Настройка перемещаемых профилей FSLogix в Windows Server RDS

Технология Microsoft FSLogix используется для управления профилями пользователей и позволяет заменить перемещаемые профили (Roaming Profiles) и User Profile Disks (UPD) в сценариях RDS, VDI и Windows Virtual Desktop (WVD). Сервис FSLogix позволяет динамически подключать контейнеры с профилями пользователей из сетевых ресурсов. Возможно использование как в on-premises решениях, так и в Azure (в качестве хранилища профилей можно использовать Azure Files). В этой статье мы рассмотрим, как использовать перемещаемые профили пользователей FSLogix вместо User Profile Disks в RDS развертываниях Windows Server 2019/2022.

Для чего нужные контейнеры FSLogix?

Концепция FSLogix похоже на привычную технологию RDS User Profile Disks (UPD) , когда профили пользователей хранятся в виде виртуальных VHDX дисков и подключаются по сети при входе пользователя в систему. Однако FSLogix позволяет преодолеть многие недостатки UPD в средах RDS и позволяет:

• Существенно увеличить скорости загрузки профиля по сети, и как следствие уменьшается время входа/выхода в систему для пользователя;
• Оптимизирован для приложений Office 365 (Microsoft 365 for Enterprise);
• Один и тот же профиль можно использовать в разных RDS коллекциях, и фермах RDS VDI и даже физических компьютерах;
• Профиль FSLogix можно подключать сразу в несколько сессий (на чтение);
• В UPD поисковый индекс Windows очищается при выходе пользователя и его нужно генерировать заново в следующий раз. В FSLogix можно сохранять индекс в перемещаемом профиле;
• Обеспечивает доступность файлов кэша Outlook (OST, Outlook Cached Mode), индекса ( поиска ) Outlook, кэша и данных MS Teams и т.д.
• Перемещаемые FSLogix профили можно исопльзовать даже на отдельностоящих хостах RDSH .

Решение FSLogix бесплатно для использования в on-premises развертываниях RDS, при условии, что у вас приобретены RDS CAL и установлены на сервере лицензирования RDS .

Установка и настройка FSLogix для профилей пользователей на Windows Server 2019 RDS

Рассмотрим, как установить и настроить FSLogix для терминальной RDS фермы на базе Windows Server 2019 .

1. Скачайте FSLogix по этой ссылке ( https://aka.ms/fslogix/download , около 180 Мб). Доступ к утилите свободный;
2. Распакуйте архив и установите агент FSLogic FSLogix_Appsx64Release FSLogixAppsSetup.exe на RDSH сервера;
3. Затем скопируйте файлы административных политик FSLogix в центральное хранилище административных шаблонов GPO на контроллере домена ( fslogix.admx в PolicyDefinitions, и fslogix.adml в PolicyDefinitionsen-US).
   Подробнее про установку и обновление ADMX шаблонов GPO .

Создайте на файловом сервере сетевую папку, в которой будут хранится контейнеры с профилями пользователей FSLogic. Например, \msk-fsShareProfiles .

Задайте следующие NTFS права доступа на сетевую папку:

Теперь вы можете создать GPO для настройки параметров FSLogix для RDS серверов.

Откройте консоль управления доменными GPO ( gpmc.msc ), создайте новую политику и назначьте ее на OU с вашими RDSH серверами. Разверните Computer Configuration -> Policies -> Administrative Templates -> FSLogix. Настройте следующие параметры GPO:

• Profile Containers -> Enabled – включить профили FSLogix;
• Profile Containers -> VHD Location – указать UNC путь к каталогу профилей (\msk-fsShareProfiles);
• Profile Containers -> Delete local profile when FSLogix Profile should apply – удалить локальный профиль при использовании FSLogix;
• Profile Containers -> Size in MB – максимальный размер файла профиля, по умолчанию 30000 (30 Гб);
• Profile Containers -> Dynamic VHD(X) allocation = Enabled. Если не включить эту политику, то VHD/VHDX диски профилей пользователей сразу создаются максимального размера;
• Profile Containers -> Advanced -> Prevent login with temporary profile – не создавать временные профили пользователей;
• Profile Containers -> Advanced -> Prevent login with failure – запретить вход при неполадках FSLogix;
• Profile Containers -> Advanced -> Locked VHD retry count = 3, указать количество попыток VHD(X) файл, если он заблокирован другим процессом ;
• Profile Containers -> Container and Directory Naming -> Virtual disk type – использовать VHDX тип виртуального диска для профиля вместо стандартного VHD;
• Profile Containers -> Container and Directory Naming -> Swap directory name components – использовать %username%_SID в качестве формата для каталогов профилей пользователей (вместо SID_%username%);
• Profile Containers -> Store search database in profile container = Disabled (не хранить в профиле индексную базу Windows Search);
• Enable logging = All logs enabled — включить логи FSLogix
• Path to logging files – путь к логам FSLogix (\msk-fsShareFSLogixLogs %COMPUTERNAME%);
• Days to keep log files – сколько дней хранить логи (7 дней достаточно).

Перезагрузите Windows Server, чтобы применить новые настройки GPO . Системные настройки профилей FSLogix хранятся в следующей ветке реестра HKLMSOFTWAREFSLogixProfiles.

Теперь при входе RDP пользователя на экране должно появляться уведомление:

Please wait for the FSLogix Apps Services

После входа вы можете запустить консоль управления дисками ( Disk Management ) и убедиться, что FSLogix профиль пользователя смонтирован как VHDX диск. В указанном сетевом каталоге при этом появился новый каталог для профиля пользователя.

В каталоге C:Program FilesFSLogixApp s есть несколько дополнительных утилит для администратора:

• frxtray.exe – утилита, отображающая окно FSLogix в системном трее и позволяющая проверить, что пользователь вошел с профилем FSlogix;
• ConfigurationTool.exe – утилита для настройки профилей FSLogix.

Расширенная настройка профилей FSLogix на Windows Server RDS

При установке агента FSLogixAppsSetup на сервере, в списке локальных групп появляются несколько дополнительных групп. Вы можете вывести этот список с помощью командлета Get-LocalGroup :

Get-LocalGroup -Name "*fslo*"

• FSLogix ODFC Exclude List — Members of this group are on the exclude list for Outlook Data Folder Containers
• FSLogix ODFC Include List — Members of this group are on the include list for Outlook Data Folder Containers
• FSLogix Profile Exclude List — Members of this group are on the exclude list for dynamic profiles
• FSLogix Profile Include List — Members of this group are on the include list for dynamic profiles

Эти группы позволяют указать пользователей или группы, для которых нужно включить или отключить создание профилей FSLogix.

По умолчанию перемещаемые профили создаются для всех пользователей. Чтобы иметь возможность локального входа на сервер для группы администраторов при неполадках FSLogix, нужно добавить группу администраторов в локальную группу FSLogix Profile Exclude List .

Проще всего это сделать с помощью групповой политики Restricted Group (Computer Configuration -> Windows Settings -> Security Settings -> Restricted Groups -> Add Group -> FSLogix Profile Exclude List) или Group Policy Preferences (Computer Configuration –> Preferences –> Control Panel Settings –> Local Users and Group –> New -> Local Group -> FSLogix Profile Exclude List).

Чтобы исключить определенные каталоги из перемещаемого профиля FSLogix, вы можете использовать файл redirection.xml . Каталоги из этого файла перенаправляются в локальные папки на диске сервера.

Путь к этому XML файлу с настройками задается в параметре GPO FSLogix -> Profile Containers -> Advanced -> Provide RedirXML file to customize redirections . Можно исключить Temp папки, каталоги кеша IE, Chrome и т.д.

Пример такого файла указан ниже:

<?xml version="1.0"?>_x000D_<FrxProfileFolderRedirection ExcludeCommonFolders="0">_x000D_<Excludes>_x000D_<Exclude Copy="0">AppDataLocalLow</Exclude>_x000D_<Exclude Copy="0">AppDataLocalPackages</Exclude>_x000D_<Exclude Copy="0">AppDataLocalMicrosoftWindowsTemporary Internet Files</Exclude>_x000D_<Exclude Copy="0">AppDataLocalMicrosoftWindowsExplorer</Exclude>_x000D_<Exclude Copy="0">AppDataLocalMicrosoftWindowsWebCache</Exclude>_x000D_<Exclude Copy="0">AppDataLocalTemp</Exclude>_x000D_<Exclude Copy="0">AppDataLocalDiagnostics</Exclude>_x000D_<Exclude Copy="0">AppDataLocalComms</Exclude>_x000D_<Exclude Copy="0">AppDataLocalGoogleChromeUser DataDefaultCache</Exclude>_x000D_</Excludes>_x000D_</FrxProfileFolderRedirection>_x000D_

Проанализируйте профили пользователей и установленные программы и добавьте в файл новые исключения.

Добавьте исполняемые файлы FSLogix в исключения вашего антивируса (frxdrv.sys, frxdrvvt.sys, frxccd.sys, frxccd.exe, frxccds.exe, frxsvc.exe).