ITproさんで「Windows Server 2012 R2で実現するBYOD/リモートワーク」という記事を執筆させていただきました。Windows Server 2012 R2では、いつでも、どこでも、どんなデバイスでも仕事ができるワークスタイルを実現するために利用できる機能が色々と増えており、選択肢が増えたという点で様々な企業で導入しやすくなったのではないかと思います。
記事の中から、興味のある機能があれば、ぜひお試しいただきたいと考えているのですが、ワークフォルダーについて、あまり実装方法が書かれたものを見かけることができなかったので、ここで実装方法を載せておきます。
ワークフォルダーとは?
一言で言うなら「オンプレミス版SkyDrive」ってところでしょうか。
ワークフォルダーはクライアントPC(Windows8.1)に用意されたフォルダーにファイルを保存すると、自動的にサーバー(Windows Server 2012 R2)に用意されたフォルダーと同期を行います。これにより、
・サーバーに接続できないような外出先にいるときにサーバーに保存したファイルに
アクセスしたい
・クライアントPCに保存しているファイルをサーバーにバックアップしておきたい
・自分が利用する別のコンピューターから同じファイルにアクセスしたい
のようなときに効果を発揮します。
ワークフォルダーはSkyDriveと同じように、ユーザー単位でフォルダーが独立して管理されているため、同じユーザーであれば、どこにいようともファイルサーバーにアクセスできれば、ワークフォルダーとの同期ができます。
また、ファイルサーバーを外部に公開していないため、同期ができない場合でも、同期したワークフォルダーのコンテンツはローカルに残されるので、どこにいてもアクセスできるメリットがあります。
設定方法 – 概要
行うことは全部で7つあります。
1.サーバーの用意
2.ワークフォルダーの役割インストール
3.SSLサイトの実装
4.共有フォルダーの設定
5.グループポリシーの設定
6.クライアントの設定(ドメイン参加PCの場合)
7.クライアントの設定(ドメイン未参加PCの場合)
以上の手順を順番に確認していきましょう。
1.サーバーの用意
役割として、ドメインコントローラー、Webサーバー、ファイルサーバー、証明書サービス、ワークフォルダーの役割が必要になりますが、1台のサーバーにまとめることが可能です。
(Webサーバー、ファイルサーバー、ワークフォルダーは同じサーバーでなければなりません。)
ここではドメインコントローラー、Webサーバー、証明書サービスの役割のインストール方法については省略するので、事前にインストールしておいてください。
なお、Webサーバー(IIS)は、ワークフォルダーの役割をインストールする前にインストールしておく必要があります。
2.ワークフォルダーの役割インストール
Webサーバー、ファイルサーバーとなっているサーバーにワークフォルダーの役割をインストールします。役割と機能の追加ウィザードから[ファイルサービスと記憶域サービス]-[ワークフォルダー]を追加します。
3.SSLサイトの実装
既定の設定で作られるWebサーバーのサイトはHTTPのサイトです。ワークフォルダーではSSLサイトが必要になるので、バインドの追加でSSLサイトを作成しておきます。
詳細なSSLサイトの作成手順は省きますが、大まかには次の設定を行っていれば結構です。
・サーバー証明書の追加
・Default Web Siteのバインドの設定でSSLサイトを追加し、追加した証明書を利用するように設定
このとき、SSLサイトで使われる証明書を発行した証明機関(認証局)の情報がワークフォルダーを利用するクライアントコンピューターの[信頼されたルート証明機関]に登録されていることが必須です。そのため、ドメイン参加のコンピューターを対象に使うのであれば、証明機関にはエンタープライズCAを使うことをお勧めします(グループポリシーを通じて自動的に[信頼されたルート証明機関]の情報を書き換えてくれるので)。
4.共有フォルダーの設定
ワークフォルダーで使用する共有フォルダーを作成します。
共有フォルダーの作成はサーバーマネージャーの[ファイルサービスと記憶域サービス]-[共有]から[新しい共有]をクリックして作成を開始します。
WFSyncShareという名前の共有フォルダーを作成します。
[アクセス許可設定に基づいた列挙を有効にする]にチェックをつけてください。
これにより、他人のワークフォルダーが見えなくすることが可能です。
ワークフォルダーを利用するユーザーに対する変更アクセス許可を割り当てます。
ここでは全員を意味するAuthenticated Usersグループに割り当てておきます。
共有フォルダーの作成が完了したら、続いて共有フォルダーをワークフォルダーとして利用するための設定を行います。
サーバー名を選択します。
前の手順で作成した共有フォルダーを選択します。
ここで選択するのは共有フォルダー内に作成される、各ユーザー用のフォルダーの名前の付け方です。
同期を許可するユーザーを選択します。共有フォルダーを作成するときにすべてのユーザーを選択したので、ここでもすべてのユーザーを選択しておきます。
セキュリティの設定です。すみません、ここの設定はまだキャッチアップしていないです。
5.グループポリシーの設定
ドメインに参加しているコンピューターの場合、ワークフォルダーの設定はグループポリシーを通じて受け取ることができます。
ワークフォルダーの同期にはWebサーバーのSSLサイトを通じて行われるので、ここではサイトのURLをグループポリシーに登録します。
グループポリシーの編集画面から、[ユーザーの構成]-[ポリシー]-[管理用テンプレート]-[Windowsコンポーネント]-[Work Folders]から[Work Foldersの設定を指定する]を開きます。
設定画面で、Work FoldersのURLにSSLサイトのURLを入力します。また、[自動セットアップを強制する]にチェックをつけておけば、クライアント側での初期設定は不要になります。
6.クライアント側の設定(ドメイン参加PCの場合)
クライアント側の設定はドメインに参加している場合と参加していない場合で異なります。
ここではドメインに参加している場合の設定について確認します。
コントロールパネルのワークフォルダーを開き、
グループポリシーの設定を受け取っていれば、初期設定は自動的に行われるので、
最初から以下のような画面が表示されます。
ワークフォルダーはPC(以前のOSでいうところのマイコンピューター)の中にWork Foldersという名前のフォルダーができるので、このフォルダーにファイルを保存することで、自動的にサーバーの共有フォルダーとの間で同期が行われます。
もちろん、同期はショートカットメニューから手動で行うことも可能です。
同期が行われると、サーバー側にはユーザーごとにフォルダーを作成し、ファイルを保存します。
それぞれのフォルダーは本人しかアクセスできないようにアクセス許可が設定されています。
※ちなみにMetadataフォルダーにはEDBファイルが保存されていたので、Active Directoryでおなじみのデータベースの方式を使用してファイルのバージョン管理等を行っているのだと思います。(推測)
7.クライアントの設定(ドメイン未参加PCの場合)
ドメインに参加していないPCの場合、グループポリシーから設定を受け取れないので、ワークフォルダーの初期設定を自分で行う必要があります。
初期設定として行うことは大きく分けて2つあり、
1つはSSLサイトで使用する証明書に対する証明機関の情報を[信頼されたルート証明機関]に登録すること、
もう1つはワークフォルダーのセットアップです。
ここでは、ワークフォルダーのセットアップについて紹介しておきます。
コントロールパネルのワークフォルダーから、ワークフォルダーのセットアップをクリックし、
ワークフォルダーへのURLと、SSLサイトにアクセスする際の資格情報を入力します。ここで入力した資格情報はワークフォルダーにアクセスするユーザー名になります。
ここまでの設定で出来上がりです。
まとめ
ワークフォルダーはWindows Server 2012 R2とWindows8.1の組み合わせでしか、現在のところ利用できないので、普及するまでには相当時間がかかると思いますが、ドメイン参加の有無は関係なく利用できるので、利用可能なデバイス種類が増えてくると利用される機会も多くなるのではないかと思います。SkyDriveやDropboxに代わる、なおかつクラウドを利用しない、安全なストレージ活用方法として覚えておいて損はなさそうです。
