Налаштування переміщуваних профілів FSLogix у Windows Server RDS.

Технологія Microsoft FSLogix використовується для керування профілями користувачів і дозволяє замінити переміщувані профілі (Roaming Profiles) та User Profile Disks (UPD) у сценаріях RDS, VDI та Windows Virtual Desktop (WVD). Сервіс FSLogix дозволяє динамічно підключати контейнери із профілями користувачів із мережевих ресурсів. Можливе використання як в on-premises рішеннях, так і в Azure (як сховища профілів можна використовувати Azure Files). У цій статті ми розглянемо, як використовувати профілі користувачів FSLogix, що переміщуються замість User Profile Disks в RDS розгортаннях Windows Server 2019/2022.

Навіщо потрібні контейнери FSLogix?

Концепція FSLogix схожа на звичну технологію RDS User Profile Disks (UPD), коли профілі користувачів зберігаються у вигляді віртуальних VHDX дисків і підключаються через мережу при вході користувача в систему. Однак FSLogix дозволяє подолати багато недоліків UPD у середовищах RDS і дозволяє:

  • Істотно збільшити швидкості завантаження профілю через мережу, і як наслідок зменшується час входу / виходу в систему для користувача;
  • Оптимізований для програм Office 365 (Microsoft 365 for Enterprise);
  • Один і той же профіль можна використовувати в різних колекціях RDS, і фермах RDS VDI і навіть фізичних комп'ютерах;
  • Профіль FSLogix можна підключати відразу до кількох сесій (на читання);
  • У UPD пошуковий індекс Windows очищається при виході користувача і його потрібно генерувати знову наступного разу. У FSLogix можна зберігати індекс у переміщуваному профілі;
  • Забезпечує доступність файлів кешу Outlook (OST, Outlook Cached Mode), індексу (пошуку) Outlook, кешу та даних MS Teams і т.д.
  • Профілі, що переміщуються FSLogix, можна використовувати навіть на окремо хостах RDSH.

Рішення FSLogix безкоштовне для використання в on-premises розгортанні RDS, за умови, що у вас придбані RDS CAL і встановлені на сервері ліцензування RDS.

Встановлення та налаштування FSLogix для профілів користувачів на Windows Server 2019 RDS.

Розглянемо, як встановити та настроїти FSLogix для термінальної RDS ферми на базі Windows Server 2019.

  1. Завантажте FSLogix за цим посиланням (https://aka.ms/fslogix/download, близько 180 Мб). Доступ до утиліти вільний;
  2. Розпакуйте архів і встановіть агент FSLogic \FSLogix_Apps\x64\Release\FSLogixAppsSetup.exe на сервері RDSH;
  3. Потім скопіюйте файли адміністративних політик FSLogix в центральне сховище адміністративних шаблонів GPO на контролері домену (fslogix.admx в \PolicyDefinitions, и fslogix.adml в \PolicyDefinitions\en-US).

Створіть на файловому сервері мережну папку, де зберігаються контейнери з профілями користувачів FSLogic. Наприклад, \\msk-fs\Share\Profiles .

Вкажіть наступні NTFS права доступу до папки мережі:

User AccountFolderPermissions
UsersThis Folder OnlyModify
Creator / OwnerSubfolders and Files OnlyModify

Тепер можна створити GPO для налаштування параметрів FSLogix для RDS серверів.

Відкрийте консоль керування доменними GPO (gpmc.msc), створіть нову політику та призначте її на OU з вашими серверами RDSH. Розгорніть Computer Configuration -> Policies -> Administrative Templates -> FSLogix. Налаштуйте наступні параметри GPO:

  • Profile Containers -> Enabled – увімкнути профілі FSLogix;
  • Profile Containers -> VHD Location – вказати UNC шлях до каталогу профілів (\\msk-fs\Share\Profiles);
  • Profile Containers -> Delete local profile when FSLogix Profile should apply – видалити локальний профіль під час використання FSLogix;
  • Profile Containers -> Size in MB – максимальний розмір файлу профілю за замовчуванням 30000 (30 Гб);
  • Profile Containers -> Dynamic VHD(X) allocation = Enabled. Якщо не включити цю політику, то VHD/VHDX диски профілів користувачів одразу створюються максимального розміру;
  • Profile Containers -> Advanced -> Prevent login with temporary profile – не створювати тимчасові профілі користувачів;
  • Profile Containers -> Advanced -> Prevent login with failure – заборонити вхід при неполадках FSLogix;
  • Profile Containers -> Advanced -> Locked VHD retry count = 3, вказати кількість спроб VHD(X) файл, якщо він заблокований іншим процесом;
  • Profile Containers -> Container and Directory Naming -> Virtual disk type – використовувати VHDX тип віртуального диска для профілю замість стандартного VHD;
  • Profile Containers -> Container and Directory Naming -> Swap directory name components – використовувати %username%_SID як формат для каталогів профілів користувачів (замість SID_%username%);
  • Profile Containers -> Store search database in profile container = Disabled (не зберігати у профілі індексну базу Windows Search);
  • Enable logging = All logs enabled — увімкнути логотипи FSLogix
  • Path to logging files – шлях до логів FSLogix (\msk-fs\Share\FSLogixLogs\%COMPUTERNAME%);
  • Days to keep log files – скільки днів зберігати логи (7 днів достатньо).

Перезавантажте Windows Server, щоб застосувати нові установки GPO. Системні налаштування профілів FSLogix зберігаються в наступній гілці реєстру HKLM\SOFTWARE\FSLogix\Profiles.

Тепер на вході RDP користувача на екрані має з'являтися повідомлення:

Please wait for the FSLogix Apps Services

Після входу ви можете запустити консоль керування дисками (Disk Management) і переконатися, що FSLogix профіль користувача змонтовано як VHDX диск. У вказаному мережевому каталозі з'явився новий каталог для профілю користувача.

У каталозі C:\Program Files\FSLogix\App s є кілька додаткових утиліт для адміністратора:

  • frxtray.exe – утиліта, що відображає вікно FSLogix у системному треї та дозволяє перевірити, що користувач увійшов із профілем FSlogix;
  • ConfigurationTool.exe – утиліта для налаштування профілів FSLogix.

Розширене налаштування профілів FSLogix на Windows Server RDS.

При установці агента FSLogixAppsSetup на сервері у списку локальних груп з'являються кілька додаткових груп. Ви можете вивести цей список за допомогою командлета Get-LocalGroup :

Get-LocalGroup -Name "*fslo*"
  • FSLogix ODFC Exclude List — Натиснутими на цю групу є заблокована програма для Outlook Data Folder Containers
  • FSLogix ODFC Include List — Натиснутими на цю групу адресами включені листи для Outlook Data Folder Containers
  • FSLogix Profile Exclude List — Натисніть на цю групу, а також на exclude list for dynamic profiles
  • FSLogix Profile Include List — Натисніть на цю групу, що містить у собі list для dynamickих profiles

Ці групи дозволяють вказати користувачів або групи, для яких потрібно увімкнути або вимкнути створення профілів FSLogix.

За промовчанням / за замовчуванням профілі, що переміщуються, створюються для всіх користувачів. Щоб мати можливість локального входу на сервер для групи адміністраторів при неполадках FSLogix, потрібно додати групу адміністраторів до локальної групи FSLogix Profile Exclude List.

Найпростіше це зробити за допомогою групової політики Restricted Group 

Computer Configuration -> Windows Settings -> Security Settings -> Restricted Groups -> Add Group -> FSLogix Profile Exclude List) або Group Policy Preferences (Computer Configuration -> Preferences -> Control Panel Settings -> Local Users and Group -> New -> Local Group -> FSLogix Profile Exclude List

Щоб виключити певні каталоги з профілю FSLogix, що переміщується, ви можете використовувати файл redirection.xml. Каталоги цього файлу перенаправляються в локальні папки на диску сервера.

Шлях до цього XML файлу з налаштуваннями задається в параметрі GPO FSLogix -> Profile Containers -> Advanced -> Provide RedirXML file to customize redirections. Можна виключити Temp папки, каталоги кеша IE, Chrome і т.д.

Приклад такого файлу наведено нижче:

<?xml version="1.0"?> <FrxProfileFolderRedirection ExcludeCommonFolders="0">
<Excludes>
<Exclude Copy="0">AppData\LocalLow\</Exclude> <Exclude Copy="0">AppData\Local\Packages\</Exclude>
<Exclude Copy="0">AppData\Local\Microsoft\Windows\Temporary Internet Files\</Exclude>
<Exclude Copy="0">AppData\Local\Microsoft\Windows\Explorer\</Exclude>
<Exclude Copy="0">AppData\Local\Microsoft\Windows\WebCache\</Exclude>
<Exclude Copy="0">AppData\Local\Temp\</Exclude>
<Exclude Copy="0">AppData\Local\Diagnostics\</Exclude>
<Exclude Copy="0">AppData\Local\Comms\</Exclude>
<Exclude Copy="0">AppData\Local\Google\Chrome\User Data\Default\Cache\</Exclude>
</Excludes>
</FrxProfileFolderRedirection>

Проаналізуйте профілі користувачів, встановлені програми та додайте у файл нові винятки / виключення.

Додайте файли FSLogix, що виконуються, у виключення вашого антивіруса 

frxdrv.sys, frxdrvvt.sys, frxccd.sys, frxccd.exe, frxccds.exe, frxsvc.exe

Недоліки.

Хороша технологія, але багато підводного каміння. Наприклад, те, що профіль має версійність і може використовуватися тільки на комп'ютерах з однією версією ОС. Тобто не можна використовувати один профіль для 2012R2 та 2019. Це обмеження самих профілів, а не fslogix. Щодо несумісності 2016-2019-2022 та різноманітних білдів Windows 10 я не в курсі. Так само рік тому у технології були проблеми з індексуванням і в мануалах рекомендували робити спеціальні налаштування під індексування, включаючи індексування в Outlook. Сумісність з програмами 365 це практично налаштування під ці програми, іншими словами з Office 365 на комп'ютері установки fslogix рекомендуються одні, якщо ж офісу немає - то інші, хоча можливо теж допрацювали.

Із корисного на додачу.

Для конвертації UPD -> FSLogix можна використовувати готовий скрипт Migrate UPD Profiles to FSLogix: https://github.com/andif888/convert-udp-fslogix

Отправить комментарий

Добавлять новые комментарии запрещено.*

Новые Старые