Planeamiento de una Carpetas de trabajo implementación

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, Windows 8.1, Windows 7

En este tema se explica el proceso de diseño de una implementación de Carpetas de trabajo. Se entiende que el usuario ya cuenta con lo siguiente:

  • Tener una comprensión básica de Carpetas de trabajo (como se describe en Carpetas de trabajo)

  • Conocimientos básicos sobre los conceptos de Servicios de dominio de Active Directory (AD DS)

  • Conocimientos básicos sobre el uso compartido de archivos de Windows y tecnologías relacionadas

  • Conocimientos básicos sobre el uso de certificados SSL

  • Conocimientos básicos sobre cómo habilitar el acceso web a recursos internos a través de un proxy inverso web

    Las siguientes secciones le servirán para diseñar su implementación de Carpetas de trabajo. La implementación de Carpetas de trabajo se detalla en el siguiente tema, Implementar Carpetas de trabajo.

Requisitos de software

Carpetas de trabajo presenta los siguientes requisitos de software en cuanto a servidores de archivos e infraestructura de red:

  • Un servidor que ejecuta Windows Server 2012 R2 o Windows Server 2016 para hospedar recursos compartidos de sincronización con archivos de usuario

  • Un volumen con formato de sistema de archivos NTFS para almacenar archivos de usuario

  • Para aplicar directivas de contraseña en equipos con Windows 7, debe usar las directivas de contraseña de directiva de grupo. También debe excluir los equipos con Windows 7 de las directivas de contraseña de Carpetas de trabajo (si es que los usa).

  • Un certificado de servidor para cada servidor de archivos que hospedará Carpetas de trabajo. Estos certificados deben ser de una entidad de certificación (CA) de confianza para los — usuarios, idealmente una ca pública.

  • (Opcional) Un Active Directory Domain Services con extensiones de esquema en Windows Server 2012 R2 para admitir la referencia automática de equipos y dispositivos al servidor de archivos correcto cuando se usan varios servidores de archivos.

Existen más requisitos para permitir que los usuarios sincronicen a través de Internet:

  • La capacidad de hacer que un servidor sea accesible desde Internet mediante la creación de reglas de publicación en la puerta de enlace de red o proxy inverso de la organización

  • (Opcional) Un nombre de dominio registrado públicamente y la capacidad de crear registros DNS públicos adicionales para el dominio

  • (Opcional) Una infraestructura de Servicios de federación de Active Directory (AD FS) cuando se use la autenticación de AD FS.

Carpetas de trabajo presenta los siguientes requisitos de software relativos a los equipos cliente:

  • Los equipos deben ejecutar uno de los siguientes sistemas operativos:

    • Windows 10

    • Windows 8.1

    • Windows RT 8.1

    • Windows 7

    • Android 4.4 KitKat y versiones posteriores

    • iOS 10.2 y versiones posteriores

  • Los equipos con Windows 7 deben ejecutar una de las siguientes ediciones de Windows:

    • Windows 7 Professional

    • Windows 7 Ultimate

    • Windows 7 Enterprise

  • Windows 7 equipos deben unirse al dominio de su organización (no se pueden unir a un grupo de trabajo).

  • Suficiente espacio libre en una unidad local con formato NTFS para almacenar todos los archivos del usuario en Carpetas de trabajo, además de 6 GB adicionales de espacio libre si Carpetas de trabajo se encuentra en la unidad del sistema, tal y como está de forma predeterminada. Carpetas de trabajo usa la siguiente ubicación de forma predeterminada %USERPROFILE%\Work Folders

    No obstante, esta ubicación se puede modificar durante la instalación (se pueden usar ubicaciones como tarjetas microSD y unidades USB con el formato del sistema de archivos NTFS, pero cabe recordar que la sincronización se detendrá si se extraen las unidades).

    El tamaño máximo de los archivos individuales es de 10 GB de forma predeterminada. No existe límite de almacenamiento por usuario, si bien los administradores pueden hacer uso de la función de cuotas del Administrador de recursos del servidor de archivos para implementar cuotas.

  • Carpetas de trabajo no admite revertir el estado de la máquina virtual de las máquinas virtuales cliente. realice en su lugar operaciones de copia de seguridad y restauración desde la máquina virtual cliente, ya sea por medio de Copia de seguridad de imagen del sistema o de cualquier otra aplicación de copia de seguridad.

Nota

Asegúrese de instalar el paquete acumulativo de actualizaciones de disponibilidad general Windows 8.1 y Windows Server 2012 R2 en todos los servidores de Carpetas de trabajo y en todos los equipos cliente que ejecuten Windows 8.1 o Windows Server 2012 R2. Para más información, vea el artículo 2883200 en Microsoft Knowledge Base.

Escenarios de implementación

Carpetas de trabajo se puede implementar en un número indeterminado de servidores de archivos de un entorno de cliente. Esto hace que Carpetas de trabajo pueda escalar de acuerdo con las necesidades del cliente, de modo que las implementaciones son tremendamente individualizadas. No obstante, casi todas las implementaciones coinciden con uno de los tres siguientes escenarios básicos.

Implementación de sitio único

En una implementación de sitio único, los servidores de archivos se hospedan en un sitio central dentro de la infraestructura del cliente. Este tipo de implementación es más frecuente en clientes con una infraestructura muy centralizada o con pequeñas sucursales que no mantienen servidores de archivos locales. Se trata de un modelo de implementación más fácil de administrar para el personal de TI, ya que todos los activos de servidor son locales y la entrada/salida de Internet probablemente esté centralizada también en esa ubicación. Sin embargo, este modelo depende de una buena conectividad de WAN entre el sitio central y las sucursales, con lo cual los usuarios de las sucursales están expuestos a posibles interrupciones del servicio a causa del estado de la red.

Implementación con varios sitios

En una implementación de varios sitios, los servidores de archivos se hospedan en varias ubicaciones dentro de la infraestructura del cliente. que podrían ser varios centros de datos o varias sucursales donde se mantienen los servidores de archivos. Este tipo de implementación es el habitual en entornos de cliente de mayor tamaño o en clientes con varias sucursales grandes donde se mantienen activos de servidores locales. Se trata de un modelo de implementación más difícil de administrar para el personal de TI y que depende de una minuciosa coordinación entre el almacenamiento de datos y el mantenimiento de Servicios de dominio de Active Directory (AD DS) para garantizar que los usuarios usen el servidor de sincronización adecuado para Carpetas de trabajo.

Implementación hospedada

En una implementación hospedada, los servidores de sincronización están implementados en una solución IaaS (infraestructura como servicio) como, por ejemplo, VM de Windows Azure. Este método de implementación tiene la ventaja de hacer que la disponibilidad de los servidores de archivos sea menos dependiente de la conectividad WAN dentro de la empresa de un cliente. Si un dispositivo puede conectarse a Internet, podrá tener acceso a su servidor de sincronización. Sin embargo, los servidores implementados en el entorno hospedado todavía necesitan poder acceder al dominio Active Directory de la organización para autenticar a los usuarios, y el cliente negocia los requisitos de infraestructura locales para una complejidad adicional al mantener esa conexión.

Tecnologías de implementación

Las implementaciones de Carpetas de trabajo constan de una serie de tecnologías que funcionan de manera conjunta para prestar servicio a dispositivos en redes tanto internas como externas. Antes de diseñar una implementación de Carpetas de trabajo, los clientes deben estar familiarizados con los requisitos de cada una de las siguientes tecnologías.

Servicios de dominio de Active Directory

AD DS proporciona dos servicios importantes en una implementación de Carpetas de trabajo. En primer lugar, como el back-end de la autenticación de Windows, AD DS presta los servicios de autenticación y seguridad que se usan para dar acceso a los datos de usuario. Si no se puede acceder a un controlador de dominio, un servidor de archivos no podrá autenticar una solicitud entrante y el dispositivo no podrá acceder a los datos almacenados en el recurso compartido de sincronización de ese servidor de archivos.

En segundo lugar, AD DS (con la actualización del esquema Windows Server 2012 R2) mantiene el atributo msDS-SyncServerURL en cada usuario, que se usa para dirigir automáticamente a los usuarios al servidor de sincronización adecuado.

Servidores de archivos

Los servidores de archivos Windows Server 2012 R2 o Windows Server 2016 hospedan el servicio de rol Carpetas de trabajo y hospedan los recursos compartidos de sincronización que almacenan los datos de Carpetas de trabajo usuarios. Los servidores de archivos también pueden hospedar los datos almacenados por otras tecnologías activas en la red interna (como los recursos compartidos de archivos) y, asimismo, se pueden agrupar para disponer de tolerancia a errores en los datos de usuario.

Directiva de grupo

Si tiene equipos con Windows 7 en el entorno, se recomienda lo siguiente:

  • Usar la directiva de grupo para controlar las directivas de contraseña para todos los equipos unidos al dominio que usen Carpetas de trabajo.

  • Use la Carpetas de trabajo Bloqueo automático y requiera una directiva de contraseñas en equipos que no están unidos a su dominio.

    La directiva de grupo también se puede usar para especificar un servidor de Carpetas de trabajo en equipos unidos a dominios. Esto simplifica Carpetas de trabajo configuración, de lo contrario, los usuarios tendrían que escribir su dirección de correo electrónico del trabajo para buscar la configuración (suponiendo que Carpetas de trabajo esté configurado correctamente) o escribir la dirección URL de Carpetas de trabajo que les proporcionó explícitamente por correo electrónico u otro medio de – comunicación.

    La directiva de grupo también puede servir para configurar Carpetas de trabajo forzosamente de manera individual por cada usuario o equipo, pese a que esto hace que Carpetas de trabajo se sincronice en todos los equipos en los que un usuario inicie sesión (si se usa la configuración de directiva por usuario) e impide que los usuarios establezcan otra ubicación en su PC para Carpetas de trabajo (como una tarjeta microSD, a fin de ahorrar espacio en la unidad principal). Aconsejamos evaluar detenidamente las necesidades de los usuarios antes de implantar la configuración automática.

Windows Intune

Windows Intune aporta un nivel de seguridad y facilidad de administración para los dispositivos no unidos a dominios que de otra forma no estarían presentes. Puede usar Windows Intune para configurar y administrar los dispositivos personales de los usuarios, como las tabletas que se conectan a Carpetas de trabajo desde Internet. Windows Intune puede proporcionar a los dispositivos la dirección URL del servidor de sincronización para usar; de lo contrario, los usuarios deben escribir su dirección de correo electrónico de trabajo para buscar la configuración (si publica una dirección URL de Carpetas de trabajo pública en forma de contoso.com) o escribir la dirección URL del servidor de sincronización –https://workfolders.–directamente.

Sin una Windows de Intune, los usuarios deben configurar dispositivos externos manualmente, lo que puede dar lugar a una mayor demanda del personal del departamento de soporte técnico de un cliente.

También puede usar Windows Intune para borrar selectivamente los datos de Carpetas de trabajo en el dispositivo de un usuario sin que ello afecte al resto de sus datos útiles si un usuario abandona la organización o si le roban el – dispositivo.

Proxy de aplicación web/Proxy de aplicación de Azure AD

Carpetas de trabajo se basa en el concepto de permitir que los dispositivos conectados a Internet recuperen datos empresariales de forma segura de la red interna, lo que permite a los usuarios "llevar sus datos con ellos" en sus tabletas y dispositivos que normalmente no podrían acceder a archivos de trabajo. Para lograrlo, se debe usar un proxy inverso para publicar direcciones URL de servidor de sincronización y ponerlas a disposición de los clientes de Internet.

Carpetas de trabajo admite el uso de Application Proxy web, Azure AD Application Proxy o soluciones de proxy inverso de terceros:

Otras consideraciones de diseño

Aparte de conocer cada uno de los componentes anteriores, los clientes deben dedicar tiempo a pensar en el número de servidores y recursos de sincronización que debe haber y, asimismo, si conviene usar clústeres de conmutación por error para que exista tolerancia a errores en estos servidores de sincronización.

Número de servidores de sincronización

Un cliente puede poner en marcha varios servidores de sincronización en un solo entorno. Esta configuración puede ser muy adecuada por diversos motivos:

  • Distribución geográfica de – usuarios, por ejemplo, servidores de archivos de sucursal o centros de datos regionales

  • Requisitos de almacenamiento – de datos determinados departamentos empresariales pueden tener requisitos específicos de almacenamiento o control de datos que son más fáciles con un servidor dedicado

  • Equilibrio de carga en entornos grandes, el almacenamiento de datos de usuario en varios servidores puede aumentar el rendimiento y el tiempo – de actividad del servidor.

    Para obtener información sobre el rendimiento y la escala de los servidores de Carpetas de trabajo, vea Consideraciones de rendimiento de las implementaciones de Carpetas de trabajo.

Nota

Cuando se usen varios servidores de sincronización, recomendamos configurar la detección automática de servidores para los usuarios. Este proceso se basa en la configuración de un atributo de cada cuenta de usuario en AD DS. El atributo se denomina msDS-SyncServerURL y está disponible en las cuentas de usuario después de que se agrega un controlador de dominio Windows Server 2012 R2 al dominio o se aplican las actualizaciones Active Directory esquema de Active Directory. Este atributo debe definirse en cada usuario si se quiere garantizar que los usuarios se conecten al servidor de sincronización adecuado. Mediante la detección automática de servidores, las organizaciones pueden publicar Carpetas de trabajo detrás de una dirección URL "fácil de usar", como , independientemente del número de servidores de sincronización https://workfolders.contoso.com en funcionamiento.

Número de recursos compartidos de sincronización

Los servidores de sincronización individuales pueden mantener varios recursos compartidos de sincronización, lo que puede ser práctico por los motivos siguientes:

  • Requisitos de seguridad y auditoría Si los datos usados por un departamento determinado deben auditarse o conservarse más en gran medida durante un período de tiempo más largo, los recursos compartidos de sincronización independientes pueden ayudar a los administradores a mantener separadas las carpetas de usuario con distintos niveles de – auditoría.

  • Cuotas o pantallas de archivos diferentes Si desea establecer diferentes cuotas de almacenamiento o límites en los tipos de archivo que se permiten en Carpetas de trabajo (pantallas de archivos) para diferentes grupos de usuarios, los recursos compartidos de sincronización independientes pueden – ayudar.

  • Control de departamento Si las tareas administrativas se distribuyen por departamento, el uso de recursos compartidos independientes para distintos departamentos puede ayudar a los administradores a aplicar cuotas u – otras directivas.

  • Directivas de dispositivos diferentes Si una organización necesita mantener varias directivas de dispositivo (como el cifrado de Carpetas de trabajo) para distintos grupos de usuarios, el uso de varios recursos – compartidos permite esto.

  • Storage capacidad – Si un servidor de archivos tiene varios volúmenes, se pueden usar recursos compartidos adicionales para aprovechar estos volúmenes adicionales. Un recurso compartido concreto tiene acceso únicamente al volumen en el que está hospedado y no podrá usar ningún otro volumen de un servidor de archivos.

Acceso a recursos compartidos de sincronización

Del mismo modo que el servidor de sincronización al que un usuario tiene acceso viene determinado por la dirección URL especificada en el cliente (o la dirección URL publicada para dicho usuario en AD DS si se usa la detección automática de servidores), el acceso a recursos compartidos de sincronización individuales viene determinado por los permisos existentes en el recurso compartido en cuestión.

En consecuencia, si un cliente hospeda varios recursos compartidos de sincronización en el mismo servidor, deberá tener cuidado y asegurarse de que cada usuario tenga permiso de acceso a únicamente uno de esos recursos compartidos. En caso contrario, cuando los usuarios se conecten al servidor, puede existir la posibilidad de que sus clientes se conecten al recurso compartido equivocado. Para evitarlo, puede crear un grupo de seguridad independiente por cada recurso compartido de sincronización.

Además, el acceso a la carpeta de un usuario individual dentro de un recurso compartido de sincronización viene determinado por los derechos de propiedad de la carpeta. Al crear un recurso compartido de sincronización, Carpetas de trabajo concede a los usuarios acceso exclusivo a sus archivos de forma predeterminada (la herencia se deshabilita y tales usuarios pasan a ser los propietarios de sus carpetas individuales).

Diseño de una lista de comprobación

La siguiente relación de preguntas está pensada para ayudar a los clientes a diseñar la mejor implementación de Carpetas de trabajo para sus entornos. Conviene que los clientes se detengan a analizar esta lista de comprobación antes de intentar implementar servidores.

  • Usuarios objetivo

    • ¿Qué usuarios van a usar Carpetas de trabajo?

    • ¿Cómo están organizados los usuarios? (Geográficamente, por oficina, por departamento, etc.)

    • ¿Hay usuarios que tengan requisitos especiales de almacenamiento, seguridad o retención de datos?

    • ¿Hay usuarios que tengan requisitos específicos de directiva de dispositivo, como el cifrado?

    • ¿Para qué equipos y dispositivos cliente necesita compatibilidad? (Windows 8.1, Windows RT 8.1, Windows 7)

      Si admite Windows 7 equipos y desea usar directivas de contraseña, excluya el dominio que almacena sus cuentas de equipo de la directiva de contraseñas de Carpetas de trabajo directiva de grupo y, en su lugar, use directivas de contraseñas para equipos unidos a un dominio en ese dominio.

    • ¿Necesita migrar desde otras soluciones de administración de datos de usuario (como Redirección de carpetas) o interoperar con ellas?

    • ¿Es necesario que usuarios de varios dominios puedan sincronizarse por Internet con un único servidor?

    • ¿Es necesario admitir usuarios que no sean miembros del grupo Administradores local en sus equipos unidos a dominio? (Si así es, deberá excluir los dominios en cuestión de las directivas de dispositivo de Carpetas de trabajo, como las directivas de contraseña y cifrado).

  • Planeación de la infraestructura y la capacidad

    • ¿En qué sitios de la red deben estar los servidores de sincronización?

    • ¿Alguno de los servidores de sincronización va a estar hospedado por un proveedor de IaaS (infraestructura como servicio), como una VM de Azure?

    • ¿Va a necesitar servidores dedicados para grupos de usuarios específicos? De ser así, ¿cuántos usuarios por cada servidor dedicado?

    • ¿Dónde están los puntos de entrada/salida de Internet en la red?

    • ¿Se van a agrupar los servidores de sincronización para la tolerancia a errores?

    • ¿Deben los servidores de sincronización mantener varios volúmenes de datos para hospedar datos de usuario?

  • Seguridad de los datos

    • ¿Necesita crear varios recursos compartidos de sincronización en cualquiera de los servidores de sincronización?

    • ¿Qué grupos se van a usar para dar acceso a los recursos compartidos de sincronización?

    • Si usa varios servidores de sincronización, ¿qué grupo de seguridad va a crear para la capacidad delegada de modificar la propiedad msDS-SyncServerURL de los objetos de usuario?

    • ¿Existen requisitos especiales de auditoría o seguridad en algún recurso compartido de sincronización concreto?

    • ¿Va a necesitar la autenticación multifactor (MFA)?

    • ¿Necesita poder borrar de forma remota los datos de Carpetas de trabajo de equipos y dispositivos?

  • Acceso de dispositivo

    • ¿Qué dirección URL se va a usar para dar acceso a dispositivos basados en Internet (la dirección URL predeterminada que se necesita para la detección automática de servidores basada en correo electrónico es workfolders.nombreDeDominio)?

    • ¿De qué manera se va a publicar la dirección URL en Internet?

    • ¿Va a utilizar la detección automática de servidores?

    • ¿Va a utilizar la directiva de grupo para configurar equipos unidos a dominio?

    • ¿Va a utilizar Windows Intune para configurar dispositivos externos?

    • ¿Será necesario el registro de dispositivos para que los dispositivos puedan conectarse?

Pasos siguientes

Después de diseñar la Carpetas de trabajo implementación, es el momento de implementar Carpetas de trabajo. Para obtener más información, vea Implementar Carpetas de trabajo.

Referencias adicionales

Para obtener más información relacionada, vea los siguientes recursos.

Tipo de contenido Referencias
Evaluación del producto - -
- - (entrada de blog)
Implementación - -
- -
- -
- -
- -
- -
- -
- - (entrada de blog)