Windows Server 2012 R2 では、BYODやリモートワークを支援する仕組みとして、ワークフォルダー が導入されています。ワークフォルダーの詳細は、Windows 8.1クロスロード：第5回 BYODをサポートするワーク・フォルダ – ＠IT が参考になります。 当初はWindows 8.1 クライアントだけで利用できる機能でしたが、Windows Server 2012 R2 のワークフォルダー機能が、Windows 7 クライアントでも利用可能にでも紹介したように、現在はWindows 7でも利用できます（Windows 7 でワークフォルダーを利用する場合の注意点は、Windows 7 でワークフォルダーを利用する場合の注意点を参照）。HTTP通信を利用したファイル共有として、WebDAVを利用していた方もいらっしゃるのではないかと思いますが、複数のデバイスでの同期をサポートするワークフォルダーは、その代替としても便利に利用できると思います。 今回は、ワークフォルダーで利用するポートを変更するで紹介した、Windows Server 2012 R2 Essentials でワークフォルダーを利用する場合のポート衝突を回避する手順を踏まえ、具体的なワークフォルダーの構成手順を示します。この手順は、Essentials に限らず、IIS等で既に80番、443番を利用している場合に共通で利用できるTipsになります。

Windows Server 2012 R2 Essentials でワークフォルダーを構成する

1. 役割と機能のインストール

1. Windows Server 2012 R2 Essentials のサーバーダッシュボードを開きます。
2. [役割と機能の追加]を開き、[ファイルサービスと記憶域サービス]＞[ファイルサービスおよびiSCSIサービス]＞[ワークフォルダー]にチェックを付けます。
   
3. [IISホスト可能なWebコア]を追加するか確認されますので、[機能の追加]を押下します。
   
4. [次へ]を押下し、機能をインストールします。

2. ワークフォルダーで利用するポートの変更

1. サーバー上で、C:\Windows\System32\SyncShareSvc.config を開きます。あらかじめ、ファイルの所有者を、[TrustedInstaller]から[Administrators]に変更し、Administrators にフルコントロールのアクセス権を与えた上でファイルをメモ帳などのエディターで、管理者権限で開きます。
2. <bingings> 配下に、ポート番号の設定が記載されています。80、443番はWindows Server 2012 R2 Essentilas のリモートWebアクセスで使用されていることから、他の異なるポートに変更します。
   
   ここでは80番を10080、443番を10443 に変更し、上書き保存します。
3. コマンドプロンプトを管理者権限で実行し、以下のコマンドを実行します。10443以外のポートを利用した場合は、利用したポートに置き換えて実行してください。 ワークフォルダーはデフォルトでSSLを利用するため、SSLポートだけで十分ですが、HTTPを利用したい場合はTCPポートについても同様のコマンドを実行してください。

   Netsh http add urlacl url=https://*:10443/ user="NT Authority\LOCAL SERVICE"

4. サービスマネージャーから、Windows Sync Share サービスを再起動します。

3.ファイアーウォールの解放

1. サーバー上で、[セキュリティが強化されたWindowsファイアウォール]を開き、【2. ワークフォルダーで利用するポートの変更】でSSLポートに指定したポート番号への着信を許可するよう、受信の規則を設定します。
2. ルーターのポートフォワード設定で、【2. ワークフォルダーで利用するポートの変更】でSSLポートに指定したポート番号を、サーバーの同じSSLポート番号に転送するようポートフォワード設定を構成します。

4.SSL証明書のバインド

SSL通信を行う際に、サーバー証明書とアクセスするサーバー名が一致していないとエラーが発生するため、正しいSSL証明書をバインドする必要があります。ここでは、10443番をSSLで使用することにしましたので、10443番に対してリモートWebアクセスで使用する[xxx.remotewebaccess.com]の証明書をバインドします。

1. サーバー上でPowershellを管理者権限で起動します。
2. 以下のスクリプトを実行し、SSL証明書の拇印（Thumbprint）を確認します。

   Get-childitem –Path cert:\LocalMachine\My

3. リモートWebアクセスが適切に構成されていれば、表示された結果のSubject欄に[xxx.remotewebaccess.com]のCNが記載された証明書が表示されます。当該の証明書の[Thumbprint]を確認します。
4. コマンドプロンプトを管理者権限で起動し、以下のコマンドを実行します。

   netsh http add sslcert ipport=0.0.0.0:10443 certhash=xxxxxxxxxxxxxxxxxxxxxxxxxxxxx   appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=My

   [certhash]には、3で確認した拇印を、[ipport]には0.0.0.0：の後ろに割り当てたSSLポートを指定します。[SSL証明書を正常に追加しました]と表示されれば正常に完了しています。 拇印はPowerShellの出力結果からコピーして、コマンドプロンプト画面にペーストします。 （このコマンドをPowerShellで実施すると正常に完了しません。私はここではまりました）
   ここでは、[xxx.remotewebaccess.com]のドメイン名及びサーバー証明書を利用しましたが、通常は外出先に出るときにデータを持ち出して編集し、社内や自宅に帰宅後にLAN内でサーバーのデータと自動同期するという使い方が多いと思います。その場合は、コンピューター名（例えば、SERVER）とコンピューター名.ドメイン名の証明書（SERVER.ドメイン名.localといったFQDN名の証明書）を利用することになります。

5.ワークフォルダーの設定

1. サーバーマネージャーを開き、[ファイルサービスと記憶域サービス]＞[ワークフォルダー]を開きます。
2. [タスク]を押下し、[新しい同期共有]を押下すると、[新しい同期共有ウィザード]が開きます。
   
3. [サーバーとパスの選択]で、ローカルパスを入力（サーバーの共有フォルダーを指定するとエラーになりましたので、Cドライブにフォルダーを作成しました）して、ワークフォルダーとしてクライアントから利用するフォルダーの場所を指定します。
   
4. [ユーザーフォルダーの構造の指定]では、ワークフォルダーをユーザー名で作成するか、ユーザー名＠ドメインで作成するかを指定します。ユーザー名＠ドメインで作成すると、同じユーザー名でもドメインが異なる場合は別のワークフォルダーを利用することができます。ユーザー名で作成すると、同一のユーザー名であればワークフォルダーを共有できます。
   
   [同期共有名]には、任意の名前を付与します。
   
5. [同期アクセス]では、Essentialsのダッシュボードで作成した、ワークフォルダーを利用するユーザーを選択して追加します。
   
6. [デバイスポリシー]では、ワークフォルダーを利用するクライアントPCに対して適用するポリシーを選択します。
   
   [ワークフォルダーを暗号化する]にチェックを付けると、クライアントPC上でワークフォルダーは暗号化されます。[自動的に画面をロックする]にチェックを付けると、クライアント PC やデバイスが 15 分後に自動的に画面をロックし、画面のロックを解除するときに 6 文字以上の長いパスワードを要求します。また、再試行が 10 回失敗すると、デバイス ロックアウト モードをアクティブ化します。
7. 以上の設定をして、[作成]を押下すると、同期共有が新しく作成されます。

クライアントPCでワークフォルダーを設定する

1. クライアントPC上で画面の右端からスワイプし、[検索] をタップします。(マウスを使っている場合は、画面の右下隅をポイントし、マウス ポインターを上へ移動して、[検索] をクリックします。)
2. 検索ボックスに「ワーク フォルダー」と入力し、[ワーク フォルダー] をタップまたはクリックします。
   
3. [ワーク フォルダーのセットアップ] をタップまたはクリックします。
4. [勤務先電子メールの入力]画面で、[代わりにワークフォルダーURLを入力]を押下します。
5. ワークフォルダーURLに、[xxx.remotewebaccess.com:10443]を入力します。
   [：]の後ろには 、SSLポートとして指定したポート番号を指定します。
6. 認証情報の入力を求められます。Essentialsのサーバーダッシュボードで管理していて、サーバー上のワークフォルダーの設定でアクセス権を設定したユーザーのユーザー名とパスワードを入力します。
   
   稀に、正しいパスワードを入力しても、 0x80c80300 エラーが出ることがあるため、その場合は一度ダッシュボード上でパスワードを更新してみてください。
7. ワークフォルダーの保存場所を確認し、変更する場合は[変更]ボタンを押下して変更のうえ、[次へ]を押下します。
   
   サーバー上で設定されたセキュリティポリシーが適用されることに同意し、[ワークフォルダーのセットアップ]を押下します。
   
8. 次の画面が表示されれば設定完了です。
   
9. エクスプローラーを開くと、[ワークフォルダー]が表示されています。このフォルダーへの変更は、全てサーバーと同期されるようになります。
   

参考

• ワーク フォルダーの実装の設計
• ワーク フォルダーの展開
• Work Folders on Windows Server 2012 R2 Essentials | kylejwx
• Windows Server 2012 R2 – Resolving Port Conflict with IIS Websites and Work Folders – The Storage Team at Microsoft – File Cabinet Blog – Site Home – TechNet Blogs
• Work Folders is available on Windows 7 client