In Windows-basierten Netzwerk- und Serverumgebungen können Anwender und Admins mit ein wenig Konfigurationsarbeit den Umgang mit Dateien und Freigaben verbessern.
Offline-Dateien für den mobilen Einsatz unter Windows 8/8.1
Mit den Offline-Dateien haben Sie die Möglichkeit, Dateien aus dem Netzwerk, zum Beispiel von einem Dateiserver, auch dann verfügbar zu machen, wenn Sie mit einem Notebook unterwegs sind. Dazu wird auf dem Notebook eine Kopie der entsprechenden Datei erstellt, sodass diese auch ohne Netzwerkverbindung zur Verfügung steht.
Sie können die entsprechenden Dateien auch dann auf dem Notebook bearbeiten, wenn Sie nicht mit dem Netzwerk verbunden sind. Bei der nächsten Verbindung werden die Dateien mit dem Server synchronisiert, sodass die Dateien auf dem Server und dem Notebook wieder übereinstimmen.
Die Verwaltung der Offline-Dateien unter Windows 8/8.1 findet über das Synchronisierungscenter statt, das Sie durch Eingabe von mobsync auf der Startseite aufrufen können. Über den Link Offlinedateien verwalten im Synchronisierungscenter öffnet sich ein neues Fenster, über das Sie die entsprechenden Einstellungen vornehmen können.
Vom Client aus verwenden Sie den Befehl Immer offline verfügbar, der sich im Kontextmenü findet, wenn Sie eine Freigabe, eine Datei oder einen Ordner auf einem Server markiert haben, die oder das für den Offline-Zugriff freigegeben ist.
Sie können auf diese Weise einzelne Dateien, ganze Ordner oder ein komplettes Netzlaufwerk offline verfügbar machen. Achten Sie aber darauf, dass es sich bei Offline-Dateien um Kopien von Dateien aus dem Netzwerk handelt und der Speicherplatzbedarf mit der Anzahl der Offline-Dateien zunimmt. Sie sollten daher möglichst nur Dateien offline verwenden, die Sie auch tatsächlich benötigen, nicht gleich alle auf einmal. Bei der ersten Auswahl dieser Option bereitet Windows den Computer vor und nimmt die Dateien und Ordner in den Offline-Modus mit auf.
Vom Server mit der entsprechenden Freigabe aus kann die Nutzung von Offline-Dateien über die Freigabe gesteuert werden. Beim Erstellen von Freigaben findet sich die Option Zwischenspeichern in den erweiterten Einstellungen der Freigabe. Wenn Sie diese auswählen, können Sie steuern, ob das Zwischenspeichern von Dateien in dem freigegebenen Ordner zugelassen ist. Standardmäßig wird das manuelle Zwischenspeichern von Dateien zugelassen. Das heißt, Freigaben lassen es zu, dass Anwender die Offline-Dateien von Clients aus konfigurieren.
Wenn die Option Keine Dateien oder Programme aus dem freigegebenen Ordner offline verfügbar machen aktiviert ist, erscheint der Befehl Immer offline verfügbar auf dem Client nicht. Es werden drei Varianten für das Zwischenspeichern von Dokumenten unterschieden:
Mit Nur von Benutzern angegebene Dateien und Programme sind offline verfügbar können die Benutzer auswählen, indem Sie die entsprechende Option im Kontextmenü der Freigabe oder des Ordners innerhalb der Freigabe verwenden.
Die Option Alle Dateien und Programme, die Benutzer über den freigegebenen Ordner öffnen, automatisch offline verfügbar machen bewirkt, dass alle Dokumente und ausführbaren Dateien in dieser Freigabe lokal zwischengespeichert werden. In diesem Fall muss sich der Benutzer nicht mehr darum kümmern, die Dokumente offline verfügbar zu machen.
Über das Kontrollkästchen Für hohe Leistung optimieren lässt sich festlegen, dass ausführbare Dateien aus dieser Freigabe auf dem Client verfügbar bleiben, wenn sie einmal genutzt wurden. In diesem Fall sollten die Zugriffsberechtigungen für die Freigabe auf Lesen gesetzt sein, um zu verhindern, dass Windows veränderte Programme zurückspeichert.
Zugriffsberechtigungen optimal planen
Auf der Ebene von Freigaben lassen sich Zugriffsberechtigungen definieren, genauso wie für die Verzeichnisse selbst.
Foto: Thomas Joos
Diese sind wichtig und sollten genutzt werden. Durch diese doppelte Absicherung wird die Zugriffssicherheit deutlich erhöht. Es können an verschiedene Benutzer und Gruppen Standardberechtigungen konfiguriert werden. Diese können Benutzern, Computern oder Gruppen zugewiesen werden:
• Vollzugriff: Erlaubt den vollen Zugriff auf das Verzeichnis oder die Datei. Bei Verzeichnissen bedeutet das, dass Dateien hinzugefügt und gelöscht werden können. Bei Dateien stehen alle Funktionen zur Verfügung. Dazu gehört auch die Veränderung von Zugriffsberechtigungen.
• Ändern: Die Berechtigungen sind vergleichbar mit dem Vollzugriff, aber auf das Schreiben, Lesen, Ändern und Löschen beschränkt. Es können keine Berechtigungen erteilt werden.
• Lesen, Ausführen: Für Programmdateien relevant, da diese ausgeführt werden dürfen.
• Ordnerinhalt auflisten (nur bei Verzeichnissen): Der Inhalt des Verzeichnisses kann angezeigt werden. Dies bezieht sich nicht auf die Inhalte der Dateien, die im Verzeichnis liegen.
• Lesen: Definiert, dass eine Datei gelesen, aber nicht ausgeführt werden darf.
• Schreiben: Die Datei darf verändert, aber nicht gelöscht werden.
Foto: Thomas Joos
Die Vergabe von Zugriffsberechtigungen sollte immer an Gruppen erfolgen, da damit der geringste administrative Aufwand entsteht. Wenn ein weiterer Benutzer diese Berechtigung erhalten soll, muss er nur der Gruppe zugeordnet werden. Die Berechtigungen müssen nicht verändert werden. Ebenso lassen sich die Zugriffsberechtigungen einzelnen Benutzern entziehen, indem diese einfach aus der Gruppe entfernt werden.
Bei der Planung von Berechtigungen sollten Sie sehr effizient planen, welche Ordnerstrukturen Sie anlegen und welche Gruppen Sie aufnehmen. Microsoft empfiehlt folgende Berechtigungsstruktur:
1. Domänenlokale Gruppe erhält Berechtigung auf Ordner und Freigabe.
2. Globale Gruppe(n) wird in lokale Gruppe aufgenommen.
3. Benutzerkonten der Anwender sind Mitglieder der einzelnen globalen Gruppen.
Auf Verzeichnisse im Dateisystem sollten die Administratoren Vollzugriff erhalten. Zusätzlich sollten Sie eine domänenlokale Gruppe anlegen, die Berechtigung auf der Verzeichnisebene und auf Freigabeebenen erhält.
Der Sinn dieses Konzepts liegt darin, dass Sie nicht ständig Berechtigungen für den freigegebenen Ordner ändern müssen, da nur die Domänenlokale Gruppe Zugriff erhält. Da die Anwender in globalen Gruppen aufgenommen werden, können die Gruppen auch in anderen Domänen des Active Directory aufgenommen werden. Das hat in großen Organisationen den Vorteil, dass Freigaben sehr effizient überall bereitgestellt werden können.
Es sollten keine einzelnen Benutzer zu den Berechtigungen auf Freigabe- oder Dateiebene hinzugefügt werden. Zugriffsberechtigungen werden im Regelfall pro Verzeichnis einheitlich vergeben. Eine Anpassung von Berechtigungen für einzelne Dateien ist nur in Ausnahmen sinnvoll und lässt sich oft dadurch umgehen, dass mit eigenen Verzeichnissen für die Dateien, bei denen abweichende Berechtigungen konfiguriert werden müssten, gearbeitet wird.
Spezielle Zugriffsberechtigungen für einzelne Dateien stellen immer ein Problem dar, wenn Zugriffsberechtigungen für alle Dateien verändert werden sollen, weil neue Benutzergruppen hinzugefügt werden. Hier müssen die abweichenden Berechtigungen neu definiert werden. Im Beispiel sehen Sie den Sinn dieses Konzepts:
Domänenlokale Gruppen können zwar globale Gruppen aus der kompletten Gesamtstruktur aufnehmen, aber selbst nicht in anderen Domänen verwendet werden.
Globale Gruppen können nur Mitglieder aus der eigenen Domäne aufnehmen, haben aber dafür die Möglichkeit, dass sie überall im Active Directory verwendet werden können.
Die Vertriebsmitarbeiter in Dallas können durch dieses Konzept sowohl auf die Freigabe in Dallas als auch auf die Freigabe in München zugreifen. Wenn neue Mitarbeiter Zugriff erhalten müssen, kann dies durch Aufnahme in die entsprechende globale Gruppe recht schnell erledigt werden.
Dateien und Freigaben auf Windows Server 2012 R2 migrieren
Eine wichtige Aufgabe bei der Migration ist die Übernahme der Dateien und der Freigaben auf den neuen Server mit Windows Server 2012 R2. Microsoft empfiehlt die Übernahme der Daten mit Robocopy, das zu den Bordmitteln von Windows Server 2012 R2 gehört. Verwenden Sie zum Beispiel folgenden Befehl:
robocopy \\<Quellserver>\Users \\<Zielserver>\UserShares /E /COPY:DATSOU /R:10 /LOG:C:\migration.txt
Um die Daten in einer Freigabe auf einen anderen Rechner zu spiegeln, schreiben Sie am besten ein Skript mit dem Befehl robocopy <Quellordner> <Sicherungslaufwerk>:\<Sicherungsordner> /mir. Mit dem Befehl robocopy c:\users\thomas\documents y:\backup /mir kopiert Windows die Ordner und Dateien aus dem Dokumente-Ordner auf das Laufwerk Y: in den Ordner backup. Die Option /mir kopiert nur geänderte Dateien und löscht Dateien im Zielordner, die im Quellordner nicht mehr vorhanden sind.
Wollen Sie keine Daten kopieren, sondern nur die bestehenden Freigaben und Rechte vom Quell- auf den Zielserver übertragen, benötigen Sie die Registry:
1. Öffnen Sie auf dem Server die Registry durch Eingabe von regedit.
2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Shares.
3. Exportieren Sie diesen Schlüssel über das Kontextmenü.
4. Wollen Sie nicht alle Freigaben übernehmen, öffnen Sie die exportierte Datei und löschen die Einträge der Freigaben, die Sie nicht übernehmen wollen.
5. Kopieren Sie die Datei auf den Zielserver und klicken doppelt auf die Datei, um sie auf dem Zielserver zu importieren. Achten Sie aber darauf, dass dieser Import die Einträge der vorhandenen Freigaben auf dem Zielserver überschreiben.
6. Starten Sie anschließend den Server neu.
7. Überprüfen Sie auf dem Server, ob die Freigaben vorhanden sind.
Wollen Unternehmen Dateiserver auf neuere Hardware umstellen, ist das Problem dabei, meist die ganzen Freigaben neu zu erstellen, die Daten zu übernehmen und die Rechte neu einzutragen. Hier hilft Microsoft mit dem kostenlosen Dateiserver-Migrationstoolkit. Das Tool hilft dabei, Migrationen für die Benutzer vollkommen transparent durchzuführen, auch auf ganze DFS-Stämme (Distributed File System, verteiltes Dateisystem) zu Windows Server 2008 R2 oder Windows Server 2012 R2.
Foto: Thomas Joos
Das Tool übernimmt komplette Ordner, legt Ordner und Freigaben an, kopiert Dateien und setzt die NTFS-Rechte korrekt um. Auch Berichte erstellt das Tool. Die ganze Übernahme findet mit einem einfach zu bedienenden Assistenten statt. Außerdem kann das Tool sehr schnell Daten kopieren, sodass auch mehrere hundert GByte kein Problem darstellen. Selbst das Kopieren nur geänderter Daten ist möglich, sodass Sie zunächst eine Datensicherung zurücksichern können und dann erst die Daten mit dem Tool übernehmen. Das Dateiserver-Migrationstoolkit führt alle Aufgaben in einem Aufwasch durch, und Sie können die Konfiguration sehr detailliert über einen Assistenten oder durch Anpassen einer XML-Datei steuern.
Daten über Dateifreigaben zu SharePoint übernehmen
Sie können Daten von Dateiservern auch zu SharePoint übernehmen. Das ist auch bei einer Migration zu Windows Server 2012 R2 sinnvoll, wenn Sie Dateiserver ablösen und die Daten in SharePoint-Bibliotheken übernehmen wollen.
Sie haben die Möglichkeit, Bibliotheken in SharePoint auf den Client-Computern oder Servern als Netzlaufwerk zu verbinden. Der Vorteil dabei ist, dass die Anwender auf die Daten in SharePoint zugreifen können, genauso wie über normale Dateiserver. Auch mehrere Dateien gleichzeitig lassen sich über diesen Weg in Bibliotheken kopieren, was vor allem bei Migrationen sehr hilfreich ist. Der Verbindungsaufbau findet dazu mit WebDAV (Web-based Distributed Authoring and Versioning) statt.
Der Verbindungsaufbau auf den Clients mit Windows 7/8/8.1 ist denkbar einfach: Sie verbinden ein neues Netzlaufwerk und geben als Adresse http://<Servername>/<Bibliothek> an.
Nach der Verbindung sehen Sie die Bibliothek und alle Dateien im Explorer. Der Umgang entspricht dem Zugriff auf herkömmliche Dateifreigaben. Das heißt, Sie können Daten von Dateiservern sehr schnell kopieren. Die kopierten Dateien sind dann auch in der Bibliothek verfügbar. Neben der grafischen Oberfläche können Sie die Verbindung auch mit net use herstellen lassen, zum Beispiel über Anmeldeskripts. Die Syntax dazu lautet:
net use <Buchstabe> "http://<Name des Servers>/Bibliothek>" /User:<Domäne><Benutzername> <Kennwort>
Der Verbindungsaufbau über WebDAV erfolgt durch den Dienst WebClient Service. Dieser ist standardmäßig in Windows XP, Windows Vista sowie Windows 7/8/8.1 enthalten und gestartet, aber in Windows Server 2008 und Windows Server 2008 R2/2012/2012 R2 nicht installiert. Aus diesem Grund können Sie auf Servern standardmäßig nicht mit WebDAV arbeiten. Sie haben aber die Möglichkeit, über den Server-Manager das Feature Desktopdarstellung zu installieren. Dieses enthält auch den WebClient-Dienst. Nach der Installation können Sie auch in Windows Server 2008 und Windows Server 2008 R2/2012 mit Netzlaufwerken und SharePoint-Bibliotheken arbeiten.
BranchCache nutzen - Niederlassungen effizient anbinden
Windows 7/8/8.1 kann über das Netzwerk kopierte Dateien automatisch auf der Festplatte zwischenspeichern. Beim erneuten Zugriff auf die gleiche Datei muss Windows 7/8/8.1 nur noch neue Daten laden; alles, was schon mal übertragen wurde, bleibt auf der Festplatte im Cache, gesichert durch Zugriffsberechtigungen, gespeichert.
Ändern sich an der Quelle Dateien, überträgt Windows 7/8/8.1 nicht die kompletten geänderten Dateien erneut, sondern nur die Blöcke, die sich geändert haben. Das gilt auch für den Zugriff über DirectAccess oder andere VPN-Szenarien und in allen Konfigurationen von BranchCache. Allein dadurch beschleunigt sich der Datenzugriff enorm. Diese Technik funktioniert auch ohne Windows Server 2012 R2.
Foto: Thomas Joos
Setzen Unternehmen zudem Windows Server 2012 R2 ein, ergeben sich weitere Vorteile. Windows Server 2012 R2 unterstützt ebenfalls BranchCache. Die beiden Betriebssysteme können diese Technik miteinander verbinden. Ruft ein Client mit Windows 7/8/8.1 in einer Niederlassung Daten von der Zentrale ab, zwischenspeichert der BranchCache aktivierte Dateiserver in der Niederlassung die Daten. Ruft ein weiterer Client die gleichen Daten ab, stellt der Dateiserver diesem Client die zwischengespeicherten Daten zur Verfügung, sodass diese nicht erneut über das Netzwerk übertragen werden müssen. Das beschleunigt den Zugriff enorm und spart Bandbreite im WAN ein, die für andere Anwendungen zur Verfügung stehen.
BranchCache lässt sich in den beiden Betriebsmodi Hosted Cache und Distributed Cache betreiben. Bei Hosted Cache stellen Unternehmen in der Niederlassung, in der Windows-7/8/8.1-Computer installiert sind, einen Host zur Verfügung, der die Daten vom zentralen Dateiserver über die WAN-Leitung zwischenspeichern kann.
Foto: Thomas Joos
Befindet sich also in einer Niederlassung mit Windows-7/8/8.1-Computern noch ein Server mit Windows Server 2012 R2, lassen sich auf diesem Server über Hosted Cache zentral Daten zwischenspeichern, sodass der Zugriff von allen Client-Computern unter Windows 7/8/8.1 aus enorm beschleunigt wird, ohne dass die Sicherheit darunter leidet. Die Computer greifen dann auf den Host in der Niederlassung zu, um Daten der Zentrale abzurufen. Benötigen Clients Daten, die noch nicht auf dem Hosted-Cache-Server liegen, ruft dieser die Daten vom Content-Server, dem Datei- oder Webserver in der Zentrale, ab. Der erste Zugriff der Clients ist dadurch etwas langsamer, weitere Zugriffe laufen aber deutlich schneller ab.
Die Konfiguration dieser Technik erfolgt in den Gruppenrichtlinien. Sie finden die Einstellungen unter Computerkonfiguration/Richtlinien/Administrative Vorlagen/Netzwerk. Über LanMan-Server nehmen Sie Einstellungen für die Server vor. Die Client-Konfiguration nehmen Sie über BranchCache vor. (mje)