Softwarevirtualisierung mit App V 5 192Unser Buch "Softwarevirtualisierung mit App-V 5"

Das deutsche App-V 5 Buch: 496 Seiten Wissen zu Microsoft App-V 5 (5.1 bis HF6). Ab Windows 7 bis Server 2016 mit Zusatzinhalten zu App-V mit VDI, Terminalservern, XenDesktop und SCCM Mit Fragestellungen zum Contentstore, Skripting, Hochverfügbarkeit usw.
11 minutes reading time (2243 words)

Microsoft FSLogix Profile implementieren

FSLogix

Letztes Jahr hat Microsoft die Firma FSLogix übernommen. Aber was ist FSLogix und was kann ich damit in meiner Umgebung erreichen? Gekauft wurde es vermutlich, um Indizierungsprobleme mit Microsoft Office 365 in Terminalserverumgebungen zu lösen. Aber das Produkt kann viel mehr. Gerade bei Benutzerprofilen ist FSLogix ein genialer Ersatz für die schon lange veralteten Roaming Profiles. FSLogix paßt sehr gut in den Bereich der Softwarevirtualisierung und setzt auf ähnliche Technologien wie beispielsweise App-V oder ThinApp. FSLogix ist jedoch kein Ersatz für eine Softwarevirtualisierung, die auch eine Anwendungsisolation bietet (wie App-V), um gleichzeitig gleichartige Anwendungen parallel nutzen zu können.

FSLogix ist also ein echtes Universalwerkzeug und bietet eine Reihe von Lösungen, für Clients und insbesondere für nonpersistent Windows Umgebungen.
Enthalten sind die folgenden Komponenten:

  • Profile Container
  • Office Container
  • Application Masking
  • Java Version Control

Kurz: Erreichen kann man mit diesen Komponenten

  • Benutzerkontext in nicht persistenten Umgebungen pflegen
  • Minimieren von Anmeldezeiten auch für nicht persistente Umgebungen (das Profil liegt im Netz – FSLogix gaukelt dem System ein lokales Profil vor)
  • Optimiert IOs zwischen Host/Client und Remote-Profilspeicher
  • Native (lokale) Profilerfahrung, die viele Kompatibilitätsprobleme mit Lösungen mit sichtbarer Umleitung beseitigt, wie z.B. User Profile Disk (UPD) und die typische Umleitung der Anwendungsdaten bei Profilen
  • Vereinfachung der Verwaltung von Anwendungen und "Gold Images"
  • Nutzung nur bestimmter Java Versionen


Lang: Die Schlüsselfunktionen

  • Umleiten von Benutzerprofilen an einen Netzwerkstandort mithilfe des Profilcontainers. Profile werden in VHD(X)-Dateien abgelegt und zur Laufzeit eingebunden. Es ist üblich, ein Profil in das und aus dem Netzwerk zu kopieren, wenn sich ein Benutzer in einer entfernten Umgebung ein- und ausbucht. Da Benutzerprofile oft groß sein können, wurden An- und Abmeldezeiten oft inakzeptabel. Die Montage und Verwendung des Profils im Netzwerk eliminiert Verzögerungen, die häufig mit Lösungen verbunden sind, die Dateien kopieren.
  • Umleitung eines Teils des Profils, der Office-Daten enthält, mithilfe des Officecontainers. Officecontainer ermöglicht es einem Unternehmen, bereits eine alternative Profillösung zu verwenden, um Office in einer nicht persistenten Umgebung zu verbessern. Diese Funktionalität ist nützlich für die Outlook.OST-Datei.
  • Anwendungen verwenden das Profil so, als wäre es auf dem lokalen Laufwerk. Da die FSLogix-Lösungen einen Filtertreiber verwenden, um das Profil umzuleiten, erkennen Anwendungen nicht, dass sich das Profil im Netzwerk befindet. Die Verschleierung der Umleitung ist wichtig, da viele Anwendungen mit einem auf einem Remote-Speicher gespeicherten Profil nicht richtig funktionieren.
  • Der Profilcontainer wird zusammen mit dem Cloud Cache verwendet, um robuste und hochverfügbare Umgebungen zu schaffen. Der Cloud Cache platziert einen Teil der Profil-VHD auf der lokalen Festplatte. Der Cloud Cache ermöglicht es einem Administrator auch, mehrere entfernte Profilspeicherorte anzugeben. Der lokale Cache mit mehreren Remote-Profilcontainern schützt die Benutzer vor Netzwerk- und Speicherausfällen.
  • Application Masking verwaltet den Zugriff auf eine Anwendung, Schriftart, Drucker oder andere Elemente. Der Zugriff kann nach Benutzer, IP-Adressbereich und anderen Kriterien gesteuert werden. Application Masking reduziert die Komplexität der Verwaltung einer großen Anzahl von Goldenimages erheblich.

Systemanforderungen

  • Ab Desktop - Windows 7
  • Ab Server - 2008 R2
  • FSLogix-Lösungen unterstützen sowohl 32 Bit als auch 64 Bit
  • Nur Microsoft Umgebungen

Lizensierung

Zu der Lizensierung mag ich hier nicht so viel sagen. Fest steht, dass FSLogix mit der RDS CAL lizensiert ist und somit auf jedem Terminalserver genutzt werden darf. Weiterhin für diverse Office 365 Produkte und für Windows 10 Enterprise mit (E3/E5). Weiterhin auch für Education. Bitte in jedem Fall vor einem Projekt noch einmal bei Microsoft nachlesen.
Die Lizenznutzung wird im Produkt nicht überprüft. Ich vermute aber, dass FSLogix wie App-V und UE-V bald Bestandteil der entsprechenden Windows Editionen wird und somit später keine separate Installation mehr möglich ist.

Download

FSLogix ist inwzischen bei Microsoft unter der folgenden URL verfügbar
https://aka.ms/fslogix_download

Installation

Installiert wird auf dem Terminalserver, einem VDA oder auch auf einem Windows 10 FAT Client. Die jeweiligen Komponenten werden für die jeweilige Plattform denkbar einfach nur „durchgeklickt“. Notwendig ist in jedem Fall FSLogixAppsSetup.exe je nach Plattform in 32 oder 64 Bit (i.d.R. 64 Bit)
Optionale Komponenten sind:
Anwendung Maskierung Regel Editor Installation

  • FSLogixAppsRuleEditor (FSLogixAppsRuleEditorSetup.exe)
    Der Application Masking Rule Editor wird verwendet, um Regeln zu definieren, die für das Application Masking verwendet werden. Also das Verstecken von Anwendungen im System.
  • Java Versionskontrolle Regeleditor (FSLogixAppsRuleEditorSetup.exe)
    Der Java Version Control Rule Editor wird verwendet, um Regeln zu definieren, die von der Java Version Control verwendet werden.

    image001

FSLogix als Ersatz für eine Profilvirtualisierung (Profilecontainer)

Zunächst einmal schauen wir uns an, wie mit FSLogix Profile verwaltet werden. Damit werden Lösungen wie der Citrix Profile Manager und User Environment Manager überflüssig.
Profilcontainer lassen sich natürlich auch für andere Computer wie Fat Clients nutzen. Andere Funktionen werden später in anderen Blogs erläutert (geplant).
Mit Profilcontainern wird für jedes lokale Benutzerprofil eine virtuelle Festplatte (VHD) im Netzwerk erzeugt. Alle Profildaten des jeweiligen Anwenders landen damit auf dieser virtuellen Festplatte. Auf diese wird mit der Benutzeranmeldung ladend und schreibend zugegriffen. Nicht einmal temporäre Dateien müssen ein Nachteil zu einem Roaming Profile sein. Diese lassen sich umleiten. Diese landen auch dort. Was aber durchaus auch Vorteile haben kann. Für nonperstistend Systems, die mit Citrix Provisioning Services verteilt werden, ergibt sich zusätzlich der Vorteil, das für diese Profilcontainer kein Writecache notwendig ist.
Gerade in Verbindung mit großen PST Datei (Outlook) oder große Datenmengen wie durch Lotus Notes ist der FSLogix Profilcontainer ideal.


Anforderungen:

  • Installierte Software (xAppsSetup.exe)
  • Ein Share mit Schreibrechten für den Benutzer
  • Exclusion der VHD(X) files vom Anti Virus (AV) Scan

Konfiguration

Im Wuellverzeichnis von FSLogix liegt ein Gruppenrichtlinien-Template (ADMX) mit dem alle notwendigen Einstellungen durchgeführt werden können. Dies ist für die Domäne in den ADMX Suchordner \\domain.local\SysVol\domain.local\Policies\PolicyDefinitions oder nur lokal auf dem System mit der Gruppenrichtlinienkonsole nach C:\Windows\PolicyDefinitions zu kopieren. Das ADML File entsprechend in das Unterverzeichnis En-US.
Weiterhin legen wir beispielsweise einen Share unter \\SURANDC01\FSLogixProfileContainer  an mit einer Freigabe „Domain Users“ r/w. Möglich ist auch ein versteckter Share wie \\SURANDC01\FSLogixProfileContainer$.
Wir erzeugen eine neue Gruppenrichtlinie auf der OU mit den Computerobjekten, die den FSLogix Filterdriver enthalten. Die Einstellungen

image002

Bitte beachten, die Gruppenrichtlinien stehen nur dort bereit, wo auch das ADMX File (s.o.) installiert wurden.
Computerkonfiguration/Richtlinien/Administrative Vorlagen/FSLogix/Profile Container

  • /Enabled
    Aktiviert die Funktion „Profile Container“
  • /Profile Type
    Steuert, ob direkt auf die VHD/X-Datei zugegriffen werden soll, ob eine andere Festplatte verwendet werden soll und ob Lese-/Schreib- oder Nur-Lesezugriff verwendet werden
  • /Store search database in profile container
    Wird verwendet, um die FSLogix Search Roaming-Funktion zu steuern und Suchdaten im Profilcontainer zu speichern.
  • /Set Outlook cached mode on successful container attach
    Wenn der Office 365-Container erfolgreich angehängt wurde, muss Outlook so eingestellt sein, dass es für den Benutzer im Cache-Modus arbeitet. Die Einstellungsänderung gilt nur für den jeweiligen Benutzer und für die Dauer der Benutzersitzung.
  • /VHD location
    Gibt den Netzwerkspeicherort an, an dem die VHD(X)-Dateien gespeichert sind. Zum Beispiel, Servername, Share, Container.
  • /Dynamic VHD(X) allocation
    Wenn dieses Kontrollkästchen aktiviert ist, werden VHD(X)s dynamisch zugewiesen (die Dateigröße von VHD(X) wächst, wenn Daten zum VHD(X) hinzugefügt werden.) Wenn diese Option nicht aktiviert ist, werden VHD(X)s, die automatisch erstellt werden, vollständig zugewiesen. Standardmäßig ist „Dynamisch“ voreingestellt.
  • /Delete local profile when FSLogix Profile should apply
    When this check box is checked, VHD(X)'s are dynamically assigned (the file size of VHD(X) grows when data is added to VHD(X)). If this option is not checked, VHD(X) automatically created VHD(X) will be fully assigned. By default, Dynamic is the default.
  • /Size in MBs
    Gibt die Größe für automatisch erstellte VHD(X)-Dateien an. Der Standardwert ist 30.000 (30 GBs).
  • /Allow concurrent user sessions
    Muss aktiviert werden, um gleichzeitige Benutzersitzungen auf demselben Computer zu verwalten. Hinweis: Wenn die Terminalserver verwendet werden und gleichzeitige Anmeldungen für dasselbe Windows-Konto auf demselben Server durchgeführt werden, muss diese Richtlinie aktiviert sein.

Nun gibt es noch einige erweiterte Einstellungen. Ich will hier nicht auf alles eingehen. Hier nur eine kleine Auswahl. Im Normalfall muss der Profilecontainer nur aktiviert werden.

  • FSLogix/Cloud Cache/WriteCacheDirektory
    Ein “lokales” Verzeichnis für den Writecache
  • FSLogix/Cloud Cache/CacheDirektory
    Lokales Cache Verzeichnis 

  • /Cloud Cache/Cloud Cache Locations
    Gibt die Konfiguration für Cloud-Cache-Speicherorte an. Jede Konfiguration benötigt mindestens einen Providertyp und eine Verbindungszeichenfolge. Mehrere Anbieter können durch Semikolonbeschriftung ohne Leerzeichen angegeben werden. Zum Beispiel type=smb,connectionString=\servername1\share\containers;type=smb,connectionString=\servername2\share\share\containers

  • /Cloud Cache/Clear local cache on logoff
    Gibt an, ob eine Kopie der Cache-Datei nach der Abmeldung des Benutzers auf dem lokalen Computer aufbewahrt werden soll oder nicht.

  • Container and Directory Nameing/Virtual disk Type
    VHD oder VHDX (default ist VHD)

Damit es erst einmal funktioniert müssen die folgenden Werte gesetzt werden:

  • Enabled
  • VHDLocations - bei uns ist das der zuvor erstellt Ordner : \\SURANDC\FSLogixProfileContainer

Hilfreiche Einstellungen

  • DeleteLocalProfileWhenVHDShouldApply: 0: keine Löschung. 1: Lokales Profil löschen, falls vorhanden und entspricht dem Profil, das von der VHD geladen wird. HINWEIS: Vorsicht bei dieser Einstellung. Wenn das FSLogix Profiles-System bestimmt, dass ein Benutzer ein FSLogix-Profil haben sollte, aber ein lokales Profil existiert, löscht der Profilcontainer das lokale Profil dauerhaft. Der Benutzer wird dann mit einem FSLogix-Profil angemeldet.
  • PreventLoginWithFailure: Wenn auf 1 gesetzt, lädt der Profilcontainer FRXShell, wenn es einen Fehler beim Anhängen an oder Verwenden eines vorhandenen Profils VHD(X) gibt. Der Benutzer erhält die FRXShell-Eingabeaufforderung - Standard-Eingabeaufforderung zum Aufrufen des Supports, und die einzige Option des Benutzers ist die Abmeldung.

Exkludierte Benutzergruppen

Wenn beispielsweise die Domain Admins keinen FSLogix Profilecontainer bekommen sollen, dann muss ein Ausschluß definiert werden. Dazu legt

FSLogix einige lokale Gruppen an:

image003


Per Standard ist die Gruppe „Jeder“ bzw. „Everyone“ in der Gruppe FSLogix Profile Include List enthalten
Das Hinzufügen eines Benutzers zur Gruppe FSLogix Profile Exclude List bedeutet, dass der FSLogix-Agent keinen FSLogix-Profilcontainer für den Benutzer anhängt. Wenn ein Benutzer sowohl Mitglied der Gruppen exclude als auch include ist, hat exclude Vorrang.
Ich nehme die Gruppe „Domain Admins“ mit auf. Die Vorgehensweise ist etwas kompliziert. Jedoch können auch über Gruppenrichtlinien oder per PowerShell lokale Gruppen konfiguriert werden.

image004

Profilcontainer ist nun konfiguriert und einsatzbereit. Um zu überprüfen, ob der Profilcontainer funktioniert, muss eine Anmeldung erfolgen. Anschließend können wir kontrollieren, dass ein Ordner mit dem Benutzernamen und der SID erstellt wird.

image005

Tipps

Antivirus Ausnahmen:

  • C:\Program Files\FSLogix\Apps\frxdrv.sys and frxsvc.exe
  • C:\Windows\TEMP\Exclude .VHD and .VHDX
  • Im Netzwerkspeicher .VHD and .VHDX inkusive Unterverzeichnis

Migration lokaler Profile in eine VHD:

  • Das Profil muss lokal vorhanden sein und der Benutzer muss sich abgemeldet haben.
  • cmd.exe als Administrator starten
  • CD "\Program Files\FSLogix\Apps". frx.exe, um ein Profil in ein VHD oder VHDX zu verschieben: frx copy-profile -filename=C:\Profile.vhd -username=DOMAIN\USERNAME

Wie verschiebt man ein aktuelles Profil, Best Practice-lInk: https://docs.microsoft.com/de-de/fslogix/
FRxtray unter C:\ProgramData\Microsoft\Windows\Start Menu\Programme\Startup verlinken
Policy auf Rechner ablegen
Rechte auf VHD reduzieren -> Advanced -> Set access control for attaching VHDs > O:BAG:DUD:PAI(A;OICI;FA;;;%sid%) -> Klappt noch nicht
Ich habe noch einige Einstellungen optimiert

  • Dynamische Datenträger
  • 4K Sektoren, wenn möglich noch Jumbo Frames aktivieren.

(get-acl [DIR]| fl)

Abschließend noch ein netter Kundenbericht zum Einsatz. Vielen danke dafür Markus!

Einer unserer Kunden  war so nett für diesen Artikel einen Bericht über seine eigene Umgebung zu schrieben. Die ist mit App-V schon seit mehreren Jahren im Einsatz. Der Artikel ist an einigen stellen leich gekürzt. @Markus wenn Du hier mal Deinen ganzen Namen sehen willst, dann melde Dich bitte. Ansonsten vielen Danke auch an Fabian 

Erfahrungswerte:

Unsere Erfahrungen mit FS Logix als Profillösung sind bislang gut.
Wenn es zu Problemen mit korrupten Profilen kam, so hing das in der Regel damit zusammen, dass einer der CTX Server einen BSOD bekommen hat und bei manchen Usern das Profil dann korrupt wurde.

Das hat sich in der Regel dadurch gezeigt, dass entweder direkt nach der Anmeldung die Meldung erschien, dass diese ein temporäres Profil erhalten haben, oder das bestimmte Funktionen wie der Schnellstart, gepinnte Verknüpfungen auf der Taskleiste, die Taskleiste selbst etc. nicht mehr funktioniert haben.
Das FS-Logix Profil kann über den Director leider nicht mehr zurückgesetzt werden. Dafür haben wir ein Powershell Script geschrieben, welches das Profil, sobald es nirgends mehr gemounted ist, vollumfänglich löscht.

Wir sind in dieser Woche in das Problem geraten, dass unsere Profile sehr groß wurden. Teilweise lagen diese bei 10 GByte, und bei manchen Usern sogar noch höher. Löschen der Daten in den Profilen reicht nicht allein aus, da die VHDX an sich nicht kleiner wird. Dafür haben wir jetzt aber im Internet ein gutes Script gefunden, welches die Größe der VHDX entsprechend optimiert. Nur damit du es mal gehört hast. (Stichwort Optimize-VHD)

Und was mir auch schon aufgefallen ist, aber das kann auch Konfigurationssache sein, da ich mich damit noch nicht näher beschäftigt habe:
Nehmen wir an ein Benutzer hat eine PA geöffnet. Auf dem Server ist die VHDX dann gemounted. Öffnen wir jetzt eine neue Desktopsitzung auf einem neuen Server, so dauert die Anmeldung sehr lange, da das Profil schon beim ersten Server gemounted ist. Ich meine dann wird es nur Read-Only gemounted und Änderungen landen auch nicht im Profil. Von daher muss man da aufpassen bei der Einrichtung.

Ebenfalls haben wir versucht von einer Version auf eine andere downzugraden, was aber dazu geführt hat, dass einige Profile nicht mehr funktioniert haben mit der alten Version. Von daher muss man hier wohl aufpassen.
Sobald wir dann wieder die ursprüngliche Version bereitgestellt hatten, gingen die Profile wieder ohne sie neu anzulegen. Was genau der Grund hierfür war wissen wir nicht.

Wenn man neue Ordner in die Exclusion List packt, so wird der bisherige Inhalt im Profil nicht gelöscht. Das müsste man dann manuell machen um z.B. Platz zu sparen.

Support von Microsoft:

FS-Logix wurde ja von Microsoft aufgekauft. Zuvor haben wir keine Support Fälle mit FS-Logix gehabt, aber eine Fehlerquelle der CTX Server BSODs hing mit einer FS-Logix Komponente zusammen und der Response von Microsoft Seite auf das Ticket war nicht gut. 

Erfahrungswerte in Zusammenarbeit mit App-V:

Da können wir nicht wirklich viel zu sagen. Uns ist bislang nichts aufgefallen.

Profilcontainer im Einsatz:

Ja, die haben wir im Einsatz.

Das sind Bilder von der GPO für unseren WinDesktop.

 

image006

image007

image008

 

Die Suche nach dem M.A.D. Blog und wo die alten Ap...

Ähnliche Beiträge

 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Gäste
Donnerstag, 17. Oktober 2019

Sicherheitscode (Captcha)

Kontakt

Nick Informationstechnik GmbH
WEB : http://www.nick-it.de
TEL : +49 511 165.810.190
MAIL: info(at)nick-it.de

@nickinformation Tweets

MAD Newsletter


Unser Modern Application Deployment Newsletter. Ihre Daten werden auf Grundlage der DSGVO gespeichert. Dazu auch der Link Datenschutz. Sie können sich jederzeit abmelden.


Empfange HTML?

Joomla Extensions powered by Joobi

Most Popular Post

04. Mai 2015
NITCtxPatcher a patchmanager for Citrix XenApp and XenDesktop 7.xMay 2017 The NITCtxPatchManager is back, after some changes from Citrix on the websit...
02. April 2015
NIT-GPOSearch is a free tool to search in the Group Policy (admx, adml) definitions for a specific setting. New in Version 1.2 - search in the domain ...
14. März 2015
Attention: We have completed a new version 2.0. This version is not longer free (Version 1.4 is it). In DACH you can request a conversion with the con...
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok