Azure Virtual Desktop: Teil 2 – User-Profil Management mit FSLogix Basics
Nachdem wir im ersten Teil unsere Azure-Virtual-Desktop-Serie eine grundlegende AVD-Umgebung aufgesetzt haben, wollen wir uns nun um den Umgang mit Benutzerprofilen kümmern. Die „Sessions“ deiner Benutzer sind letztendlich der „Ort“ an dem deren Programme ausgeführt werden und das findet in Falle von AVD auf deinen Session-Hosts statt, welche im Gegensatz zu RDS Windows-Server- oder Windows-Client-basiert sein können. Für AVD stellt Microsoft nämlich in Azure ein mehrinstanzfähiges Windows 10/11-Image zur Verfügung.
Zur kompletten Azure Virtual Desktop Beitragsreihe:
- Teil 1 – Virtuelle Desktops mit Azure AVD bereitstellen
- Teil 3: Azure Virtual Desktop: User-Profil Management mit FSLogix Konfiguration
- AVD Teil 4 – FSLogix-Profil-Container auf Azure Files
Wir haben dann auch verifiziert, dass jeder erfolgreich authentifizierte Nutzer sein eigenes Benutzer-Profil auf dem jeweiligen Session-Host erhält, wobei der Session Broker nicht nur dafür verantwortlich sind, dass jeder Nutzer überhaupt einen Platz auf einem Sitzungshost mit ausreichender Kapazität erhält, sondern beim Ab- und Anmelden stets auf demjenigen Session-Host landet, der sein Profil bereithält.
Zur Erinnerung: Das Anmelden an einem Sessionhost (über den Hostpool) klappt erst dann, wenn in der Default-Applikation-Group (DAG) oder einer individuellen Application Group eine Zuweisung an einen Benutzer oder eine Benutzergruppe vorgenommen wurde. So weit, so gut. Nur wenn du deinen Hostpool mit Pooling konfigurierst ist das Thema der Benutzerprofile für dich von großer Bedeutung. Du könntest zwar deinen Hostpool mit „Persönlicher Desktop“ konfigurieren, aber das ist sicher nicht im eigentlichen Sinne einer VDI-Lösung. Bei einer klassischen RDS-/Terminal-Server-Lösung sorgt der Session Broker dafür, dass deine Benutzer beim Anmelden genau dem Session-Host zugeordnet bekommen, der das passende Nutzerprofil hat.
Das ist aber noch nicht alles. Eigentlich möchtest du deine Nutzer wie bei einem Großrechner dazu animieren, dass sie nicht erst jede Applikation schließen müssen, bevor sie sich von einer aktiven Sitzung abmelden, bzw. sich überhaupt nicht abmelden zu müssen. Es muss also eine technische Lösung her, die darüber „Bescheid weiß“, was dein Nutzer beim Verlassen einer Sitzung gerade getan hat, d. h. welche Programme gerade geöffnet waren und in welchem Zustand sich diese befanden. Stell dir vor, dein Benutzer installiert und nutzt Outlook oder andere Anwendungen aus den Office-365-Apps, die ihrerseits Profildaten anlegen. Da AVD ohne einer solche Lösung mit lokalen Profilen arbeitet, bleibt jeder Nutzer auf alle Ewigkeit auf die Verfügbarkeit eines spezifischen Sessions-Hosts verhaftet, womit du jede Menge Flexibilität verschenkst. Hier kommt FSLogix ins Spiel.
Was ist FXLogix?
Bei FSLogix handelt es sich um eine Benutzerprofil-Lösung, die im Jahr 2018 von Microsoft zugekauft wurde als Ersatz für die damals schon lange veralteten Roaming Profiles. FSLogix fügt sich hervorragend in Virtualisierungslandschaften ein, da es ähnliche Technologien verwendet wie beispielsweise „App-V“ oder „ThinApp“. Zusätzlich bietet FSLogix auch eine Anwendungsisolation, um gleichzeitig gleichartige Anwendungen parallel nutzen zu können. FSLogix ist nicht primär für AVD gedacht und entpuppt sich bei genauerem Hinsehen als Universalwerkzeug mit einer Reihe von Lösungen für Clients und insbesondere für nichtpersistente Windows Umgebungen.
FSLogix – die Komponenten
Eigentlich besteht FSLogix aus mehreren Komponenten. Dazu gehören neben den für AVD primär relevanten „Profile Containern“ auch „Office Container“, „Application Masking“ und „Java Version Control“. In Summe bieten diese Komponenten mehrere interessante Funktionen, darunter das Pflegen von Benutzerkontexten in nicht persistenten Umgebungen, das Minimieren von Anmeldezeiten auch für nicht persistente Umgebungen (d. h. das eigentliche Profil liegt im Netz und FSLogix gaukelt dem System das Vorhandensein eines lokalen Profils vor) und das Optimieren des IOs zwischen Host und Client, bzw. dem Remote-Profil-Speicher.
Letztendlich führt dies für den Benutzer zu eine nativen (lokalen) Profilerfahrung, die zahlreiche Kompatibilitätsprobleme bei Lösungen mit sichtbaren Umleitungen beseitigt, wie z. B. bei User Profile Disk (UPD) oder die typische Umleitung der Anwendungsdaten bei herkömmlichen Profilen. Schließlich vereinfacht FSLogix das Verwalten von Anwendungen und so genannter „Golden Images“ bei der Desktopvirtualisierung.
FSLogix Funktionen im Überblick
Die für unseren Zweck wichtigste Funktion ist das Umleiten von Benutzerprofilen an einen „Netzwerkstandort“ mithilfe der Profil-Container. FSLogix speichert solche Profile in VHD(X)-Dateien und bindet diese dann zur Laufzeit ein, sodass diese Profile mit den Anforderungen z. B. eine Session Brokers zwischen mehreren Sessionhosts mitwandern können, wenn sich ein Benutzer neu anmeldet.
Bei Profil-Lösungen hingegen, die nicht wie FSLogix Profile „nur“ über das Netzwerk „kopieren“, wenn sich ein Benutzer in einer entfernten Umgebung ein- oder ausbucht, werden die An- und Abmeldezeiten häufig inakzeptabel, weil Benutzerprofile oft sehr groß sein können. FSLogix hingegen beseitigt Verzögerungen, welche oft Lösungen einhergehen, die einfach nur Dateien kopieren.
Mit der Funktion Office-Container ist es auch möglich, nur den Teil des Profils, welches Office-Daten enthält, umzuleiten. Diese erlaubt es dir, in deinem Unternehmen trotzdem eine alternative Profillösung einzusetzen und dabei deine Office-Experience in einer nicht persistenten Umgebung zu verbessern, etwa im Zusammenhang mit dem Outlook.pst-Dateien deiner Nutzer. Anwendungen nutzen das Profil dann so, als läge es auf einem lokalen Laufwerk und da FSLogix einen Filter-Treiber zum Umleiten der Profile verwendet, bemerken Anwendungen gar nicht, wenn sich Profile eigentlich im Netzwerk befinden. Mit dem „Verschleiern“ der Umleitung funktionieren dann auch solche Anwendungen, die sonst mit einem auf einem Netzwerk-Speicher abgelegten Profil nicht klarkommen.
Der Profilcontainer wird zusammen mit dem Cloud Cache verwendet, um robuste und hochverfügbare Umgebungen zu schaffen. Der Cloud Cache platziert einen Teil der Profil-VHD auf der lokalen Festplatte. Der Cloud Cache ermöglicht es einem Administrator auch, mehrere entfernte Profilspeicherorte anzugeben. Der lokale Cache mit mehreren Remote-Profilcontainern schützt die Benutzer vor Netzwerk- und Speicherausfällen.
Das „Application Masking“ schließlich verwaltet den Zugriff auf „FSLogix-Anwendungen“, Schriftarten, Drucker oder andere Elemente. Den Zugriff kannst du nach Benutzer, IP-Adressbereich und anderen Kriterien steuern. Somit reduziert Application Masking die Komplexität der Verwaltung einer großen Anzahl von Golden Images deutlich.
FSLogix-Begrifflichkeiten
Wenn du anfängst, dich mit FSLogix zu befassen, sollest du die wichtigsten Begrifflichkeiten im Kontext dieser Lösung kennen. Die Wichtigsten sind Folgende:
Speicheranbieter: Unter einem Speicheranbieter versteht FSLogix einen Dienst oder eine Ressource, welche die Container-Speicher für die FSLogix-Profil-Container zur Verfügung stellt. Zur Wahl stehen neben physischen Speicherlösungen vor allem auch Azure-basierter Speicher. Speicheranbieter sind durch die von FSLogix unterstützten Speichertypen eingeschränkt. Wie erwähnt ist FSLogix nicht primär für AVD konzipiert, aber für unser Szenario bietet es sich an, entweder einen SMB-Fileserver auf Basis einer Azure-VM oder (besser) eine Azure Storage Dateifreigabe zu verwenden, bzw. Azure NetApp Files, wenn Premium-Leistung benötigt wird. Daher ist eine SMB-Dateifreigabe der am häufigsten verwendete Speicheranbieter für FSLogix.
Profilcontainer: Der FSLogix-Profik-Container enthält für jedes Benutzerprofil das Image einer virtuellen Festplatte im Format (VHD oder VHDX). Profil Container fungieren damit als vollständige Lösung für Roamingprofiles in virtuellen Umgebungen. Dabei leitet jeder Profilcontainer das gesamte Windows-Benutzerprofil in eine in einem Speicheranbieter gespeicherte VHD um.
VHD/X: Im Hyper-V-Umfeld (und damit auch bei Azure) ist eine VHD-Datei eine virtuelle Festplatte, die eine „Disk-in-a-File“-Abstraktion zur Verfügung stellt, ähnlich VMDK (bei VMware) oder IMG/QCOW bei KVM/Linux.
Basisdatenträger: Der Begriff Basisdatenträger bezieht sich auf die unterstützende VHD, welche genutzt wird, wenn für („ProfileType“ = 3), bzw. („VHDAccessMode“ = 1 2 oder 3) verwendet wird.
Differenzierender Datenträger: Ein differenzierender Datenträger bezieht sich stets auf die zwischengeschaltete VHD und wird von FSLogix zum Nachverfolgen von Änderungen am Basisdatenträger genutzt. Differenzierende Datenträger werden mit Basisdatenträgern zusammengeführt.
Speicher für Profil-Container einrichten: Wie oben erwähnt sind die Speicher-Optionen für FSLogix-Container vielfältig. Azure stellt beispielsweise mehrere Speicherlösungen zur Verfügung, die sich zum Ablegen deiner FSLogix-Container anbieten, darunter Azure Files, Azure NetApP Files, Azure Page Blobs und Storage Spaces Direct auf einer Window-Server-basierten VM. Die Vor- und Nachteile im Detail kannst du in dieser Tabelle der https://learn.microsoft.com/en-us/fslogix/concepts-container-storage-options Microsoft-Dokumentation nachlesen.
Speziell für AVD bietet es sich an, alle FSLogix-Container auf SMB-Dateifreigaben abzulegen und zwar gleichermaßen als Location für Profil- und ODFC-Container (Option: VHDLocations) an, als auch als Cloud-Cche-Location (Option: CCDLocations). Dazu musst du zunächst eine SMB-Dateifreigabe in einem Standardspeicherkonto erstellen.
Hast du die Dateifreigabe erstellt, kannst du (in Produktionsumgebungen „musst“ du) den Identitätsbasierten Zugriff konfigurieren. FSLogix unterstützt für SMB-Dateifrageben in hybriden Umgebungen die ADDS-Authentifizierung, die AADDS-Authentifizierung sowie die AAD/EntraID-Kerberos-Authentifizierung, wenn du einen Cloud-basierten Identitätsspeicher verwendest.
Wir favorisieren in diesem Beitrag „Microsoft Entra Kerberos“. Damit können deine Hybrid-Nutzer mithilfe der Kerberos-Authentifizierung auf Azure-Dateifreigaben zuzugreifen. Der Cloud dabei: hier stellt Entra ID die benötigte Kerberos-Tickets für den Zugriff auf die Dateifreigabe mit dem SMB-Protokoll aus. Damit können deine Nutzer ohne eine „Sichtverbindung“ zu Domänencontrollern über das Internet auf Azure-Dateifreigaben zugreifen, sofern die zugreifenden Clients hybrid in Entra ID eingebunden sind.
Möchtest du allerdings Windows-Zugriffssteuerungslisten (Access Control Lists, ACLs) bzw. Berechtigungen auf Verzeichnis- und Dateiebene für deine Benutzer oder Gruppe konfigurieren, brauchst du dennoch eine Sichtverbindung zu einem lokalen Domänencontroller. Wir haben die Details dazu in https://incas-training.de/blog/cloud-basiertes-nas-mit-azure-files-und-kerberos-authentifizierung-fuer-hybrid-identitaeten/ diesem Artikel bereits erläutert.
Inbetriebnahme von FSLogix
Die grundlegende Inbetriebnahme von FSLogix ist je nachdem, welchen Speicheranbieter du verwendest, eigentlich recht einfach. Anspruchsvoller wird es erst dann, wenn du das Ausrollen und vor allem das Konfigurieren von FSLogix auf deinen Sitzungshosts in großen Umgebungen automatisieren willst, beispielsweise mit Hilfe von Gruppenrichtlinien oder Intune (wenn dein Sitzungshost ein Client-OS nutzt), wozu deine Sitzungshosts idealerweise EntraID-Hybrid-joined sind. Dann kannst du auch das Autorisieren des Zugriffs auf in SMB-Freigaben gespeicherte Profilcontainer mit Hilfe von Kerberos maximal sicher gestalten.
Microsoft empfiehlt in seiner AVD-Dokumentation je eine Vorgehensweise auf Basis von ADDS oder AADDS (Azure Active Directory Domain Services), wenn du AVD in einer hybriden Umgebung betreibst. Da wir aber die Basis-Bereitstellung von AVD in unserem https://incas-training.de/blog/virtuelle-desktops-mit-azure-avd-bereitstellen Einführung-Artikel in einer reinen Azure AD (AAD) / EntraID-Umgebung vorgenommen haben, zeigen wir dir in diesem Beitrag, wie Kerberos mit Azure-Files auch bei AzureAD-beigetretenen Sitzungshost in reinen Cloud-Umgebungen funktioniert. Der Azure-AD-Kerberos-Support für Azure-Files ist allerdings noch Preview.
Möchtest du FSLogix verwenden, braucht jeder Benutzer, der z. B. in deine AVD-Umgebung von der Profilwanderung profitieren eine passende Lizenz: Enthalten ist FSLogix in M365 E3/E5, A3/A5, F1/F3, M365 Business, Windows 1o Enterprise E3/E5 oder Windows 10 VDA pro Benutzer. Ferner bauchst du für AVD RDS-CALs oder eine benutzerspezifische Zugriffslizenz für Azure Virtual Desktop.
Generell besteht FSLogix als Produkt aus drei unterschiedlichen Anwendungen, wobei das Kernprodukt „FSLogix Apps“ die primäre Komponente darstellt, welche die Virtualisierung von Benutzerprofilen in virtuellen Desktopumgebungen ermöglicht.
Hinzu kommen mit dem „Regel-Editor“ samt Regelsätzen und dem „Java-Regel-Editor“ zwei zusätzliche Anwendungen für die Bearbeitung von Regeln.
Installiert werden dann zwei Windows-Dienste und drei Minifiltertreiber, die alle FSLogix-Komponenten aktivieren. Du startest damit, dass Du FSLogix https://aka.ms/fslogix_download herunterlädst. Das musst du mit dem lokalen Administrator-Konto auf dem Sitzungshost tun. Zum Installieren des Kernprodukts (FS-Logix-Apps) musst du nur die heruntergeladene ZIP-Datei entpacken und im entpackten Pfad „~\FSLogix_Apps_2.9.8612.60056\FSLogix_Apps_2.9.8612.60056\x64\Release“ auf „FSLogixAppsSetup.exe“ klicken und den Installer entgegen unserer sonstigen Empfehlung einfach durchwinken.
Einzustellen oder auszuwählen gibt es hier nichts. Neben der manuellen Installation könntest du FSlogix auch als Teil eines Golden Images beim Aufsetzen des Sitzungshost mitinstallieren oder die Software bei einem Server-basierten Sitzungshost per Gruppenrichtlinien oder bei Client-basierten Sessionhost per Intune verteilen. Wie du FSLogix installierst, spielt letztlich keine Rolle. Danach ist ein Neustart des Sitzungs-Hosts erforderlich. Prüfe jetzt zunächst auf deinem Sessionhost, ob der FSLogix-Agent erfolgreich installiert wurde. Dazu musst du in die installierten Apps überprüfen.
Im Hauptverzeichnis des ZIP-Archivs findest du übrigens auch die admx/adml-Dateien, um die Software GPO-basiert konfigurieren zu können. Letzteres ist natürlich viel einfacher, als die Konfiguration über Registrierungseinstellungen in Regedit auf jedem Sessionhost manuell durchführen zu müssen, wie es FSLogix u. a. vorsieht. Wie du FSLogix erfolgreich konfiguriert, erfährst du im nächsten Teil dieses Beitrages.
Kontakt
„*“ zeigt erforderliche Felder an
powered by Borlabs Cookie