X

Windows Server 2012 R2 Essentials でワークフォルダーを利用し、複数のPC間で外出先でも自宅でも最新のファイルを利用する

Windows Server 2012 R2 では、BYODやリモートワークを支援する仕組みとして、ワークフォルダー が導入されています。ワークフォルダーの詳細は、Windows 8.1クロスロード:第5回 BYODをサポートするワーク・フォルダ – @IT が参考になります。 当初はWindows 8.1 クライアントだけで利用できる機能でしたが、Windows Server 2012 R2 のワークフォルダー機能が、Windows 7 クライアントでも利用可能にでも紹介したように、現在はWindows 7でも利用できます(Windows 7 でワークフォルダーを利用する場合の注意点は、Windows 7 でワークフォルダーを利用する場合の注意点を参照)。HTTP通信を利用したファイル共有として、WebDAVを利用していた方もいらっしゃるのではないかと思いますが、複数のデバイスでの同期をサポートするワークフォルダーは、その代替としても便利に利用できると思います。 今回は、ワークフォルダーで利用するポートを変更するで紹介した、Windows Server 2012 R2 Essentials でワークフォルダーを利用する場合のポート衝突を回避する手順を踏まえ、具体的なワークフォルダーの構成手順を示します。この手順は、Essentials に限らず、IIS等で既に80番、443番を利用している場合に共通で利用できるTipsになります。

Windows Server 2012 R2 Essentials でワークフォルダーを構成する

1. 役割と機能のインストール

  1. Windows Server 2012 R2 Essentials のサーバーダッシュボードを開きます。
  2. [役割と機能の追加]を開き、[ファイルサービスと記憶域サービス]>[ファイルサービスおよびiSCSIサービス]>[ワークフォルダー]にチェックを付けます。
  3. [IISホスト可能なWebコア]を追加するか確認されますので、[機能の追加]を押下します。
  4. [次へ]を押下し、機能をインストールします。

2. ワークフォルダーで利用するポートの変更

  1. サーバー上で、C:\Windows\System32\SyncShareSvc.config を開きます。あらかじめ、ファイルの所有者を、[TrustedInstaller]から[Administrators]に変更し、Administrators にフルコントロールのアクセス権を与えた上でファイルをメモ帳などのエディターで、管理者権限で開きます。
  2. <bingings> 配下に、ポート番号の設定が記載されています。80、443番はWindows Server 2012 R2 Essentilas のリモートWebアクセスで使用されていることから、他の異なるポートに変更します。

    ここでは80番を10080、443番を10443 に変更し、上書き保存します。
  3. コマンドプロンプトを管理者権限で実行し、以下のコマンドを実行します。10443以外のポートを利用した場合は、利用したポートに置き換えて実行してください。 ワークフォルダーはデフォルトでSSLを利用するため、SSLポートだけで十分ですが、HTTPを利用したい場合はTCPポートについても同様のコマンドを実行してください。
    Netsh http add urlacl url=https://*:10443/ user="NT Authority\LOCAL SERVICE"

  4. サービスマネージャーから、Windows Sync Share サービスを再起動します。

3.ファイアーウォールの解放

  1. サーバー上で、[セキュリティが強化されたWindowsファイアウォール]を開き、【2. ワークフォルダーで利用するポートの変更】でSSLポートに指定したポート番号への着信を許可するよう、受信の規則を設定します。
  2. ルーターのポートフォワード設定で、【2. ワークフォルダーで利用するポートの変更】でSSLポートに指定したポート番号を、サーバーの同じSSLポート番号に転送するようポートフォワード設定を構成します。

4.SSL証明書のバインド

SSL通信を行う際に、サーバー証明書とアクセスするサーバー名が一致していないとエラーが発生するため、正しいSSL証明書をバインドする必要があります。ここでは、10443番をSSLで使用することにしましたので、10443番に対してリモートWebアクセスで使用する[xxx.remotewebaccess.com]の証明書をバインドします。

  1. サーバー上でPowershellを管理者権限で起動します。
  2. 以下のスクリプトを実行し、SSL証明書の拇印(Thumbprint)を確認します。
    Get-childitem –Path cert:\LocalMachine\My
  3. リモートWebアクセスが適切に構成されていれば、表示された結果のSubject欄に[xxx.remotewebaccess.com]のCNが記載された証明書が表示されます。当該の証明書の[Thumbprint]を確認します。
  4. コマンドプロンプトを管理者権限で起動し、以下のコマンドを実行します。
    netsh http add sslcert ipport=0.0.0.0:10443 certhash=xxxxxxxxxxxxxxxxxxxxxxxxxxxxx   appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=My

    [certhash]には、3で確認した拇印を、[ipport]には0.0.0.0:の後ろに割り当てたSSLポートを指定します。[SSL証明書を正常に追加しました]と表示されれば正常に完了しています。 拇印はPowerShellの出力結果からコピーして、コマンドプロンプト画面にペーストします。 (このコマンドをPowerShellで実施すると正常に完了しません。私はここではまりました)
    ここでは、[xxx.remotewebaccess.com]のドメイン名及びサーバー証明書を利用しましたが、通常は外出先に出るときにデータを持ち出して編集し、社内や自宅に帰宅後にLAN内でサーバーのデータと自動同期するという使い方が多いと思います。その場合は、コンピューター名(例えば、SERVER)とコンピューター名.ドメイン名の証明書(SERVER.ドメイン名.localといったFQDN名の証明書)を利用することになります。

 

5.ワークフォルダーの設定

  1. サーバーマネージャーを開き、[ファイルサービスと記憶域サービス]>[ワークフォルダー]を開きます。
  2. [タスク]を押下し、[新しい同期共有]を押下すると、[新しい同期共有ウィザード]が開きます。
  3. [サーバーとパスの選択]で、ローカルパスを入力(サーバーの共有フォルダーを指定するとエラーになりましたので、Cドライブにフォルダーを作成しました)して、ワークフォルダーとしてクライアントから利用するフォルダーの場所を指定します。
  4. [ユーザーフォルダーの構造の指定]では、ワークフォルダーをユーザー名で作成するか、ユーザー名@ドメインで作成するかを指定します。ユーザー名@ドメインで作成すると、同じユーザー名でもドメインが異なる場合は別のワークフォルダーを利用することができます。ユーザー名で作成すると、同一のユーザー名であればワークフォルダーを共有できます。

    [同期共有名]には、任意の名前を付与します。
  5. [同期アクセス]では、Essentialsのダッシュボードで作成した、ワークフォルダーを利用するユーザーを選択して追加します。
  6. [デバイスポリシー]では、ワークフォルダーを利用するクライアントPCに対して適用するポリシーを選択します。

    [ワークフォルダーを暗号化する]にチェックを付けると、クライアントPC上でワークフォルダーは暗号化されます。[自動的に画面をロックする]にチェックを付けると、クライアント PC やデバイスが 15 分後に自動的に画面をロックし、画面のロックを解除するときに 6 文字以上の長いパスワードを要求します。また、再試行が 10 回失敗すると、デバイス ロックアウト モードをアクティブ化します。
  7. 以上の設定をして、[作成]を押下すると、同期共有が新しく作成されます。

 

クライアントPCでワークフォルダーを設定する

  1. クライアントPC上で画面の右端からスワイプし、[検索] をタップします。(マウスを使っている場合は、画面の右下隅をポイントし、マウス ポインターを上へ移動して、[検索] をクリックします。)
  2. 検索ボックスに「ワーク フォルダー」と入力し、[ワーク フォルダー] をタップまたはクリックします。
  3. [ワーク フォルダーのセットアップ] をタップまたはクリックします。
  4. [勤務先電子メールの入力]画面で、[代わりにワークフォルダーURLを入力]を押下します。
  5. ワークフォルダーURLに、[xxx.remotewebaccess.com:10443]を入力します。
    [:]の後ろには 、SSLポートとして指定したポート番号を指定します。
  6. 認証情報の入力を求められます。Essentialsのサーバーダッシュボードで管理していて、サーバー上のワークフォルダーの設定でアクセス権を設定したユーザーのユーザー名とパスワードを入力します。

    稀に、正しいパスワードを入力しても、 0x80c80300 エラーが出ることがあるため、その場合は一度ダッシュボード上でパスワードを更新してみてください。
  7. ワークフォルダーの保存場所を確認し、変更する場合は[変更]ボタンを押下して変更のうえ、[次へ]を押下します。

    サーバー上で設定されたセキュリティポリシーが適用されることに同意し、[ワークフォルダーのセットアップ]を押下します。
  8. 次の画面が表示されれば設定完了です。
  9. エクスプローラーを開くと、[ワークフォルダー]が表示されています。このフォルダーへの変更は、全てサーバーと同期されるようになります。

参考

ださっち: