Mise en oeuvre de la redirection de dossiers avec fichiers hors connexion

Cet article a pour but d’expliquer :

• Le principe de la redirection de dossier et des fichiers hors connexion.
• Comment préparer l’environnement de tests.
• Comment configurer la fonctionnalité de redirection de dossiers.
• Comment fonctionne et comment configurer la fonctionnalité de fichiers hors connexion.
• Test de la solution et retour d’expérience
• Comment changer de répertoire pour les fichiers connexions tout en conservant le cache hors connexion

Le principe de la redirection de dossier et des fichiers hors connexion

La redirection de dossier

Un des défis des administrateurs Windows est la sauvegarde des données d’entreprise situées sur les stations de travail des utilisateurs.

La redirection de dossier permet justement de rediriger des dossiers comme Mes Documents ou le Bureau (où les utilisateurs stockent généralement leurs données) vers des emplacements réseaux (les serveurs de fichiers de l’entreprise). La fonctionnalité de redirection de dossier permet ainsi de s’assurer que toutes les données des utilisateurs sont hébergées sur des serveurs de l’entreprise.

L’administrateur Windows pourra alors se concentrer sur la sauvegarde des serveurs de l’entreprise et s’affranchir d’un projet de sauvegarde des postes de travail de l’entreprise.

Les fichiers hors connexion

Dans l’exemple ci-dessous, l’administrateur Windows a redirigé le dossier Mes documents de tous ses utilisateurs.

Mélanie dispose d’un ordinateur portable. Cette dernière ne peut pas accéder à son dossier Mes Documents quand elle travaille de chez elle et qu’elle n’a pas un accès aux serveurs de fichiers qui héberge son dossier Mes Documents. Pour permettre à Mélanie d’accéder à ses données de chez elle, l’administrateur Windows peut mettre en place la fonctionnalité de fichiers hors connexions.

Cette fonctionnalité permet en effet de télécharger automatiquement dans un cache les derniers fichiers ouverts, voir tous les fichiers / dossiers contenu dans le répertoire Mes Documents.

Préparation de l’environnement de tests

Pour tester la redirection de dossiers avec mise en œuvre des fichiers connexion, vous devez :

• Disposer d’un domaine Active Directory géré par un contrôleur de domaine Windows 2008 R2 ou version ultérieure qui sert aussi de serveurs de fichiers. Cela marche aussi avec un domaine géré par des contrôleurs de domaine Windows 2003, mais il faut éditer les GPO à partir d’une machine Windows 7 / Windows 2008 R2 membre du domaine.
• Disposer de 2 stations de travail Windows 7 SP1 appelées Win7a et Win7b.
• Créer un compte utilisateur appelé mélanie.mathieu
• Créer une OU appelée Msreport et déplacer le compte utilisateur melanie.mathieu et les comptes ordinateur Win7a et Win7b dans cette OU.
• Créer un objet GPO appelé « Msreport-FolderRedirection » et lié cet objet à l’OU Msreport.

MAJ 02/09/2014

Vous devez déployer sur la station de travail Windows 7 SP1 les mises à jour suivantes :

• La KB 2523887 (http://support.microsoft.com/kb/2523887/en-us) permet de corriger des problèmes quand on définit des quotas pour les utilisateurs.
• La KB 2561708 (http://support.microsoft.com/kb/2561708/en-us) permet de corriger des problèmes de synchronisation avec les fichiers hors connexion.
• La KB 2525332 (http://support.microsoft.com/kb/2525332/en-us) permet de corriger des problèmes de lenteur d’ouverture de session lors de la synchronisation des fichiers hors connexion.
• La KB 927229 (http://support.microsoft.com/kb/977229/en-us) permet de corriger des problèmes de synchronisation quand l’utilisateur n’est pas administrateur de sa machine et que l’emplacement des fichiers cible a changé. Ce correctif est inclus dans le SP1 de Windows 7.
• La KB 2610379 (http://support.microsoft.com/kb/2610379) permet de faire fonctionner le renommage des dossiers hors connexion en cas de changement du nom du partage / serveur d’espace de noms. Elle est plus que recommandée.

Comment configurer la fonctionnalité de redirection de dossiers

La mise en œuvre de la fonctionnalité de redirection de dossiers se fait en 3 étapes :

• La création d’un groupe de sécurité local de domaine appelé Redirection-MesDocuments
• La création et le partage du dossier qui va héberger le dossier Mes Documents des utilisateurs (Mélanie.mathieu dans ce cas).
• La création d’un objet GPO où l’on va définir les paramètres de redirection de dossiers pour les utilisateurs.

Créer le groupe de sécurité pour contrôler la redirection de dossier

Créer un groupe local de sécurité appelé Redirection-MesDocuments.
La redirection d’un dossier peut maintenant en effet être configurée via une appartenance à un groupe.

Création et partage du dossier qui va héberger le dossier Mes Documents des utilisateurs

Je vous invite à lire pour cela les articles suivants :

• http://technet.microsoft.com/fr-fr/library/jj649078.aspx
• http://support.microsoft.com/kb/2512089

Les informations dans ces 2 articles peuvent sembler contradictoires. Il faut bien laisser les permissions « List folder / read data » et « Create folders / append data » sur «This folder only ».

En effet l’utilisateur disposera de permissions complètes sur son dossier Mes Documents redirigées. De ce fait la mise en cache hors connexion des données fonctionnera correctement.

Si l’on veut que les administrateurs accèdent aux dossiers, il faut leur donner le droit d’accéder sur le dossier et tous les sous-dossiers / fichiers contrairement à ce qui est expliqué dans l’article http://technet.microsoft.com/fr-fr/library/jj649078.aspx.

• Créer le dossier c:Redirection-MesDocuments.
• Désactiver l’héritage pour déléguer des droits personnalisés sur ce dossier.
• Aller dans l’onglet Sécurité puis cliquer sur Advanced.
• Cliquer sur le bouton « Disable inheritance » et cliquer sur « Convert inherited permissions into explicit permissions on this object ».
• Les permissions sont maintenant définies explicitement sur le dossier.
• Aller dans les permissions NTFS avancées.
• Supprimer le groupe « Utilisateurs ».

Le groupe Redirection-MesDocuments doit avoir les permissions « List folder / read data » « Create folders / append data ». Ces 2 permission ne doivent être appliquées que sur le dossier racine et ne doit pas être propagée.

• Pour cela, il faut aller dans les permissions NTFS avancées et sélectionner « This folder only ». Faire OK plusieurs fois pour enregistrer le changement.
• Aller dans les propriétés du dossier puis dans l’onglet « Sharing ».
• Cliquer sur « Advanced Sharing ».
• Partager le dossier en Redirection-MesDocuments$ (partage masqué).
• Cliquer sur le bouton « Permissions » et définir « Contrôle Total » pour « Authenticated users » (Utilisateurs authentifiés en français).
• Cliquer sur le bouton « Caching » et sélectionner le choix « All files and programs that users open from the shared folder are automatically available offline ».
• Vérifier l’accès aux dossiers partagés. Dans notre cas : \DCQUALIF2Redirection-mesDocuments$.

Création d’un objet GPO où l’on va définir les paramètres de redirection de dossiers pour les utilisateurs

• Créer une GPO dédiée pour la redirection de dossier.

En effet la méthode la plus simple pour supprimer la redirection de dossiers est de supprimer complètement l’objet GPO. Dans le cas contraire, il faut éditer manuellement les objets GPC (objet dans le conteneur système à la racine du domaine) / GPT (fichiers dans le dossier c:windowsSysvolSysvol) correspondant à la GPO car il reste des traces de la redirection de dossiers après désactivation.

• Editer l’objet GPO appelé « Msreport-FolderRedirection ».
• Aller dans « User Configuration | Windows Settings | Folder redirection » et faire un clic droit sur l’élément Mes Documents.
• Dans l’onglet « i », sélectionner « Advanced – Specify locations for various users groups »
• Ajouter le groupe de sécurité Redirection-MesDocuments.
• Donner le chemin UNC pour le partage : \DCQUALIF2Redirection-mesDocuments$

Si vous voulez que les administrateurs puissent accéder aux dossiers redirigés, décocher la case « Grant The user exclusive rights to Documents ». En cas de changements, ce paramètre n’est pris que pour les nouveaux dossiers redirigés !

• Sélectionner le paramètre « Redirect the folder back to the local userprofile location when policy is removed ». Si la stratégie de groupe est supprimée ou si l’utilisateur est exclu du groupe, les données sont recopiées du serveur vers la station de travail. Cliquer sur Apply puis sélectionner Yes.

La redirection de dossier se configure aussi à l’emplacement suivant au niveau des GPO :

User Configuration | Administratives Templates | System | Folder Redirection.

Si vous souhaitez créer une copie hors connexion du dossier Mes Documents (redirigé sur \DCQUALIF2Redirection-mesDocuments$), configurer les paramètres de GPO suivant :

• Désactiver le paramètre « Do not automatically make all redirected folders available offline ». Si vous activez ce paramètre, il faut installer la KB 2525332 (http://support.microsoft.com/kb/2525332/en-us).
• Désactiver le paramètre « Use localized subfolder names when redirectong Start Menu and My documents ». Cela permettra d’éviter des problèmes si vous utilisez des stations de travail installées dans différentes langues.

On notera qu’il existe d’autres paramètres de GPO spécifiques aux stations de travail sous Windows 8 qui permettent de changer l’emplacement du dossier où est redirigé le dossier Mes Documents des utilisateurs (paramètre de GPO « Enable optimized move of contents in Offline files cache on Folder Redirection server path change ».)

Comment fonctionne et comment configurer la fonctionnalité de fichiers hors connexion ?

Attention, la fonctionnalité « Fichiers hors connexions » est TRÈS complexe. Je vous invite pour commencer à lire l’article suivant :
http://helgeklein.com/blog/2012/04/windows-7-offline-files-survival-guide/

Comment configurer les fichiers hors connexions ?

La fonctionnalité « Fichiers hors connexions » se configure par GPO. Editer l’objet « Msreport-FolderRedirection ». Attention certains paramètres existent pour Windows 7 et d’autres pour Windows XP ou Windows 8. Il faut configurer que les paramètres pour Windows 7 dans notre cas.

Aller dans Computer Configuration | Administrative Templates | Network | Offlines Files et configurer les paramètres suivants.

• Action on server disconnect : ce paramètre force le comportement en cas de perte de la connectivité au serveur où sont stockés les données redirigés. Il doit être activé.
• Allow or Disallow use of Offline Files feature : ce paramètre permet de forcer l’activation des fichiers hors connexion. Les utilisateurs ne peuvent plus désactiver les fichiers hors connexions.
• Enable file screens : ce paramètre permet de bloquer certains types de fichiers. Il peut être intéressant de bloquer les fichiers AVI par exemple.
• Encrypt the Offline file cache : je vous préconise de désactiver ce paramètre. Certains de mes clients ont rencontré des problèmes d’accès refusé lors de la consultation du cache en mode hors connexion. Je vous invite plutôt à utiliser des outils pour chiffrer les disques comme Bitlocker ou TrueCrypt si vous souhaitez réellement protéger les données sur les stations de travail.
• Turn on economical applicationof administratively assigned Offline Files : activer ce paramètre pour optimiser la synchronisation des fichiers hors connexion.
• Limit disk space used by Offline files : ce paramètre permet de limiter l’espace occupé par les fichiers hors connexion. Par défaut, il n’y a pas de limite pour les fichiers mis en cache définis par l’administrateur réseau (via le paramètre de GPO Specify administratively assigned Offline files) et une limite de 25% pour les autres fichiers hors connexion.
• Configure Slow-Link mode et Configure Background Sync : le premier paramètre permet de définir en fonction du débit et de la latence entre le client et le serveur qui héberge les répertoires quand la station de travail passe en mode « Slow-Link ». Le second permet de configurer comment une station de travail synchronise les fichiers hors connexion en mode « Slow-Link » uniquement. En mode « Slow-Link, les utilisateurs peuvent travailler sur le cache hors connexion et synchroniser périodiquement les fichiers sur le serveur.

Le mode Slow link pose des problèmes si vous utilisez un chemin DFS pour héberger les dossiers redirigés. Je vous invite à lire l’article suivant :
http://blogs.technet.com/b/askds/archive/2011/12/14/slow-link-with-windows-7-and-dfs-namespaces.aspx

• Pour synthétiser je vous invite à définir les paramètres de latence / bande passante suivants si vous disposer d’un espace de noms (racine) appelé Msreport dans un domaine Active Directory appelé msreport.intra.

\msreport.intraMsreport : Latence à 32000 ms
\msreport.intraMsreport\Redirection-mesDocuments : latence à 60ms et débit à 192 Kb.

Il est important de définir une latence / débit pour la racine DFS pour éviter de passer en mode Slow link pour toutes les cibles DFS autres que celle qui héberge le dossier « Mes Documents » des utilisateurs.

• Aller dans User Configuration | Administrative Templates | Network | Offlines Files et configurer le paramètre suivant :
  • Specify administratively assigned Offline Files : ce paramètre permet de forcer la mise en cache hors connexion de certains partages. Dans notre cas, on force la mise en cache du partage où sont stockés les dossiers Mes Documents des utilisateurs.
  • Value name : \DCQUALIF2Redirection-mesDocuments$

Test des fichiers hors connexions et de la redirection de dossiers

• Ouvrir une session avec le compte mélanie.mathieu

On doit voir le dossier Mes Documents avec un icône rond vert avec des flèches. Cela indique que le dossier est redirigé.

• Aller dans les propriétés du dossier Mes Documents. Ce dernier pointe vers l’emplacement « \DCQUALIF2Redirection-mesDocuments$melanie.mathieu ».

Quand on crée des dossiers / fichiers, ils sont créés sur le serveur et mis dans le cache.

• Pour visualiser le cache, aller dans « Control Panel | Sync Center ». Cliquer sur « Manage offline files » puis dans l’onglet « General » cliquer sur « View your offline files ». On peut voir le contenu du cache.

Le bouton « Work offline » et « Work online” est disponible au niveau des sous dossiers dans Mes Documents. Il permet de forcer le passage en mode hors connexion.

• Débrancher le câble réseau de la station de travail Windows 7 et accéder aux dossiers Mes Documents. La machine attend pendant 30 secondes et affiche mes documents.

Je peux ouvrir, modifier ou supprimer les fichiers. La barre d’état m’indique que je suis hors connexion. Les boutons « Work offline » et « Work online” ne sont plus disponibles au niveau du dossier Mes Documents.

• Reconnecter la carte réseau. La machine ne bascule pas automatiquement en mode en ligne.
• Il faut redémarrer pour que cela soit effectué tout de suite ou attendre 5minutes.

Tout le contenu du dossier « Mes Documents » est mis en cache. Cette action est effectuée après l’ouverture de session en arrière-plan. Si vous disposez de 50 Go de données dans « Mes Documents », les 50 Go seront copiés sur la station de travail en mode hors connexion.

Où se trouve le cache hors connexion sur une station de travail et comment le réinitialiser ?

Le cache des fichiers hors connexion se trouve dans C:WindowsCSC.
Il est donc complètement indépendant du profil de l’utilisateur qui se trouve dans c:users sous Windows 7.

• Pour visualiser le contenu du cache hors connexion, taper la commande suivante :

Takeown /r /f C:WindowsCSC.

• Cliquer sur Yes pour remplacer les permissions.
• Ouvrir le dossier C:WindowsCSCv2.0.6namespaceDCQUALIF2Redirection-mesDocuments$melanie.mathieuDocuments

On retrouve le contenu du cache de mélanie. Mathieu pour le dossier MesDocuments.

• Supprimer le profil mélanie.mathieu sur Win7a. On va appliquer la procédure expliquée dans l’article http://support.microsoft.com/kb/942974/en-us

• Pour cela, ouvrir une session avec un autre compte administrateur.
• Aller dans Control Panel. Cliquer sur View by « Small icons ». Double cliquer sur « System » puis cliquer sur « Advanced system Properties ». Aller dans l’onglet « Advanced » puis cliquer sur le bouton « Settings » à droite de « Users profiles ». Supprimer le profil de melanie.mathieu en le sectionnant puis en cliquant sur « Delete ».
• Exécuter de nouveau la commande suivante :

Takeown /r /f C:WindowsCSC.

On peut voir que les données en cache pour le profil mélanie.mathieu sont toujours présentes.

• On va maintenant réinitialiser complètement le cache des fichiers hors connexions en créant cette entrée de registre.

Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesCSCParameters

L’entrée de registre à créer s’appelle « FormatDatabase » (type DWORD) et doit être à la valeur 1.

• Devenez propriétaire des fichiers dans C:WindowsCSCv2.0.6namespaceDCQUALIF2Redirection-mesDocuments$melanie.mathieu et les supprimer.

Attention changer les droits au niveau des fichiers hors connexion va corrompre le cache hors connexion.

• Redémarrer la machine et ouvrir la session avec un utilisateur administrateur local qui n’a pas le dossier Mes Documents redirigé. On constate que le cache hors connexion recrée les fichiers.

Attention, cette procédure est pour tester / comprendre le fonctionnement des fichiers hors connexion. Elle ne doit pas être appliquée sur la production car elle bloque le fonctionnement des fichiers connexions.

Une autre solution pour voir le contenu du cache hors connexion et de lancer un invite de commande en SYSTEM avec PSEXEC :

PsExec.exe -i -s -d cmd

Je vous invite à télécharger l’outil et lire la solution détaillée à cette adresse :
http://blogs.technet.com/b/askds/archive/2008/10/22/getting-a-cmd-prompt-as-system-in-windows-vista-and-windows-server-2008.aspx

• Taper ensuite la commande suivante :

c:WindowsCSCv2.0.namespaceCMLDCQUALIFMes Documents$dominique.mathieuDocuments

Il n’est pas possible de naviguer dans tout le cache car on a parfois l’erreur suivante :

The process cannot access the file because it is being used by another process.

Cependant en utilisant la touche TAB du clavier, Windows nous liste comme même le contenu du dossier. Il est possible d’aller dans les sous niveau

Exemple :

• Accès autorisé à c:WindowsCSCv2.0.6namespaceCMLDCQUALIF2MesDocuments2$dominique.mathieu
• Accès bloqué à c:WindowsCSCv2.0.6namespaceCMLDCQUALIF2

Pour plus d’informations, je vous invite à lire les articles suivants :

• http://community.spiceworks.com/topic/192396-folder-redirection-keeps-changing-server-path
• http://blog.abdullahraz.com/2013/05/how-to-move-sync-offline-files-to.html

Quels sont les impacts des fichiers hors connexions ?

L’impact des fichiers hors connexions sur les stations de travail dépend du mode dans lequel la station de travail se trouve.
En mode en ligne, les fichiers sont modifiés sur le serveur et sur le cache local, ce qui génère plus de charge en écriture. Je vous invite à lire l’article suivant qui mesure l’impact précis sur les performances.

http://helgeklein.com/blog/2013/02/performance-impact-of-windows-offline-files/

Retour d’expérience sur les fichiers hors connexion et la redirection de dossiers

Nous avons rencontré quelques problèmes avec les fichiers hors connexions :

• La fonctionnalité « Fichiers hors connexion » ne fonctionne plus. Les commandes comme synchroniser les fichiers hors connexions ne sont plus disponibles. Au niveau du « Sync center », on a le message suivant « Offline Files is enabled but not yet active ».

On a ce problème quand on a personnalisé les permissions de C:windowscsc.

• Il faut désactiver les fichiers connexions sur la machine puis redémarrer.
• Au redémarrage, ouvrir une session avec un compte administrateur.
• Devenir le propriétaire du dossier C:windowsCSC et propager le changement aux dossiers enfants.
• Vérifier qu’on a le droit contrôle Total et supprimer le dossier c:windowsCSC.
• Réactiver les fichiers hors connexions et redémarrer.

La procédure détaillée est disponible à cette adresse : http://answers.microsoft.com/en-us/windows/forum/windows_7-files/offline-files-in-windows-7-will-not-activate/e893e649-369a-4334-85d2-34ef5b248285 .

Remarques : 

• Lorsque l’on définit des quotas, les fichiers hors connexions ne répliquent plus si le quotas est dépassé.
• Le bouton « Work online » / « Work offline » non disponible. Ce problème est expliqué dans l’article Microsoft suivant : http://support.microsoft.com/kb/2512089.
• Problèmes d’accès refusé quand on accède au cache hors connexion. Ce problème se pose si on active le chiffrement des fichiers hors connexions. http://answers.microsoft.com/en-us/windows/forum/windows_7-files/offline-files-access-is-denied/b1adc231-a4c2-4a5b-80b8-93269851febf
• Les conflits au niveau de la synchronisation. Si on travaille avec deux ordinateurs portables hors connexion qui ont ouverts une session avec le même compte, il peut y avoir conflits.

Pour générer un conflit :

• Passer les deux machines en mode hors ligne.
• Modifier le même fichier sur ces deux machines et les repasser en ligne.
• Lancer le gestionnaire de synchronisation.

Changement l’emplacement sur le serveur du dossier qui heberge le dossier Mes Documents tout en conservant son cache hors connexion

MAJ : 02/09/2015. Il faut appliquer la procédure suivante :

• http://support.microsoft.com/kb/977229/en-us

Les machines sous Windows 7 SP0 doivent appliquer ce correctif de sécurité de l’article http://support.microsoft.com/kb/977229/en-us et de l’article http://support.microsoft.com/kb/2610379.

Attention, il faut cocher la case « Move the contents of Documents to the new location » au niveau des paramètres de la stratégie de redirection de dossiers. Si vous modifiez juste le nom du partage / espace de noms DFS mais que l’emplacement physique reste le même, vous risquez de perdre des données.

Pour éviter cela, il faut activer cette GPO « Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsWindows ExplorerVerify old and new folder redirection targets point to the same share before redirecting« .

Nous vous invitons à consulter la KB http://support.microsoft.com/kb/2610379.