[Work Folders] Conception d’une solution

Bonjour à tous,

Dans ce deuxième article dédié à la mise en œuvre de Work Folders, nous allons nous pencher sur la conception d'une solution.

L'objectif est de vous présenter les différents scénarii de déploiement de Work Folders ainsi que les critères à prendre en compte afin de concevoir une solution qui vous permettra d'en tirer le meilleur parti.

Scenarii de déploiement

Une solution Work Folders peut être déployée de deux manières :

  • Déploiement interne : Dans cette situation, seuls les terminaux présents dans votre réseau local pourront se connecter aux Work Folders. Cette solution présente l’avantage d’être déployable très rapidement, mais seuls les terminaux présents dans votre réseau local seront en mesure de se connecter aux Work Folders, ce qui en fait une solution très proche des dossiers redirigés hors connexion ou profils itinérants. D’autre part vos terminaux iOS et Android ne pourront pas bénéficier de cette solution
  • Déploiement publié : Dans cette situation les terminaux utilisés pour se connecter aux Work Folders peuvent être localisés à l’intérieur et/ou à l’extérieur du réseau local de l’entreprise. Le service Work Folders devra être publié via une solution Reverse Proxy ou la mise en œuvre d’au moins un serveur ADFS et un serveur WAP.

Une chose est sûre : vous tirerez pleinement partie des Work Folders s’ils sont publiés (Souvenez-vous que cette solution est particulièrement adaptée aux usages de types BYOD et compatible avec des terminaux iOS 8 et plus…)

A partir du moment où vous avez fait ce premier choix vous pouvez déployer la solution Work Folders selon l’un des trois scenarii suivants :

  • Déploiement sur un site unique : Les serveurs Work Folders sont tous déployés sur le site principal où l’infrastructure est hautement disponible.
    • Avantages : Simplicité d'administration
    • Inconvénients : Nécessite une connectivité WAN haut débit pour gérer les flux de synchronisation de fichiers si le service est publié
  • Déploiement multi-sites : Dans ce scénario les serveurs de fichiers sont répartis sur plusieurs sites. Par conséquent, plusieurs serveurs Work Folders devront aussi être déployés sur ces sites
    • Avantages : Répartition de la charge de synchronisation sur plusieurs sites
    • Inconvénients : Charge d’administration plus importante. En effet chaque compte utilisateur qui doit avoir accès au service Work Folders doit être mise à jour (extension de schéma AD) afin de renseigner le bon du serveur de rattachement.
  • Déploiement hébergé : Dans ce scénario les serveurs de fichiers et Work Folders sont hébergés.
    • Avantages : Le trafic engendré par la synchronisation de fichiers se situe au niveau du fournisseur hébergeant les services de fichiers et non plus au niveau du réseau d’entreprise
    • Inconvénients : Nécessite un lien continuel entre les serveurs hébergés et les services Active Directory de l’entreprise. D’autre part, dépendamment du mode de facturation de votre hébergeur, le coût d’hébergement de cette solution ne doit pas être négligé.

Notez que pour chacun des ces scénarii l’implémentation d’une solution hautement disponible est possible. Autrement dit, vous pouvez installez cette solution sur un cluster Windows Server.

Work folders dans l'écosystème Windows Server

Au sein de Windows Server, le service Work Folders s’intègre au rôle Services de fichiers et de stockage. A ce titre, il permet de nombreuses interactions avec les autres services de ce même rôle, mais aussi d’autres rôles Windows Server :

  • Active Directory Domain Services : Active Directory fournit deux fonctionnalités clés pour Work Folders : L’authentification et le lien entre un compte d’utilisateur et l’URL du serveur Work Folders assignée à cet utilisateur
  • Service de fichiers : Ce rôle Windows Server est le composant qui pilotera les Work Folders. Vous pourrez par exemple héberger un Sync Share sur un volume bénéficiant de la déduplication ou maîtriser le volume consommé par chaque utilisateur à l’aide du gestionnaire de ressources du serveur de fichiers (Quota, Filtrage, etc…)
  • Stratégies de groupe : Les GPOs permettent d’imposer des règles de sécurité pour les systèmes Windows 7. Concernant Windows 8 et ultérieurs, les GPOs vous permettent d’automatiser la configuration des Work Folders sur les terminaux
  • Microsoft Intune : Avec cette solution de gestion de terminaux en mode SAAS et connectable à System Center Configuration Manager 2012 R2, vous pouvez utiliser ce service pour déployer une configuration Work Folders sur des terminaux gérés par Microsoft Intune. Ce service vous permet également d’effacer à distance les données Work Folders
  • Web Application Proxy / Device registration Service : Ce rôle permet de rendre disponible le rôle Work Folders à des terminaux extérieurs à votre réseau d’entreprise. Ce rôle fait office de reverse proxy pour les applications Web que vous publiez … en particulier Work Folders. En plus de la publication d’application, WAP vous permet de définir le niveau de sécurité requis pour l’accès à ces applications WEB. Vous pourrez par exemple implémenter une authentification Multi-facteurs.

Conception d’une solution Work Folders

Le déploiement d’une solution Work Folders en environnement de test est relativement simple. Cependant, la mise en œuvre de ce rôle en production nécessite la prise en compte de plusieurs facteurs. Ainsi nous devrons déterminer le type de déploiement, estimer le nombre de serveurs Work Folders ainsi que le nombre de "Sync Share" à créer.

Je vous conseille donc de commencer par une réflexion autour des trois points suivants :

Type de déploiement

Déterminez le périmètre et la cible de la solution, en d’autres termes :

  • Est-ce que la synchronisation des Work Folders devra être effective même si les utilisateurs ne sont pas connectés au réseau local ?
  • La solution devra-t-elle couvrir les terminaux hors domaine et les terminaux iOS, Android et Windows RT ?

Dans le cas d’un déploiement interne, seuls les services Work Folders sont à déployer. Par contre l’utilisation de terminaux iOS, Android et les clients Windows hors domaine ne sera pas possible.

Dans le cas d’un déploiement publié, posez-vous la question des terminaux cibles :

  • Si les terminaux cibles sont tous intégrés à Active Directory, vous pourrez simplement publier le service au travers d’un reverse Proxy
  • Si les terminaux cibles ne sont pas tous intégrables à Active Directory (iOS, Android, Windows RT, Windows hors domaine), alors vous devrez également déployer le service ADFS et WAP afin « d’approuver » ces types de terminaux.

Nombre de serveurs Work Folders (Sync Servers)

Même si la majorité des cas ne nécessiteront que le déploiement de deux serveurs Work Folders en cluster pour assurer une continuité de service (une installation sur un serveur unique est cependant possible mais ne bénéficiera pas d’une continuité de service), d’autres cas peuvent impliquer le déploiement de serveurs supplémentaires :

  • Système d’information et utilisateurs répartis sur plusieurs sites : Dans ce cas il peut être judicieux de déployer des serveurs Work Folders sur les sites où sont localisés les données et les utilisateurs. Cette solution permettra de répartir la charge de synchronisation entre plusieurs liens WAN. Il faudra veiller à ce que votre forêt Active Directory soit élevée au niveau fonctionnel Windows Server 2012 R2 et que chaque compte d’utilisateur soit mis à jour afin de renseigner son serveur Work Folders (extension de schéma)
  • Isolation des données : Certaines données peuvent faire l’objet d’un stockage particulier, dans un environnement dédié. Dans ce cas, un service Work Folders devra être intégré dans cet environnement et un autre dans l’environnement standard pour permettre l’isolation souhaitée
  • Répartition de charge et continuité de service : L’installation de plusieurs serveurs Work Folders dans les environnements à grande échelle peut permettre d’améliorer les performances et assurer une continuité de service dans le cas d’un déploiement en mode Cluster

Nombre de partages publiés par Work Folders (Sync Share)

Le nombre de partages publiés par Work Folders, autrement appelés « Sync Share » dépend, lui aussi, de plusieurs facteurs :

  • Filtrage et quotas : Besoin d’appliquer des règles de quotas et de filtrage différents dépendamment par exemple de la fonction des utilisateurs
  • Sécurisation des terminaux : Si votre entreprise souhaite implémenter différentes règles de sécurité dépendamment du niveau de criticité des données publiées
  • Répartition des données sur plusieurs volumes : un « Sync Share » est lié à un dossier et donc à un seul volume. Si vos données sont réparties sur plusieurs volumes, vous devrez créer autant de « Sync Share » que de volumes.

Conclusion

Cet article vous aura présenté les quelques clés nécessaires à la conception d'une solution Work Folders simple, efficace et évolutive. Dans le prochain article, nous rentrerons davantage dans le vif du sujet en déployant une première solution Work Folder simple.

Enjoy 😉

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.