren.
Werkmappen biedt geen ondersteuning voor het terugdraaien van de staat van virtuele clientmachines. Voer in plaats daarvan back-up- en herstelbewerkingen uit vanuit de virtuele clientmachine met behulp van systeemkopieënback-up of een andere back-up-app.
Note
Zorg ervoor dat u het updatepakket voor algemene beschikbaarheid van Windows 8.1 en Windows Server 2012 R2 installeert op alle werkmappenservers en clientcomputers met Windows 8.1 of Windows Server 2012 R2. Zie artikel 2883200 in de Microsoft Knowledge Base voor meer informatie.
Implementatiescenario's
Werkmappen kunnen worden geïmplementeerd op een willekeurig aantal bestandsservers binnen een klantomgeving. Hierdoor kunnen Werkmappen-implementaties worden geschaald op basis van de behoeften van klanten en kunnen dit leiden tot zeer geïndidialiseerde implementaties. De meeste implementaties vallen echter in een van de volgende drie basisscenario's.
implementatie van Single-Site
In een implementatie met één site worden bestandsservers gehost binnen een centrale site in de klantinfrastructuur. Dit implementatietype wordt het vaakst gezien in klanten met een zeer gecentraliseerde infrastructuur of met kleinere filialen die geen lokale bestandsservers onderhouden. Dit implementatiemodel kan eenvoudiger worden beheerd door IT-medewerkers, omdat alle serverassets lokaal zijn en inkomend/uitgaand internet waarschijnlijk ook op deze locatie is gecentraliseerd. Dit implementatiemodel is echter ook afhankelijk van een goede WAN-verbinding tussen de centrale site en filialen, en gebruikers in filialen zijn kwetsbaar voor een onderbreking van de service vanwege netwerkomstandigheden.
implementatie van Multiple-Site
In een implementatie met meerdere sites worden bestandsservers gehost op meerdere locaties binnen de infrastructuur van de klant. Dit kan meerdere datacenters betekenen of dat filialen afzonderlijke bestandsservers onderhouden. Dit implementatietype wordt het vaakst gezien in grotere klantomgevingen of in klanten met verschillende grotere filialen die lokale serveractiva onderhouden. Dit implementatiemodel is complexer voor IT-medewerkers om te beheren en is afhankelijk van zorgvuldige coördinatie van gegevensopslag en onderhoud van Active Directory Domain Services (AD DS) om ervoor te zorgen dat gebruikers de juiste synchronisatieserver voor Werkmappen gebruiken.
Gehoste implementatie
In een gehoste implementatie worden synchronisatieservers geïmplementeerd in een IAAS-oplossing (Infrastructure-as-a-Service), zoals Windows Azure VM. Deze implementatiemethode heeft het voordeel dat bestandsservers minder afhankelijk zijn van WAN-connectiviteit binnen het bedrijf van een klant. Als een apparaat verbinding kan maken met internet, kan het de synchronisatieserver bereiken. De servers die zijn geïmplementeerd in de gehoste omgeving, moeten echter nog steeds het Active Directory-domein van de organisatie kunnen bereiken om gebruikers te verifiëren en de klant ruilt infrastructuurvereisten on-premises voor extra complexiteit bij het onderhouden van die verbinding.
Implementatietechnologieën
Werkmappen-implementaties bestaan uit een aantal technologieën die samenwerken om services te bieden aan apparaten op zowel de interne als externe netwerken. Voordat u een implementatie van Werkmappen ontwerpt, moeten klanten bekend zijn met de vereisten van elk van de volgende technologieën.
Domeindiensten van Active Directory
AD DS biedt twee belangrijke services in een implementatie van Werkmappen. Als back-end voor Windows-verificatie biedt AD DS eerst de beveiligings- en verificatieservices die worden gebruikt om toegang te verlenen tot gebruikersgegevens. Als een domeincontroller niet kan worden bereikt, kan een bestandsserver een binnenkomende aanvraag niet verifiëren en heeft het apparaat geen toegang tot gegevens die zijn opgeslagen in de synchronisatieshare van die bestandsserver.
Ten tweede onderhoudt AD DS (met de Schema-update van Windows Server 2012 R2) het kenmerk msDS-SyncServerURL voor elke gebruiker, dat wordt gebruikt om gebruikers automatisch naar de juiste synchronisatieserver te leiden.
Bestandsservers
Bestandsservers met Windows Server 2012 R2 of Windows Server 2016 hosten de functieservice Werkmappen en hosten de synchronisatieshares die de gegevens van werkmappen van gebruikers opslaan. Bestandsservers kunnen ook gegevens hosten die zijn opgeslagen door andere technologieën die werken op het interne netwerk (zoals bestandsshares) en kunnen worden geclusterd om fouttolerantie voor gebruikersgegevens te bieden.
Groepsbeleid
Als u Windows 7-pc's in uw omgeving hebt, raden we u het volgende aan:
Gebruik Groepsbeleid om wachtwoordbeleid te beheren voor alle pc's die lid zijn van een domein die gebruikmaken van Werkmappen.
Gebruik het scherm Automatisch vergrendeling van Werkmappen en vereist een wachtwoordbeleid op pc's die niet aan uw domein zijn gekoppeld.
U kunt groepsbeleid ook gebruiken om een Werkmappen-server op te geven op pc's die lid zijn van een domein. Dit vereenvoudigt het instellen van Werkmappen. Gebruikers moeten anders hun zakelijke e-mailadres invoeren om de instellingen op te zoeken (ervan uitgaande dat Werkmappen correct is ingesteld) of de URL van Werkmappen invoeren die u expliciet via e-mail of een ander communicatiemiddel hebt opgegeven.
U kunt groepsbeleid ook gebruiken om Werkmappen geforceerd in te stellen per gebruiker of per computer, maar dit zorgt ervoor dat Werkmappen worden gesynchroniseerd op elke pc waarop een gebruiker zich aanmeldt (wanneer de beleidsinstelling per gebruiker wordt gebruikt) en voorkomt dat gebruikers een alternatieve locatie opgeven voor Werkmappen op hun pc (zoals op een microSD-kaart om ruimte op het primaire station te besparen). We raden u aan de behoeften van uw gebruiker zorgvuldig te evalueren voordat u automatische installatie afdwingt.
Windows Intune
Windows Intune biedt ook een beveiligingslaag en beheerbaarheid voor apparaten die niet aan een domein zijn toegevoegd en die anders niet aanwezig zouden zijn. U kunt Windows Intune gebruiken voor het configureren en beheren van persoonlijke apparaten van gebruikers, zoals tablets die verbinding maken met Werkmappen via internet. Windows Intune kan apparaten voorzien van de URL van de synchronisatieserver die moet worden gebruikt. Anders moeten gebruikers hun zakelijke e-mailadres invoeren om de instellingen op te zoeken (als u een openbare URL voor Werkmappen publiceert in de vorm van https://workfolders.contoso.com), of de URL van de synchronisatieserver rechtstreeks invoeren.
Zonder een Windows Intune-implementatie moeten gebruikers externe apparaten handmatig configureren, wat kan leiden tot hogere eisen aan het helpdeskpersoneel van een klant.
U kunt Windows Intune ook gebruiken om de gegevens selectief te wissen uit Werkmappen op het apparaat van een gebruiker zonder dat dit van invloed is op de rest van hun gegevens. Dit is handig als een gebruiker uw organisatie verlaat of het apparaat heeft gestolen.
Webtoepassingsproxy of Microsoft Entra-toepassingsproxy
Werkmappen is gebouwd rond het concept waarbij apparaten met internetverbinding zakelijke gegevens veilig kunnen ophalen uit het interne netwerk, waardoor gebruikers hun gegevens 'met hen mee kunnen nemen' op hun tablets en apparaten die normaal gesproken geen toegang zouden hebben tot werkbestanden. Hiervoor moet een omgekeerde proxy worden gebruikt om URL's van synchronisatieservers te publiceren en deze beschikbaar te maken voor internetclients.
Werkmappen ondersteunt het gebruik van een webtoepassingsproxy, Microsoft Entra of reverse proxy-oplossingen van derden.
Webtoepassingsproxy is een reverse proxy-oplossing op locatie. Zie Webtoepassingsproxy in Windows Server 2016 voor meer informatie.
De Microsoft Entra-toepassingsproxy is een omgekeerde cloudproxyoplossing. Zie Hoe u veilige externe toegang tot on-premises toepassingen kunt bieden voor meer informatie
Aanvullende ontwerpoverwegingen
Naast het begrijpen van elk van de hierboven genoemde onderdelen, moeten klanten tijd besteden aan hun ontwerp om na te denken over het aantal synchronisatieservers en shares dat moet worden beheerd, en of failoverclustering moet worden benut om fouttolerantie op deze synchronisatieservers te bieden.
Aantal synchronisatieservers
Het is mogelijk dat een klant meerdere synchronisatieservers in een omgeving gebruikt. Dit kan om verschillende redenen een wenselijke configuratie zijn:
Geografische distributie van gebruikers, bijvoorbeeld bestandsservers van filialen of regionale datacenters
Vereisten voor gegevensopslag: bepaalde bedrijfsafdelingen hebben mogelijk specifieke vereisten voor gegevensopslag of verwerking die eenvoudiger zijn met een toegewezen server
Taakverdeling: in grote omgevingen kan het opslaan van gebruikersgegevens op meerdere servers de prestaties en uptime van de server verhogen.
Zie Prestatieoverwegingen voor implementaties van Werkmappen voor informatie over het schalen en prestaties van de Werkmappen-server.
Note
Wanneer u meerdere synchronisatieservers gebruikt, raden we u aan automatische serverdetectie in te stellen voor gebruikers. Dit proces is afhankelijk van de configuratie van een kenmerk voor elk gebruikersaccount in AD DS. Het kenmerk heeft de naam msDS-SyncServerURL en wordt beschikbaar voor gebruikersaccounts nadat een Windows Server 2012 R2-domeincontroller is toegevoegd aan het domein of de Active Directory-schema-updates worden toegepast. Dit kenmerk moet worden ingesteld voor elke gebruiker om ervoor te zorgen dat gebruikers verbinding maken met de juiste synchronisatieserver. Door automatische serverdetectie te gebruiken, kunnen organisaties Werkmappen publiceren achter een 'vriendelijke' URL, zoals https://workfolders.contoso.com, ongeacht het aantal synchronisatieservers dat in gebruik is.
Aantal synchronisatiedelen
Afzonderlijke synchronisatieservers kunnen meerdere synchronisatieshares onderhouden. Dit kan handig zijn om de volgende redenen:
Controle- en beveiligingsvereisten: als gegevens die door een bepaalde afdeling worden gebruikt, langer moeten worden gecontroleerd of bewaard, kunnen afzonderlijke synchronisatieshares beheerders helpen gebruikersmappen met verschillende controleniveaus gescheiden te houden.
Verschillende quota of bestandscontroles: als u verschillende opslagquota of limieten wilt instellen voor welke bestandstypen zijn toegestaan in Werkmappen (bestandscontroles) voor verschillende groepen gebruikers, kunnen afzonderlijke synchronisatieshares helpen.
Afdelingsbeheer: als administratieve taken per afdeling worden gedistribueerd, kunnen beheerders helpen bij het afdwingen van quota of ander beleid door afzonderlijke shares voor verschillende afdelingen te gebruiken.
Verschillend apparaatbeleid: als een organisatie meerdere apparaatbeleidsregels moet onderhouden (zoals het versleutelen van Werkmappen) voor verschillende groepen gebruikers, maakt het gebruik van meerdere shares dit mogelijk.
Opslagcapaciteit: als een bestandsserver meerdere volumes heeft, kunnen extra shares worden gebruikt om te profiteren van deze extra volumes. Een afzonderlijke share heeft alleen toegang tot het volume waarop deze wordt gehost en kan niet profiteren van extra volumes op een bestandsserver.
Toegang tot synchronisatiedeelbestanden
Hoewel de synchronisatieserver waartoe een gebruiker toegang heeft, wordt bepaald door de URL die is ingevoerd op de client (of de URL die is gepubliceerd voor die gebruiker in AD DS bij automatische detectie van servers), wordt de toegang tot afzonderlijke synchronisatieshares bepaald door de machtigingen die aanwezig zijn op de share.
Als een klant meerdere synchronisatieshares host op dezelfde server, moet u ervoor zorgen dat afzonderlijke gebruikers machtigingen hebben voor toegang tot slechts één van deze shares. Als gebruikers anders verbinding maken met de server, kan hun client verbinding maken met de verkeerde share. Dit kan worden bereikt door een afzonderlijke beveiligingsgroep te maken voor elke synchronisatieshare.
Bovendien wordt de toegang tot de map van een afzonderlijke gebruiker in een synchronisatieshare bepaald door eigendomsrechten op de map. Wanneer u een synchronisatieshare maakt, verleent Werkmappen gebruikers standaard exclusieve toegang tot hun bestanden (overname uitschakelen en hen de eigenaar van hun afzonderlijke mappen maken).
Controlelijst voor ontwerpen
De volgende set ontwerpvragen is bedoeld om klanten te helpen bij het ontwerpen van een Implementatie van Werkmappen die het beste bij hun omgeving past. Klanten moeten deze controlelijst doorlopen voordat ze servers implementeren.
Beoogde gebruikers
Welke gebruikers gebruiken Werkmappen?
Hoe worden gebruikers georganiseerd? (Geografisch, per kantoor, per afdeling, enzovoort)
Hebben gebruikers speciale vereisten voor gegevensopslag, beveiliging of retentie?
Hebben gebruikers specifieke vereisten voor apparaatbeleid, zoals versleuteling?
Welke clientcomputers en apparaten moet u ondersteunen? (Windows 8.1, Windows RT 8.1, Windows 7)
Als u Windows 7-pc's ondersteunt en wachtwoordbeleid wilt gebruiken, sluit dan het domein dat hun computeraccounts opslaat uit van het Work Folders-wachtwoordbeleid en gebruik in plaats daarvan het Groepsbeleid-wachtwoordbeleid voor pc's die lid zijn van dat domein.
Moet u samenwerken met of migreren vanuit andere oplossingen voor gebruikersgegevensbeheer, zoals Mapomleiding?
Moeten gebruikers van meerdere domeinen synchroniseren via internet met één server?
Moet u gebruikers ondersteunen die geen lid zijn van de groep Lokale beheerders op hun pc's die lid zijn van een domein? (Zo ja, dan moet u de relevante domeinen uitsluiten van apparaatbeleid voor Werkmappen, zoals versleuteling en wachtwoordbeleid)
Infrastructuur- en capaciteitsplanning
In welke sites moeten synchronisatieservers zich in het netwerk bevinden?
Worden er synchronisatieservers gehost door een IaaS-provider (Infrastructure as a Service), zoals in een Azure-VM?
Zijn er toegewezen servers nodig voor specifieke gebruikersgroepen, en als dat het geval is, hoeveel gebruikers voor elke toegewezen server?
Waar bevinden zich de internetinkomende/uitgaande punten in het netwerk?
Worden synchronisatieservers geclusterd voor fouttolerantie?
Moeten synchronisatieservers meerdere gegevensvolumes onderhouden om gebruikersgegevens te hosten?
Gegevensbeveiliging
Moeten er meerdere synchronisatieshares worden gemaakt op synchronisatieservers?
Welke groepen worden gebruikt om toegang te bieden tot synchronisatiegedeelten?
Als u meerdere synchronisatieservers gebruikt, welke beveiligingsgroep maakt u voor de gedelegeerde mogelijkheid om de eigenschap msDS-SyncServerURL van gebruikersobjecten te wijzigen?
Zijn er speciale beveiligings- of controlevereisten voor afzonderlijke synchronisatieshares?
Is meervoudige verificatie (MFA) vereist?
Hebt u de mogelijkheid nodig om werkmappen op afstand te wissen van pc's en apparaten?
Apparaattoegang
Welke URL wordt gebruikt voor toegang tot internetapparaten (de standaard-URL die is vereist voor automatische serverdetectie op basis van e-mail is werkmappen.domeinnaam)?
Hoe wordt de URL gepubliceerd op internet?
Wordt automatische serverdetectie gebruikt?
Wordt groepsbeleid gebruikt voor het configureren van pc's die lid zijn van een domein?
Wordt Windows Intune gebruikt om externe apparaten te configureren?
Is apparaatregistratie vereist voor apparaten om verbinding te maken?
Volgende stappen
Nadat u de implementatie van Werkmappen hebt ontworpen, is het tijd om Werkmappen te implementeren. Zie Werkmappen implementeren voor meer informatie.
Aanvullende verwijzingen
Zie de volgende bronnen voor meer gerelateerde informatie.
| Inhoudstype | References |
|---|---|
| Productevaluatie |
-
Werkmappen - Werkmappen voor Windows 7 (blogbericht) |
| Deployment |
-
Een implementatie van Werkmappen ontwerpen - Werkmappen implementeren - Werkmappen implementeren met AD FS en Web Application Proxy (WAP) - Werkmappen implementeren met Microsoft Entra-toepassingsproxy - Prestatieoverwegingen voor implementaties van Werkmappen - Werkmappen voor Windows 7 (64-bits download) - Werkmappen voor Windows 7 (32-bits download) - Testlabimplementatie voor Werkmappen (blogbericht) |