Зачем нужны перемещаемые профили пользователям windows терминалов

В прошлый раз мы развернули отказоустойчивую ферму RD Connection Broker с участием трёх серверов RD Session Host. В этой заметке будет описана часть процесса настройки серверов фермы, в частности, в части настройки пользовательской среды – включение механизмов перемещаемых профилей (Roaming User Profiles) и перенаправления папок пользователей (Folder Redirection).

Для управления параметрами настройки пользовательских профилей воспользуемся групповыми политиками. Создадим объект доменной групповой политики (GPO), который будет настраивать все сервера RD Session Host (RDSH) в нашей ферме RD Connection Broker

Создаём объект групповой политики

В нашем примере GPO будет называться KOM-AD01-OU-CU-SA-RDCB-Farm-Policy и будет прилинкован к контейнеру в домене (OU), в котором расположены только учетные записи серверов RDSH входящих в нашу ферму.
 

Для начала в GPO включим режим обработки «замыкания на себя» в режим замены.

Computer Configuration/Policies/Administrative Templates/System/Group Policy

Политика: User Group Policy loopback processing mode
Значение: Enabled
Режим: Replace

Такая настройка позволит сделать так, чтобы при обработке GPO, при входе пользователя на сервера фермы, применялись настройки пользовательского окружения исключительно из этой политики и игнорировались любые другие пользовательские настройки из других доменных политик. Это нам нужно для того, чтобы свести к минимуму возможные конфликты одних и тех же пользовательских настроек имеющихся в разных GPO с целью сделать процесс управления пользовательской средой на серверах фермы максимально жёстким и предсказуемым.

Практика показывает, что можно совмещать настройки нескольких политик с включённым режимом замыкания, главное не забыть про порядок применения этих политик. Это может быть полезно если у вас несколько ферм, каждая из которых имеет уникальные настройки, а основная масса настроек является одинаковой для всех ферм. Вот пример линковки политик для такой конфигурации:

Далее мы рассмотрим несколько параметров групповых политик, которые нам нужно будет использовать для настройки работы механизмов перемещаемых профилей и перенаправления папок, а также нескольких связанных с этим параметров. 

Включаем перемещаемые профили

В созданной групповой политике, прежде всего включаем параметр добавляющий группу администраторов к параметрам безопасности для создаваемых папок перемещаемых профилей пользователей (Roaming User Profiles).

Computer Configuration/Policies/Administrative Templates/System/User Profiles

Политика: Add the Administrators security group to roaming user profiles
Значение: Enabled

Этот параметр обеспечивает администратору полный контроль над всеми папками профилей пользователей и его нужно установить на первоначальном этапе конфигурирования фермы, так как он применяется лишь при создании новых пользовательских профилей.

Следующим в GPO включаем параметр указывающий месторасположение сетевого каталога для хранения перемещаемых профилей пользователей

Computer Configuration/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Profiles

Политика: Set path for Remote Desktop Services Roaming User Profile
Значение: Enabled
Путь: \holding.comServicesRDS_Profiles

Обратите внимание на то, что в нашем случае для указания пути используется линк в доменном пространстве имён DFS, хотя может быть и указан сетевой каталог непосредственно на каком-то файловом сервере. В нашем примере, соответствующий линк в DFS holding.comServicesRDS_Profiles ссылается на физический сетевой каталог FileServer01RDS_Profiles$. Рассмотрим подробней настройку этого каталога.

Сетевой каталог, в котором будут создаваться и храниться перемещаемые профили, должен быть расположен на файловой системе NTFS и иметь определённый запас свободного места. Строя отказоустойчивое решение фермы RDS весьма желательно не делать сетевой каталог перемещаемых профилей узким местом (точкой отказа) и при возможности подумать о размещении данного ресурса в высокодоступной кластеризованной среде.

Для каталога зададим разрешения безопасности рекомендованные в статье Windows Server TechCenter- Security Recommendations for Roaming User Profiles Shared Folders

NTFS разрешения на каталог:

Пользователь или Группа безопасности	Область применения прав	Уровень разрешений
SYSTEM	This Folder, Subfolders and Files	Full Control
Administrators	This Folder, Subfolders and Files	Full Control
CREATOR OWNER	Subfolders and Files Only	Full Control
KOM-AD01-RDSCL-AllUsers	This Folder Only	List Folder/Read Data Create Folders/Append Data

В нашем примере KOM-AD01-RDSCL-AllUsers это имя доменной группы безопасности, объединяющей пользователей которые имеют доступ к ресурсам фермы RDS и которым понадобится данный ресурс для создания и хранения пользовательских профилей. После того как разрешения настроены, можем сделать данный каталог сетевым командой:

NET SHARE RDS_Profiles$=«D:RDS_Profiles» /GRANT:DOMKOM-AD01-RDSCL-AllUsers,FULL /UNLIMITED /CACHE:None

То есть на сетевой каталог даются полные разрешения (уровень SMB) для вышеупомянутой группы доступа. Обратите внимание на то что имя сетевого каталога мы используем со знаком $ (скрытый каталог).

Так как мы открываем на листинг содержимое корневой папки для всех пользователей терминальной фермы, то в качестве дополнительных мер безопасности для созданного сетевого каталога можно включить применение технологии Access-based enumeration (ABE), которая позволит отображать только те папки, к которым пользователь имеет доступ. Сделать это можно через оснастку Share and Storage Management (StorageMgmt.msc) открыв свойства соответствующей сетевой папки на файловом сервере.

В свойствах сетевой папки мы увидим то, что по умолчанию механизм ABE выключен и для того, чтобы задействовать его, вызовем настройку расширенных параметров по кнопке Advanced

В открывшемся окне включим соответствующую опцию — Enable Access-based enumeration

Дополнительно хочу отметить, что перед началом применения механизма перемещаемых профилей стоит прислушаться к рекомендациям описанным в статье Windows Server TechCenter — Recommendations for Roaming User Profiles, в частности:

• Не использовать для хранения профилей дисковые тома с Encrypting File System (EFS), так как эти две технологии несовместимы.
• Не использовать для хранения профилей дисковые тома с включенной компрессией NTFS, так как это может вызвать усиленную фрагментацию данных.
• Очень внимательно подойти к вопросу применения дисковых квот. Недостаток места с процессе сохранения профиля может привести к потере пользовательских данных.
• Не использовать режим автономной работы (Offline Folders) для сетевого каталога хранения профилей.

В случае возникновения проблем в работе перемещаемых профилей, для выявления возможных причин проблемы можно воспользоваться системным журналом Application или включить расширенное протоколирование в файл
%windir%DebugUsermodeUserenv.log
ключом реестра (в случае отсутствия ключа его нужно создать)

Куст реестра: HKEY_LOCAL_MACHINE
Ветка реестра: SoftwareMicrosoftWindowsNTCurrentVersionWinlogon
Ключ: UserEnvDebugLevel REG_DWORD = 0x30002

Ограничение общего размера кэша перемещаемых профилей

Эта политика позволит нам по сути задействовать режим обслуживания кэшированных профилей на каждом из серверов фермы и в случае необходимости удалить устаревшие кэши профилей (не путать с самими перемещаемыми профилями которые хранятся в сетевом каталоге)

Computer Configuration/Policies/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Profiles

Политика: Limit the size of the entire roaming user profile cache
Значение: Enabled  
Интервал мониторинга (в минутах): 1440 
Максимальный размер кэша (в ГБ): 30

Интервал мониторинга определяет, как часто проверяется размер всего кэша перемещаемых профилей на каждом сервере. Когда размер всего кэша перемещаемых профилей пользователей превышает заданный максимальный размер, самые старые (использовавшиеся максимально давно) перемещаемые кэшированные профили пользователей будут удаляться, пока размер всего кэша перемещаемых профилей пользователей не станет меньше заданного максимального размера.

Фоновая выгрузка пользовательского реестра

По умолчанию изменения в перемещаемом профиле пользователя сохраняются только в процессе его выхода из системы. На практике можно встретить ситуацию когда пользовательский сеанс может находиться в активном состоянии длительное время и в этом случае, возможно, будет полезным включение новой политики фонового сохранения данных пользовательского реестра.

Computer Configuration/Policies/Administrative Templates/System/User Profiles

Политика: Background upload of a roaming user profile’s registry file while user is logged on
Значение: Enabled
Метод планирования запуска: Run at set interval
Интервал (часов): 1

При такой настройке данные пользовательского реестра для активных сеансов будут сохраняться в фоновом режиме каждый час.

Включаем перенаправление папок

В процессе работы размер пользовательских профилей может увеличиваться, что в последствии приводит к более длительной процедуре загрузки/выгрузки перемещаемого профиля. Чтобы избежать этой проблемы, наряду с механизмом перемещаемых профилей задействуем механизм перенаправления папок пользователей (Folder Redirection). Механизм перенаправления папок позволяет определённый набор папок профиля не копировать каждый раз при входе и выходе пользователя, а установить в сессии пользователя перенаправление к этим данным, расположенным в сети.

Может возникнуть мысль о том, чтобы совместить расположение перемещаемых профилей с расположением перенаправляемых папок в одном физическом сетевом каталоге. Однако в документе Windows Server TechCenter — Best Practices for User Profiles можно найти рекомендацию разделения этих данных. Также встречаются обсуждения, говорящие о возникающих проблемах при попытке такого совмещения — Windows Server TechCenter Forums — Roaming profile and Folder Redirection

Настройка механизма перенаправления папок возможна через раздел групповой политики User Configuration/Policies/Windows Settings/Folder Redirection и в текущей версии содержит параметры для 13 папок:

Рассмотрим настройку на примере папки Desktop. На закладке Target eсть два основных режима перенаправления – Базовый (Basic) и Расширенный (Advanced). Базовый режим позволяет явным образом указать месторасположение папки в сети и эта настройка будет распространяться на всех пользователей к которым применяется данная политика. Расширенный режим позволяет комбинировать внутри одной политики несколько разных сетевых расположений папки в зависимости от членства пользователя в той или иной доменной группе безопасности. В разных источниках можно встретить рекомендацию использовать Расширенный режим только в крайних случаях, так как в некоторых ситуациях при такой настройке процесс входа пользователей может значительно затягиваться. В нашем примере используется Базовый режим перенаправления – Basic – Redirect everyone’s folder to the same location

В параметрах определяющих расположение папки выберем — Create a folder for each user under the root path, что приведёт к тому, что для каждого пользователя будет автоматически создаваться подкаталог в корневом каталоге указанном в поле Root Path

Обратите внимание на то, что в примере снова используется путь из доменного пространства имён DFS. Эксперименты показали, что если поменять этот путь в политике после того как перемещаемые папки были хоть раз использованы со старым путём – это приводит к неадекватному поведению профиля, которое лечится в последствии полным пересозданием профиля. Поэтому при задании путей в политиках перенаправляемых папок нужно уделить особое внимание вопросу планирования, чтобы постараться свести на нет в будущем возможные изменения указанных путей. А если вы по каким-то причинам не используете DFS, то для абстрагирования от конкретного пути к файловому серверу можно будет обойтись созданием алиаса в DNS (CNAME), который в последствии можно будет при необходимости легко изменить. Возможно кто-то здесь не согласится со мной и сможет в комментариях привести свои доводы о том, что изменение путей к перенаправляемым папкам не приводит к каким-либо проблемам в уже используемых ранее профилях.  

Если на закладке Settings не отключить включенную по умолчанию настройку Grant the user exclusive rights to … то в процессе создания папки на неё не будут предоставлены права группе Администраторов (только создателю-владельцу и системе), что в перспективе может усложнить процесс администрирования этих папок. Учтите, что эту настройку нужно отключать как можно раньше, так как она действует только в процессе создания новых пользовательских папок и к уже созданным ранее папкам не применяется.

Таким образом, можно по аналогии настроить все остальные папки с одним исключением — для папок Pictures, Music, Videos можно установить настройку Follow the Documents folder , которая означает то, что настройки для этих папок будут использоваться те же что установлены для папки Documents 

В ходе тестов выяснилось, что при включении такого режима  папки Pictures, Music, Videos вкладываются в папку Documents и тем самым создают дополнительную путаницу, так как в пользовательском интерфейсе уже есть механизм Библиотек логически разделяющий все эти 4 папки. Поэтому, на мой взгляд, лучше настроить политики для этих папок по аналогии со всеми другими папками, то есть так же, как указано в примере с с папкой Desktop

Теперь поговорим о сетевом каталоге, указываемом в качестве Root Path.
Сетевой каталог, в котором будут создаваться и храниться перенаправляемые пользовательские папки, должен быть расположен на файловой системе NTFS и иметь запас свободного места. По сути, к этому каталогу можно отнести все те же требования, что и к каталогу перемещаемых профилей.

Для каталога зададим разрешения безопасности рекомендованные в статье VirtualizationAdmin.com — Patrick Rouse — How To Configure Folder Redirection

NTFS разрешения на каталог:

Пользователь или Группа безопасности	Область применения прав	Уровень разрешений
SYSTEM	This Folder, Subfolders and Files	Full Control
Administrators	This Folder, Subfolders and Files	Full Control
CREATOR OWNER	Subfolders and Files Only	Full Control
KOM-AD01-RDSCL-AllUsers	This Folder Only	Traverse Folder/Execute File List Folder/Read Data Read Attributes Create Folders/Append Data

В нашем примере KOM-AD01-RDSCL-AllUsers это имя доменной группы безопасности, объединяющей пользователей которые имеют доступ к ресурсам фермы RDS и которым понадобится данный ресурс для создания и хранения перенаправляемых пользовательских папок. После того как разрешения настроены, можем сделать данный каталог сетевым командой:

NET SHARE RDS_RFolders$=«D:RDS_RFolders» /GRANT:DOMKOM-AD01-RDSCL-AllUsers,FULL /UNLIMITED /CACHE:None

То есть на сетевой каталог даются полные разрешения (уровень SMB) для соответствующей группы доступа. Сетевой каталог также скрытый.

Также как и в случае с каталогом перемещаемых профилей, для каталога перенаправления папок логично будет включить применение технологии Access-based enumeration (ABE), которая позволит отображать пользователям только те папки к которым он имеет доступ.

При перенаправлении папок, например Desktop и Start Menu есть особенность. После того как политика начинает действовать и папки начинают работать как перенаправленные, при попытке запуска ярлыков появляется предупреждение безопасности, связанное с тем, что фактически запуск происходит с сетевого ресурса

Чтобы избежать подобных предупреждений, файловый сервер, на котором размещены перенаправленные папки, нужно добавить в список зоны узлов локальной интрасети Internet Explorer – Local intranet в формате file://FileServer01 — для конкретного файлового сервера или, например, file://holding.com — для всего FQDN домена (при этом в политиках перенаправления папок ссылки на файловый ресурс также должны быть представлены в формате FQDN). Как показывает практика, префикс file:// использовать не обязательно.

Для централизованной настройки зоны узлов локальной интрасети Internet Explorer настроим в нашей групповой политике соответствующий параметр:

User Configuration/Policies/Administrative Templates/Windows Components/Internet Explorer/Internet Control Panel/Security Page

Политика: Site to Zone Assignment List
Значение: Enable

Для настройки самого списка узлов нажмём кнопку Show

В открывшемся списке узлов в столбец Value name введём имя файлового сервера или сразу всего домена, а в поле Value поставим 1, что будет означать что эта запись относиться к зоне Local intranet   

После применения данной политики предупреждения безопасности при запуске ярлыков должны исчезнуть.

Далее хочется отметить особенности перенаправления папки AppData(Roaming). При перенаправлении этой папки следует понимать что реально в процессе перенаправления участвует лишь подкаталог AppDataRoaming профиля пользователя, а подкаталоги AppDataLocal и AppDataLocalLow используются как локальные. Для примера можно привести вывод команды SET отображающей значение переменных пользовательского окружения:

На самом деле необходимость перенаправления папки AppData(Roaming) нужно рассматривать индивидуально в каждой конкретной ситуации. Дело в том, что разработчики программного обеспечения, которое возможно будет использоваться в ферме RDS с перемещаемыми профилями и перенаправление папок, далеко не всегда уделяют должное внимание вопросам архитектуры приложения с точки зрения размещения файлов этого приложения. Если приложение вместо того чтобы хранить в AppData(Roaming) пользовательские статические данные больших размеров используют эту папку через чур интенсивно, – в таких ситуациях перенаправление этой папки может отрицательно сказаться на производительность работы такого приложения и создать неоправданную сетевую нагрузку.

Также следует помнить о том, что некоторые приложения имеют собственные возможности изменения своих настроек для оптимизации использования папки AppData, например если вы предоставляете своим пользователям в терминальных сеансах возможность работать с Outlook подключенному к Exchange, то вполне резонно будет отключить режим кэширования в настройках Outlook.

В случае возникновения проблем в работе перенаправления папок, для выявления возможных причин проблемы можно воспользоваться системным журналом Application или включить расширенное протоколирование в файл
%windir%debugusermodefdeploy.log ключом реестра

Куст реестра: HKEY_LOCAL_MACHINE
Ветка реестра: SoftwareMicrosoftWindows NTCurrentVersionDiagnostics
Ключ: FdeployDebugLevel REG_DWORD = 0x0f

Ожидание полной загрузки профиля

В некоторых случаях, например в высокозагруженных средах, может возникать ситуация когда служба профилей в процессе входа пользователя не смогла достаточно быстро загрузить перемещаемый профиль из сетевого расположения, и предупредив пользователя об обнаружении медленного подключения, загружает локальную копию кэшированного профиля. Для того чтобы предотвратить загрузку локальной кэшированной копии и заставить службу профилей дожидаться полной загрузки профиля включим политику:

Computer Configuration/Policies/Administrative Templates/System/User Profiles

Политика: Wait for remote user profile
Значение: Enabled

Ограничение пользователя одним сеансом

Несмотря на то, что пользовательскими сессиями будет управлять RD Connection Broker и в теории он всегда будет перенаправлять пользователя в его существующий сеанс, возможно не будет лишним включение политики ограничения пользователя одним сеансом на каждом сервере:

Computer Configuration/Policies/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Connections

Политика: Restrict Remote Desktop Services users to a single Remote Desktop Services session
Значение: Enabled

Запрет работы с временными профилями

Возможны ситуации когда по каким-то причинам происходит повреждение пользовательского профиля. В конфигурации по умолчанию в случае невозможности загрузки профиля система загружает пользователю временный профиль и оповещает об этом пользователя. На практике были случаи когда пользователь не обращал внимание на данное сообщение и продолжал работу, сохраняя при этом какие-то свои данные в этом временном профиле. При завершении работы этого пользователя временный профиль уничтожался системой вместе с пользовательскими данными. Чтобы избежать подобных ситуаций запретим загрузку временных профилей политикой:

Computer Configuration/Policies/Administrative Templates/System/User Profiles

Политка: Do not log users on with temporary profiles
Значение: Enabled

Подробный вывод статусной информации

Политика подробного вывода статусной информации в процессе загрузки и выгрузки пользовательского профиля для пользователей даст визуальный эффект ускорения процесса загрузки, а для администраторов позволит быстро поверхностно понять на каком этапе могут происходить задержки выполнения

Computer Configuration/Policies/Administrative Templates/System

Политика: Verbose vs normal status message
Значение: Enabled

Это далеко не весь перечень параметров групповых политик, которыми можно гибко настраивать сервера RDSH в ферме RDCB, и их применение может варьироваться в зависимости от требований, предъявляемых к инфраструктуре удалённых рабочих столов в каждом конкретном случае. 

Источники информации:

• MSDN Blogs > Remote Desktop Services (Terminal Services) Team Blog > User Profiles on Windows Server 2008 R2 Remote Desktop Services
• Windows Client TechCenter — Managing Roaming User Data Deployment Guide
• Windows Server TechCenter — How to Configure Folder Redirection
• Group Policy Central — Best Practice: Roaming Profiles and Folder Redirection (a.k.a. User State Virtualization)

Технология Microsoft FSLogix используется для управления профилями пользователей и позволяет заменить перемещаемые профили (Roaming Profiles) и User Profile Disks (UPD) в сценариях RDS, VDI и Windows Virtual Desktop (WVD). Сервис FSLogix позволяет динамически подключать контейнеры с профилями пользователей из сетевых ресурсов. Возможно использование как в on-premises решениях, так и в Azure (в качестве хранилища профилей можно использовать Azure Files). В этой статье мы рассмотрим, как использовать перемещаемые профили пользователей FSLogix вместо User Profile Disks в RDS развертываниях Windows Server 2019/2022.

Для чего нужные контейнеры FSLogix?

Концепция FSLogix похоже на привычную технологию RDS User Profile Disks (UPD), когда профили пользователей хранятся в виде виртуальных VHDX дисков и подключаются по сети при входе пользователя в систему. Однако FSLogix позволяет преодолеть многие недостатки UPD в средах RDS и позволяет:

• Существенно увеличить скорости загрузки профиля по сети, и как следствие уменьшается время входа/выхода в систему для пользователя;
• Оптимизирован для приложений Office 365 (Microsoft 365 for Enterprise);
• Один и тот же профиль можно использовать в разных RDS коллекциях, и фермах RDS VDI и даже физических компьютерах;
• Профиль FSLogix можно подключать сразу в несколько сессий (на чтение);
• В UPD поисковый индекс Windows очищается при выходе пользователя и его нужно генерировать заново в следующий раз. В FSLogix можно сохранять индекс в перемещаемом профиле;
• Обеспечивает доступность файлов кэша Outlook (OST, Outlook Cached Mode), индекса (поиска) Outlook, кэша и данных MS Teams и т.д.
• Перемещаемые FSLogix профили можно исопльзовать даже на отдельностоящих хостах RDSH.

Решение FSLogix бесплатно для использования в on-premises развертываниях RDS, при условии, что у вас приобретены RDS CAL и установлены на сервере лицензирования RDS.

Установка и настройка FSLogix для профилей пользователей на Windows Server 2019 RDS

Рассмотрим, как установить и настроить FSLogix для терминальной RDS фермы на базе Windows Server 2019.

1. Скачайте FSLogix по этой ссылке (https://aka.ms/fslogix/download, около 180 Мб). Доступ к утилите свободный;
2. Распакуйте архив и установите агент FSLogic FSLogix_Appsx64ReleaseFSLogixAppsSetup.exe на RDSH сервера;
3. Затем скопируйте файлы административных политик FSLogix в центральное хранилище административных шаблонов GPO на контроллере домена (fslogix.admx в PolicyDefinitions, и fslogix.adml в PolicyDefinitionsen-US).

Создайте на файловом сервере сетевую папку, в которой будут хранится контейнеры с профилями пользователей FSLogic. Например, \msk-fsShareProfiles.

Задайте следующие NTFS права доступа на сетевую папку:

User Account	Folder	Permissions
Users	This Folder Only	Modify
Creator / Owner	Subfolders and Files Only	Modify

Теперь вы можете создать GPO для настройки параметров FSLogix для RDS серверов.

Откройте консоль управления доменными GPO (
gpmc.msc
), создайте новую политику и назначьте ее на OU с вашими RDSH серверами. Разверните Computer Configuration -> Policies -> Administrative Templates -> FSLogix. Настройте следующие параметры GPO:

• Profile Containers -> Enabled – включить профили FSLogix;
• Profile Containers -> VHD Location – указать UNC путь к каталогу профилей (\msk-fsShareProfiles);
• Profile Containers -> Delete local profile when FSLogix Profile should apply – удалить локальный профиль при использовании FSLogix;
• Profile Containers -> Size in MB – максимальный размер файла профиля, по умолчанию 30000 (30 Гб);
• Profile Containers -> Dynamic VHD(X) allocation = Enabled. Если не включить эту политику, то VHD/VHDX диски профилей пользователей сразу создаются максимального размера;
• Profile Containers -> Advanced -> Prevent login with temporary profile – не создавать временные профили пользователей;
• Profile Containers -> Advanced -> Prevent login with failure – запретить вход при неполадках FSLogix;
• Profile Containers -> Advanced -> Locked VHD retry count = 3, указать количество попыток VHD(X) файл, если он заблокирован другим процессом;
• Profile Containers -> Container and Directory Naming -> Virtual disk type – использовать VHDX тип виртуального диска для профиля вместо стандартного VHD;
• Profile Containers -> Container and Directory Naming -> Swap directory name components – использовать %username%_SID в качестве формата для каталогов профилей пользователей (вместо SID_%username%);
• Profile Containers -> Store search database in profile container = Disabled (не хранить в профиле индексную базу Windows Search);
• Enable logging = All logs enabled — включить логи FSLogix
• Path to logging files – путь к логам FSLogix (\msk-fsShareFSLogixLogs %COMPUTERNAME%);
• Days to keep log files – сколько дней хранить логи (7 дней достаточно).

Перезагрузите Windows Server, чтобы применить новые настройки GPO. Системные настройки профилей FSLogix хранятся в следующей ветке реестра HKLMSOFTWAREFSLogixProfiles.

Теперь при входе RDP пользователя на экране должно появляться уведомление:

Please wait for the FSLogix Apps Services

После входа вы можете запустить консоль управления дисками (Disk Management) и убедиться, что FSLogix профиль пользователя смонтирован как VHDX диск. В указанном сетевом каталоге при этом появился новый каталог для профиля пользователя.

В каталоге
C:Program FilesFSLogixApp
s есть несколько дополнительных утилит для администратора:

Расширенная настройка профилей FSLogix на Windows Server RDS

При установке агента FSLogixAppsSetup на сервере, в списке локальных групп появляются несколько дополнительных групп. Вы можете вывести этот список с помощью командлета Get-LocalGroup:

Get-LocalGroup -Name "*fslo*"

• FSLogix ODFC Exclude List — Members of this group are on the exclude list for Outlook Data Folder Containers
• FSLogix ODFC Include List — Members of this group are on the include list for Outlook Data Folder Containers
• FSLogix Profile Exclude List — Members of this group are on the exclude list for dynamic profiles
• FSLogix Profile Include List — Members of this group are on the include list for dynamic profiles

Эти группы позволяют указать пользователей или группы, для которых нужно включить или отключить создание профилей FSLogix.

По умолчанию перемещаемые профили создаются для всех пользователей. Чтобы иметь возможность локального входа на сервер для группы администраторов при неполадках FSLogix, нужно добавить группу администраторов в локальную группу FSLogix Profile Exclude List.

Проще всего это сделать с помощью групповой политики Restricted Group (Computer Configuration -> Windows Settings -> Security Settings -> Restricted Groups -> Add Group -> FSLogix Profile Exclude List) или Group Policy Preferences (Computer Configuration –> Preferences –> Control Panel Settings –> Local Users and Group –> New -> Local Group -> FSLogix Profile Exclude List).

Более подробно использование GPO для добавления пользователей в локальные группы описано в отдельной статье.

Чтобы исключить определенные каталоги из перемещаемого профиля FSLogix, вы можете использовать файл redirection.xml. Каталоги из этого файла перенаправляются в локальные папки на диске сервера.

Путь к этому XML файлу с настройками задается в параметре GPO FSLogix -> Profile Containers -> Advanced -> Provide RedirXML file to customize redirections. Можно исключить Temp папки, каталоги кеша IE, Chrome и т.д.

Пример такого файла указан ниже:

<?xml version="1.0"?>
<FrxProfileFolderRedirection ExcludeCommonFolders="0">
<Excludes>
<Exclude Copy="0">AppDataLocalLow</Exclude>
<Exclude Copy="0">AppDataLocalPackages</Exclude>
<Exclude Copy="0">AppDataLocalMicrosoftWindowsTemporary Internet Files</Exclude>
<Exclude Copy="0">AppDataLocalMicrosoftWindowsExplorer</Exclude>
<Exclude Copy="0">AppDataLocalMicrosoftWindowsWebCache</Exclude>
<Exclude Copy="0">AppDataLocalTemp</Exclude>
<Exclude Copy="0">AppDataLocalDiagnostics</Exclude>
<Exclude Copy="0">AppDataLocalComms</Exclude>
<Exclude Copy="0">AppDataLocalGoogleChromeUser DataDefaultCache</Exclude>
</Excludes>
</FrxProfileFolderRedirection>

Проанализируйте профили пользователей и установленные программы и добавьте в файл новые исключения.

Добавьте исполняемые файлы FSLogix в исключения вашего антивируса (frxdrv.sys, frxdrvvt.sys, frxccd.sys, frxccd.exe, frxccds.exe, frxsvc.exe).

Ситуация 1. Переносим профили на другой сервер.

Можно сделать через групповые политики и перемещаемые профили, но проще всего перенести ветку реестра:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList

и папки пользователей копированием.

Ситуация 2. Переносим профили на другой диск.

Зачем это надо? Для терминального сервера. За несколько лет размер занятого пространства диска C: (загрузочного раздела) может вырасти до сотен гигабайт и возникнут проблемы с резервным копированием, как это получилось у меня. Расчищая диск C: сразу увидел, что профили занимают больше 100GB. И квоты в общем-то тут не решат ситуацию, если квоты вообще допустимы для данной организации. Если пользователи работают с тонких клиентов и терминальный сервер получается единственным местом для хранения их информации, то объём этой информации будет расти и расти.

Кроме этого перенос профилей логически обоснован — для файлов профилей нужно индексирование поиска и теневые копии, для системных файлов индексирование не нужно, теневые копии.. даже не могу представить в какой ситуации это может быть востребовано. Для папок профилей бекап желателен, для загрузочного раздела — бекап необходим и большой суммарный объём профилей на этом же разделе сильно мешает, как уже говорил выше.

Первый вариант

Если система только-только установлена меняем значение ProfilesDirectory —  «%SystemDrive%Users» на новое расположение, в ветке реестра:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList

профиль Администратора останется на старом месте, новые уже будут созданы по новому пути. Этого вполне достаточно. Однако при таком методе возможны проблемы при обновлении системы в дальнейшем.

Второй вариант

Другой вариант когда система относительно свежая, но уже есть пользователи и программы. В этом случае некоторые программы, например MS Office, прописали абсолютные пути к профилям на диске C:. Тогда лучше переместить все профили скриптом и создать символическую ссылку папки Users на новое месторасположение, загрузившись с установочного диска в командную строку:

robocopy C:Users D:Users /E /COPYALL /XJ 
rmdir C:Users /S /Q 
mklink /D C:Users D:Users

если в указании пути будет пробел, то нужно заключить путь в кавычки. Можно дополнить ключом перезагрузки:

Shutdown -r -f -t 00

и пойти пить чай.

В реестре при этом менять ничего не надо и в этом большой плюс этого метода — система «думает», что все по прежнему на диске C:/ и корректно работает через символическую ссылку. Проверить можно набив путь к профилю пользователя как C:Users»какой-то пользователь» и откроется он именно как C:Users….., а не как D:Users…. (при переносе на D).

Установка разрешений

После переноса папок профилей для каждой из них нужно обязательно отключить наследование разрешений и поменять разрешения безопасности на следующие:

1. System — Полный доступ;
2. Administrators — Полный доступ;
3. Учётка пользователя — Полный доступ;
4. Больше ничего быть не должно.

Для самой папки Users разрешения следующие:

1. System — Полный доступ;
2. Administrators — Полный доступ;
3. Users — Чтение/Выполнение;
4. Все — Чтение/Выполнение.

То есть для корректной работы системы все разрешения в новом расположении должны соответствовать разрешениям, какие были на диске C:. Это важно.

Если же система довольно старая, профили по несколько гигабайт, пользоваться скриптом не рекомендую, лучше делать руками и не копировать, а перемещать, контролируя начальный размер папки профиля и размер перенесенного. В этом случае, это понятно и очевидно, ссылку для всей папки C:/Users создать нельзя, так как в ней есть открытые файлы нашего текущего профиля. Профили переносятся отдельно. Ссылка создаётся для каждого профиля отдельно. Свой профиль либо можно оставить и не переносить, либо перенести, временно создав второго админа. Создать, залогиниться под ним, перенести свой профиль, создать ссылку, установить разрешения, разлогиниться, зайти под собой, убить второго админа.

Одно замечание — при создании символических ссылок сразу проверяйте их работоспособность. Особенно когда ссылок создается сразу много.

Решение проблем

Возможные проблемы при копировании/переносе заключается в отсутствии доступа к какому-либо файлу:

1. Нет прав на каталог;
2. Блокировка файла процессом;
3. Невозможность удаления файла.

Если нет прав на каталог, тогда нужно стать владельцем контейнера и входящих в него объектов:

затем добавить себе полные права на контейнер и заменить наследуемые разрешения для потомков. После этого можно переносить/удалять.

Если блокировка процессом, тогда рекомендую программу Unlocker — много вирусов под видом этой программы. Попробуйте вот эту версию, должна быть без вирусов.

Невозможность удаления файла проявляется в основном файлами нулевого размера с точкой в конце имени файла. При попытке удаления появляется ошибка:

В этой ситуации отлично помогает Far Manager, находите файл и нажимаете Alt-Del, затем кнопку «Wipe».

Все изложенное опробовано в «боевых условиях» продакшена. Пока «полет нормальный», если возникнет ещё что-то, тогда напишу дополнение.

Дополнение от 14.06.2016

Оказалось, что если диск с символической ссылкой, созданной с ключом /D, открыт как сетевой на другом компьютере, то переход по данной ссылке заканчивается ошибкой: — «Символическая ссылка не может быть загружена, так как её тип отключен». Для устранения данной ошибки ссылку нужно пересоздать с ключом /J (junction).

Дополнение от 15.06.2016

Папка Users на диске C:/ была заменена символической ссылкой на другой диск, при этом в реестре ничего не менялось. Обновление с Windows 2008 до 2008 R2 прошло успешно. Установка заменила символическую ссылку на папку и создала в ней дефолтные профили всех пользователей. После установки удалил данную папку и пересоздал ссылку.

Перенести пользователей с одного сервера windows r2 на другой

Профиль | Отправить PM | Цитировать

Сообщения: 188
Благодарности: 1

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″> » width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 188
Благодарности: 1

ЗЫ: Я месяц назад настраивал новый сервак, то мои 35+ юзеров были пересозданы вручную за час с пом. списка юзеров.» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 557
Благодарности: 10

Я тут сейчас скапитаню, но раз уж у вас серверные ОС, может развернуть роль службы каталогов на той машине, откуда нужно перенести пользователей, локальные пользователи конвертнутся в доменных, потом включить вторую машину в домен и вуаля? »

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 557
Благодарности: 10

Источник

Сайт ARNY.RU

Ситуация 1. Переносим профили на другой сервер.

Можно сделать через групповые политики и перемещаемые профили, но проще всего перенести ветку реестра:

и папки пользователей копированием.

Ситуация 2. Переносим профили на другой диск.

Зачем это надо? Для терминального сервера. За несколько лет размер занятого пространства диска C: (загрузочного раздела) может вырасти до сотен гигабайт и возникнут проблемы с резервным копированием, как это получилось у меня. Расчищая диск C: сразу увидел, что профили занимают больше 100GB. И квоты в общем-то тут не решат ситуацию, если квоты вообще допустимы для данной организации. Если пользователи работают с тонких клиентов и терминальный сервер получается единственным местом для хранения их информации, то объём этой информации будет расти и расти.

Первый вариант

профиль Администратора останется на старом месте, новые уже будут созданы по новому пути. Этого вполне достаточно. Однако при таком методе возможны проблемы при обновлении системы в дальнейшем.

Второй вариант

Другой вариант когда система относительно свежая, но уже есть пользователи и программы. В этом случае некоторые программы, например MS Office, прописали абсолютные пути к профилям на диске C:. Тогда лучше переместить все профили скриптом и создать символическую ссылку папки Users на новое месторасположение, загрузившись с установочного диска в командную строку:

если в указании пути будет пробел, то нужно заключить путь в кавычки. Можно дополнить ключом перезагрузки:

Установка разрешений

После переноса папок профилей для каждой из них нужно обязательно отключить наследование разрешений и поменять разрешения безопасности на следующие:

Для самой папки Users разрешения следующие:

То есть для корректной работы системы все разрешения в новом расположении должны соответствовать разрешениям, какие были на диске C:. Это важно.

Решение проблем

Возможные проблемы при копировании/переносе заключается в отсутствии доступа к какому-либо файлу:

Если нет прав на каталог, тогда нужно стать владельцем контейнера и входящих в него объектов:

затем добавить себе полные права на контейнер и заменить наследуемые разрешения для потомков. После этого можно переносить/удалять.

Невозможность удаления файла проявляется в основном файлами нулевого размера с точкой в конце имени файла. При попытке удаления появляется ошибка:

В этой ситуации отлично помогает Far Manager, находите файл и нажимаете Alt-Del, затем кнопку «Wipe».

Все изложенное опробовано в «боевых условиях» продакшена. Пока «полет нормальный», если возникнет ещё что-то, тогда напишу дополнение.

Дополнение от 14.06.2016

Дополнение от 15.06.2016

Папка Users на диске C:/ была заменена символической ссылкой на другой диск, при этом в реестре ничего не менялось. Обновление с Windows 2008 до 2008 R2 прошло успешно. Установка заменила символическую ссылку на папку и создала в ней дефолтные профили всех пользователей. После установки удалил данную папку и пересоздал ссылку.

Источник

Перенести пользователей с одного сервера windows r2 на другой

Этот форум закрыт. Спасибо за участие!

Лучший отвечающий

Вопрос

Есть рабочий сервер с каторого будем мигрировать,скопировал у сервера папку юзера по пути C:Usersalex копирую всю папку и отправляю её на новый терминальный сервер по тому же пути!

С старого терминального сервера скопирал куст реестра по пути HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList и номер сида юзера,выгрузил со старого,загрузил на новый.

Все логинусь в учетку впервый раз,появляется старый рабочий стол и файлы но вылазят вот такие ошибки

Как можно корректно перенести учетную запись терминального пользователя на новый терминальный сервер с его настройками без вмешательств?

Если с вмешательствами то какие есть еще способы?

Ответы

Если речь идет о простом копировании профиля то нет, при перемещаемом профиле ACL зависит от настроек

безопасности папки на сетевой шаре где будут храниться профили пользователей

Если нужно сохранить ACl, воспользоваться robocopy (это рекомендация вендора)

вам предложили использовать перемещаемый профиль пользователя для сервера терминалов, в данном случае это возможно и дает некую гарантию если сервер умрет то данные пользователей сохранятся на сетевой шаре или дфс. но вам данный вариант не подошел.

Я не волшебник, я только учусь MCTS Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий Мой Блог http://rutechnet.azurewebsites.net

Если нужно сохранить ACl, воспользоваться robocopy

В противном случае, восстановление профиля пользователя нужно будет выполнять при помощи скрипта по следующей схеме

Я не волшебник, я только учусь MCTS Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий Мой Блог http://rutechnet.azurewebsites.net

Все ответы

Цитирую, в кратце что нужно сделать

2) Роль терминального сервера на каждый. И перезагружаем сервера.

3) В доменной учётной записи каждого пользователя терминалов указываем путь где мы хотим хранить его терминальный профиль ( \FSprivatIvanov_iiTerminal )

4) Копировать вручную ничего не нужно. Просто входите под юзером на тот терминал где он уже работал (и имеет настроеный локальный профиль). Переключатель типа профиля уже будет стоять на «Перемещаемый». При выходе с терминала локальный профиль будет скопирован автоматически по указанному пути.

5) Можно подключаться на другие терминалы. При входе на любой терминал будет использоваться уже перемещаемый профиль.

Источник

Как правильно перенести профили в Windows Server 2008 R2

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Перемещаемые профили в Windows Server 2012R2
Добрый день, ребята. У меня вопрос по Windows Server 2012 R2. Пытаюсь разобраться с перемещаемыми.

Обновление Windows Server 2008 на Windows Server 2012 без каких-либо потерь конфигурации сервера
Добрый день товарищи! Подскажите можно ли как нибудь обновиться до версии 2012 без каких либо.

если настройки путей будут совпадать, в чем проблема ctrl+c ctrl+v

Если нужно сохранить ACl, воспользоваться robocopy

Добавлено через 2 минуты
Я делал так, создавал группу например Terminal 1C, добавлял ее в Удаленных пользователей в свойствах системы, а в АД уже раскидывал нужную группу, нужным людям.

и что? ну а на новый сервер прав у него значит нет. вы сами попробуйте, комбинаторика

Все это делать надо на новом сервере и проверять!

удалите скопированый профиль зайдите под пользователем, сможет он зайти? ( создасцо дефолтный профиль. если не указан иной путь в свойствах учетки в АД )

Если да? значит была проблема в правах на профиль скопированный

Если нет? все то, что я и сказал, проблема в том, что ОН НЕ ИМЕЕТ ПРАВ НА УДАЛЕННЫЙ СЕАНС НА НОВОМ СЕРВЕРЕ! во вкладке удаленный доступ.

Все, пардон. Не добавил группу пользователей домена для удаленного подкл. Вы были правы. Сейчас заново попробую!

Добавлено через 1 час 10 минут
Не хочет воспринимать профили пользователей простым копированием. Создает папку с именем пользователя и дописывает через точку имя домена.

После того как скопировали профиль, выставите в свойствах безопасности доступно всем, проверьте подгрзут эту папку? могло случится так, что у пользователя элементарно, не прав на свой профиль. в логах такое бы отобразилось.

Есть 2 сервера на Windows Server 2008 R2 x86 и x64

Спасибо вам за помощь. Все получилось. Перенес профили и они заработали!

Добавлено через 16 часов 32 минуты
Может быть кому надо будет.
1. Скопировал все профили из папки Users
2. Перенести ветку реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList Для каждого профиля, который хранится локально, внутри этого раздела реестра создается подраздел. Узнать где чей профиль достаточно просто откройте любую ветку и посмотрите значение параметра ProfileImagePath.
С которого переносите реестра, делаете Экспортировать прям всю папку ProfileList (если конечно все нужны профили) и кидаете на тот сервак где хотите её вмонтировать, далее открываете и вносятся изменения в реестр. Готово.

Добавлено через 1 минуту

Спасибо вам за помощь. Все получилось. Перенес профили и они заработали!

Добавлено через 16 часов 32 минуты
Может быть кому надо будет.
1. Скопировал все профили из папки Users
2. Перенести ветку реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList Для каждого профиля, который хранится локально, внутри этого раздела реестра создается подраздел. Узнать где чей профиль достаточно просто откройте любую ветку и посмотрите значение параметра ProfileImagePath.
С которого переносите реестра, делаете Экспортировать прям всю папку ProfileList (если конечно все нужны профили) и кидаете на тот сервак где хотите её вмонтировать, далее открываете и вносятся изменения в реестр. Готово.

Источник

Windows: Перенос пользователей на другой сервер

Потребовалось ввести в строй новый сервер терминалов в замен уставшего (по аппаратной части) Windows сервера.
На старом сервере был организован доступ по RDP протоколу к удаленным рабочим столам.
Профили пользователей не перемещаемые, хранились на нем же.
Соответственно появилась задача перенести учетные записи и профили пользователей на новый сервер в очень короткое время.
Да этого для разовых миграций я использовал неплохую утилиту Transwiz, в основном для переноса профиля с Windows 7 на Windows 10.
Однако перекидывать десятки пользователей с ее помощью я не стал.
Более того я был уверен, что есть способ быстрее и проще.
Поэтому после удачного переноса учетных записей и профилей пользователей, решил поделиться с вами простым решением.

Нам потребуется:

Перезагружаем исходный сервер в безопасный режим с поддержкой сети.
msconfig—>Boot (Загрузка), устанавливаем галки «Безопасный режим» и «Сеть»

Пример:

С помощью редактора реестра (regedit) экспортируем куст реестра всех профилей:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList]

На старом сервере, так же через msconfig не забудьте отключить «Безопасный режим»

В заключении хочу еще зраз упомянуть утилиту Transwiz, точнее производителя ее.
Дело в том, что помимо этой утилиты у них есть еще хорошая утилита User Profile Wizard.
С помощью которой можно локальную учетную запись перенести в доменную.
Или перенести учетную запись из одного домена в другой.

Источник

Adblock
detector

A перемещаемый профиль пользователя — это концепция синхронизации файлов в семействе Windows NT семейства операционных систем, которая позволяет пользователям с компьютером присоединен к домену Windows для входа в систему на любом компьютере в том же домене и доступа к их документам, а также для согласованного взаимодействия с рабочим столом, например, приложений, запоминающих положение и настройки панели инструментов, или внешний вид рабочего стола остается неизменным, сохраняя при этом все связанные файлы локально, чтобы не зависеть постоянно от быстрого и надежного сетевого подключения к файловому серверу.

Содержание

• 1 Метод работы
• 2 Ограничения
  • 2.1 Производительность
    • 2.1.1 Ссылки WAN
  • 2.2 Размер профиля
  • 2.3 Перегрузка сети
  • 2.4 Неисправные программы не завершаются
  • 2.5 Синхронизация при выходе из системы
  • 2.6 Конфликт доступа
  • 2.7 Совместимость
• 3 Перенаправление папок
  • 3.1 Предостережения
• 4 Обязательные профили
  • 4.1 Перенаправление папок с обязательными профилями
• 5 Методы настройки
  • 5.1 Active Direct ory
  • 5.2 Windows 95, 98 или Me
  • 5.3 Novell eDirectory / Netware
  • 5.4 Windows 3.x
• 6 Сброс профиля
• 7 Преимущества
• 8 Недостатки
  • 8.1 Перенаправленная папка совместное использование
• 9 Альтернативы
• 10 См. также
• 11 Ссылки
• 12 Внешние ссылки

Метод работы

Все операционные системы Windows, начиная с Windows NT 3.1, являются разработан для поддержки перемещаемых профилей. Обычно автономный компьютер хранит документы пользователя, элементы рабочего стола, настройки приложений и внешний вид рабочего стола на локальном компьютере в двух разделенных частях, состоящих из части, которая может перемещаться, и дополнительной временной части, содержащей такие элементы, как кэш веб-браузера. Реестр Windows аналогичным образом разделен для поддержки роуминга; есть кусты System и Local Machine, которые остаются на локальном компьютере, а также отдельный куст User (HKEY CURRENT USER), предназначенный для перемещения с помощью профиля пользователя.

Когда создается перемещающийся пользователь, информация профиля пользователя вместо этого сохраняется на централизованном файловом сервере, доступном с любого подключенного к сети настольного компьютера. Запрос на вход на локальный компьютер проверяет, существует ли пользователь в домене, а не на локальном компьютере; на локальном компьютере уже существующая учетная запись не требуется. Если вход в домен успешен, перемещаемый профиль копируется с центрального файлового сервера на настольный компьютер, и для пользователя создается локальная учетная запись.

Когда пользователь выходит из системы с настольного компьютера, перемещаемый профиль пользователя объединяется с локального компьютера обратно на центральный файловый сервер, не включая временные элементы локального профиля. Поскольку это слияние, а не перемещение / удаление, информация профиля пользователя остается на локальном компьютере в дополнение к слиянию с сетью.

Когда пользователь входит в систему на втором настольном компьютере, этот процесс повторяется, объединяя перемещаемый профиль с сервера на второй настольный компьютер, а затем снова сливаясь с рабочего стола на сервер, когда пользователь выходит из системы.

Когда пользователь возвращается к первому настольному компьютеру и входит в систему, перемещаемый профиль объединяется с информацией предыдущего профиля, заменяя его. Если кэширование профиля включено, сервер может объединять только самые новые файлы с локальным компьютером, повторно используя существующие локальные файлы, которые не изменились с момента последнего входа в систему, и тем самым ускоряет процесс входа в систему.

Ограничения

Производительность

перемещаемый профиль, которому несколько лет, может содержать десятки тысяч файлов cookie, которые делают вход в сеть и выход из нее чрезвычайно медленными и способствуют фрагментации файловой системы.

Из-за копирования профиля при входе в систему и выходе из системы перемещаемый профиль, настроенный с использованием конфигурации по умолчанию, может быть чрезвычайно медленным и тратить много времени на пользователей с большими объемами данных в своей учетной записи.

Когда Microsoft спроектировал Internet Explorer, программисты приняли явное решение хранить файлы cookie и избранное в виде небольших отдельных файлов размером менее килобайта каждый, а не хранить эти данные. как единый большой консолидированный файл. Microsoft также хранит файлы ярлыков в папке недавнего профиля, ссылаясь на недавно открытые файлы и папки.

Файловые серверы обычно передают только большие файлы размером в несколько мегабайт с максимально возможной скоростью сети. Сотни очень маленьких файлов, всего по килобайту на файл, могут снизить производительность сети на 90%. По мере того как профиль стареет и накапливает от сотен до тысяч файлов cookie, избранного и недавних элементов, время входа в систему и выхода из системы становится все медленнее, даже если эти файлы занимают лишь несколько мегабайт данных профиля.

Локальное кэширование профиля пользователя на жестком диске настольного компьютера может сократить и улучшить время входа в систему и выхода из системы, но при этом за счет загромождения жесткого диска данными профиля от каждого кэшированного пользователя, который входит в систему. Локальное кеширование больше подходит, когда люди обычно используют один и тот же компьютер каждый день. Кэширование локальных профилей бесполезно там, где от сотен до тысяч студентов должны иметь возможность использовать любой компьютер в школе или университетском городке — совокупные кэшированные данные из такого множества различных профилей могут занять все доступное дисковое пространство лабораторного компьютера.

Ссылки WAN

Пользователи с перемещаемым профилем могут столкнуться с серьезными задержками входа в систему при входе в систему через WAN. При подключении к домену с удаленного сайта после аутентификации Windows попытается извлечь профиль пользователя из местоположения, указанного в Active Directory. Если местоположение находится через канал WAN, это потенциально может замедлить работу WAN до обхода и вызвать сбой входа в систему (после очень длительной задержки).

Пользователи с перемещаемым профилем, работающие с удаленного сайта, должны войти в систему перед подключением к сети (чтобы машина использовала свою кэшированную локальную копию) и подключиться к сети после завершения входа в систему. Другой вариант — удалить путь перемещаемого профиля из Active Directory перед их отъездом. Это должно быть сделано достаточно быстро, чтобы изменение было реплицировано на соответствующий контроллер домена на удаленном сайте.

Размер профиля

Работа с большими файлами, например редактирование необработанных видео, может привести к чрезмерному времени входа и выхода, поскольку Windows скопирует файлы из перемещаемого профиля в компьютер при входе в систему и обратно на сервер при выходе из системы.

В средах, где большие файлы не являются критически важными и не обязательно должны быть скопированы на сервер для каждого входа в систему, вместо этого обычно запускаются приложения, требующие слишком больших объемов пользовательских данных. в автономной локальной учетной записи, которая не перемещается, чтобы обойти эти проблемы с сетевым хранилищем и поиском.

Пример стороннего программного обеспечения (Sun Microsystems Java ), хранящего временные файлы и обновления программного обеспечения в перемещаемом профиле. Раздутый перемещаемый профиль увеличивает время входа и выхода. Показанные сохраненные обновления не нужны после установки, но они не удаляются.

Перегрузка сети

В школьной среде роуминг может привести к серьезной перегрузке сети и замедлению работы, когда весь класс учеников отключает компьютеры на в то же время, а затем в течение нескольких минут пытаются войти в систему в другом месте. Несогласованность в данных учетной записи может возникнуть, если студенты начнут входить во второе место до завершения загрузки профиля и выходят из системы из первого места.

Некорректно работающие программы не завершаются

Некоторые программы, установленные на настольных компьютерах, не освобождают должным образом контроль над реестром пользователей во время выхода из системы и могут привести к повреждению профилей, поскольку копирование реестра пользователей никогда не завершается успешно.. Чтобы справиться с этим, Microsoft создала служебную программу, известную как User Profile Hive Cleanup Service, которая принудительно переназначает дескрипторы файлов для этих некорректно функционирующих программ, чтобы копирование профиля могло успешно завершиться и выйти из учетной записи. Однако зависшая программа может оставаться на локальном компьютере, по-прежнему удерживая локальную кэшированную копию реестра пользователей в состоянии занятости, пока компьютер не будет перезагружен.

Синхронизация при выходе из системы

Самая последняя версия файла в перемещаемом профиле без перенаправления сохраняется только на локальном компьютере и остается там до тех пор, пока пользователь не выйдет из системы, после чего она передается на сервер. Если выполняется ночное резервное копирование сервера, а пользователь в роуминге не выходит из системы в течение нескольких дней, документы его учетной записи в роуминге не включаются в ночное резервное копирование.

Кроме того, если пользователь в роуминге использует режим ожидания или гибернацию для выключения компьютера на ночь, его профиль по-прежнему не копируется в сеть. Таким образом, возможно, что для документов перемещаемой учетной записи не будет выполняться резервное копирование в течение нескольких дней или недель, и существует вероятность значительной потери данных, если локальный жесткий диск терпит катастрофический сбой в течение этих длительных периодов отсутствия выхода из системы. перемещаемую учетную запись с локального компьютера.

Конфликт доступа

Из-за базового механизма копирования файлов с сервера на рабочий стол при роуминге предполагается, что учетная запись пользователя выполняется одновременно только на одном компьютере. Документы в перемещаемом профиле, скопированные на локальный компьютер, не знают друг друга в сети, и невозможно использовать блокировку файла, чтобы предупредить пользователя о том, что файл уже открыт.

Вход на несколько компьютеров с одной учетной записью и открытие одного и того же документа несколько раз на каждом компьютере может привести к несогласованности и потере сохраненных изменений, если файл изменяется на двух разных компьютерах одновременно:

• Когда первый компьютер с измененным документом выходит из системы, изменения записываются в сетевую копию профиля.
• Когда второй компьютер выходит из системы, другая версия документа перезаписывает ранее сохраненные изменения во время выхода из профиля.

Совместимость

В разных версиях Windows могут использоваться разные несовместимые макеты профилей пользователей. Таким образом, пользователю, который перемещается между компьютерами с разными операционными системами, необходимы отдельные перемещаемые профили для каждой операционной системы. Windows Vista и Windows 7 добавляют суффикс «.v2» к папке профиля пользователя, чтобы изолировать его от профилей пользователей Windows XP и более ранних версий. Даже в этом случае Microsoft TechNet советует пользователям не перемещаться между компьютерами под управлением Windows Vista / Windows Server 2008 и Windows 7 / Windows Server 2008 R2. Профили пользователей в Windows 8 / Windows Server 2012 и Windows 8.1 / Windows Server 2012 R2 также не полностью обратно совместимы, хотя изначально они также использовали суффикс «.v2». Позднее Microsoft выпустила исправление и инструкции, позволяющие этим операционным системам добавлять суффиксы «.v3» и «.v4» соответственно, отделяя их от доступа между ОС.

Перенаправление папок

Для решения этих проблем с копированием профиля можно переопределить операцию роуминга по умолчанию и настроить учетные записи пользователей таким образом, чтобы локальный компьютер имел доступ к определенным частям профиля непосредственно на центральном файловом сервере, а не копировал сначала на локальный компьютер. Если сервер выходит из строя, пользователи по-прежнему могут получить доступ к некоторым файлам с помощью Усовершенствования автономных файлов.

Для конечного пользователя перенаправление папок, как правило, не работает иначе, чем при использовании обычного автономного компьютера. Перенаправление «Мои документы» и «Рабочий стол» пользователя для прямого доступа к файловому серверу — это первые два важных шага для ускорения перемещаемых профилей. Однако, поскольку стороннее программное обеспечение начало хранить все больше и больше данных в разделе «Данные приложения» перемещаемого профиля, стало также полезно перенаправить их, чтобы к ним также можно было получить доступ непосредственно на сервере.

Может возникнуть вопрос, почему нельзя получить доступ ко всему перемещаемому профилю непосредственно на сервере, и не нужно вообще никакого копирования. Причина этого заключается в том, что определенные программы Microsoft, постоянно работающие на клиентском компьютере, не могут терпеть внезапную потерю своих папок данных, если сервер выходит из строя или сеть отключена. Некоторые части все равно необходимо копировать взад и вперед, прежде чем появится рабочий стол, чтобы эти папки были доступны, если папки, перенаправленные по сети, выйдут из строя.

Предостережения

Некоторые программы не работают должным образом с перенаправленными папками профиля, которые ссылаются на путь к файлу UNC на общем сервере: \ server share username Application Data

• Команда Windows Приглашение не может иметь рабочий каталог UNC, поэтому пакетные файлы обычно не работают.
• Невозможно установить надстройки Microsoft Office VSTO на UNC-путь. (AppData может быть естественным местом для пользователей, которые могут устанавливать надстройки без прав администратора.)
• Adobe Reader несовместим с данными приложения, расположенными на пути к файлу UNC, по крайней мере, начиная с версии 9.0, что приводило к сбою с ошибкой выполнения. Adobe Reader X (10.0) частично совместим, но не работает в режиме защиты документов по пути UNC.
• OpenOffice.org 3.3 также несовместим с данными приложения по пути UNC, и программное обеспечение дает сбой при запуске. Было разработано исправление, которое будет доступно в следующем выпуске.
• AutoCAD 2013 не поддерживает перемещаемые профили и перенаправление.

Эти проблемы с UNC-путями обычно можно устранить с помощью перенаправление папок на сопоставление дисков для общего ресурса UNC:

• Диск N: (скажем) сопоставлен с \ server share userhomedir
• Перенаправление папки AppDir в домашний каталог пользователя: N: Application Данные

Однако использование сопоставлений дисков обычно не рекомендуется Microsoft, и пути перенаправления только UNC являются предпочтительной реализацией.

• Версии прикладного программного обеспечения на разных машинах, используемых с одним и тем же профилем, возможно, потребуется синхронизировать с установленными одинаковыми опциями, в противном случае файлы конфигурации программного обеспечения могут относиться к динамическим библиотекам или расширениям или другим ресурсам, которые недоступны на другой машине, вызывая сбой системы, ограниченные функции или повреждение конфигурации.
• Установка программного обеспечения под одной учетной записью может привести к тому, что программное обеспечение будет только частично функционировать для других учетных записей из-за недоступности ресурсов для других пользователей в зависимости от их прав доступа к личные папки установщика.

Обязательные профили

Перенаправление папок с обязательными профилями

Перенаправление папок может использоваться с обязательными профилями и полезно в ситуациях, когда желательно «заблокировать» общий вид рабочего стола, но по-прежнему позволяет пользователям сохранять документы в сети. Например, его можно использовать как общую учетную запись для временного использования кем угодно без пароля.

Перенаправление «Мои документы» и «Рабочий стол» в обязательном профиле позволит сохранять документы, но при выходе из системы любые изменения внешнего вида рабочего стола, такие как изображение рабочего стола, файлы cookie Internet Explorer, избранное и открытые недавно открытые документы list возвращаются в исходное состояние.

Перенаправление папок с обязательными профилями осуществляется путем запрета доступа на запись к центральной копии профиля. Когда пользователи выходят из системы, они могут ожидать регулярно получать сообщение об ошибке, что профиль не может быть успешно скопирован обратно на сервер. Пользователь также должен знать, что хранение данных в определенных местах может привести к потере их данных. Например, если рабочий стол сбрасывается каждый раз, когда пользователь входит в систему с рабочим столом обязательного профиля, то, хотя кажется, что сохранять файлы на рабочем столе нормально, когда пользователь выходит из системы, профиль не копируется на сервер, и когда пользователь снова входит в систему, любая работа, сохраненная на рабочем столе, теряется без какого-либо предварительного уведомления, кроме ошибки при выходе из системы, что профиль не может быть скопирован.

Методы установки

Active Directory

Когда пользователь Uвходит в компьютер с Windows C, подключенный к домену, тогда Cпроверит следующие местоположения, чтобы определить, настроен ли у пользователя путь к перемещаемому профилю:

1. «Установить путь для перемещаемого профиля пользователя служб удаленных рабочих столов» групповая политика для C, если вход осуществляется на терминальный сервер
2. , атрибут msTSProfilePath объекта ULDAP, если вход в систему для терминального сервера
3. групповая политика «Установить путь перемещаемого профиля для всех пользователей, выполняющих вход на этот компьютер» для C
4. атрибута profilePath для ULDAP объект

Первый из этих параметров конфигурации, имеющий значение, переопределяет любые последующие. Атрибуты LDAP могут быть установлены администратором домена или кем-либо еще, у кого есть доступ на запись к соответствующему объекту пользователя LDAP в соответствии с его списком управления доступом. Значение, настроенное как путь к профилю, обычно дается как UNC-путь к папке на файловом сервере SMB, и путь обычно содержит переменную «% USERNAME%», чтобы сделать его конкретным. пользователю. Перемещаемый профиль для пользователей Сервер удаленных рабочих столов указывается на вкладке «Профиль служб удаленных рабочих столов».

В Windows 2000 и более поздних версиях графический интерфейс для установки атрибута profilePath доступен в оснастке Active Directory «Пользователи и компьютеры». Windows NT 4.0 и более ранние версии использовали программу User Manager for Domains. Из многих других операционных систем можно получить доступ к таким атрибутам LDAP, например с помощью инструментов командной строки OpenLDAP ldapsearch и ldapmodify (после аутентификации SASL / GSSAPI ).

Когда пользователь входит в компьютер, присоединенный к домену, оболочка Windows проверяет вышеупомянутые атрибуты LDAP и файлы групповой политики, чтобы определить путь к перемещаемому профилю пользователя. Затем он вызывает функцию LoadUserProfile. Microsoft не задокументировала точный алгоритм синхронизации файлов, который реализует эта функция, но он включает сравнение временных меток для каждого файла, найденного как в локальном, так и в перемещаемом профиле, для последующей замены любого старого файла, обнаруженного на компьютере. Когда пользователь выходит из системы, оболочка Windows вызывает UnloadUserProfile, который применяет аналогичный алгоритм синхронизации файлов в противоположном направлении, чтобы позволить изменениям, внесенным в перемещаемый профиль, вернуться в то место, где находится перемещаемый профиль пользователя. хранится. Кроме того, начиная с Windows 7, появилась возможность указать групповую политику «Фоновая загрузка файла реестра перемещаемого профиля пользователя, когда пользователь вошел в систему», чтобы применять этот процесс синхронизации к файлу NTuser.dat через равные промежутки времени (по умолчанию — 12 часов.). Вход в Windows через OpenSSH для Windows не загружает перемещаемый профиль.

Windows 95, 98 или Me

Рабочие станции под управлением Windows 95, 98 или Me также могут иметь перемещаемые профили, однако файлы перемещаемых профилей пользователей в Windows 9x хранятся в домашний каталог пользователей, даже если указано отдельное местоположение для роуминга. Чтобы использовать перемещаемые профили в Windows 9x, на каждой рабочей станции необходимо настроить отдельные параметры профиля для каждого пользователя, который входит на локальную рабочую станцию. Включение параметров отдельного рабочего стола в Windows 9x можно включить в разделе «Пароли» панели управления Windows.

Перемещаемые профили в Windows 95, 98 и Me совместимы друг с другом, поэтому, если в сети используются рабочие станции Windows 95 и Windows 98, один и тот же профиль пользователя может использоваться для каждой рабочей станции. Это также относится к перемещаемым профилям между Windows NT 4.0, Windows 2000, Windows XP, но могут возникнуть некоторые проблемы совместимости из-за различий в каждой версии Windows. Перемещаемые профили в Windows Vista и Windows 7 совместимы друг с другом, но эти версии несовместимы с более ранними версиями Windows. При использовании перемещаемых профилей в Windows Vista или 7 будет создана отдельная папка профиля с расширением.V2. Самое простое решение — установить на всех рабочих станциях одну и ту же версию Windows. (см. раздел «Совместимость»)

Novell eDirectory / Netware

Для работы в роуминге с серверами Novell требуется продукт Novell «ZENworks Desktop Management». должен быть установлен на сервере, и связанный с ним пакет управления рабочей станцией установлен на каждом из клиентских компьютеров. В каталоге создается объект User Package, который включает роуминг, указывает, где хранится перемещаемый профиль, а также хранит все связанные групповые политики для каждой версии Windows, в которую пользователи будут входить. Пользовательский пакет также включает динамического локального пользователя, который работает аналогично Active Directory, позволяя учетной записи, созданной в eDirectory, входить в систему на любом настольном компьютере, даже если локальная учетная запись не существует заранее, и назначает привилегии локальной учетной записи, такие как Пользователь, Опытный пользователь, или администратор для вновь созданной учетной записи локального пользователя. Для Windows NT файлы профиля пользователя хранятся в домашнем каталоге пользователя в подпапке для каждой версии Windows, например, в Windows NT 4.0 папка будет называться «Профиль рабочей станции Windows NT 4.0», а в Windows XP папка будет называться «Профиль рабочей станции Windows NT 5.1»

Пользовательский пакет может быть связан с определенной учетной записью пользователя в каталоге или связан с организационной единицей, которая затем применяется ко всем учетным записям пользователей в этом каталоге. ОУ. Пользовательский пакет также включает дополнительные функции управления рабочим столом ZENworks, такие как удаленный просмотр и удаленное управление настольным компьютером, сетевые принтеры, которые следуют за пользователем с одного рабочего стола на другой, и планирование событий, которые должны запускаться, где бы пользователь ни находился.

Windows 3.x

Хотя Windows 3.x не содержит профилей пользователей, пользователи могли иметь свой собственный персонализированный рабочий стол в бизнес-среде. В Windows 3.x была возможность административной настройки, которую сетевые администраторы могли использовать, набрав setup.exe /, а затем Windows могла быть установлена ​​в общий сетевой ресурс. Затем с каждого локального компьютера запускалась установка Windows для установки нескольких локальных файлов, благодаря чему Windows 3.1 могла работать по сети. Локальные файлы могут быть сохранены в домашнем каталоге пользователя в доменной сети Novell или Windows NT, что позволяет пользователю перемещать его или ее настройки между машинами, локальная машина в этом сценарии не требует жесткого диска и может быть загружена с дискету или сетевую карту.

Сброс профиля

Иногда может потребоваться сброс профиля пользователя, если он поврежден, или для решения проблемы с приложением сброс обычно выполняется системным администратором или службой поддержки. штат сотрудников. Для выполнения сброса затронутому пользователю необходимо выйти из системы, а затем переименовать папку, в которой перемещаемый профиль пользователя хранится на сервере, профиль пользователя также должен быть удален с локальной рабочей станции, в которую пользователь входит, в противном случае пользователь при следующем входе в систему примет локально сохраненный профиль. Когда профиль был очищен с локального компьютера, когда пользователь входит в систему, новый профиль будет сгенерирован с использованием профиля по умолчанию, хранящегося на рабочей станции, когда пользователь выходит из системы, профиль будет скопирован обратно в место, где был перемещен профиль пользователя. хранится.

Преимущества

• Обеспечение административного контроля с использованием обязательных профилей пользователей, которые помогают защитить среду пользователя от повреждения самим пользователем.
• Пользователи могут получить доступ к своим данным в любом месте сеть с большей надежностью
• Более простое резервное копирование, поскольку большая часть данных находится в одном месте на сервере

Недостатки

Каждый раз, когда пользователь входит в рабочую станцию, все файлы и настройки переносятся сеть; в результате процесс входа в систему занимает больше времени, чем если бы пользователь использовал локальный профиль. Это особенно актуально, если профиль имеет большие размеры. Время входа в систему может быть уменьшено, если профиль кэширован, поскольку некоторые файлы могут быть загружены с локальной рабочей станции, и с помощью перенаправления папок для перенаправления папок, которые могут увеличиваться до большого размера, например Мои документы, в сеть. Поделиться.

Однако это ограничение было устранено в Windows Server 2008 Active Directory, разрешив перенаправление папок почти всех папок, которые ранее хранились в профиле пользователя (включая «Моя музыка», «Избранное» и т. Д.) в централизованный и защищенный сетевой ресурс. Это означает, что перемещаемый профиль пользователя можно легко уменьшить до размера менее 20 МБ, что устраняет длительное время входа в систему, которое было в предыдущих версиях AD. При использовании перенаправления папок и автоматического кэширования автономных файлов все файлы и настройки пользователя доступны в автономном режиме и синхронизируются гораздо более эффективно, чем это было возможно ранее, когда компьютер повторно подключается к сети с помощью Удаленное дифференциальное сжатие (RDC).

Другая проблема связана с разным набором приложений, установленных на машинах, приложения хранят информацию в локальных настройках, а некоторые — в реестре, но передается только реестр. Это может нарушить работу приложения в перемещаемом профиле.

Совместное использование перенаправленных папок

Перенаправленные сетевые папки могут отменять разделение между 2000 / XP и Vista / Win7. Например, оба типа профилей могут быть перенаправлены на использование одной папки документов и одной папки рабочего стола, чтобы документы учетной записи пользователя были согласованы между двумя профилями, даже если все остальные параметры учетной записи будут разными.

Перенаправленное совместное использование папок, таких как Данные приложения, может привести к повреждению данных, поскольку Microsoft не предполагала, что это будет совместное использование данных приложений между разными версиями ОС.

Альтернативы

Программы виртуализации пользователей (например, AppSense ) управляют профилями пользователей, настройками и данными, сохраняя их в сети предоставить общий доступ или к облаку.

См. также

• Перенаправление папок

Ссылки

Внешние ссылки

• Библиотека Microsoft MSDN: Справочник по профилям пользователей
• Microsoft TechNet: Windows Справка по продукту Server 2003: рекомендации по использованию профилей пользователей
• Microsoft TechNet: Windows Server 2003: технический документ по эксплуатации: рекомендации по работе с профилями пользователей

Про windows 7 ни чего не скажу, но для xp нужно обязательно вынести папки «моя музыка» и «моё видео» за пределы папки «мои документы». Это делается через групповые политики. Для служебных видео (всякие промо-ролики предприятия, съёмка производственного брака и т.п.) должна быть отдельная сетевая папка. Так же через групповые политики нужно создать папку для личных файлов пользователей. А ярлык этой папки вывести на рабочий стол и в мои документы.
Если музыка и видео попадает в мои документы — уничтожать безжалостно. При таких условиях синхронизация происходит достаточно быстро. При синхронизации по сети передаются только те файлы, которые поменялись.
И обязательный инструктаж. Сначала каждому(!) пользователю нужно показать как это работает на собственном примере. В присутствии пользователя нужно войти на два компьютера со своим логином, показать, что «мои документы» и «рабочий стол» синхронизируется, а папка на диске c:, программы, музыка и видео — нет. Объяснить, что всё, что есть на рабочем столе и в моих документах сохраняется в бэкапах организации на всегда, и что для личных файлов есть своя отдельная папка, и что любую музыку которую они оставят в моих документах они гарантированно потеряют. Ещё нужно объяснить, что если что-то случится с компьютером, то личные данные они потеряют, пусть хранят их дома.

Алгоритм получается такой
1. Вынести «тяжелые» системные папки за пределы пользовательского профиля и создать папку для личных данных.
2. Провести инструктаж, дать 3 дня на то, чтобы разложили файлы по своим местам.
3. Включить перемещаемый профиль
Если пользователь «случайно забыл», то получит долгое включение и выключение компьютера и потеряет «любимые песни Игоря Николаева».

Внедрение лучше выполнять по отделам.

Виртуализация состояния пользователя (User state virtualization) — так теперь в Microsoft называют то, что раньше называлось перемещаемыми профилями (Roaming profiles) и перенаправлением папок (Folder redirection). Если честно, мне больше нравится термин виртуализация аккаунта пользователя или виртуализация учетной записи.

В этой статье я расскажу о том, что это такое и чем может нам помочь эта достаточно старая технология при виртуализации рабочих мест с помощью VMware View.

Идея проста — пользователь может войти со своей учетной записью на любой компьютер в пределах организации или, как минимум, своего отдела и получить свой профиль (рабочий стол, настройки электронной почты и т.п.) в том же самом виде, в каком он был на момент последнего завершения работы. Главные слова в этом всем — «любой компьютер». То есть мы отвязываем пользователя от компьютера. Все пользовательские данных будут храниться на отдельном сервере, с которого будут по мере надобности подгружаться на компьютеры пользователей.

Данный метод дает и пользователям и администраторам массу преимуществ, связанных с резервным копированием данных, уменьшением количества времени, затрачиваемого администраторами на поддержку каждого пользователя, уменьшением времени восстановления в случае сбоя в компьютере пользователя, независимо от того, используем ли мы инфраструктуру VDI или нет.

Теоретически, виртуализация учетной записи может быть целиком и полностью осуществлена с помощью технологии перемещаемых профилей, но поскольку пользователи очень любят хранить у себя на рабочем столе фотографии с корпоратива, профиль пользователя очень скоро становится неимоверно большим (5-7 ГБ — далеко не предел!) и время с момента ввода пароля до загрузки рабочего стола пользователя будет возрастать пропорционально, поскольку перемещаемый профиль начинает загружаться с сервера сразу же как только пользователь авторизовался на сервере.

Когда пользователей три-пять — это не так страшно, а когда таких пользователей станет 200 Вы в полной мере будете ощущать явление под названием boot storm — скачок нагрузки на систему хранения данных сервера с профилями и на сеть, а IT-отдел станет врагом народа номер один.

Для того, чтобы избежать этого была придумана вторая технология — перенаправление пользовательских папок, то есть мы отправляем отделяем настройки от данных и отправляем их на отдельный ресурс (сетевую папку), с которой они будут подгружаться по мере надобности: понятно, рабочий стол будет загружаться сразу, но если фотографии с корпоратива лежат на нем не навалом, а в отдельной папке (что скорее всего так и будет), пользователю подгрузится только название папки, а не ее содержимое. Почувствуйте разницу!

А причем тут VDI?

Казалось бы, причем тут VDI и перемещаемые профили, ведь если используешь VMware View Composer, на клонах появляется отдельный диск под пользовательские данные (Persistent disk), на котором эти самые данные и хранятся.

Как показала практика, в моем случае было удобнее воспользоваться перемещаемыми профилями и отказаться от пользовательских дисков и вот какие доводы в пользу этого.

Как я уже упоминал, у меня больше 200 виртуальных рабочих столов для моих пользователей, которые генерируются по 4 основным спецификациям (золотым образам). Конечно же есть некоторое количество пользователей с выделенными конфигурациями, но это исключение. Спецификации эти не сильно отличаются по производительности, но существенно отличаются по набору программного обеспечения, с которым работают пользователи.

Так вот начали мы внедрение VDI с того, что выдали каждому пользователю по 20 ГБ места на диске под данные. Хоть диски и были «тонкими», то есть на физической системе хранения данных такой диск занимал ровно столько места, сколько на нем было данных, проблема была не в этом.

Мы используем для резервного копирования виртуальных серверов и рабочих столов продукт Veeam Backup, нас он полностью устраивает и скоростью и плотностью и всем остальным. Во-первых, постоянно приходилось следить за вновь созданными виртуальными рабочими столами (а они, напомню, создаются из золотого образа автоматически) и добавлять их в backup job, так еще при восстановлении такого клона из бекапа он переставал быть клоном, а становился отдельной виртуальной машиной, с которой приходилось переносить данные в новый клон, что никак не согласовывалось с природной ленью системного администратора.
К тому же, создание бекапа 200 виртуальных машин на 5 ТБ и создание бекапа одной виртуальной машины на те же 5 ТБ — это две большие разницы по времени. Ситуацию усугубляло появление пользователей, которым оказалось мало выделенных 20 ГБ.

Соломоновым решением оказалось внедрение перемещаемых профилей. Был создан виртуальный сервер с большим диском, на котором теперь хранятся пользовательские данные. Бекап всех данных происходит в 1,5 раза быстрее, чем это было раньше. На VDI теперь не хранится ничего, а пользователям выделяется любой свободный рабочий стол в пределах пула, все пользовательские данные подгружаются по мере надобности.

А как дела с нагрузкой?
Серьезного роста трафика мы не увидели, равно как и роста нагрузки на систему хранения данных, и вот почему.

Во-первых, в серверах мы используем 10-гигабитные сетевые карты, а на виртуальных машинах — адаптеры VMXNET3 (10 Гбит/сек), а трафик между расположенными на одном физическом сервере виртуальными рабочими столами и сервером с профилями вообще не выходит за пределы хоста.

Во-вторых, с точки зрения системы хранения пользовательские данные как были на ней, так и остались, а вот чтение даже ускорилось за счет оптимизации дисковой очереди от виртуальной машины до реальной системы хранения данных.

Кстати, 10-гигабитные физические сетевые адаптеры мы стали использовать совсем недавно — после модернизации кластера, до этого все прекрасно работало на нескольких гигабитных адаптерах в LACP с теми же VMXNET3 адаптерах в виртуальной среде.

В следующих статьях я дам пошаговые инструкции и комментарии по настройке перемещаемых профилей и перенаправления папок.