Designmethodik Ressourcenlayer

Der Ressourcenlayer ist die vierte Ebene der Designmethodik und die letzte, die speziell auf Benutzergruppen abzielt.

Die Benutzerakzeptanz der Lösung hängt von den für den Ressourcenlayer getroffenen Entscheidungen ab. Profile, Druckbetrieb, Anwendungen und das Desktopimage-Design insgesamt spielen eine entscheidende Rolle dafür, wie gut der Desktop auf die in der Bewertungsphase identifizierten Anforderungen der Benutzergruppe ausgelegt ist.

Benutzererfahrung

Die Wahrnehmung ist für eine gutes VDI-Erfahrung extrem wichtig. Die Benutzer erwarten eine ähnliche oder bessere Erfahrung als bei physischen Desktops.

Codecs, Transportprotokolle und Self-Service-Funktionen beeinflussen die Gesamterfahrung. Eine schlechte Grafikqualität, ruckelnde Videos oder eine Anmeldedauer von zwei Minuten werden bei den Benutzern sehr schlecht ankommen. Das geeignete Design für die Benutzererfahrung kann jede Netzwerkherausforderung bewältigen.

Entscheidung: Anzeigeprotokoll

Die Auswahl des richtigen Anzeigeprotokolls bestimmt die Qualität von statischen Bildern, Videos und Text in Benutzersitzungen und die Skalierbarkeit von Einzelserverumgebungen. Es gibt folgende Optionen:

  • Legacy: Optimiert für Windows 7- und Windows 2008R2-Grafikmodule (GDI/GDI+).
  • Desktopgestaltungsumleitung: Verlagert DirectX-Befehle in Windows-Desktopbetriebssystemen auf den Endpunkt, unterstützt jedoch nur VDAs für Windows-Desktopbetriebssysteme. Außerdem ist die Desktopgestaltungsumleitung ab Version 7.15 LTSR veraltet.
  • Framehawk: UDP-basiertes Protokoll, das in Umgebungen mit hoher Latenz und hohem Paketverlust hohe Aktualisierungsraten auf Kosten einer größeren Netzwerkbandbreitennutzung liefert (üblich bei Breitband-WLAN-Verbindungen).
  • H.264: Häufig als “Videocodec” bezeichnet, liefert die höchsten Bildfrequenzen für hochwertige Videos und spart gleichzeitig Netzwerkbandbreite. Es geht auf Kosten der CPU-Verarbeitungszeit und verringert die Skalierbarkeit von Einzelserver-Umgebungen. H.264 ist der bevorzugte Codec, wenn Benutzer überwiegend Multimediaanwendungen verwenden.
  • Thinwire: Basierend auf den ursprünglichen Patenten von Citrix aus den 1990er Jahren, bietet eine ressourcensparende Datenübertragung über Kabel. Verwenden Sie Thinwire für die meisten Anwendungsfälle, da es eine gute Benutzererfahrung mit minimalen Ressourcenkosten bietet. Es gibt zwei Varianten von Thinwire:
    • Legacy: Optimiert für Windows 7- und Windows 2008R2-Grafikmodule (GDI/GDI+).
    • Thinwire+: Optimiert für den Desktopfenster-Manager in Windows 8, Windows 10, Windows 2012 und Windows 2016.
  • Selective H.264 (adaptive Anzeige): Verwendet mehrere H.264 und Thinwire+ gleichzeitig für Teile des Bildschirms.
    • Nicht verwenden: verwendet nur Thinwire+ und nicht H.264. Ideal für Benutzer ohne serverseitige Videowiedergabe oder andere grafisch intensive Anwendungen.
    • Für den gesamten Bildschirm: verwendet nur H.264. Ideal für Benutzer mit intensiver Nutzung serverseitiger Videowiedergabe und von 3D-Grafiken, insbesondere bei geringer Bandbreite.
    • Für aktive Änderungsbereiche: Verwendet H.264 für die Teile des Bildschirms, die sich ständig ändern, während für den Rest Thinwire+ verwendet wird. Dies ist die beste Option für die meisten Benutzer.

Die Auswahl des Codecs wirkt sich nicht nur auf die allgemeine Benutzererfahrung, sondern auch auf die Serverskalierbarkeit aus.

Codec-Auswirkung auf Einzelserverimage

Entscheidung: Transportprotokoll

Es gibt für das HDX-Transportprotokoll drei Möglichkeiten:

  • TCP: Verwendet das Standard-TCP-Transportprotokoll. Es wird häufig für LAN- und WAN-Verbindungen mit niedriger Latenz verwendet, leidet jedoch mit zunehmender Verbindungsentfernung, was die Latenz erhöht und zu mehr Neuübertragungen führt.
  • EDT: das Citrix-eigene, auf UDP basierende Transportprotokoll Enlightened Data Transport. Es ist für Netzwerke mit hoher Latenz und hohen Paketverlusten vorgesehen und wird am häufigsten für WAN-Verbindungen über lange Distanzen verwendet. Es bietet mehr Interaktivität für die Benutzer, ohne die CPU-Auslastung des Servers zu erhöhen, verbraucht aber mehr Netzwerkbandbreite als TCP.
  • Adaptiver Transport: Verwendet TCP und EDT. EDT wird verwendet, es sei denn, das Netzwerk unterstützt EDT nicht, dann wird automatisch zu TCP gewechselt.

In den meisten Umgebungen wird der adaptive Transport standardmäßig verwendet, außer wenn die entsprechenden Firewallports nicht geöffnet sind oder NetScaler Gateway nicht entsprechend konfiguriert ist.

Entscheidung: Anmeldungsoptimierung

Bei jeder Anmeldung eines Benutzer bei einer XenApp und XenDesktop-Sitzung muss der Anmeldevorgang – Sitzungsinitialisierung, Laden des Benutzerprofils, Ausführung von Gruppenrichtlinieneinstellungen, Laufwerkzuordnung, Druckerzuordnung, Ausführung des Anmeldeskripts und Desktopinitialisierung – durchgeführt werden. Jeder Prozess benötigt Zeit und erhöht die Anmeldedauer.

In den meisten Organisationen gibt es viele Zuordnungen und komplexe Anmeldeskripts. Bei jeder Ausführung dieser Elemente erhöht sich die Anmeldedauer drastisch.

Abbildung: Anmeldedauer

Workspace Environment Management entfernt Laufwerkzuordnung, Druckerzuordnung, Anmeldeskripts und servergespeicherte Profile aus dem Standardanmeldeprozess. Bei der Anmeldungsoptimierung wendet Workspace Environment Management die Zuordnungen, Skripts und Profile im Hintergrund an, nachdem die Sitzung und der Desktop initialisiert wurden. Der Benutzer erhält dieselbe Umgebung, die Desktopschnittstelle steht jedoch schneller bereit. Weitere Informationen finden Sie im Video Anmeldungsoptimierung.

In den meisten Umgebungen sollte die Anmeldungsoptimierung als Standardkonfiguration aktiviert werden.

Entscheidung: Self-Service für Benutzer

Self-Service ermöglicht es Benutzern, ihre Umgebung in Eigenregie zu ändern, zu aktualisieren und zu beheben. In den meisten Organisationen müssen die Benutzer ihre Kennwörter alle 60 bis 90 Tage ändern. Wenn Benutzer über mehrere Endpunktgeräte mit gespeicherten Kennwörtern verfügen, kommt es leicht zu einer Kontosperrung, bis jedes Gerät aktualisiert ist.

StoreFront ermöglicht zur Einsparung von Zeit folgende Funktionen für die Benutzer:

  • Kontoentsperrung: Wenn das Konto eines Benutzers aufgrund zu vieler fehlgeschlagener Anmeldeversuche (was bei Benutzern mit mehreren Geräten häufig vorkommt) gesperrt wird, kann er sein Konto freischalten, wenn er die Sicherheitsfragen beantworten kann.
  • Kennwortrücksetzung: Wenn Benutzer ihr neu erstelltes Kennwort vergessen, können sie es zurücksetzen, wenn sie die Sicherheitsfragen beantworten können.

Die Self-Service-Architektur zur Kennwortrücksetzung führt den SSPR-Dienst, den zentralen Speicher und zwei Konten ein:

  • Datenproxykonto: Verantwortlich für den Zugriff auf den zentralen Speicher, der verschlüsselte Antworten auf die Sicherheitsfragen des Benutzers enthält.
  • Self-Service-Konto: Ein Active Directory-Konto mit Berechtigung zur Kennwortrücksetzung und Kontoentsperrung.

Abbildung der SSPR-Architektur

Darüber muss der Administrator für die Rücksetzung von Kennwörtern im Self-Service Sicherheitsfragen erstellen, die die Benutzer beantworten müssen. Idealerweise sind dies Gruppen von Fragen verschiedener Kategorien, wobei die Benutzer dann eine Teilmenge aus jeder Gruppe beantworten müssen. Die Fragen müssen etwas betreffen, das der Benutzer weiß, das sich nicht ändert und das anderen nicht bekannt ist.

Benutzerprofile

Das Profil eines Benutzers spielt eine entscheidende Rolle bei der Bereitstellung einer konstant positiven Erfahrung bei virtuellen Desktops und Anwendungen. Selbst ein gut gestalteter virtueller Desktop kann enttäuschen, wenn die Benutzer sich über eine lange Anmeldedauer oder verlorene Einstellungen ärgern müssen.

Die Benutzerprofillösung muss den Personalisierungsmerkmalen der während der Bewertungsphase erfassten Benutzergruppe und dem ausgewählten VDI-Modell entsprechen.

Entscheidung: Profiltyp

Dieser Abschnitt bietet einen Überblick über die verschiedenen Profiltypen und Informationen zum optimalen Benutzerprofil für jedes VDI-Modell.

  • Lokale Profile: Lokale Profile werden in jedem Serverbetriebssystem oder Desktopbetriebssystem gespeichert und zunächst basierend auf dem Standardbenutzerprofil erstellt. Daher wird durch einen Benutzer, der auf diese Ressourcen zugreift, ein eigenes Profil auf jedem System erstellt. Die Benutzer können Änderungen an ihrem lokalen Profil auf jedem einzelnen System beibehalten, die Änderungen sind jedoch nur für zukünftige Sitzungen zugänglich. Lokale Profile erfordern keine Konfiguration. Wenn ein Benutzer, der sich bei einem Server- oder Desktopbetriebssystem anmeldet, keinen vom Administrator festgelegten Profilpfad hat, wird standardmäßig ein lokales Profil erstellt.
  • Roamingprofile: Roamingprofile werden für jeden Benutzer in einem zentralen Netzwerkrepository gespeichert. Roamingprofile unterscheiden sich von lokalen Profilen dadurch, dass die enthaltenen Informationen (z. B. Drucker, Registrierungseinstellungen oder im Dokumentordner gespeicherte Dateien) für Benutzersitzungen zur Verfügung stehen, auf die von allen Systemen in der Umgebung zugegriffen wird. Zur Konfiguration eines Roamingprofils muss ein Administrator den Profilpfad des Benutzers (für virtuelle Desktops) oder den Terminalserverprofilpfad zu einer bestimmten Netzwerkfreigabe festlegen. Wenn sich der Benutzer zum ersten Mal bei einem Server- oder Desktopbetriebssystem anmeldet, wird sein Standardbenutzerprofil zum Erstellen des Roamingprofils verwendet. Bei der Abmeldung wird das Profil in den vom Administrator angegebenen Netzwerkspeicherort kopiert.
  • Verbindliche Profile: Verbindliche Profile werden normalerweise an einem zentralen Speicherort für viele Benutzer gespeichert. Die Änderungen des Benutzers werden jedoch bei der Abmeldung nicht beibehalten. Um einen Benutzer für ein verbindliches Profil zu konfigurieren, muss ein Administrator eine entsprechende Profildatei (NTUSER.MAN) aus einem vorhandenen Roamingprofil oder lokalen Profil erstellen und Benutzern einen Terminaldienstprofilpfad zuweisen. Dazu kann die Microsoft-Gruppenrichtlinie verwendet werden oder es können die Benutzereigenschaften in Active Directory oder der Citrix Profilverwaltung angepasst werden.

  • Hybridprofile: Hybridprofile sind eine Kombination aus einem robusten Profilkern (ein verbindliches Profil oder ein lokales Standardprofil) und benutzerspezifischen Registrierungsschlüsseln oder Dateien, die während der Anmeldung zusammengeführt werden. Diese Option ermöglicht es Administratoren, genau vorzugeben, welche Änderungen beibehalten werden, und dafür zu sorgen, dass die Benutzerprofile klein bleiben. Außerdem lösen Hybridprofile das Problem der “Last-write-wins”-Schreibkonflikte durch eine ausgereifte Warteschlangentechnik, die simultane Schreibvorgänge, durch die Änderungen in einer anderen Sitzung überschrieben werden könnten, automatisch erkennt und verhindert. Dadurch wird für die Benutzer das Ärgernis verlorener Profiländerungen beim gleichzeitigen Zugriff auf mehrere Server oder virtuelle Desktops minimiert. Darüber hinaus erfassen und speichern solche Profile bei der Abmeldung nur Profiländerungen anstelle des gesamten Profils. Ein gutes Beispiel einer Lösung für Hybridprofile ist die Citrix Profilverwaltung, auf die weiter unten ausführlich eingegangen wird.

In der folgenden Tabelle werden die Merkmale der einzelnen Profiltypen verglichen.

Bedeutung der Angaben:

  • J = besitzt diese Funktionalität.
  • O = optional.
  • J = besitzt diese Funktionalität nicht.
Feature Lokal Roaming Mandatory Hybrid
Zentrale Verwaltung/Roaming mit Benutzer N J o Ja
Benutzereinstellungen dauerhaft gespeichert J J N Ja
Granulare Erfassung der Benutzereinstellungen N N N Ja

Um den optimalen Profiltyp für jede Benutzergruppe auszuwählen, müssen neben dem zugewiesenen VDI-Modell auch die Personalisierungsanforderungen der Benutzer berücksichtigt werden.

Die folgende Tabelle enthält Empfehlungen zur Auswahl des geeigneten Profiltyps basierend auf der VDI-Ressource:

Bedeutung der Angaben:

  • J = empfohlen.
  • X = nicht empfohlen.
  • o = machbar.

Persistenz von Benutzereinstellungen erforderlich (Personalisierungsmerkmal: einfach/vollständig)

Feature Lokal Roaming Mandatory Hybrid
Gehostete Windows-App X J X J
Gehostete Browser-App X J X J
Gehosteter gemeinsam genutzter Desktop X J X J
Gehosteter gepoolter Desktop X J X J
Gehosteter persönlicher Desktop º J X J
Gehosteter Profi-Grafikdesktop º J X J
Lokaler Streamingdesktop X J X J
Lokaler VM-Desktop J º X º
Remote-PC-Zugriff J º X º

Persistenz von Benutzereinstellungen nicht erforderlich oder nicht erwünscht (Personalisierungsmerkmal: keine)

Feature Lokal Roaming Mandatory Hybrid
Gehostete Windows-App X X J X
Gehostete Browser-App X X J X
Gehosteter gemeinsam genutzter Desktop X X J X
Gehosteter gepoolter Desktop J X J X
Gehosteter persönlicher Desktop X X J X
Gehosteter Profi-Grafikdesktop º X J X
Lokaler Streamingdesktop J X J X
Lokaler VM-Desktop º X J X
Remote-PC-Zugriff º X J X

Entscheidung: Ordnerumleitung

Das Umleiten spezieller Ordner kann jeden der beschriebenen Profiltypen ergänzen. Das Umleiten von Profilordnern, etwa Benutzerdokumenten und Favoriten, an eine Netzwerkfreigabe stellt zwar eine gute Methode zur Minimierung der Profilgröße dar, allerdings ist zu bedenken, dass Anwendungen evtl. häufige Lese- und Schreibvorgänge in Profilordnern wie AppData ausführen und dies zu Problemen mit der Auslastung und Reaktionsschnelle der Dateiserver führen kann. Die Profilumleitung muss vor der Implementierung in der Produktion unbedingt gründlich getestet werden, um solche Probleme zu vermeiden. Daher müssen Profillese- und Profilschreibaktivitäten analysiert und vor der Einführung in die Produktion ein Pilotprojekt durchgeführt werden. Microsoft Outlook ist ein Beispiel für eine Anwendung, die regelmäßig Profillesevorgänge ausführt, da die Benutzersignatur bei jedem Erstellen einer E-Mail aus dem Benutzerprofil gelesen wird.

Die folgende Tabelle enthält allgemeine Empfehlungen zur Identifizierung der für eine Umleitung geeigneten Ordner.

Bedeutung der Angaben:

  • J = empfohlen.
  • X = nicht empfohlen.
  • o = machbar.
Ordner Lokal Roaming Mandatory Hybrid
Anwendungsdaten X o X o
Kontakte X J X o
Desktop X J X o
Downloads X o X o
Favoriten o J o J
Verknüpfungen X J X o
Dokumente o J o J
Eigene Musik o J o o
Eigene Bilder o J o o
Eigene Videos o J o o
Gespeicherte Spiele X o X o
Suchen X J X o
Startmenü X X X X

Entscheidung: Ordnerausschluss

Das Ausschließen von Ordnern als Teil eines Roaming- oder Hybridprofils kann dazu beitragen, die Profilgröße und Anmeldedauer zu reduzieren. Standardmäßig werden unter Windows die Ordner AppDataLocal und AppData\LocalLow einschließlich aller Unterordner, wie Verlauf, Temp und Temporäre Internetdateien ausgeschlossen. Darüber hinaus sollten die Ordner Downloads und Gespeicherte Spiele ausgeschlossen werden. Alle Ordner, die umgeleitet werden, sollten von der Profillösung ausgeschlossen werden.

Entscheidung: Profilcaching

Unter Windows erfolgt standardmäßig das lokale Caching von Roaming- oder Hybridbenutzerprofilen auf einem Server oder virtuellen Desktop. Es kann die Anmeldedauer und Dateiserverauslastung bzw. den Netzwerkverkehr reduzieren. Beim Profilcaching muss das System nur die Änderungen am Profil herunterladen. Der Nachteil des Profilcachings besteht darin, dass auf Systemen mit mehreren Benutzern, z. B. auf gehosteten, gemeinsam genutzten Desktops, erhebliche Mengen an lokalem Festplattenspeicher belegt werden können.

Bei bestimmten VDI-Modellen und -Konfigurationen wird die VDI-Ressource auf einen sauberen Zustand zurückgesetzt. Das Löschen lokal zwischengespeicherter Profile bei der Abmeldung ist ein unnötiger Ressourcenverbrauch. Daraus folgt die Empfehlung, Profile im lokalen Cache für die folgenden VDI-Modelle nicht zu löschen:

  • Gehostete persönliche Desktops
  • Gehostete gepoolte Desktops: nur wenn ein Neustart nach der Abmeldung erfolgt.
  • Lokale VM-Desktops
  • Remote-PC-Zugriff

Das Konfigurieren der Citrix Richtlinie “Verzögerung vor dem Löschen von zwischengespeicherten Profilen” legt eine optionale Verlängerung der Verzögerung fest, bevor zwischengespeicherte Profile bei der Abmeldung gelöscht werden. Das Erweitern der Verzögerung ist nützlich, wenn ein Prozess Dateien oder die Registrierungsstruktur während der Abmeldung geöffnet hält. Dies kann auch die Abmeldedauer für große Profile reduzieren.

Entscheidung: Profilberechtigungen

Aus Sicherheitsgründen können Administratoren standardmäßig nicht auf Benutzerprofile zugreifen. Diese Sicherheitsstufe mag in Unternehmen erforderlich sein, die mit sehr sensiblen Daten arbeiten, für die meisten Umgebungen ist sie jedoch unnötig und kann den Betrieb und die Wartung erschweren. Daher sollten Sie eventuell die Richtlinieneinstellung zum Hinzufügen der Sicherheitsgruppe “Administratoren” zu Roamingprofilen aktivieren. Die Konfiguration dieser Richtlinie muss sich nach den Sicherheitsmerkmalen der in der Analysephase identifizierten Benutzergruppen richten. Weitere Informationen zu den Berechtigungen, die für die Dateifreigabe, welche Benutzerprofile und -daten hostet, erforderlich sind, finden Sie auf Microsoft TechNet – Deploying Roaming Profiles.

Entscheidung: Profilpfad

Die Wahl des Netzwerkpfads für Benutzerprofile ist eine der wichtigsten Entscheidungen bei der Benutzerprofilplanung. Im Allgemeinen wird dringend empfohlen, einen redundanten und leistungsstarken Dateiserver oder ein solches NAS-Gerät zu nutzen. Es gibt vier Aspekte, die für die Profilfreigabe berücksichtigt werden müssen:

  • Leistung: Die Leistung des Dateiservers wirkt sich auf die Anmelde- und Abmeldedauer aus und, je nach anderen Entscheidungen rund um Ordnerumleitung und Profilstreaming, auf die Benutzererfahrung innerhalb der Sitzung. Bei großen virtuellen Desktopinfrastrukturen reicht ein einzelner Dateiservercluster in Spitzenzeiten möglicherweise nicht aus. Um die Last auf mehrere Dateiserver verteilen zu können, müssen Dateiserveradresse und -freigabename angepasst werden.
  • Standort: Benutzerprofile werden mithilfe des SMB-Protokolls über das Netzwerk übertragen, was bei hoher Latenz nicht gut funktioniert. Darüber gelten für WAN-Verbindungen in der Regel Bandbreitenbeschränkungen, was dem Profilladeprozess zusätzlich verzögern kann. Daher sollte sich der Dateiserver in unmittelbarer Nähe zu den Servern und virtuellen Desktops befinden, um die Anmeldedauer zu minimieren.
  • Betriebssystemplattformen: Benutzerprofile sind eng in das zugrunde liegende Betriebssystem integriert und die Verwendung eines einzelnen Benutzerprofils für verschiedene Betriebssysteme oder Plattformen (x64 und x86) wird nicht unterstützt.

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel KB2384951 “Sharing 32 and 64-bit User Profiles”. In Windows 2008 und Windows Vista wurde eine neue Benutzerprofilstruktur eingeführt, die am Profilverzeichnissuffix .V2 erkennbar ist. Ältere Benutzerprofile mit daher mit neueren Betriebssystemen wie Windows 2012, 7 und 8 nicht kompatibel. Um sicherzustellen, dass für jede Plattform ein eigenes Profil verwendet wird, muss das Profilverzeichnis angepasst werden.

  • Indexierung: Um die Windows-Suchfunktionalität für die umgeleiteten Daten eines Benutzers in vollem Umfang nutzen zu können, müssen Windows-Dateiserver verwendet werden, die die Benutzerdaten indizieren. Bei Verwendung einer Freigabe auf einem NAS-Gerät ist dies nicht möglich. Dies ist bei Anwendungsfällen wichtig, die stark von der Windows-Suche abhängig sind oder in denen Langsamkeit oder Latenz besonders stark wahrgenommen werden.

Es gibt zwei Methoden zur Bewältigung dieser Herausforderungen, die auf der integrierten Windows-Technologie basieren:

  • Benutzerobjekt: Für jedes Benutzerobjekt in Active Directory kann ein individueller Profilpfad mit dem Namen des Dateiservers und dem Profilverzeichnis angegeben werden. Da pro Benutzerobjekt nur ein Profilpfad angegeben werden kann, kann nicht sichergestellt werden, dass für jede Betriebssystemplattform ein separates Profil geladen wird.
  • Computergruppenrichtlinie oder Systemvariablen: Der Benutzerprofilpfad kann auch mithilfe computerspezifischer Gruppenrichtlinien oder Systemvariablen konfiguriert werden. Dadurch können Administratoren sicherstellen, dass ein Benutzerprofil nur für die jeweilige Plattform verwendet wird. Da computerspezifische Konfigurationen alle Benutzer eines Systems betreffen, werden alle Benutzerprofile auf denselben Dateiserver geschrieben. Um Benutzerprofile für den Lastausgleich auf mehrere Server zu verteilen, müssen XenDesktop-Bereitstellungsgruppen für jeden Dateiserver erstellt werden.

Hinweis: Microsoft unterstützt DFS-N in Kombination mit DFS-R nicht für aktiv verwendete Benutzerprofile.

Weitere Informationen finden Sie in folgenden Microsoft-Artikeln:

Bei der Verwendung der Citrix Profilverwaltung steht eine dritte Option zur Verfügung, um diese Herausforderungen zu bewältigen:

Benutzerobjektattribute und -variablen: Mit der Citrix Profilverwaltung kann der Administrator den Profilpfad mithilfe einer Computergruppenrichtlinie und Attributen des Benutzerobjekts in Active Directory zum dynamischen Angeben des Dateiservers konfigurieren. Hierzu sind drei Schritte erforderlich:

  1. Erstellen eines DNS-Alias (z. B. fileserver1) für den eigentlichen Dateiserver
  2. Ausfüllen eines leeres LDAP-Attributs des Benutzerobjekts (z. B. l oder UID) mit dem DNS-Alias
  3. Konfigurieren der Citrix Profilverwaltung über das Gruppenrichtlinienobjekt für die Verwendung eines Profilpfads, der auf das LDAP-Attribut verweist (bei Verwendung der UID lautet der Profilpfad beispielsweise \#UlD\#\Profiles\profiledirectory)

Darüber hinaus stellt die Citrix Profilverwaltung automatisch Variablen bereit, um den Profilpfad dynamisch basierend auf der Betriebssystemplattform anzugeben. Gültige Profilverwaltungsvariablen:

  • !CTX_PROFILEVER! – wird je nach Profilversion auf v1 oder v2 erweitert.
  • ! CTX_OSBITNESS! – wird je nach Bitplattform des Betriebssystems auf x86 oder x64 erweitert.
  • ! CTX_OSNAME! – wird auf den Kurznamen des Betriebssystems erweitert, zum Beispiel Windows 7.

Durch die Kombination der beiden Funktionen der Citrix Profilverwaltung kann ein vollständig dynamischer Benutzerprofilpfad erstellt und für die Lastverteilung über mehrere Dateiserver konfiguriert werden, der gewährleistet, dass Profile verschiedener Betriebssystemplattformen nicht gemischt werden. Beispiel für einen vollständig dynamischen Benutzerprofilpfad:

\#UID#\profiles$%USERNAME%.%USERDOMAIN%\!CTX_OSNAME!!CTX_OSBITNESS!

Entscheidung: Profilstreaming

Hinweis: Diese Designentscheidung gilt nur für Umgebungen, in denen Citrix Profilverwaltung verwendet wird.

Beim Benutzerprofilstreaming werden Dateien und Ordner in einem Profil nur dann vom Benutzerspeicher (Dateiserver) zum lokalen Computer übertragen, wenn ein Benutzer darauf zugreift. Bei der Anmeldung meldet die Citrix Profilverwaltung sofort, dass der Profilladevorgang abgeschlossen ist, wodurch die Ladezeit des Profils auf fast Null reduziert wird.

Citrix empfiehlt, das Profilstreaming für alle Szenarien zu aktivieren. Wenn aus Leistungsgründen eine Kopie des Benutzerprofils im lokalen Cache verbleiben muss, empfiehlt es sich, die Einstellung “Immer zwischenspeichern” zu aktivieren und die Größe auf 0 festzulegen. Dadurch wird sichergestellt, dass das Benutzerprofil im Hintergrund heruntergeladen wird und das System diese zwischengespeicherte Kopie in Zukunft verwenden kann.

Praxiserfahrung

  • Allgemeines: Manche schlecht programmierte Anwendungen können schneller geladen werden, wenn ihre AppData bereits an die VDI-Ressource gestreamt wurde. Wenn Sie die Option “Immer zwischenspeichern” für das Profilstreaming aktivieren, kann dies die Leistung verbessern, wenn der AppData-Ordner nicht umgeleitet wird.

Entscheidung: Aktiv zurückschreiben

Hinweis: Diese Designentscheidung gilt nur für Umgebungen, in denen Citrix Profilverwaltung verwendet wird.

Wird das Feature “Aktiv zurückschreiben” aktiviert, erkennt die Citrix Profilverwaltung, wenn eine Anwendung eine Datei geschrieben und geschlossen hat, und kopiert die Datei bei Leerlauf zurück in die Netzwerkkopie des Profils. Wenn ein Benutzer mehrere virtuelle Desktops oder gehostete freigegebene Desktops gleichzeitig nutzt, kann dieses Feature sehr vorteilhaft sein. Die Citrix Profilverwaltung kopiert jedoch mit Ausnahme von geordneten Abmeldungen keine Registrierungsänderungen zurück in das Netzwerk. Daher besteht das Risiko von Abstimmungsfehlern bei Registrierung und Dateien auf nicht persistenten Systemen, auf denen lokal zwischengespeicherte Profilinformationen beim Neustart gelöscht werden. Es wird empfohlen, das Feature “Aktiv zurückschreiben” für nicht persistente Szenarien zu deaktivieren.

Entscheidung: Konfiguration

Hinweis: Diese Designentscheidung gilt nur für Umgebungen, in denen Citrix Profilverwaltung verwendet wird.

Die Citrix Profilverwaltung kann über eine INI-Datei, eine Microsoft-Gruppenrichtlinie oder eine Citrix Richtlinie (ab Citrix Profilverwaltung 5.0) konfiguriert werden. Alle Möglichkeiten bieten zwar dieselben Konfigurationseinstellungen, empfohlen wird jedoch die Gruppenrichtlinie, da mit ihr die Windows- und die Citrix Profilkonfiguration von einem zentralen Punkt aus durchgeführt werden können und für die Profilverwaltung nur minimale Tools erforderlich sind.

Hinweis: Ab Version 5.0 der Citrix Profilverwaltung wird der Desktoptyp automatisch erkannt und die Citrix Profilverwaltungsrichtlinien werden entsprechend festgelegt. Weitere Informationen finden Sie in der Citrix Dokumentation unter How automatic configuration works.

Entscheidung: Replikation

Während ein Aktiv/Aktiv-Datencenter auf Netzwerkebene problemlos mit GSLB implementiert werden kann, macht die Replikation von Benutzerdaten eine vollständige Aktiv/Aktiv-Bereitstellung in den meisten Situationen komplex. Für eine Aktiv/Aktiv-Konfiguration, bei der die Benutzer nicht dauerhaft einem Datencenter zugewiesen sind, dürfen sie keinerlei Personalisierungsanforderungen haben. Die Benutzer können nur eingeschränkt Konfigurationsänderungen vornehmen und keine Dokumente oder persistente Daten erstellen. Die Ausnahme bilden Umgebungen, in denen die Datencenter über eine Hochgeschwindigkeits-Verbindung mit niedriger Latenz (z. B. Dark Fibre) verbunden sind. Dadurch können Ressourcen an beiden Standorten für eine echte Aktiv/Aktiv-Lösung auf denselben Dateiserver verweisen. Eine Aktiv/Aktiv-Konfiguration ist auch möglich, wenn Anwendungen ausschließlich eine Backend-Datenbank nutzen, die aktiv zwischen den Datencentern repliziert wird, und keine Daten im Benutzerprofil gespeichert werden.

Für Redundanz und Failover sollten Benutzerdaten wie Windows-Profile und Dokumente von Datencenter zu Datencenter synchronisiert werden. Es ist zwar empfehlenswert, Benutzerdaten zwischen Datencentern zu replizieren, dabei handelt es sich aber um eine Aktiv/Passiv-Replikation. Die Daten können also nur von einem Datencenter aktiv verbraucht werden. Grund für diese Einschränkung ist die verteilte Dateisperrmethode in Windows, die es nur einem Benutzer ermöglicht, aktiv in eine Datei zu schreiben. Daher wird die Aktiv/Aktiv-Replikation von Benutzerdaten nicht unterstützt. Unterstützt werden nur Konfigurationen, bei denen Daten, die zu einem beliebigen Zeitpunkt in einem einzelnen Datencenter aktiv sind, unidirektional repliziert werden.

Die Abbildung unten zeigt beispielsweise ein Szenario, in dem Benutzerdaten passiv von Datencenter A an Datencenter B repliziert werden. In dem Beispiel ist Dateiserver A der primäre Speicherort für Benutzerdaten im Datencenter A und Dateiserver B der primäre Speicherort im Datencenter B. Die unidirektionale Replikation der Benutzerdaten erfolgt für beide Dateiserver, damit die Benutzerdaten im jeweils anderen Datencenter für ein eventuelles Failover verfügbar sind. Replikationstechnologien wie Microsoft DFS können so konfiguriert werden, dass Benutzerprofile und Dokumente auf einen Dateiserver in einem anderen Datencenter gespiegelt werden. DFS-Namespaces können auch verwendet werden, um einen nahtlosen Pfad für den Speicherort der Benutzerdaten zu erhalten. Für die Implementierung einer solchen Replikationslösung muss der Administrator jedoch mit Microsoft DFS und Benutzerprofilen vertraut sein.

Abbildung: Datencenter

Benutzerdaten

Für eine effektive Arbeit müssen Benutzer auf ihre Daten zugreifen. Die Daten müssen sich in unmittelbarer Nähe der Anwendung befinden, damit eine gute Benutzererfahrung möglich ist. Je größer die Distanz zwischen Anwendung und Daten, umso höher ist die Latenz, was jede Dateioperation (Öffnen, Speichern, Ändern) verlangsamt.

In einer VDI-Umgebung müssen Administratoren berücksichtigen, wo die Benutzer Daten speichern und welche Auswirkungen Zugriffe haben.

Entscheidung: Speicherort für Benutzerdaten

Benutzer haben ihre Daten bisher auf ihrem lokalen Gerät oder auf einem Netzwerkdateiserver mit einer Laufwerkzuordnung gespeichert. Aufgrund beschränkten Speicherplatzes oder auch, weil Daten Benutzern nicht auf andere mobile Geräte folgen konnten, begannen die Benutzer, kostenlose Cloudspeicher wie OneDrive, DropBox und Box zu nutzen. Für den Zugriff auf ihre Daten installierten die Benutzer den Agent des Speicheranbieters auf ihrem Windows-PC und erhielten so direkten Zugriff auf ihr Repository im Cloudspeicher.

Beim Design der Lösung müssen Administratoren im Hinblick auf den Benutzerspeicher folgende Optionen in die Überlegung einbeziehen:

  • Strategie mit mehreren Agents: In einer VDI muss der Administrator den Agent für jeden Speicheranbieter installieren und konfigurieren. Dabei wird davon ausgegangen, dass der Speicheragent das nicht persistente VDI-Modell unterstützt. Jeder Agent ist eine neue Anwendung, die der Administrator verwalten muss.
  • Strategie mit Speicherconnector: Ein Agent konsolidiert die Repositories mehrerer Cloud- und lokaler Anbieter in einer Ordnerstruktur. Wenn ein Benutzer beispielsweise eine Verbindung mit Citrix ShareFile herstellt, sieht er eine konsolidierte Ordnerstruktur mit seinen Benutzerdaten aus der Cloud (ShareFile, OneDrive, DropBox, Box und Google Drive) und aus On-Premises-Repositories (SharePoint, Windows-Netzwerkfreigaben und lokale Endpunktfreigaben).

Entscheidung: Benutzerdatenzugriff

Ein entscheidender Aspekt für den Erfolg einer VDI-Lösung ist eine mit dem herkömmlichen PC vergleichbare Benutzererfahrung. Wenn Benutzer Dateien aus einer Anwendung öffnen, muss dies weiterhin funktionieren. Wenn Benutzer über Explorer auf eine Datei zugreifen, muss die weiterhin funktionieren.

Die Daten von Benutzern können auf dem lokalen PC, in einer Netzwerkdateifreigabe oder in der Cloud gehostet werden.

Abbildung: Speicherorte für Daten

Für jede der Speicheroptionen – lokaler PC, On-Premises-Netzwerkfreigabe und Cloud – müssen Administratoren die Auswirkungen der Benutzerzugriffe auf die Infrastruktur und die VDI-Erfahrung kennen.

  • Direkter Datenzugriff: Die Benutzer greifen auf eine Datei auf einem Remoteserver zu (On-Premises-Windows-Server oder Cloudspeicher). Die Distanz zwischen Anwendung und Datei wirkt sich direkt auf die Erfahrung aus. Längere Distanzen resultieren in einer höheren Latenz. Jeder Dateivorgang (Navigieren, Öffnen, Schließen, Speichern usw.) nimmt bei höherer Latenz zwischen Anwendung und Dateispeicher mehr Zeit in Anspruch. Windows-Dateiserver sind oft im selben Datencenter wie die VDI-Desktops von Benutzern, sodass ein direkter Datenzugriff möglich ist. Bei Cloudlösungen und lokalem PC-Zugriff kommt es jedoch zu schlechten Reaktionszeiten, wenn die Verbindung zwischen VDI-Desktop und Repository eine hohe Latenz aufweist.
  • Lokale Synchronisierung: Bei einem herkömmlichen PC speichern Benutzer ihre Dateien in der Regel lokal und eine langsame Anwendungsreaktion wird durch die extrem niedrige Latenz ausgeglichen. Viele Cloudlösungen umfassen eine Datensynchronisierung, um ähnliche Zugriffsgeschwindigkeiten wie beim lokalen Speicher zu ermöglichen. Viele Cloudlösungen bieten eine vollständige Synchronisierung oder eine benutzerkonfigurierbare Teilsynchronisierung bestimmter Ordner und Dateien. Bei der Teilsynchronisierung sind nur die synchronisierten Dateien auf dem Gerät sichtbar und zugänglich, was verwirrend für den Benutzer ist. Die vollständige und die teilweise Synchronisierung erhöhen die VDI-Kosten. Jede Sitzung stellt einen neuen Desktop dar, der die Synchronisierung der Ordner und Dateien des Benutzers erfordert und Zeit, Netzwerkbandbreite und VDI-Speicherplatz in Anspruch nimmt. Jede mit dem VDI-Desktop synchronisierte Datei muss für die Dauer der VDI-Sitzung im Datencenter der Organisation gespeichert werden.
  • Synchronisierung bei Bedarf: Beim Navigieren in Explorer sehen Benutzer eine vollständige, virtuelle Datei- und Ordnerstruktur, obwohl die Dateien/Ordner nicht physisch auf dem Desktop sind. Das Auswählen einer Datei löst eine automatische Synchronisierung mit dem VDI-Desktop für diese Datei aus. Zu diesem Zeitpunkt ist der Dateizugriff lokal und die Benutzererfahrung ist wie beim herkömmlichen PC. Wenn der Benutzer die Datei speichert oder schließt, wird sie wieder mit der Cloud synchronisiert. Nur Dateien, auf die zugegriffen wird, werden synchronisiert und es entsteht keine Verschwendung wie bei der lokalen Synchronisierung. Citrix ShareFile enthält das Feature Drive Mapper, über das die Benutzer mit ihren Daten über Explorer interagieren können und gleichzeitig eine Synchronisierung bei Bedarf beim Zugriff auf Dateien möglich ist. Da nur Dateien synchronisiert werden, auf die zugegriffen wird, sind die Auswirkungen auf die Speicherinfrastruktur und die damit verbundenen Speicherkosten minimal.

Bedeutung der Angaben:

  • J = empfohlen.
  • N = nicht empfohlen.
  Direkter Datenzugriff Lokale Synchronisierung Synchronisierung bei Bedarf
Netzwerkdateiserver J    
Cloud N N J
Lokaler PC N N J

Entscheidung: Datenwiederherstellung

Dateibeschädigung kommt bei den meisten Benutzern vor. Häufige Ursache für solche Beschädigungen ist das unsachgemäße Herunterfahren der Anwendung oder des PCs (z. B. durch Drücken des Netzschalters).

Es gibt einige Möglichkeiten, den Benutzern Optionen zur Datenwiederherstellung zur Verfügung zu stellen:

  • Mehrfachdateien: Bei einem herkömmlichen PC haben Benutzer nur wenige Wiederherstellungsoptionen, wenn die Dateien lokal gespeichert sind. Sie erstellen oft täglich manuell eine neue Dateikopie, um eine grundlegende Wiederherstellungsmöglichkeit zu haben. Diese Lösung ist schwer zu verwalten.
  • Sicherung/Wiederherstellung: Administratoren können eine Lösung zum Sichern und Wiederherstellen implementieren. Solche Lösungen funktionieren jedoch selten mit lokalen Dateien und bei Netzwerkdateifreigaben erfolgt die Sicherung normalerweise nur über Nacht oder wöchentlich. Darüber hinaus erfordert das Wiederherstellen einer beschädigten Datei, dass der Benutzer den Support verständigt.
  • Versionierung: Cloudlösungen wie Citrix ShareFile bieten eine Dateiversionierung, die beim Speichern von Änderungen automatisch neue Versionen einer Datei erstellt. Die Versionierung erfordert keinen Benutzereingriff und ermöglicht eine schnelle Wiederherstellung bei geringem Datenverlust.

Abbildung: ShareFile-Versionierung

Richtlinien

Richtlinien bieten die Grundlage für die Konfiguration und Feinabstimmung von XenApp und XenDesktop-Umgebungen. Über sie können Einstellungen für Verbindungen, Sicherheit und Bandbreiten basierend auf verschiedenen Kombinationen von Benutzern, Geräten und Verbindungstypen festgelegt werden.

Bei Richtlinienentscheidungen müssen sowohl Microsoft- als auch Citrix Richtlinien einbezogen werden, um sicherzustellen, dass alle Einstellungen für Benutzererfahrung, Sicherheit und Optimierung berücksichtigt werden. Eine Liste aller Citrix Richtlinien finden Sie in der Referenz für Richtlinieneinstellungen.

Entscheidung: Bevorzugtes Richtlinienmodul

Citrix Richtlinien können über Citrix Studio oder über die Active Directory-Gruppenrichtlinie und Citrix ADMX-Dateien, die die Gruppenrichtlinie erweitern und erweiterte Filtermechanismen bieten, konfiguriert werden.

Bei Verwendung der Active Directory-Gruppenrichtlinie können Windows- und Citrix Richtlinien an einem Ort verwaltet werden und es wird nur ein minimaler Toolsatz für die Richtlinienverwaltung benötigt. Gruppenrichtlinien werden automatisch auf die Domänencontroller repliziert, um die Informationen zu schützen und die Richtlinienanwendung zu vereinfachen.

Citrix Verwaltungskonsolen sollten verwendet werden, wenn Citrix Administratoren keinen Zugriff auf Active Directory-Richtlinien haben. Es muss je nach Anforderungen eine der beiden oben genannten Methoden ausgewählt und konsequent verwendet werden, um Unübersichtlichkeit durch mehrere Citrix Richtlinienorte zu vermeiden.

Bei der Richtlinienerstellung muss die Richtlinienpriorität bedacht werden. Für Active Directory- und Citrix Richtlinien gilt folgende Priorität:

Richtlinienpriorität Richtlinientyp
Zuerst verarbeitet (niedrigste Priorität) Richtlinien auf lokaler Serverebene
Als zweites verarbeitet Mit Citrix Verwaltungskonsolen erstellte Citrix Richtlinien
Als drittes verarbeitet AD-Richtlinien auf Siteebene
Als viertes verarbeitet AD-Richtlinien auf Domänenebene
Als fünftes verarbeitet Höchste OU-Ebene in der Domäne
Als sechstes verarbeitet usw. Nächste OU-Ebene in der Domäne
Zuletzt verarbeitet (höchste Priorität) Niedrigste OU-Ebene, die Objekt enthält

Richtlinien jeder Ebene werden zu einer endgültigen Richtlinie zusammengefasst, die auf den Benutzer oder Computer angewendet wird. In den meisten Enterprise-Bereitstellungen haben Citrix Administratoren keine Berechtigung zum Ändern von Richtlinien außerhalb ihrer spezifischen Organisationseinheit – normalerweise die höchste Prioritätsstufe. Ist eine Ausnahme erforderlich, kann die Anwendung weiter oben in der OU-Struktur angesiedelter Richtlinieneinstellungen mit den Einstellungen “Vererbung deaktivieren” und “Keine Außerkraftsetzung” verwaltet werden. Vererbung deaktivieren verhindert, dass Einstellungen aus Organisationseinheiten einer höheren Ebene (niedrigere Priorität) in die Richtlinie integriert werden. Ist jedoch eine Richtlinie einer übergeordneten Organisationseinheit mit “Keine Außerkraftsetzung” konfiguriert, wird die Einstellung “Vererbung deaktivieren” nicht angewendet. Bei der Richtlinienplanung ist entsprechend Vorsicht geboten und die Ergebnisse der Ausführung müssen mithilfe von Tools wie Active Directory Richtlinienergebnissatz oder dem Citrix Gruppenrichtlinienmodellierungs-Assistenten geprüft werden.

Hinweis

Manche Citrix Richtlinieneinstellungen müssen über die Active Directory-Gruppenrichtlinie konfiguriert werden, z. B. für die Controller und Ports zur Controllerregistrierung, da diese Einstellungen für die Registrierung von VDAs erforderlich sind.

Entscheidung: Richtlinienintegration

Für eine vollständig konfigurierte Umgebung werden häufig Active Directory- und Citrix Richtlinien benötigt. Die Verwendung beider Richtliniensätze kann die Bestimmung des Richtlinienergebnissatzes erschweren. In einigen Fällen können ähnliche Funktionen an zwei verschiedenen Orten konfiguriert werden. Dies gilt insbesondere für Windows-Remotedesktopdienste (RDS) und Citrix Richtlinien. Die Clientlaufwerkzuordnung kann beispielsweise in einer Citrix Richtlinie aktiviert und in einer RDS-Richtlinie deaktiviert werden. Ob das gewünschte Feature verwendet werden kann, kann von der Kombination aus RDS- und Citrix Richtlinie abhängen. Es muss berücksichtigt werden, dass Citrix Richtlinien auf Funktionen aufbauen, die in RDS verfügbar sind. Wenn ein erforderliches Feature in der RDS-Richtlinie explizit deaktiviert wurde, kann die Citrix Richtlinie nicht auf die Konfiguration wirken, da die zugrunde liegende Funktionalität deaktiviert wurde.

Um entsprechende Probleme zu vermeiden, sollten RDS-Richtlinien nur bei Bedarf und wenn es keine entsprechende Richtlinie in der XenApp und XenDesktop-Konfiguration gibt konfiguriert werden oder wenn die Konfiguration speziell für die RDS-Verwendung innerhalb der Organisation erforderlich ist. Die Konfiguration von Richtlinien auf dem höchsten gemeinsamen Nenner vereinfacht die Bestimmung des Richtlinienergebnissatzes und die Problembehandlung bei Richtlinienkonfigurationen.

Entscheidung: Geltungsbereich für Richtlinien

Sobald Richtlinien erstellt sind, müssen sie basierend auf dem erforderlichen Ergebnis auf Gruppen von Benutzern und/oder Computern angewendet werden. Die Richtlinienfilterung ermöglicht es, Richtlinien auf die erforderlichen Benutzer- oder Computergruppen anzuwenden. Bei Active Directory-Richtlinien muss entschieden werden, ob eine Richtlinie auf Computer oder Benutzer in Site-, Domänen- oder OU-Objekten angewendet werden soll. Active Directory-Richtlinien werden nach Benutzerkonfiguration und Computerkonfiguration unterteilt. Standardmäßig werden die Einstellungen der Benutzerkonfiguration auf Benutzer angewendet, die sich bei der Anmeldung in der Organisationseinheit befinden, und Einstellungen der Computerkonfiguration beim Systemstart auf den jeweiligen Computer. Letztere gelten für alle Benutzer, die sich beim System anmelden. Eine Herausforderung bei der Richtlinienzuordnung in Active Directory- und Citrix Bereitstellungen betrifft drei Kernbereiche:

  • Für die Citrix Umgebung spezifische Computerrichtlinien: Citrix Server und virtuelle Desktops haben häufig Computerrichtlinien, die speziell für die Umgebung erstellt und bereitgestellt werden. Die Anwendung dieser Richtlinien lässt sich leicht durch die Erstellung separater OU-Strukturen für die Server und die virtuellen Desktops erreichen. Richtlinien können dann erstellt und gezielt ausschließlich auf die Computer in der Organisationseinheit und darunter angewendet werden. Je nach Anforderungen können virtuelle Desktops und Server in einer Organisationseinheit gemäß Serverrollen, Standorten oder Geschäftseinheiten weiter unterteilt werden.
  • Citrix-spezifische Benutzerrichtlinien: Beim Erstellen von Richtlinien für XenApp und XenDesktop gibt es spezifische Richtlinien für die Benutzererfahrung und Sicherheit, die gemäß der Benutzerverbindung angewendet werden. Da ein Benutzerkonto sich jedoch überall in der Active Directory-Struktur befinden kann, kann das einfache Anwenden von auf der Benutzerkonfiguration basierenden Richtlinien Probleme verursachen. Es ist nicht wünschenswert, die Citrix-spezifischen Konfigurationen auf Domänenebene anzuwenden, da die Einstellungen auf jedes System angewendet würden, an dem sich ein Benutzer anmeldet. Das einfache Anwenden der Benutzerkonfigurationseinstellungen in der Organisationseinheit, in der sich die Citrix Server oder virtuellen Desktops befinden, funktioniert ebenfalls nicht, da sich die Benutzerkonten nicht innerhalb dieser Organisationseinheit befinden. Die Lösung besteht in der Anwendung einer Loopbackrichtlinie. Dabei handelt es sich um eine Computerkonfigurationsrichtlinie, die den Computer zwingt, die zugewiesene Benutzerkonfigurationsrichtlinie der Organisationseinheit auf jeden Benutzer anzuwenden, der sich am Server oder virtuellen Desktop anmeldet, unabhängig vom Ort des Benutzers in Active Directory. Die Loopback-Verarbeitung kann unter Zusammenführung oder Ersetzen der Einstellungen erfolgen. Bei Ersetzen wird das gesamte Benutzer-Gruppenrichtlinienobjekt durch die Richtlinie der Organisationseinheit des Citrix Servers oder virtuellen Desktops überschrieben. Bei Zusammenführung werden das Benutzer-Gruppenrichtlinienobjekt mit dem Gruppenrichtlinienobjekt der Organisationseinheit des Citrix Servers oder virtuellen Desktops kombiniert. Da bei einer Zusammenführung die Computer-Gruppenrichtlinienobjekte nach den Benutzer-Gruppenrichtlinienobjekten verarbeitet werden, werden die Citrix-bezogenen OU-Einstellungen im Falle eines Konflikts vorrangig angewendet. Weitere Informationen finden Sie auf Microsoft-Technet unter Understand User Group Policy Loopback Mode.
  • Active Directory-Richtlinienfilterung: In manchen Fällen muss möglicherweise eine Richtlinieneinstellung auf eine kleine Benutzergruppe, etwa Citrix Administratoren, angewendet werden. In diesem Fall funktioniert die Loopback-Verarbeitung nicht, da die Richtlinie nur auf eine Teilmenge der Benutzer angewendet werden darf und nicht auf alle Benutzer, die sich am System anmelden. Mithilfe der Active Directory-Richtlinienfilterung können Benutzer oder Benutzergruppen angegeben werden, auf die die Richtlinie angewendet wird. Es kann eine Richtlinie kann für eine bestimmte Funktion erstellt und dann ein Richtlinienfilter so festgelegt werden, dass die Richtlinie nur auf eine Gruppe von Benutzern, etwa Citrix Administratoren, angewendet wird. Die Richtlinienfilterung erfolgt anhand der Sicherheitseigenschaften jeder Zielrichtlinie.

Mit Citrix Studio erstellte Citrix Richtlinien haben bestimmte Filtereinstellungen für den Einsatz in Fällen, wenn die Richtlinienfilterung nicht mithilfe von Gruppenrichtlinien möglich ist. Citrix Richtlinien können mit einer beliebigen Kombination der folgenden Filter angewendet werden:

Filtername Filterbeschreibung Geltungsbereich
Zugriffssteuerung Wendet eine Richtlinie basierend auf Zugriffssteuerungsbedingungen an, unter denen Clients eine Verbindung herstellen. Beispielsweise können auf Benutzer, die über ein Citrix NetScaler Gateway eine Verbindung herstellen, bestimmte Richtlinien angewendet werden. Benutzereinstellungen
Citrix CloudBridge Wendet eine Richtlinie abhängig davon an, ob eine Benutzersitzung über Citrix CloudBridge gestartet wurde. Benutzereinstellungen
Client-IP-Adresse Wendet eine Richtlinie basierend auf der IPv4- oder IPv6-Adresse des Benutzergeräts an, mit dem eine Verbindung zur Sitzung hergestellt wird. Bei Verwendung von IPv4-Adressbereichen ist Vorsicht geboten, um unerwartete Ergebnisse zu vermeiden. Benutzereinstellungen
Clientname Wendet eine Richtlinie basierend auf dem Namen des Benutzergeräts an, mit dem eine Verbindung zur Sitzung hergestellt wird. Benutzereinstellungen
Bereitstellungsgruppe Wendet eine Richtlinie basierend auf der Bereitstellungsgruppen-Mitgliedschaft des Desktops an, auf dem die Sitzung ausgeführt wird. Benutzereinstellungen
Bereitstellungsgruppentyp Wendet eine Richtlinie basierend auf dem Typ der Maschine an, auf der die Sitzung ausgeführt wird. Beispielsweise können unterschiedliche Richtlinien für gepoolte, dedizierte oder gestreamte Desktops festgelegt werden. Benutzer- und Computereinstellungen
Organisationseinheit Wendet eine Richtlinie basierend auf der Organisationseinheit des Desktops oder Servers an, auf dem die Sitzung ausgeführt wird. Benutzer- und Computereinstellungen
Tag Wendet eine Richtlinie basierend auf Tags des Desktops an, auf dem die Sitzung ausgeführt wird. Tags sind Zeichenfolgen, die virtuellen Desktops in XenDesktop-Umgebungen für die Suche nach oder die Beschränkung des Zugriffs auf Desktops hinzugefügt werden können. Benutzer- und Computereinstellungen
Benutzer oder Gruppe Wendet eine Richtlinie basierend auf der Active Directory-Gruppenmitgliedschaft des Benutzers an, der eine Verbindung mit der Sitzung herstellt. Benutzereinstellungen

Hinweis

Die Citrix Richtlinien in XenDesktop 7.x bieten die Ansicht der zusammengeführten Einstellungen, die auf Benutzer- und Computerebene gelten. In der Spalte “Bereich” von Tabelle 24 wird angegeben, ob ein Filter für Benutzereinstellungen, Computereinstellungen oder beides gilt.

Entscheidung: Basisrichtlinie

Eine Basisrichtlinie muss alle allgemeinen, für eine gute Erfahrung für die Mehrheit der Benutzer innerhalb der Organisation erforderlichen Elemente enthalten. Eine Basisrichtlinie bildet die Grundlage für den Benutzerzugriff und sämtliche Ausnahmen, die zur Erfüllung der Zugriffsanforderungen einzelner Benutzergruppen möglicherweise erforderlich sind. Sie sollte möglichst viele Anwendungsfälle abdecken und die niedrigste Priorität haben (zum Beispiel 99, wobei 1 für höchste Priorität steht), um eine möglichst einfache Richtlinienstruktur zu erzielen, die eine einfache Bestimmung des Richtlinienergebnissatzes zulässt. Der von Citrix als Standardrichtlinie bereitgestellte, ungefilterte Richtliniensatz kann zum Erstellen der Basisrichtlinie verwendet werden, da er auf alle Benutzer und Verbindungen angewendet wird. In der Basiskonfiguration sollten alle Citrix Richtlinieneinstellungen aktiviert werden, auch solche mit Standardwert, um das gewünschte Verhalten explizit zu definieren und Probleme zu vermeiden, wenn sich Standardeinstellungen im Laufe der Zeit ändern.

Mit Citrix Richtlinienvorlagen können Citrix Richtlinien konfiguriert und die Endbenutzererfahrung effektiv verwaltet werden. Vorlagen können auch als Ausgangspunkt für eine Basisrichtlinie dienen. Vorlagen bestehen aus vorkonfigurierten Einstellungen, die die Leistung für bestimmte Umgebungen oder Netzwerkbedingungen optimieren. In XenDesktop sind folgende integrierten Vorlagen enthalten:

Integrierte Vorlagen Beschreibung
High Definition-Benutzererfahrung Enthält Einstellungen zur Gewährleistung hoher Audio-, Grafik- und Videoqualität für die Benutzer.
Hohe Serverskalierbarkeit Enthält Einstellungen für eine optimierte Benutzererfahrung, wenn größere Benutzerzahlen auf einem Server gehostet werden.
Für WAN optimiert Enthält Einstellungen für eine optimierte Benutzererfahrung bei Verbindungen mit geringer Bandbreite oder hoher Latenz.
Sicherheit und Steuerung Enthält Einstellungen zum Deaktivieren des Zugriffs auf Peripheriegeräte, Laufwerkzuordnung, Portumleitung und Flash-Beschleunigung auf Benutzergeräten.

Weitere Informationen zu Citrix Richtlinienvorlagen finden Sie in der Citrix Dokumentation unter Verwalten von Citrix Richtlinienvorlagen.

Eine Basisrichtlinie sollte auch Windows-Richtlinien enthalten. Windows-Richtlinien spiegeln benutzerspezifische Einstellungen wider, die die Benutzererfahrung optimieren und Features entfernen, die in einer XenDesktop-Umgebung nicht erforderlich oder gewünscht sind. Ein Feature, das in diesen Umgebungen deaktiviert wird, ist beispielsweise Windows-Update. In virtualisierten Umgebungen, insbesondere wenn Desktops und Server gestreamt werden und nicht persistent sind, verursacht Windows-Update einen Verarbeitungs- und Netzwerkmehraufwand und durch den Updateprozess vorgenommene Änderungen bleiben nach einem Neustart des virtuellen Desktops oder Anwendungsservers nicht erhalten. Oft wird auch Windows Software Update Service (WSUS) verwendet, um Windows-Updates zu steuern. In diesen Fällen werden Updates auf den Masterdatenträger angewendet und von der IT planmäßig zur Verfügung gestellt.

Zusätzlich zu den oben genannten Überlegungen kann die endgültige Basisrichtlinie Einstellungen enthalten, die speziell zur Erfüllung von Sicherheitsanforderungen, allgemeinen Netzwerkbedingungen oder zur Verwaltung von Benutzergeräte- oder Benutzerprofilanforderungen erstellt wurden:

Drucken

Citrix XenApp und Citrix XenDesktop unterstützen diverse Drucklösungen. Um die richtige Drucklösung zu planen und erfolgreich umzusetzen, ist es wichtig, die verfügbaren Technologien sowie deren Vor- und Nachteile zu verstehen.

Entscheidung: Druckerbereitstellung

Das Erstellen von Druckern zu Beginn einer XenApp- oder XenDesktop-Sitzung wird als Druckerbereitstellung bezeichnet. Es stehen mehrere Ansätze zur Verfügung:

  • Von Benutzer hinzugefügt: Durch manuelles Hinzufügen können Benutzer den Drucker nach Komfortgesichtspunkten auswählen. Der Nachteil beim manuellen Hinzufügen von netzwerkbasierten Druckern besteht darin, dass die Benutzer den Netzwerknamen oder den Pfad der Drucker kennen müssen. Es besteht auch die Möglichkeit, dass der native Druckertreiber nicht im Betriebssystem installiert und der universelle Citrix Druckertreiber nicht kompatibel ist, sodass der Benutzer die Hilfe des Administrators in Anspruch nehmen muss. Manuelles Hinzufügen von Druckern eignet sich am besten in folgenden Situationen:
    • Die Benutzer wechseln den Standort mit demselben Clientgerät (z. B. Laptop, Tablet).
    • Die Benutzer arbeiten an zugewiesenen Geräten oder in Bereichen, deren Druckerzuweisungen sich selten ändern.
    • Die Benutzer haben persönliche Desktops mit der Berechtigung zur Installation erforderlicher Druckertreiber.
  • Automatisch erstellt: Die automatische Erstellung ist eine Form der dynamischen Bereitstellung, bei der versucht wird, einige oder alle verfügbaren Drucker auf dem Clientgerät zu Beginn einer Benutzersitzung zu erstellen. Dazu gehören lokal angeschlossene Drucker und Netzwerkdrucker. Das automatische Erstellen aller Clientdrucker kann die Sitzungsanmeldedauer erhöhen, da jeder Drucker während des Anmeldevorgangs aufgezählt wird.
  • Sitzungsbasiert: Sitzungsdrucker sind Netzwerkdrucker, die Benutzern über eine Citrix Richtlinie zu Beginn jeder Sitzung zugewiesen werden.
    • Die Sitzungsdrucker in der Nähe werden nach IP-Subnetz gefiltert. Die gemäß der Richtlinie erstellten Netzwerkdrucker können je nach Standort des Endpunktgeräts des Benutzers variieren. Proximitydrucken wird in Situationen empfohlen, in denen Benutzer mit demselben Endpunktgerät (z. B. Laptop, Tablet) zwischen verschiedenen Standorten wechseln und wo Thin Clients verwendet werden, die keine direkte Verbindung zu Netzwerkdruckern herstellen können.
    • Sitzungsdrucker können mithilfe der Richtlinie “Sitzungsdrucker” oder “Druckerzuweisungen” zugewiesen werden. Die Richtlinie “Sitzungsdrucker” ist zum Festlegen von Standarddruckern für eine Farm, Site, große Gruppe oder Organisationseinheit vorgesehen. Die Richtlinie “Druckerzuweisungen” wird zum Zuweisen einer großen Gruppe Drucker zu mehreren Benutzern verwendet. Wenn beide Richtlinien aktiviert und konfiguriert sind, werden die Sitzungsdrucker in einer Liste zusammengeführt.
  • Universeller Drucker: Der Citrix Universelle Drucker ist ein generisches Druckerobjekt, das zu Sitzungsbeginn automatisch erstellt wird und nicht mit einem Druckgerät verknüpft ist. Bei Verwendung des Citrix Universellen Druckers müssen die verfügbaren Clientdrucker bei der Anmeldung nicht aufgelistet werden, wodurch sich der Ressourceneinsatz erheblich reduziert und die Anmeldedauer für die Benutzer verringert wird. Standardmäßig erfolgt die Ausgabe beim Citrix Universellen Drucker auf dem Standarddrucker des Clients. Das Verhalten kann jedoch geändert werden, damit der Benutzer einen kompatiblen lokalen oder netzwerkbasierten Drucker auswählen kann.

Der Citrix Universelle Drucker eignet sich am besten für die folgenden Szenarien:

  • Die Benutzer benötigen Zugriff auf mehrere lokale und netzwerkbasierte Drucker, die je nach Sitzung variieren können.
  • Die Anmeldeleistung hat Priorität und die Citrix Richtlinie “Warten bis Drucker erstellt sind” muss aufgrund von Anwendungskompatibilität aktiviert sein.
  • Die Benutzer verwenden Windows-Geräte oder einen Thin Clients.

Hinweis

Andere Optionen für die Bereitstellung von Druckern, wie Active Directory-Gruppenrichtlinien, zentralisierte “Follow-me”-Druckwarteschlangen und Druckverwaltungslösungen von Drittanbietern können verwendet werden, um Drucker in einer Citrix Sitzung bereitzustellen.

Entscheidung: Druckertreiber

Das Verwalten von Druckertreibern in XenApp und XenDesktop kann besonders in großen Umgebungen mit hunderten von Druckern mühsam sein. In XenApp und XenDesktop stehen verschiedene Methoden zur Druckertreiberverwaltung zur Verfügung.

  • Benutzerinstalliert: Wenn Sie einen Drucker in einer XenApp- oder XenDesktop-Sitzung hinzufügen und der native Druckertreiber nicht verfügbar ist, kann er vom Benutzer manuell installiert werden. So werden möglicherweise viele verschiedene Druckertreiber auf verschiedenen Ressourcen installiert, wodurch Inkonsistenzen innerhalb der Umgebung entstehen. Die Behebung von Druckproblemen und die Wartung von Druckertreibern kann sehr schwierig werden, da auf jeder gehosteten Ressource evtl. andere Druckertreiber installiert sind. Um die Konsistenz zu gewährleisten und den Support und die Fehlerbehebung zu vereinfachen, werden benutzerinstallierte Treiber nicht empfohlen.
  • Automatische Installation: Beim Verbinden eines Druckers in einer XenApp- oder XenDesktop-Sitzung wird überprüft, ob der erforderliche Druckertreiber bereits im Betriebssystem installiert ist. Ist dies nicht der Fall, wird der native Druckertreiber, sofern vorhanden, automatisch installiert. Wenn Benutzer Endpunkte und Orte wechseln, kann dies zu Inkonsistenzen bei Sitzungen führen, da die Benutzer bei jeder Verbindung möglicherweise auf eine andere gehostete Ressource zugreifen. Die Behebung von Druckproblemen und die Wartung von Druckertreibern kann dann sehr schwierig werden, da auf jeder gehosteten Ressource evtl. andere Druckertreiber installiert sind. Um die Konsistenz zu gewährleisten und den Support und die Fehlerbehebung zu vereinfachen, werden automatisch installierte Treiber nicht empfohlen.
  • Universeller Druckertreiber von Citrix: Der universelle Druckertreiber von Citrix (UPD) ist ein geräteunabhängiger Druckertreiber, der für die meisten Drucker verwendet werden kann. Citrix Universeller Drucker (UPD) vereinfacht die Verwaltung, da weniger Treiber auf dem Masterimage erforderlich sind. Bei automatisch erstellten Clientdruckern sendet der Treiber die Ausgabe der Anwendung ohne Änderung an das Endpunktgerät. Der Endpunkt verwendet lokale, gerätespezifische Treiber, um den Druckauftrag auf dem Drucker abzuschließen. Der UPD kann in Verbindung mit dem universellen Druckserver von Citrix (UPServer) verwendet werden, um diese Funktionalität auf Netzwerkdrucker auszudehnen.

Entscheidung: Druckerrouting

Druckaufträge können über ein Clientgerät oder über einen Druckserver geroutet werden.

  • Clientgeräte: Clientgeräte mit lokal (USB, LPT, COM, TCP usw.) angeschlossenen Druckern leiten Druckaufträge direkt an den Drucker weiter.
  • Windows-Druckserver: Standardmäßig werden Druckaufträge, die an automatisch erstellte netzwerkbasierte Drucker gesendet werden, von der Sitzung an den Druckserver geleitet. Unter folgenden Bedingungen wird jedoch auf eine Fallbackroute durch das Clientgerät zurückgegriffen:
    • Die Sitzung kann den Druckserver nicht kontaktieren.
    • Der Druckserver befindet sich in einer anderen Domäne, für die keine Vertrauensstellung eingerichtet wurde.
    • Der native Druckertreiber ist in der Sitzung des Benutzers nicht verfügbar.
  • Universeller Druckserver von Citrix: Das Routing folgt dem gleichen Prozess wie beim Windows-Druckserver, allerdings wird der universelle Druckertreiber zwischen der Benutzersitzung und dem Citrix Druckserver verwendet.

Die Besonderheiten beim Druckauftragsrouting basieren auf der Druckerbereitstellungsmethode. Bei automatisch erstellten und von Benutzern hinzugefügten Druckern ist folgendes Auftragsrouting möglich:

Abbildung: Druckauftragsrouting

Für Sitzungsdrucker gelten geringfügig andere Routingoptionen. Die Aufträge können dann nicht mehr über das Endpunktgerät des Benutzers geroutet werden.

Abbildung: Sitzungsdrucker

Welche Option empfohlen wird, hängt vom Netzwerkort des Endpunktgeräts, der Benutzersitzung und dem Druckserver ab.

  • Clientgeräterouting
    • Wird für lokal angeschlossene Drucker verwendet.
    • Empfohlen, wenn sich Windows-Endpunktgerät und Drucker im selben Hochgeschwindigkeitsnetzwerk mit niedriger Latenz wie der Windows-Druckserver befinden.
  • Windows-Druckserverrouting
    • Verwenden Sie diese Option, wenn sich der Drucker im selben Hochgeschwindigkeitsnetzwerk mit niedriger Latenz wie der Windows-Druckserver und die Benutzersitzung befindet.
  • Windows-Druckserverrouting (mit universellem Druckserver)
    • Empfohlen, wenn sich ein Endpunktgerät mit einem anderen Betriebssystem als Windows und der Drucker im selben Hochgeschwindigkeitsnetzwerk mit niedriger Latenz wie der Windows-Druckserver befinden.

Entscheidung: Druckserverredundanz

Netzwerkdrucker, die mit einem Microsoft-Druckserver oder dem universellen Druckserver von Citrix verwaltet werden, sollten mit Redundanz konfiguriert werden, um das Entstehen eines zentralen Ausfallpunkts zu vermeiden. Die Redundanz für den universellen Druckserver von Citrix sollte in einer Citrix Richtlinie definiert werden.

Praxiserfahrung

Ein Printmedienunternehmen nutzt am Firmensitz Thin Clients und Windows-Arbeitsstationen. Im gesamten Gebäude gibt es Netzwerkdrucker (einen pro Etage). Das Datencenter umfasst Windows-Druckserver, mit denen die Netzwerkdrucker verwaltet werden. Das Datencenter enthält außerdem XenDesktop und XenApp-Server.

In einem Regionalbüro gibt es zahlreiche Windows-, Linux- und Mac-Endpunkte mit Netzwerkdruckern. In einer Remote-Zweigstelle gibt es ein paar Windows-Arbeitsstationen mit lokal angeschlossenen Druckern.

Drei verschiedene Druckstrategien werden angewendet:

  • Firmensitz: Der universelle Druckserver von Citrix wird zum Drucken innerhalb der XenApp und XenDesktop-Sitzungen verwendet. Native Druckertreiber sind auf den Windows-Arbeitsstationen nicht erforderlich. Pro Etage wird eine Sitzungsdruckerrichtlinie konfiguriert, die den Etagendrucker als Standarddrucker verbindet. Die Richtlinien werden für Proximitydruck nach Subnetz des Thin Clients gefiltert. QoS-Richtlinien (Quality of Service) sind implementiert. Eingehende und ausgehende Netzwerkdaten an den TCP-Ports 1494 und 2598 haben Vorrang vor sonstigem Netzwerkdatenverkehr. Dadurch wird verhindert, dass HDX-Benutzersitzungen durch große Druckaufträge beeinträchtigt werden.
  • Regionalbüro: Ein universeller Druckserver wird im Regionalbüro bereitgestellt. Druckaufträge verwenden den universellen Drucktreiber und werden komprimiert aus der Sitzung über das WAN an den universellen Druckserver übermittelt. Die Aufträge werden dann an den mit dem Netzwerk verbundenen Drucker im Büro gesendet.
  • Zweigstelle: Da alle Benutzer der Zweigstelle Windows-Arbeitsstationen haben, werden automatisch erstellte Clientdrucker und der universelle Druckertreiber von Citrix verwendet. Da Druckaufträge über die ICA geliefert werden, werden sie komprimiert, was Bandbreite spart. Der universelle Druckertreiber von Citrix stellt sicher, dass alle mit dem Client verbundenen Drucker innerhalb der XenApp- oder XenDesktop-Sitzung ohne Rücksicht auf das Druckermodell verwendet werden können.

Anwendungen

Die ordnungsgemäße Integration einer Anwendung erfordert Kenntnisse hinsichtlich der Kompatibilität und der Auswirkungen der Benutzer-/Geschäftsanforderungen auf die entsprechende Bereitstellungsmethode.

Entscheidung: Kompatibilität

Eine VDI erfordert in der Regel erhebliche Änderungen an der Anwendungsbereitstellung und Verwaltung. Viele Organisationen nutzen beispielsweise die Gelegenheit für ein Upgrade des Desktop-Betriebssystems und zur Vereinfachung der Verwaltung, indem sie die Zahl der im Basisimage installierten Anwendungen mithilfe von Techniken wie Anwendungsstreaming und Anwendungslayering verringern. Dies sind wesentliche Änderungen, die umfassende Kompatibilitätstests erfordern. Wichtige Kompatibilitätsanforderungen, die ggf. überprüft werden müssen:

  • Betriebssystem: Die Anwendung muss mit dem bevorzugten Betriebssystem kompatibel sein.
  • Mehrere Benutzer: Manche Anwendungen eignen sich möglicherweise besser für die Bereitstellung über einen gehosteten freigegebenen Desktop oder eine gehostete Windows-App. In diesen Situationen muss die Kompatibilität der Anwendung gegen die Mehrbenutzer-Möglichkeiten eines Serverbetriebssystems wie Windows Server 2012R2 überprüft werden.
  • Anwendungsarchitektur: Es ist wichtig zu wissen, ob die Anwendung 16-Bit-, 32-Bit- oder 64-Bit-Code enthält, damit ein geeignetes Betriebssystem ausgewählt werden kann. 16-Bit-Code kann nicht unter einem 64-Bit-Betriebssystem ausgeführt werden. Eine 16-Bit-Anwendung kann jedoch als gehostete Windows-App von einem 32-Bit-Desktopbetriebssystem wie x86-Editionen von Windows 7, 8 oder 10 bereitgestellt werden.
  • Interoperabilität: Bei manchen Anwendungen kann es zu Komplikationen kommen, wenn sie unter demselben Betriebssystem koexistieren. Mögliche Ursachen sind gemeinsame Registrierungsstrukturen, DLL- oder INI-Dateien sowie inkompatible Abhängigkeiten. Probleme mit der Interoperabilität der Anwendungen müssen identifiziert werden, damit sie behoben werden können oder ein anderes Bereitstellungsmodell gewählt werden kann.
  • Abhängigkeit: Anwendungen müssen möglicherweise miteinander interagieren, um den Benutzern eine nahtlose Erfahrung zu bieten. Anwendungen, die Informationen im PDF-Format präsentieren, benötigen beispielsweise einen geeigneten PDF-Viewer. Häufig sind die abhängigen (untergeordneten) Anwendungen versionsspezifisch für die übergeordnete Anwendung.
  • Anwendungsvirtualisierung: Die Verwendung von Anwendungsvirtualisierungstechniken, wie Streaming und Layering, trägt zur Vereinfachung der Imageverwaltung bei, da die Anzahl der im Basisimage installierten Anwendungen reduziert wird. Allerdings sind nicht alle Anwendungen für Streaming und Layering geeignet, da sie möglicherweise Gerätetreiber installieren, COM+ verwenden oder Teil des Betriebssystems sind.

Die Anwendungskompatibilität kann durch eine Kombination aus manuellen Tests, Benutzertests, Verwendung vorab verifizierter Listen des Softwareherstellers oder mit einer automatisierten Anwendungskompatibilitätslösung wie Citrix AppDNA erreicht werden, die tausende von Tests zur Überprüfung der Kompatibilität durchführt.

Entscheidung: Methode der Anwendungsbereitstellung

Eine einzige Bereitstellungsmethode wird wahrscheinlich nicht alle Anforderungen erfüllen. Basierend auf dem Ergebnis der Anwendungskategorisierung und der allgemeinen Strategie zur Imageverwaltung (installierte Images, skriptbasierte Images und Layerimages) sind verschiedene Methoden zur Anwendungsbereitstellung denkbar.

Die Auswahl einer geeigneten Methoden zur Anwendungsbereitstellung verbessert die Skalierbarkeit, Verwaltung und Benutzererfahrung.

  • Installierte Apps: Solche Apps sind Teil des grundlegenden Desktopimages. Bei der Installation werden DLL-, EXE- und andere Dateien auf das Image-Laufwerk kopiert und Registrierungsänderungen vorgenommen.
  • Gestreamte Apps (Microsoft App-V): Für solche Apps wird eine Profilerstellung durchgeführt und die Apps werden bei Bedarf auf den Desktops im Netzwerk bereitgestellt. App-Dateien und Registrierungseinstellungen werden in einem Container auf dem virtuellen Desktop abgelegt und vom Basisbetriebssystem sowie untereinander isoliert, was bei der Behebung von Kompatibilitätsproblemen hilft.
  • Layer-Apps (Citrix App Layering): Jeder Layer enthält eine App, einen Agent oder ein Betriebssystem. App Layering vereinfacht die Systempflege, da ein Betriebssystem, ein Agent und eine App auf einem einzelnen Layer ist. Wird der Layer aktualisiert, werden alle bereitgestellten Images aktualisiert, die diesen Layer enthalten. Für das App Layering gibt es zwei Bereitstellungsoptionen:
    • Layerimage: Durch die Integration eines Betriebssystemlayers, eines Plattformlayers (XenApp und XenDesktop-VDA, Provisioning Services-Agent) und vieler App-Layer kann ein Administrator problemlos neue, implementierbare Images erstellen.
    • Elastischer Layer: XenApp und XenDesktop-Benutzer können basierende auf der Anmeldung einen neuen App-Layer dynamisch empfangen. Auf XenApp-Hosts berücksichtigen elastische Layer die Sitzung, wobei ein angefügter Layer nur gemäß dem Layerzugriff der Sitzung verfügbar ist.
  • Gehostete Windows-App: Eine Anwendung, die auf einem XenApp-Host mit mehreren Benutzern installiert ist und als Anwendung und nicht als Desktop bereitgestellt wird. Benutzer greifen nahtlos über den VDI-Desktop oder das Endpunktgerät auf gehostete Windows-Apps zu, ohne dass ersichtlich wird, dass diese remote ausgeführt werden.
  • Lokale Apps: auf dem Endpunktgerät bereitgestellte Apps. Die App-Schnittstelle wird in der gehosteten VDI-Sitzung des Benutzers angezeigt, obwohl die App auf dem Endpunkt ausgeführt wird.

Die folgende Tabelle enthält Empfehlungen zu empfohlenen Ansätzen für die Integration von Anwendungen in die Gesamtlösung.

Bedeutung der Angaben:

  • J = empfohlen.
  • N = nicht empfohlen.
  • o = machbar.
App-Kategorie Installierte Apps Streaming-Apps Layer-Apps Gehostete Windows-Apps Lokale Apps
Allgemein J o J o N
Abteilung o J J J N
Benutzer N o J o J
Verwaltung J N J o N

Praxiserfahrung

  • Energie: Ein Energieunternehmen installiert Anwendungen auf dem Basisimage für die meisten Benutzer und streamt Abteilungsanwendungen nach Bedarf.
  • Finanzen: Eine Bank betreibt verschiedene Desktop-Images mit benutzergruppenorientierten Anwendungen je nach Abteilung.

Virtuelle Maschinen

Virtuelle Ressourcen erfordern eine ordnungsgemäße Zuweisung von Prozessor, Arbeitsspeicher und Datenträger. Diese Entscheidungen haben direkte Auswirkungen auf die Menge der benötigten Hardware und die Benutzererfahrung.

Für eine gute Ressourcenzuweisung müssen virtuelle Desktops und Anwendungen eine ähnliche Leistung wie physische Desktops bieten. Andernfalls werden Produktivität und Benutzerzufriedenheit beeinträchtigt. Die Zuweisung von mehr Ressourcen zu virtuellen Maschinen als nötig ist hingegen ineffizient und teuer.

Die Ressourcenzuweisung muss gemäß der bei der Analyse ermittelten Workload jeder Benutzergruppe basieren.

Entscheidung: virtuelle CPU (vCPU)

Für VDI-Modelle mit gehosteten Desktops und gehosteten persönlichen Desktops werden allgemein mindestens zwei vCPUs pro virtuelle Maschine empfohlen, sodass mehrere Threads gleichzeitig ausgeführt werden können. Eine einzelne vCPU kann zwar für extrem leichte Workloads zugewiesen werden, es kommt dann aber eher zum Hängenbleiben von Sitzungen.

Bei VDI-Modellen mit Serverhosting (gehostete Windows-Apps, gehostete Browser-Apps, gehostete freigegebene Desktops) basiert die geeignete vCPU-Zuweisung auf der NUMA-Architektur (Non-Uniform Memory Access) der Prozessoren.

Abbildung: NUMA-Architektur

Jedes Socket ist in einen oder mehrere NUMA-Knoten unterteilt. VDI-Modelle mit Serverhosting verwenden häufig 4 oder mehr Prozessoren. Die Zuweisung von mehr vCPUs als ein NUMA-Knoten enthält, beeinträchtigt die Leistung. Die Zuweisung eines Teils eines NUMA-Knotens zu einer virtuellen Maschine beeinträchtigt die Leistung, wenn der zugewiesene Teil nicht leicht durch die Größe des NUMA-Knotens teilbar ist. Oft ist es ideal, die volle Anzahl der Kerne in einem NUMA-Knoten einer virtuellen Maschine zuzuweisen oder die Hälfte bei doppelter Anzahl der virtuellen Maschinen.

Benutzerworkload

  • Gering
Betriebssystem Für Skalierbarkeit konfigurierte vCPU Für Erfahrung konfigurierte vCPU
Windows 7 2 vCPU 2 vCPU
Windows 10 2 vCPU 2 vCPU
Windows 2012 R2 NUMA oder ½ von NUMA NUMA oder ½ von NUMA
Windows 2016 NUMA oder ½ von NUMA NUMA oder ½ von NUMA
  • Mittel
Betriebssystem Für Skalierbarkeit konfigurierte vCPU Für Erfahrung konfigurierte vCPU
Windows 7 2 vCPUs 3 vCPUs
Windows 10 2 vCPU 3 vCPUs
Windows 2012 R2 NUMA oder ½ von NUMA NUMA oder ½ von NUMA
Windows 2016 NUMA oder ½ von NUMA NUMA oder ½ von NUMA
  • Groß
Betriebssystem Für Skalierbarkeit konfigurierte vCPU Für Erfahrung konfigurierte vCPU
Windows 7 3 vCPUs 4 vCPUs
Windows 10 3 vCPUs 4 vCPUs
Windows 2012 R2 NUMA oder ½ von NUMA NUMA oder ½ von NUMA
Windows 2016 NUMA oder ½ von NUMA NUMA oder ½ von NUMA

Hinweis

Die Empfehlungen für Windows 2012 R2 basieren auf dem VDI-Modell mit gehosteter Windows-App, gehosteter Browser-App und gehostetem freigegebenen Desktop.

Entscheidung: CPU-Optimierung

In einer gemeinsam genutzten, virtualisierten Umgebung kann ein einzelner Benutzer CPU-Ressourcen aufgrund eines unkontrollierten Prozesses oder einer intensiven Datenverarbeitung in Excel monopolisieren. Wird ein Prozessor überbeansprucht, kann er die Anforderungen anderer Benutzer nicht erfüllen und deren Sitzung bleibt hängen.

Citrix Workspace Environment Management, eine Komponente von XenApp und XenDesktop, enthält eine CPU-Optimierung. Wenn ein Prozess einen bestimmten Prozentsatz der CPU über einen bestimmten Zeitraum belegt, wird die Prozesspriorität von normal auf niedrig oder sehr niedrig gesetzt, sodass die verbleibenden Prozessen eine höhere Priorität erhalten und das Problem des unkontrollierten Prozesses überwunden wird. Die CPU-Optimierung speichert außerdem Informationen zu Prozessen, die den CPU-Schutz ausgelöst haben, und startet diese künftig automatisch mit einer niedrigeren Priorität.

In den meisten Umgebungen sollte die CPU-Optimierung als Standardkonfiguration aktiviert werden.

Entscheidung: virtueller Arbeitsspeicher (vRAM)

Die Menge an Speicher, die jeder Ressource zugewiesen wird, ist eine Funktion der erwarteten Workload und des erwarteten Anwendungsbedarfs des Benutzers. Wird virtuellen Maschinen nicht genügend Arbeitsspeicher zugewiesen, führt dies zu einer übermäßigen Auslagerung auf die Festplatte und einer schlechten Benutzererfahrung. Das Zuweisen von zu viel Arbeitsspeicher erhöht die Gesamtkosten der Lösung.

Die folgende Tabelle enthält Empfehlungen zur vRAM-Zuweisung basierend auf der Workload.

Benutzerworkload

  • Gering
Betriebssystem vRAM für Skalierung konfiguriert vRAM für Erfahrung konfiguriert
Windows 7 2 GB 3 GB
Windows 10 2 GB 3 GB
Windows 2012 R2 256 MB pro Benutzer 256 MB pro Benutzer
Windows 2016 320 MB pro Benutzer 320 MB pro Benutzer
  • Mittel
Betriebssystem vRAM für Skalierung konfiguriert vRAM für Erfahrung konfiguriert
Windows 7 3 GB 4 GB
Windows 10 3 GB 4 GB
Windows 2012 R2 512 MB pro Benutzer 512 MB pro Benutzer
Windows 2016 640 MB pro Benutzer 640 MB pro Benutzer
  • Groß
Betriebssystem vRAM für Skalierung konfiguriert vRAM für Erfahrung konfiguriert
Windows 7 6 GB 8 GB
Windows 10 6 GB 8 GB
Windows 2012 R2 1024 MB pro Benutzer 1024 MB pro Benutzer
Windows 2016 1280 MB pro Benutzer 1280 MB pro Benutzer

Hinweis

  • Die Empfehlungen für Windows 2012 R2 basieren auf dem VDI-Modell mit gehosteter Windows-App, gehosteter Browser-App und gehostetem freigegebenen Desktop.
  • Eine Speicherzuweisung von über 4 GB erfordert ein 64-Bit-Betriebssystem.
  • Bei Verwendung der Maschinenerstellungsdienste und von Provisioning Services muss der zugehörige Cache im RAM zum RAM für virtuelle Maschinen addiert werden.

Entscheidung: RAM-Optimierung

Benutzer arbeiten zwar immer nur mit einer Anwendung, sie haben jedoch meistens fünf oder noch mehr Anwendungen im Leerlauf geöffnet. Wenn ein Prozess vom aktiven Zustand in den Leerlauf wechselt, geben die Anwendung und das Betriebssystem einen Teil des aktiven Speicherarbeitssatzes des Prozesses frei, um Systemressourcen freizugeben. Das ist jedoch nur ein kleiner Prozentsatz des Arbeitssatzes der Anwendung. Der Rest bleibt für die Anwendung gesperrt, wodurch die verfügbaren Systemressourcen stark eingeschränkt werden.

Bei Verwendung der RAM-Optimierung in Citrix Workspace Environment Management werden Anwendungen, die für eine bestimmte Zeit im Leerlauf sind (mit denen kein Benutzer interagiert), gezwungen, überschüssigen Arbeitsspeicher freizugeben, bis sie wieder aus dem Leerlauf wechseln. Wenn eine Anwendung wieder aktiv wird, wird der freigegebene Speicher wieder in ihren aktiven Arbeitssatz geladen.

In den meisten Umgebungen sollte die RAM-Optimierung als Standardkonfiguration aktiviert werden. Es gibt eine Ausschlussliste für die RAM-Optimierung, sollten bei bestimmten Prozessen Probleme mit der Optimierung auftreten.

Entscheidung: Datenträgercache

Die Menge an Speicher, die eine VM benötigt, hängt von der Workload und dem Imagetyp ab. Wenn Sie einen gehosteten persönlichen Desktop ohne Verwendung einer Lösung für die Imageverwaltung erstellen, benötigt jede VM genügend Speicher für das gesamte Betriebssystem und lokal installierte Anwendungen.

Die Bereitstellung von Maschinen über Maschinenerstellungsdienste oder Provisioning Services kann der Speicherbedarf für virtuelle Maschinen erheblich reduzieren. Die Speicherplatzanforderungen für den Schreibcache und den differenzierenden Datenträger hängen von der Anwendungsnutzung und dem Benutzerverhalten ab. Die folgende Tabelle bietet einen Ausgangspunkt für die Schätzung des Speicherplatzbedarfs:

Benutzerworkload

  • Gering
Betriebssystem Speicherplatz (differenzierender Datenträger/Schreibcachedatenträger)
Windows 7 10 GB
Windows 10 10 GB
Windows 2012 R2 40 GB
Windows 2016 60 GB
  • Mittel
Betriebssystem Speicherplatz (differenzierender Datenträger/Schreibcachedatenträger)
Windows 7 15 GB
Windows 10 15 GB
Windows 2012 R2 40 GB
Windows 2016 60 GB
  • Groß
Betriebssystem Speicherplatz (differenzierender Datenträger/Schreibcachedatenträger)
Windows 7 20 GB
Windows 10 20 GB
Windows 2012 R2 40 GB
Windows 2016 60 GB

Entscheidung: RAM-Cache

Provisioning Services und Maschinenerstellungsdienste können einen Teil des Arbeitsspeichers einer virtuellen Maschine als Puffer für den Speichercache verwenden. Der RAM-Cache wird verwendet, um die Leistung des herkömmlichen Speichers zu verbessern, indem der nicht ausgelagerte Poolspeicher einer virtuellen Maschine gemeinsam genutzt wird.

Benutzerworkload

  • Gering
Betriebssystem RAM-Cache für Skalierbarkeit konfiguriert RAM-Cache für Erfahrung konfiguriert
Windows 7 128 MB 256 MB
Windows 10 128 MB 256 MB
Windows 2012 R2 2 GB 2 GB
Windows 2016 4 GB 4 GB
  • Mittel
Betriebssystem RAM-Cache für Skalierbarkeit konfiguriert RAM-Cache für Erfahrung konfiguriert
Windows 7 256 MB 512 MB
Windows 10 256 MB 512 MB
Windows 2012 R2 4 GB 4 GB
Windows 2016 8 GB 8 GB
  • Groß
Betriebssystem RAM-Cache für Skalierbarkeit konfiguriert RAM-Cache für Erfahrung konfiguriert
Windows 7 512 MB 1024 MB
Windows 10 512 MB 1024 MB
Windows 2012 R2 6 GB 6 GB
Windows 2016 10 GB 10 GB

Hinweis

  • Bei Verwendung der Maschinenerstellungsdienste und von Provisioning Services muss der zugehörige Cache im RAM zum RAM für virtuelle Maschinen addiert werden.
  • Wenn zusätzlicher RAM auf dem Host verfügbar ist, kann die RAM-Cachegröße erhöht werden, um eine noch höhere Leistung zu erzielen.

Entscheidung: Speicher-IOPS

Die Speicherleistung hängt von der Anzahl der Vorgänge ab, die pro Sekunde verarbeitet werden können (= IOPS). Ein zu niedriger Speicher-IOPS-Wert führt dazu, dass Apps, Webseiten und Daten auf VDI-Desktops langsam geladen werden.

Die folgende Tabelle enthält Angaben zu den pro Benutzer generierten Speicher-IOPS basierend auf Workload und Betriebssystem. Die Speicher-E/A-Aktivität ist während der Benutzeranmeldung und -abmeldung intensiver.

Benutzerworkload

  • Gering
Betriebssystem Speicher-IOPS (ohne RAM-basierten Cache) Speicher-IOPS (mit RAM-basiertem Cache)
Windows 7 10 IOPS 1 IOPS
Windows 10 12 IOPS 1 IOPS
Windows 2012 R2 3 IOPS 0,5 IOPS
Windows 2016 4 IOPS 1 IOPS
  • Mittel
Betriebssystem Speicher-IOPS (ohne RAM-basierten Cache) Speicher-IOPS (mit RAM-basiertem Cache)
Windows 7 15 IOPS 1 IOPS
Windows 10 20 IOPS 1,5 IOPS
Windows 2012 R2 4 IOPS 0,5 IOPS
Windows 2016 6 IOPS 1 IOPS
  • Groß
Betriebssystem Speicher-IOPS (ohne RAM-basierten Cache) Speicher-IOPS (mit RAM-basiertem Cache)
Windows 7 25 IOPS 2 IOPS
Windows 10 35 IOPS 3 IOPS
Windows 2012 R2 5 IOPS 0,5 IOPS
Windows 2016 8 IOPS 1 IOPS

Entscheidung: E/A-Priorisierung

Bei gemeinsam genutzten Umgebungen erhält der E/A-Prozess jedes Benutzers den gleichen Anteil an Ressourcen. Führt ein Benutzer E/A-intensive Aufgaben aus, kann sich dies auf geschäftskritische Anwendungen auswirken. Mit Citrix Workspace Environment Management können Administratoren E/A-Prioritäten für Prozesse festlegen.

Wenn ein Prozess mehr E/A-Ressourcen benötigt oder E/A-Ressourcen monopolisiert, wird die Prozesspriorität manuell über die Konsole erhöht oder verringert. Diese erweiterte Konfiguration wird nur unter besonderen Bedingungen verwendet.

Entscheidung: Grafiken (GPU)

Ohne Grafikprozessor (GPU) erfolgt die Grafikverarbeitung mit Software von der CPU. Eine GPU kann verwendet werden, um die Serverskalierbarkeit und die Benutzererfahrung zu verbessern oder um die Verwendung grafikintensiver Anwendungen zu ermöglichen. Beim Desktopdesign muss entschieden werden, wie die GPU (falls verwendet) den virtuellen Maschinen zugeordnet wird. Es stehen drei Methoden zur Verfügung.

  • GPU-Passthrough: Jede physische GPU wird an eine virtuelle Maschine (gehostete Apps oder gehostete Desktops) übergeben.
  • Virtualisierte Hardware-GPU: Mit der vGPU-Technologie eines Hypervisors wird eine NVIDIA GRID oder Intel Iris Pro virtualisiert und von mehreren Maschinen gemeinsam genutzt. Jede virtuelle Maschine verfügt über die volle Funktionalität der GPU-Treiber und hat direkten Zugriff auf die GPU.
  • Virtualisierte Software-GPU: Die GPU wird vom Hypervisor verwaltet und fängt Anforderungen der VDI-Desktops ab. Dieser Prozess wird verwendet, wenn auf dem Host keine GPU installiert ist.

Bedeutung der Angaben:

  • J bedeutet verfügbar.
  • X bedeutet nicht unterstützt.

Citrix XenServer

  GPU-Passthrough Virtualisierte Hardware-GPU (NVIDIA) Virtualisierte Hardware-GPU (Intel) Virtualisierte Hardware-GPU (AMD) Emulierte Software-GPU
XenDesktop J J J X J
XenApp J J J X J

Microsoft Hyper-V

  GPU-Passthrough Virtualisierte Hardware-GPU (NVIDIA) Virtualisierte Hardware-GPU (Intel) Virtualisierte Hardware-GPU (AMD) Emulierte Software-GPU
XenDesktop J X X X J
XenApp J X X X J

VMware vSphere

  GPU-Passthrough Virtualisierte Hardware-GPU (NVIDIA) Virtualisierte Hardware-GPU (Intel) Virtualisierte Hardware-GPU (AMD) Emulierte Software-GPU
XenDesktop J J X J J
XenApp J J X J J

Benutzergruppen mit intensiver Nutzung von Grafikanwendungen benötigen häufig eine virtualisierte NVIDIA-GPU. Bei Benutzergruppen, die Büroanwendungen nutzen, kann die Verwendung einer virtualisierten Hardware-GPU von Intel spürbare Vorteile haben.

Designmethodik Ressourcenlayer