Schriftgröße: +
16 minutes reading time (3183 words)

Microsoft FSLogix Profile implementieren

FSLogix

Letztes Jahr hat Microsoft die Firma FSLogix übernommen. Aber was ist FSLogix und was kann ich damit in meiner Umgebung erreichen? Gekauft wurde es vermutlich, um Indizierungsprobleme mit Microsoft Office 365 in Terminalserverumgebungen zu lösen. Aber das Produkt kann viel mehr. Gerade bei Benutzerprofilen ist FSLogix ein genialer Ersatz für die schon lange veralteten Roaming Profiles. FSLogix paßt sehr gut in den Bereich der Softwarevirtualisierung und setzt auf ähnliche Technologien wie beispielsweise App-V oder ThinApp. FSLogix ist jedoch kein Ersatz für eine Softwarevirtualisierung, die auch eine Anwendungsisolation bietet (wie App-V), um gleichzeitig gleichartige Anwendungen parallel nutzen zu können.

FSLogix ist also ein echtes Universalwerkzeug und bietet eine Reihe von Lösungen, für Clients und insbesondere für nonpersistent Windows Umgebungen.
Enthalten sind die folgenden Komponenten:

  • Profile Container
  • Office Container
  • Application Masking
  • Java Version Control

Kurz: Erreichen kann man mit diesen Komponenten

  • Benutzerkontext in nicht persistenten Umgebungen pflegen
  • Minimieren von Anmeldezeiten auch für nicht persistente Umgebungen (das Profil liegt im Netz – FSLogix gaukelt dem System ein lokales Profil vor)
  • Optimiert IOs zwischen Host/Client und Remote-Profilspeicher
  • Native (lokale) Profilerfahrung, die viele Kompatibilitätsprobleme mit Lösungen mit sichtbarer Umleitung beseitigt, wie z.B. User Profile Disk (UPD) und die typische Umleitung der Anwendungsdaten bei Profilen
  • Vereinfachung der Verwaltung von Anwendungen und "Gold Images"
  • Nutzung nur bestimmter Java Versionen


Lang: Die Schlüsselfunktionen

  • Umleiten von Benutzerprofilen an einen Netzwerkstandort mithilfe des Profilcontainers. Profile werden in VHD(X)-Dateien abgelegt und zur Laufzeit eingebunden. Es ist üblich, ein Profil in das und aus dem Netzwerk zu kopieren, wenn sich ein Benutzer in einer entfernten Umgebung ein- und ausbucht. Da Benutzerprofile oft groß sein können, wurden An- und Abmeldezeiten oft inakzeptabel. Die Montage und Verwendung des Profils im Netzwerk eliminiert Verzögerungen, die häufig mit Lösungen verbunden sind, die Dateien kopieren.
  • Umleitung eines Teils des Profils, der Office-Daten enthält, mithilfe des Officecontainers. Officecontainer ermöglicht es einem Unternehmen, bereits eine alternative Profillösung zu verwenden, um Office in einer nicht persistenten Umgebung zu verbessern. Diese Funktionalität ist nützlich für die Outlook.OST-Datei.
  • Anwendungen verwenden das Profil so, als wäre es auf dem lokalen Laufwerk. Da die FSLogix-Lösungen einen Filtertreiber verwenden, um das Profil umzuleiten, erkennen Anwendungen nicht, dass sich das Profil im Netzwerk befindet. Die Verschleierung der Umleitung ist wichtig, da viele Anwendungen mit einem auf einem Remote-Speicher gespeicherten Profil nicht richtig funktionieren.
  • Der Profilcontainer wird zusammen mit dem Cloud Cache verwendet, um robuste und hochverfügbare Umgebungen zu schaffen. Der Cloud Cache platziert einen Teil der Profil-VHD auf der lokalen Festplatte. Der Cloud Cache ermöglicht es einem Administrator auch, mehrere entfernte Profilspeicherorte anzugeben. Der lokale Cache mit mehreren Remote-Profilcontainern schützt die Benutzer vor Netzwerk- und Speicherausfällen.
  • Application Masking verwaltet den Zugriff auf eine Anwendung, Schriftart, Drucker oder andere Elemente. Der Zugriff kann nach Benutzer, IP-Adressbereich und anderen Kriterien gesteuert werden. Application Masking reduziert die Komplexität der Verwaltung einer großen Anzahl von Goldenimages erheblich.

24 05 2021 10 09 05

Systemanforderungen

  • Ab Desktop - Windows 7
  • Ab Server - 2008 R2
  • FSLogix-Lösungen unterstützen sowohl 32 Bit als auch 64 Bit
  • Nur Microsoft Umgebungen

Lizensierung

Zu der Lizensierung mag ich hier nicht so viel sagen. Fest steht, dass FSLogix mit der RDS CAL lizensiert ist und somit auf jedem Terminalserver genutzt werden darf. Weiterhin für diverse Office 365 Produkte und für Windows 10 Enterprise mit (E3/E5). Weiterhin auch für Education. Bitte in jedem Fall vor einem Projekt noch einmal bei Microsoft nachlesen.
Die Lizenznutzung wird im Produkt nicht überprüft. Ich vermute aber, dass FSLogix wie App-V und UE-V bald Bestandteil der entsprechenden Windows Editionen wird und somit später keine separate Installation mehr möglich ist.

Download

FSLogix ist inwzischen bei Microsoft unter der folgenden URL verfügbar
https://aka.ms/fslogix_download

Installation

Installiert wird auf dem Terminalserver, einem VDA oder auch auf einem Windows 10 FAT Client. Die jeweiligen Komponenten werden für die jeweilige Plattform denkbar einfach nur „durchgeklickt“. Notwendig ist in jedem Fall FSLogixAppsSetup.exe je nach Plattform in 32 oder 64 Bit (i.d.R. 64 Bit)
Optionale Komponenten sind:
Anwendung Maskierung Regel Editor Installation

  • FSLogixAppsRuleEditor (FSLogixAppsRuleEditorSetup.exe)
    Der Application Masking Rule Editor wird verwendet, um Regeln zu definieren, die für das Application Masking verwendet werden. Also das Verstecken von Anwendungen im System.
  • Java Versionskontrolle Regeleditor (FSLogixAppsRuleEditorSetup.exe)
    Der Java Version Control Rule Editor wird verwendet, um Regeln zu definieren, die von der Java Version Control verwendet werden.

    image001

FSLogix als Ersatz für eine Profilvirtualisierung (Profilecontainer)

Zunächst einmal schauen wir uns an, wie mit FSLogix Profile verwaltet werden. Damit werden Lösungen wie der Citrix Profile Manager und User Environment Manager überflüssig.
Profilcontainer lassen sich natürlich auch für andere Computer wie Fat Clients nutzen. Andere Funktionen werden später in anderen Blogs erläutert (geplant).
Mit Profilcontainern wird für jedes lokale Benutzerprofil eine virtuelle Festplatte (VHD) im Netzwerk erzeugt. Alle Profildaten des jeweiligen Anwenders landen damit auf dieser virtuellen Festplatte. Auf diese wird mit der Benutzeranmeldung ladend und schreibend zugegriffen. Nicht einmal temporäre Dateien müssen ein Nachteil zu einem Roaming Profile sein. Diese lassen sich umleiten. Diese landen auch dort. Was aber durchaus auch Vorteile haben kann. Für nonperstistend Systems, die mit Citrix Provisioning Services verteilt werden, ergibt sich zusätzlich der Vorteil, das für diese Profilcontainer kein Writecache notwendig ist.
Gerade in Verbindung mit großen PST Datei (Outlook) oder große Datenmengen wie durch Lotus Notes ist der FSLogix Profilcontainer ideal.


Anforderungen:

  • Installierte Software (xAppsSetup.exe)
  • Ein Share mit Schreibrechten für den Benutzer
  • Exclusion der VHD(X) files vom Anti Virus (AV) Scan

Konfiguration

Im Wuellverzeichnis von FSLogix liegt ein Gruppenrichtlinien-Template (ADMX) mit dem alle notwendigen Einstellungen durchgeführt werden können. Dies ist für die Domäne in den ADMX Suchordner \\domain.local\SysVol\domain.local\Policies\PolicyDefinitions oder nur lokal auf dem System mit der Gruppenrichtlinienkonsole nach C:\Windows\PolicyDefinitions zu kopieren. Das ADML File entsprechend in das Unterverzeichnis En-US.
Weiterhin legen wir beispielsweise einen Share unter \\SURANDC01\FSLogixProfileContainer  an mit einer Freigabe „Domain Users“ r/w. Möglich ist auch ein versteckter Share wie \\SURANDC01\FSLogixProfileContainer$.
Wir erzeugen eine neue Gruppenrichtlinie auf der OU mit den Computerobjekten, die den FSLogix Filterdriver enthalten. Die Einstellungen

image002

Bitte beachten, die Gruppenrichtlinien stehen nur dort bereit, wo auch das ADMX File (s.o.) installiert wurden.
Computerkonfiguration/Richtlinien/Administrative Vorlagen/FSLogix/Profile Container

  • /Enabled
    Aktiviert die Funktion „Profile Container“
  • /Profile Type
    Steuert, ob direkt auf die VHD/X-Datei zugegriffen werden soll, ob eine andere Festplatte verwendet werden soll und ob Lese-/Schreib- oder Nur-Lesezugriff verwendet werden
  • /Store search database in profile container
    Wird verwendet, um die FSLogix Search Roaming-Funktion zu steuern und Suchdaten im Profilcontainer zu speichern.
  • /Set Outlook cached mode on successful container attach
    Wenn der Office 365-Container erfolgreich angehängt wurde, muss Outlook so eingestellt sein, dass es für den Benutzer im Cache-Modus arbeitet. Die Einstellungsänderung gilt nur für den jeweiligen Benutzer und für die Dauer der Benutzersitzung.
  • /VHD location
    Gibt den Netzwerkspeicherort an, an dem die VHD(X)-Dateien gespeichert sind. Zum Beispiel, Servername, Share, Container.
  • /Dynamic VHD(X) allocation
    Wenn dieses Kontrollkästchen aktiviert ist, werden VHD(X)s dynamisch zugewiesen (die Dateigröße von VHD(X) wächst, wenn Daten zum VHD(X) hinzugefügt werden.) Wenn diese Option nicht aktiviert ist, werden VHD(X)s, die automatisch erstellt werden, vollständig zugewiesen. Standardmäßig ist „Dynamisch“ voreingestellt.
  • /Delete local profile when FSLogix Profile should apply
    When this check box is checked, VHD(X)'s are dynamically assigned (the file size of VHD(X) grows when data is added to VHD(X)). If this option is not checked, VHD(X) automatically created VHD(X) will be fully assigned. By default, Dynamic is the default.
  • /Size in MBs
    Gibt die Größe für automatisch erstellte VHD(X)-Dateien an. Der Standardwert ist 30.000 (30 GBs).
  • /Allow concurrent user sessions
    Muss aktiviert werden, um gleichzeitige Benutzersitzungen auf demselben Computer zu verwalten. Hinweis: Wenn die Terminalserver verwendet werden und gleichzeitige Anmeldungen für dasselbe Windows-Konto auf demselben Server durchgeführt werden, muss diese Richtlinie aktiviert sein.

Nun gibt es noch einige erweiterte Einstellungen. Ich will hier nicht auf alles eingehen. Hier nur eine kleine Auswahl. Im Normalfall muss der Profilecontainer nur aktiviert werden.

  • FSLogix/Cloud Cache/WriteCacheDirektory
    Ein “lokales” Verzeichnis für den Writecache
  • FSLogix/Cloud Cache/CacheDirektory
    Lokales Cache Verzeichnis 

  • /Cloud Cache/Cloud Cache Locations
    Gibt die Konfiguration für Cloud-Cache-Speicherorte an. Jede Konfiguration benötigt mindestens einen Providertyp und eine Verbindungszeichenfolge. Mehrere Anbieter können durch Semikolonbeschriftung ohne Leerzeichen angegeben werden. Zum Beispiel type=smb,connectionString=\servername1\share\containers;type=smb,connectionString=\servername2\share\share\containers

  • /Cloud Cache/Clear local cache on logoff
    Gibt an, ob eine Kopie der Cache-Datei nach der Abmeldung des Benutzers auf dem lokalen Computer aufbewahrt werden soll oder nicht.

  • Container and Directory Nameing/Virtual disk Type
    VHD oder VHDX (default ist VHD)

Damit es erst einmal funktioniert müssen die folgenden Werte gesetzt werden:

  • Enabled
  • VHDLocations - bei uns ist das der zuvor erstellt Ordner : \\SURANDC\FSLogixProfileContainer

Hilfreiche Einstellungen

  • DeleteLocalProfileWhenVHDShouldApply: 0: keine Löschung. 1: Lokales Profil löschen, falls vorhanden und entspricht dem Profil, das von der VHD geladen wird. HINWEIS: Vorsicht bei dieser Einstellung. Wenn das FSLogix Profiles-System bestimmt, dass ein Benutzer ein FSLogix-Profil haben sollte, aber ein lokales Profil existiert, löscht der Profilcontainer das lokale Profil dauerhaft. Der Benutzer wird dann mit einem FSLogix-Profil angemeldet.
  • PreventLoginWithFailure: Wenn auf 1 gesetzt, lädt der Profilcontainer FRXShell, wenn es einen Fehler beim Anhängen an oder Verwenden eines vorhandenen Profils VHD(X) gibt. Der Benutzer erhält die FRXShell-Eingabeaufforderung - Standard-Eingabeaufforderung zum Aufrufen des Supports, und die einzige Option des Benutzers ist die Abmeldung.

Exkludierte Benutzergruppen

Wenn beispielsweise die Domain Admins keinen FSLogix Profilecontainer bekommen sollen, dann muss ein Ausschluß definiert werden. Dazu legt

FSLogix einige lokale Gruppen an:

image003


Per Standard ist die Gruppe „Jeder“ bzw. „Everyone“ in der Gruppe FSLogix Profile Include List enthalten
Das Hinzufügen eines Benutzers zur Gruppe FSLogix Profile Exclude List bedeutet, dass der FSLogix-Agent keinen FSLogix-Profilcontainer für den Benutzer anhängt. Wenn ein Benutzer sowohl Mitglied der Gruppen exclude als auch include ist, hat exclude Vorrang.
Ich nehme die Gruppe „Domain Admins“ mit auf. Die Vorgehensweise ist etwas kompliziert. Jedoch können auch über Gruppenrichtlinien oder per PowerShell lokale Gruppen konfiguriert werden.

image004

Profilcontainer ist nun konfiguriert und einsatzbereit. Um zu überprüfen, ob der Profilcontainer funktioniert, muss eine Anmeldung erfolgen. Anschließend können wir kontrollieren, dass ein Ordner mit dem Benutzernamen und der SID erstellt wird.

image005

 

Konfigurieren der Gruppenmitgliedschaft mit GroupPolicyPreferences

Die Gruppen für FSLogix werden am besten in den GPP (Group- Policy Preferences) brechtigt werden. Dabei ist zu beachten, dass der Modus "Aktuallisieren" und nicht "Ersetzen" gewählt . Ansonsten kommt es zu dem hier von Marco beschriebenen Problem: profiles won't logoff completely

Das System verwendet nun die SID der lokalen "include\exclude"-Gruppen. Wenn das GPO also auf "Ersetzen" statt auf "Aktualisieren" eingestellt ist, funktioniert es nach einem gpupdate innerhalb der Benutzersitzung nicht mehr. Das passiert weil die lokalen Gruppen neu erstellt werden (PVS) und neue SIDs erhalten. Die VHDX wird dann bei der Abmeldung nicht abgetrennt.

FSLogix Update GPP

 

Gleichzeitige Verbindungen mit Profil-Containern

Als umfangreiche Ergänztung an dieser Stelle das Verahlten bei Mehrfachverbindungen und die Konfigurationsoptionen dazu.

Gleichzeitige Verbindungen beziehen sich darauf, dass ein Benutzer mehrere gleichzeitige Verbindungen zu derselben Windows-Instanz herstellen kann. Gleichzeitige Verbindungen werden im Allgemeinen in bestimmten Umgebungen verwendet, beispielsweise bei einer Citrix oder Microsoft-Terminalserververbindung .

Um mehrere Verbindungen zu erlauben, muss der folgende Schlüssel gesetzt werden:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\fSingleSessionPerUser (DWORD) = 0,

Nach dem Konfigurieren der Umgebung werden Profilcontainer so konfiguriert, dass sie die gleichzeitige Konfiguration durch Einstellung unterstützen:

Profile Container: HKEY_LOCAL_MACHINE\SOFTWARE\FSLogix\Profiles\ConcurrentUserSessions(DWORD) = 1

Office Container: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\FSLogix\ODFC\ConcurrentUserSessions(DWORD) = 1

Mehrfache Verbindungen

Mehrfachverbindungen mit Profil-containern werden durch die Verwendung von VHD(X)-Differenzimages unterstützt. Die Registrierungskonfiguration und Funktionalität für Office Container und Profil Container ist unterschiedlich.

Mehrfachverbindungen mit Profilcontainer

Der Profilcontainer wird für mehrere Verbindungen mit ProfileType konfiguriert, wenn die Konfiguration des Profilcontainers ProfileType auf 0, 1, 2 oder 3 gesetzt ist.

  • Modus 0 (Normal / Standard)
    Anmelden:
    Der Client versucht, die VHD(X)-Datei direkt anzuhängen. Es werden keine Differenzimages verwendet. Wenn ein gleichzeitiger Zugriff versucht wird, schlägt dieser fehl mit einem sharing violation (error 20)

    Abmelden:
    Client trennt die VHD(X)

  • Modus 1 (Lesen / Schreiben)
    Anmelden:
    Client versucht, die RW.VHD(X) Differenzimage mit Lese-/Schreibzugriff zu öffnen. Wenn er erfolgreich ist, kombiniert er das Differenzimage mit dem Parent. Wenn er die Zusammenführung endet, wird die RW.VHD(X)-Datei gelöscht.
    Der Client erstellt ein neues RW.VHD(X)-Differenzimage.
    Der Client fügt die RW.VHD(X) als Profil-VHD ein.

    Abmelden:
    Client trennt das RW.VHD(X)-Differenzimage (die Profil-VHD/X des Benutzers).
    Client versucht, das RW.VHD(X)-Differenzimage mit Lese-/Schreibzugriff zu öffnen. Wenn er erfolgreich ist, führt er das Differenzimage mit der übergeordneten Platte zusammen. Wenn er die Zusammenführung abschließt, wird die RW.VHD(X)-Datei gelöscht.

    Modus 2 (Nur Lesen)
    Anmelden:
    Der Client versucht, das RW.VHD(X)-Differenzimage mit Lese-/Schreibzugriff zu öffnen. Wenn er erfolgreich ist, führt er das Differenzimage mit der übergeordneten Diskette zusammen. Wenn er die Zusammenführung abschließt, wird die RW.VHD(X)-Datei gelöscht.
    Der Client versucht, die vorherige RO-Differenzdiskette zu löschen (falls sie existiert).
    Der Client erstellt die neue RO-Differenzimage.
    Client hängt das RO-Differenzimage als Profil-VHD des Benutzers an.

    Abmelden:
    Client trennt das RO-Differenzimage ab.
    Client löscht das RO-Differenzimage.
    Client versucht, das RW.VHD(X)-Differenzimage mit Lese-/Schreibzugriff zu öffnen. Wenn er erfolgreich ist, führt er das Differenzimage mit dem übergeordneten Image zusammen. Wenn er die Zusammenführung abschließt, wird die RW.VHD(X)-Datei gelöscht.

  • Modus 3 (Versuch Read/Write Fall Back Read Only)
    Anmeldung:
    Der Client prüft, ob eine RW.VHD(X)-Datei vorhanden ist. Wenn dies nicht der Fall ist, übernimmt der Client die RW-Rolle und führt die gleichen Schritte wie bei ProfileType = 1 durch. Wenn die RW.VHD(X)-Datei vorhanden ist, übernimmt der Client die RO-Rolle und führt die gleichen Schritte wie bei ProfileType = 2 aus.
    Allgemeine Informationen
    RO-Differenzimages werden im lokalen Temp-Verzeichnis gespeichert und heißen %usersid%_RO.VHD(X).
    Die RW-Differenzimages werden im Netzwerk neben der übergeordneten VHD(X)-Datei gespeichert und trägt den Namen RW.VHD(X).

    Der Zusammenführungsvorgang kann sicher unterbrochen und fortgesetzt werden. Wenn ein Client den Merge-Vorgang beginnt und unterbricht. Beispielsweise kann nach einem Ausschaltvorgang, ein anderer Client den Merge-Vorgang fortsetzen und abschließen. Aus diesem Grund beginnen sowohl der RW- als auch der RO-Client zunächst mit einem Merge-Versuch der RW.VHD(X).

    Merge-Operationen auf einem ReFS-Dateisystem, bei dem sich das Differenzimage und die übergeordnete Platte auf demselben ReFS-Volume befinden, erfolgen fast sofort, unabhängig davon, wie groß das Differenzimage ist.

    Merge-Operationen können nur durchgeführt werden, wenn es keine offenen Handles auf der Differenzplatte oder der übergeordneten VHD(X) gibt. Aus diesem Grund versucht der RO-Client auch, die RW-VHD(X) zusammenzuführen, da sie möglicherweise die letzte Sitzung ist, die getrennt wurde.

Tipps

Antivirus Ausnahmen:

  • C:\Program Files\FSLogix\Apps\frxdrv.sys and frxsvc.exe
  • C:\Windows\TEMP\Exclude .VHD and .VHDX
  • Im Netzwerkspeicher .VHD and .VHDX inkusive Unterverzeichnis

Migration lokaler Profile in eine VHD:

  • Das Profil muss lokal vorhanden sein und der Benutzer muss sich abgemeldet haben.
  • cmd.exe als Administrator starten
  • CD "\Program Files\FSLogix\Apps". frx.exe, um ein Profil in ein VHD oder VHDX zu verschieben: frx copy-profile -filename=C:\Profile.vhd -username=DOMAIN\USERNAME

Wie verschiebt man ein aktuelles Profil, Best Practice-lInk: https://docs.microsoft.com/de-de/fslogix/
FRxtray unter C:\ProgramData\Microsoft\Windows\Start Menu\Programme\Startup verlinken
Policy auf Rechner ablegen
Rechte auf VHD reduzieren -> Advanced -> Set access control for attaching VHDs > O:BAG:DUD:PAI(A;OICI;FA;;;%sid%) -> Klappt noch nicht
Ich habe noch einige Einstellungen optimiert

  • Dynamische Datenträger
  • 4K Sektoren, wenn möglich noch Jumbo Frames aktivieren.

(get-acl [DIR]| fl)

Abschließend noch ein netter Kundenbericht zum Einsatz. Vielen danke dafür Markus!

Einer unserer Kunden  war so nett für diesen Artikel einen Bericht über seine eigene Umgebung zu schrieben. Die ist mit App-V schon seit mehreren Jahren im Einsatz. Der Artikel ist an einigen stellen leich gekürzt. @Markus wenn Du hier mal Deinen ganzen Namen sehen willst, dann melde Dich bitte. Ansonsten vielen Danke auch an Fabian 

Erfahrungswerte:

Unsere Erfahrungen mit FS Logix als Profillösung sind bislang gut.
Wenn es zu Problemen mit korrupten Profilen kam, so hing das in der Regel damit zusammen, dass einer der CTX Server einen BSOD bekommen hat und bei manchen Usern das Profil dann korrupt wurde.

Das hat sich in der Regel dadurch gezeigt, dass entweder direkt nach der Anmeldung die Meldung erschien, dass diese ein temporäres Profil erhalten haben, oder das bestimmte Funktionen wie der Schnellstart, gepinnte Verknüpfungen auf der Taskleiste, die Taskleiste selbst etc. nicht mehr funktioniert haben.
Das FS-Logix Profil kann über den Director leider nicht mehr zurückgesetzt werden. Dafür haben wir ein Powershell Script geschrieben, welches das Profil, sobald es nirgends mehr gemounted ist, vollumfänglich löscht.

Wir sind in dieser Woche in das Problem geraten, dass unsere Profile sehr groß wurden. Teilweise lagen diese bei 10 GByte, und bei manchen Usern sogar noch höher. Löschen der Daten in den Profilen reicht nicht allein aus, da die VHDX an sich nicht kleiner wird. Dafür haben wir jetzt aber im Internet ein gutes Script gefunden, welches die Größe der VHDX entsprechend optimiert. Nur damit du es mal gehört hast. (Stichwort Optimize-VHD)

Und was mir auch schon aufgefallen ist, aber das kann auch Konfigurationssache sein, da ich mich damit noch nicht näher beschäftigt habe:
Nehmen wir an ein Benutzer hat eine PA geöffnet. Auf dem Server ist die VHDX dann gemounted. Öffnen wir jetzt eine neue Desktopsitzung auf einem neuen Server, so dauert die Anmeldung sehr lange, da das Profil schon beim ersten Server gemounted ist. Ich meine dann wird es nur Read-Only gemounted und Änderungen landen auch nicht im Profil. Von daher muss man da aufpassen bei der Einrichtung.

Ebenfalls haben wir versucht von einer Version auf eine andere downzugraden, was aber dazu geführt hat, dass einige Profile nicht mehr funktioniert haben mit der alten Version. Von daher muss man hier wohl aufpassen.
Sobald wir dann wieder die ursprüngliche Version bereitgestellt hatten, gingen die Profile wieder ohne sie neu anzulegen. Was genau der Grund hierfür war wissen wir nicht.

Wenn man neue Ordner in die Exclusion List packt, so wird der bisherige Inhalt im Profil nicht gelöscht. Das müsste man dann manuell machen um z.B. Platz zu sparen.

Support von Microsoft:

FS-Logix wurde ja von Microsoft aufgekauft. Zuvor haben wir keine Support Fälle mit FS-Logix gehabt, aber eine Fehlerquelle der CTX Server BSODs hing mit einer FS-Logix Komponente zusammen und der Response von Microsoft Seite auf das Ticket war nicht gut. 

Erfahrungswerte in Zusammenarbeit mit App-V:

Da können wir nicht wirklich viel zu sagen. Uns ist bislang nichts aufgefallen.

Profilcontainer im Einsatz:

Ja, die haben wir im Einsatz.

Das sind Bilder von der GPO für unseren WinDesktop.

 

image006

image007

image008

Konvertieren von Roaming Profiles nach FSLogix

Microsoft hat ein Prowershell Modul zum konvertieren von Roaming Profiles zu FSLogix Profile-Container gebaut. Das ist hier zu finden: Module Converter Dabei ist zu beachtet, dass es sich wohl um ein Preview handelt und das alles eventuell nicht funktioniert. Hier der direkte link in dem Microsoft Artikel: https://aka.ms/FSLogixMigrationPreviewModule

Befehle:

Convert-UPDProfile - Konvertiert eine User Profile Disk in das FSLogix Format

Convert-RoamingProfile - Konvertiert ein Roaming Profile in das FSLogix Format

Convert-RoamingProfile -ParentPath <String> -Target <String> -VHDMaxSizeGB <UInt64> -VHDLogicalSectorSize <String> [-VHD] 

Convert-RoamingProfile -ProfilePath "C:\Users\User1" -Target "\\Server\FSLogixProfiles$" -MaxVHDSize 20 -VHDLogicalSectorSize 512 -VHD -IncludeRobocopyDetails -LogPath C:\temp\Log.txt

Convert-UPMProfile - Konvertiert ein UPM-Profil in einen FSLogix-Profilcontainer. 

Für Citrix Profile hat sich das folgende Vorgehen bewährt:

Wir benutzen das Skript aus dem folgenden Artikel: Convert Citrix UPM to FSLogix Profile Containers - Xenit

  1. Benutzernamen aus dem Profilpfad - Sie müssen diesen Teil für Ihre Umgebung bearbeiten
  2. Benutzt den Benutzernamen, um die SID zu erhalten (FSLogix-Profile verwenden den Benutzernamen und die SID, um den Profilordner zu benennen)
  3. Erzeugt den FSLogix-Profilordner (falls er nicht existiert)
  4. Legt den Benutzer als Eigentümer dieses Ordners fest und gibt ihm die volle Kontrolle
  5. Erstellt die .vhd (meine Vorgabe ist 30GB dynamisch - (in Zeile 70 zu ändern)
  6. Hängt die .vhd an
  7. Erzeugt eine Partition und formatiert sie ntfs
  8. Weist diesem Laufwerk den Buchstaben T zu (Buchstabe in Zeile 73 des Skriptes)
  9. Legt das Verzeichnis T:\Profile an
  10. Gewährt System/Administratoren und dem Benutzer volle Kontrolle über das Profilverzeichnis
  11. Kopiert das Profil aus dem UPM-Pfad in das T:\Profile-Verzeichnis mit /E /Purge
  12. Erstellt T:\Profile\AppData\Local\FSLogix, wenn es nicht existiert
  13. Erstellt T:\Profile\AppData\Local\FSLogix\ProfileData.reg, wenn es nicht existiert

 

PowerShell Codesignaturen und Upload in die Power...
Die Suche nach dem M.A.D. Blog und wo die alten Ap...

Ähnliche Beiträge

 

Kommentare 14

Gäste - Gamal am Donnerstag, 20. Februar 2020 14:41

Hallo Andreas,
wie sieht es mit FSLogix in Verbindung Citrix Silos aus? Gruß Gamal

Hallo Andreas, wie sieht es mit FSLogix in Verbindung Citrix Silos aus? Gruß Gamal
Andreas Nick am Donnerstag, 20. Februar 2020 15:19

Moin Gamal :-) soweit kein Problem. Auch nicht in Verbindung mit App-V - wir haben mehrere Umgebungen in denen das problemlos für Terminalserver läuft. Auf die Version ist zu achten. Ein Kunde hatte nach einem Windows Update Probleme und musste auf eine neuere FSLogix Version gehen.

Moin Gamal :-) soweit kein Problem. Auch nicht in Verbindung mit App-V - wir haben mehrere Umgebungen in denen das problemlos für Terminalserver läuft. Auf die Version ist zu achten. Ein Kunde hatte nach einem Windows Update Probleme und musste auf eine neuere FSLogix Version gehen.
Gäste - Gamal Attia am Donnerstag, 20. Februar 2020 16:30

Hört Sich gut an :-)
Wir melden uns. VG & Danke.

Hört Sich gut an :-) Wir melden uns. VG & Danke.
Gäste - Basssing am Samstag, 29. Februar 2020 23:34

Wir haben letztes Jahr im Nobember 2019 von Profildisk auf FSLogix gewechselt. Ist zwar schön und gut das die Platte schnell kommt aber die Drucker bleiben nicht in der Sitzung erhalten. Vorher bei der Profildisk von Windows 2012 R2 hatte alles funktioniert, aber jetzt verschwinden die Drucker macht mich wahnsinnig. Der Benutzer kann sich den Drucker zwar mappen aber auch nur eine Bestimmte Zeit dann kommt eine Fehlermeldung (Druckerverbindung nicht möglich 0x0000057).

Wir haben letztes Jahr im Nobember 2019 von Profildisk auf FSLogix gewechselt. Ist zwar schön und gut das die Platte schnell kommt aber die Drucker bleiben nicht in der Sitzung erhalten. Vorher bei der Profildisk von Windows 2012 R2 hatte alles funktioniert, aber jetzt verschwinden die Drucker macht mich wahnsinnig. Der Benutzer kann sich den Drucker zwar mappen aber auch nur eine Bestimmte Zeit dann kommt eine Fehlermeldung (Druckerverbindung nicht möglich 0x0000057).
Gäste - Martin Lederer am Freitag, 03. April 2020 15:54

Hallo Zusammen,

danke für den Bericht.

Was muss / soll für APP-V in die redirections.xml aufgenommen werden ?
Kann man sich hier an den Citirx UPM Ausnahmen orientieren.

Hallo Zusammen, danke für den Bericht. Was muss / soll für APP-V in die redirections.xml aufgenommen werden ? Kann man sich hier an den Citirx UPM Ausnahmen orientieren.
Andreas Nick am Freitag, 03. April 2020 17:04

Willst Du hier etwas ausklammern? Der große Vorteil ist ja, dass das wie eine lokale Integration funktioniert. UEM ist mit App-V auch eher problematisch (dazu steht etwas in meinem App-V Buch). Gerade die Exclusions führen dazu dass immer neu integriert wird und das kostet Zeit. Wichtig sind in jedem Fall die folgenden Bereiche wenn nicht immer neu integriert werden soll:

HKCU:Software\Microsoft\AppV
AppData\Microsoft\AppV
AppData\Microsoft\Windows\Start Menu\Programs
LOCALAPPDATA\Microsoft\AppV\VFS (der wird u.a. von Citrix zum exkludieren empfohlen)

Auf Nummer Sicher geht man wenn in jedem Fall LOCALAPPDATA und AppData \Microsoft\AppV gesichert werden.

Willst Du hier etwas ausklammern? Der große Vorteil ist ja, dass das wie eine lokale Integration funktioniert. UEM ist mit App-V auch eher problematisch (dazu steht etwas in meinem App-V Buch). Gerade die Exclusions führen dazu dass immer neu integriert wird und das kostet Zeit. Wichtig sind in jedem Fall die folgenden Bereiche wenn nicht immer neu integriert werden soll: HKCU:Software\Microsoft\AppV AppData\Microsoft\AppV AppData\Microsoft\Windows\Start Menu\Programs LOCALAPPDATA\Microsoft\AppV\VFS (der wird u.a. von Citrix zum exkludieren empfohlen) Auf Nummer Sicher geht man wenn in jedem Fall LOCALAPPDATA und AppData \Microsoft\AppV gesichert werden.
Gäste - Tobias am Mittwoch, 19. Mai 2021 12:37

Hallo,

wir möchten auch FSLogix für unsere VDI User (Vmware Hozizon View) einrichten. Muss ich dafür im Active Directory Benutzerprofil den aktuellen Profilpfad \\Fileserver\profiles$\%username% entfernen oder muss das bestehen bleiben? Aktuell verwenden wir nämlich das klassische Roaming Profile von Microsoft, welches so auf einem Fileserver angelegt und geladen wird. Wir wollen mit FSLogix den Netzwerktraffic und die Ladezeit des Profiles vom Server auf den Client und andersherum minimieren.
Wie muss ich also vorgehen, wenn ich vom klassischen servergespeicherten Roaming Profil auf FSLogix wechseln möchte?

Danke und Grüße.

Hallo, wir möchten auch FSLogix für unsere VDI User (Vmware Hozizon View) einrichten. Muss ich dafür im Active Directory Benutzerprofil den aktuellen Profilpfad \\Fileserver\profiles$\%username% entfernen oder muss das bestehen bleiben? Aktuell verwenden wir nämlich das klassische Roaming Profile von Microsoft, welches so auf einem Fileserver angelegt und geladen wird. Wir wollen mit FSLogix den Netzwerktraffic und die Ladezeit des Profiles vom Server auf den Client und andersherum minimieren. Wie muss ich also vorgehen, wenn ich vom klassischen servergespeicherten Roaming Profil auf FSLogix wechseln möchte? Danke und Grüße.
Andreas Nick am Sonntag, 23. Mai 2021 10:49

Moin Tobias, FSLogix arbeitet mit lokalen Profilen und die sind inkompatibel zu Roaming Profiles. Nun hat Microsoft ein PowerShell Modul zur Konvertierung gebaut. Ich werde diesen Artikel gleich etwas erweitern und einige Zeilen zu dem Modul schreiben. Hier der Link: https://aka.ms/FSLogixMigrationPreviewModule

Moin Tobias, FSLogix arbeitet mit lokalen Profilen und die sind inkompatibel zu Roaming Profiles. Nun hat Microsoft ein PowerShell Modul zur Konvertierung gebaut. Ich werde diesen Artikel gleich etwas erweitern und einige Zeilen zu dem Modul schreiben. Hier der Link: https://aka.ms/FSLogixMigrationPreviewModule
Gäste - Frank am Donnerstag, 12. Oktober 2023 09:55

Guten Tag,

danke für die super Erklärung zu FXLogix.

Ich habe FXlogix aktuell in einer Testumgebung am laufen und bin ehrlichgesagt begeistert davon.

Mir ist leider aufgefallen das nach der Implementierung von FXLogix keine GPO´s mehr verarbeitet werden, gibt es eine Einstellung die das verarbeiten von GPO´s für Benutzer erlaubt oder aktiviert?

Mfg

Fank

Guten Tag, danke für die super Erklärung zu FXLogix. Ich habe FXlogix aktuell in einer Testumgebung am laufen und bin ehrlichgesagt begeistert davon. Mir ist leider aufgefallen das nach der Implementierung von FXLogix keine GPO´s mehr verarbeitet werden, gibt es eine Einstellung die das verarbeiten von GPO´s für Benutzer erlaubt oder aktiviert? Mfg Fank
Andreas Nick am Donnerstag, 12. Oktober 2023 10:15

Hallo Frank, Gruppenrichtlinien werden verarbeitet. Vielleicht hat Du das Profil Readonly konfiguriert? Oder es gibt Probleme mit einem anderen Produkt, dass parallel läuft?

Hallo Frank, Gruppenrichtlinien werden verarbeitet. Vielleicht hat Du das Profil Readonly konfiguriert? Oder es gibt Probleme mit einem anderen Produkt, dass parallel läuft?
Gäste - Frank am Donnerstag, 12. Oktober 2023 10:55

Hallo Andreas,

ich Poste dir mal die Screens von meiner GPO.

Ich habe als Profil Type -> Read / Write profile - fallback to Read Only

https://ibb.co/R6LRYW5

https://ibb.co/Vt7Lxg4

Ich habe kein weiteres Produkt Installiert.

LG

Frank

Hallo Andreas, ich Poste dir mal die Screens von meiner GPO. Ich habe als Profil Type -> Read / Write profile - fallback to Read Only [img]https://ibb.co/R6LRYW5[/img] [img]https://ibb.co/Vt7Lxg4[/img] Ich habe kein weiteres Produkt Installiert. LG Frank
Andreas Nick am Donnerstag, 12. Oktober 2023 11:06

Hi Frank, keine Ahnung warum. Aber schalt mal "Flip-Flop"... ab. Im letzten Release gab es damit Probleme. Ansonsten kann ich Dir hier leider nicht helfen. Ich meine, es liegt nicht an FSLogix. Viele Grüße, Andreas

Hi Frank, keine Ahnung warum. Aber schalt mal "Flip-Flop"... ab. Im letzten Release gab es damit Probleme. Ansonsten kann ich Dir hier leider nicht helfen. Ich meine, es liegt nicht an FSLogix. Viele Grüße, Andreas
Gäste - Stefan am Freitag, 31. Mai 2024 15:56

Hallo Andreas,
ich habe FSLogix bei einem Kunden in der Evaluierung in Verbindung mit einer RDS-Farm.
Dort sind aktuell noch die servergespeicherten Roaming Profiles aktiv.
Für aktuell einen Testuser habe ich die den FSLogix Profilcontainer aktiviert.
Bei der An- und Abmeldung wird der Profilcontainer auf dem Share zwar angelegt, aber er bleibt sozusagen leer. Außerdem wird noch die corrupt-metadata File angelegt.
Liegt das eventuell daran, dass parallel noch die Roaming Profiles aktiv sind und dies dann das Profil vom RDS-Host löscht, bevor FSLogix das Profil in den Container schreiben kann?
Wenn das dann so wäre, heißt das dann im Umkehrschluss, dass ich die FSLogix-Profilcontainer vorher nicht mit einem Testuser einrichten und testen kann, sondern komplett auf einmal alle User auf die Profilcontainer umstellen muss?
Ich wüsste auch sonst nicht, wie man einen einzelnen User aus den Roaming-Profiles ausschließen kann, weil die GPO dafür auch nur auf Computer-Ebene greift.
Viele Grüße, Stefan

Hallo Andreas, ich habe FSLogix bei einem Kunden in der Evaluierung in Verbindung mit einer RDS-Farm. Dort sind aktuell noch die servergespeicherten Roaming Profiles aktiv. Für aktuell einen Testuser habe ich die den FSLogix Profilcontainer aktiviert. Bei der An- und Abmeldung wird der Profilcontainer auf dem Share zwar angelegt, aber er bleibt sozusagen leer. Außerdem wird noch die corrupt-metadata File angelegt. Liegt das eventuell daran, dass parallel noch die Roaming Profiles aktiv sind und dies dann das Profil vom RDS-Host löscht, bevor FSLogix das Profil in den Container schreiben kann? Wenn das dann so wäre, heißt das dann im Umkehrschluss, dass ich die FSLogix-Profilcontainer vorher nicht mit einem Testuser einrichten und testen kann, sondern komplett auf einmal alle User auf die Profilcontainer umstellen muss? Ich wüsste auch sonst nicht, wie man einen einzelnen User aus den Roaming-Profiles ausschließen kann, weil die GPO dafür auch nur auf Computer-Ebene greift. Viele Grüße, Stefan
Andreas Nick am Freitag, 07. Juni 2024 12:43

Hallo Stefan, ich denke dieses Problem kommt durch die gleichzeitige Verwendung von servergespeicherten Roaming Profiles und FSLogix Profilcontainern
Wenn der FSLogix Container leer bleibt und eine corrupt-metadata Datei erstellt wird, kann dies darauf hinweisen, dass FSLogix nicht korrekt auf die Profildaten zugreifen kann, um sie in den Container zu schreiben. Dies könnte daran liegen, dass die Roaming Profiles das Profil beim Abmelden löschen oder anderweitig modifizieren, bevor FSLogix die Daten erfassen und im Container speichern kann.

In Bezug auf die Testphase mit einem einzelnen Nutzer: Es ist technisch möglich, einzelne Nutzer für FSLogix zu aktivieren, während andere weiterhin Roaming Profiles verwenden. Allerdings erfordert dies eine spezifische Konfiguration. Du könntest versuchen, die FSLogix-Richtlinien so anzupassen, dass sie nur für den Testnutzer gelten, z.B. durch die Zuweisung von Gruppenrichtlinien auf Benutzerbasis, falls das Setup deiner Organisation dies zulässt. Eine andere Möglichkeit wäre, eine neue Organisations-Einheit (OU) im Active Directory für den Testuser einzurichten und die FSLogix-Richtlinien ausschließlich auf diese OU anzuwenden, sodass sie nicht mit den bestehenden Roaming Profiles in Konflikt stehen.

Hallo Stefan, ich denke dieses Problem kommt durch die gleichzeitige Verwendung von servergespeicherten Roaming Profiles und FSLogix Profilcontainern Wenn der FSLogix Container leer bleibt und eine corrupt-metadata Datei erstellt wird, kann dies darauf hinweisen, dass FSLogix nicht korrekt auf die Profildaten zugreifen kann, um sie in den Container zu schreiben. Dies könnte daran liegen, dass die Roaming Profiles das Profil beim Abmelden löschen oder anderweitig modifizieren, bevor FSLogix die Daten erfassen und im Container speichern kann. In Bezug auf die Testphase mit einem einzelnen Nutzer: Es ist technisch möglich, einzelne Nutzer für FSLogix zu aktivieren, während andere weiterhin Roaming Profiles verwenden. Allerdings erfordert dies eine spezifische Konfiguration. Du könntest versuchen, die FSLogix-Richtlinien so anzupassen, dass sie nur für den Testnutzer gelten, z.B. durch die Zuweisung von Gruppenrichtlinien auf Benutzerbasis, falls das Setup deiner Organisation dies zulässt. Eine andere Möglichkeit wäre, eine neue Organisations-Einheit (OU) im Active Directory für den Testuser einzurichten und die FSLogix-Richtlinien ausschließlich auf diese OU anzuwenden, sodass sie nicht mit den bestehenden Roaming Profiles in Konflikt stehen.
Bereits registriert? Hier einloggen
Samstag, 23. November 2024

Sicherheitscode (Captcha)

Nick Informationstechnik GmbH
Dribusch 2
30539 Hannover

+49 (0) 511 165 810 190
+49 (0) 511 165 810 199

infonick-it.de

Newsletter

Anmeldung zum deutschen M.A.D. Newsletter mit Informationen zur Anwendungsvirtualisierung!