Configurando FSLogix no AVD (WVD)
- fernando freitas do vale
- 29 de set. de 2021
- 5 min de leitura
Falaaaa seus lindos!!!! Tem tempo que não apareço por aqui, mas estou retornando com um post super bacana, vamos falar de AVD (ou WVD pros mais antigos).
O AVD é o Azure Virtual Desktop, que veio como uma solução de Ambiente de Desktop Virtual seguro para empresas, que funciona também com RemoteApp. Para quem está mais acostumado com ambiente On-Premises ele serve como uma solução equivalente ao RDS para Cloud. O AVD ganhou grande destaque durante a pandemia e um desses frutos é o próprio Windows 365.
O Fslogix é uma solução de roaming de perfil de usuário que era proprietário e foi adquirido pela Microsoft. Ele é bem importante em ambiente de médio a grande porte quando se usa o o algoritmo Pooled. Alguns ambientes optam por usar somente o Onedrive para salvar os arquivos pessoais, mas o Fslogix é uma solução que vai te ajudar a ter controle dos perfis em um local único, no caso uma storage account.
Vamos dividir a configuração em duas partes:
Parte 1 - Configuração do FSLogix
Parte 2 - Configuração do AVD ( que está aqui se você quiser começar por ele clique aqui)
Configurando o FSLogix:
Para configurar o FSLogix é pré requisito um Active Directory Domain Services (ADDS), ele não é suportado no Azure AD. O ADDS precisa estar com ADConnect. Além disso precisamos de 2 Grupos, um para acesso ao FSLogix e um para administração.
As configurações são as seguintes:
1 - Criar Storage Account com File Share para armazenar os perfis.
2 - Configurar o acesso da Storage Account pelo AD.
3 - Instalar e Configurar a GPO
Criar Storage Account com File Share:
A criação do Storage Account exige um Resource Group onde ficará alocada, nesse caso vamos criar o Resource Grupo "AVD - Resources"
As Tags são opcionais e você pode colocar o que for melhor pra rastrear e entender o custo do seu ambiente.
Com isso temos o Resource Group criado. Agora vamos criar a Storage Account:
Em seguida vamos iniciar a criação:
Atenção para o "Storage Account Name", ele deve ser um nome único, não só no seu Tenant mas em todos.
Avance até a parte de networking:
Selecione "Private Endpoint", além de prover mais segurança também melhora o desempenho:
***** Muita atenção para o "Storage sub-resource", se não estiver como "file" ele não vai acessar seu fileshare.
***** Muita atenção nas configurações de networking, caso você tenha uma estrutura com mais e uma VNET que precisam acessar o Storage Account (Cada Host Pool em uma VNET diferente, ou tenha o AD em uma VNET e o HostPool será em outra) você vai precisar criar um privatelink para cada VNET.
Agora avance até "Review + Create" e mande criar o recurso, caso queira coloque as Tags que for melhor para seu ambiente.
Com o Storage Account criado, precisamos criar o File Share.
Com o FileShare configurado, precisamos adicionar ele no ADDS para que possa ter a autenticação NTFS nele baseada em AD, atualmente podemos ver que a configuração está com autenticação "Storage Account Key"
Primeiro vamos baixar os arquivos que serão necessários para inclusão:
Salve e descompacte em um local fácil dentro do AD, eles serão executados pelo powershell:
Acesse o powershell como administrador e rode os seguintes comandos:
Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
Em seguida vamos instalar os módulos cmdlets do Azure, esse módulo costuma demorar bastante devido a quantidade de informações que ele contém:
Install-module AZ
Com os módulos do Azure instalados vamos importar o módulo do FileHybrid
Primeiro acesso onde vc salvou os arquivos descompactados:
Agora importe o módulo do AzFiles:
Com o módulo importado vamos conectar no Azure, lembrando que agora precisamos de um usuário com permissões para inclusão, nesse caso estamos utilizando Administrator da Subscription, mas pode ser que tenham privilégios mais baixos que possam executar as mesmas ações isso deve ser avaliado.
Com a conta conectada, podemos agora realizar a inclusão do Storage Account:
join-AzStorageaccountForAuth -ResourceGroupName "AVD-Resources" -Name "fslogixprime" -DomainAccountType "ComputerAccount" -OrganizationalUnitDistinguishedName "OU=POCWVD,DC=fernandovale,DC=local"
Alterar:
ResourceGroupName = Colocar o mesmo nome que criamos no inicio do artigo
Name: Colocar o mesmo nome do Storage Account
OrganizationalUnitDistinguishedName= Colocar a OU onde será salvo a conta do storage account.
No Azure podemos confirmar agora o connect do file share:
Agora vamos configurar os acessos ao Storage Account, vamos utilizar os grupos WVD-Users e FSLogix- Admin, esses grupos já foram criados em meu ADDS e sincronizados com a Azure.
Em "Role" digite "SMB" e solha a seguinte opção:
Em seguida escolha o grupo de acesso ao FSLogix, no caso o WVD-Users
Em seguida vamos fazer o acesso admin:
Com isso já podemos acessar o compartilhamento para fazer as alterações das permissões NTFS:
Em seguida vamos clicar com o botão direito e alterar as permissões conforme:
Users - Modify - This Folder Only
Create/Owner - Modify - Subfolders and Files Only
Administrator - Full - Full
Pronto, com isso temos toda a parte de Azure pronta, basta apenas agora configurar a GPO.
Primeiro vamos fazer download dos arquivo adml e admx, sendo o admx o arquivo de configuração e o adml o arquivo de linguagem de GPO.
Feito o download abra o arquivo .zip
O download acompanha o FSLogix para instalar nas máquinas e os arquivos da GPO, as imagens mais atuais do Windows 10 multisession já acompanha o FSLogix, mas para configurar basta ir em adicionar ou remover programas de alguma máquina do seu hostpool e confirmar se está instalado, se não estiver basta instalar.
Agora vamos copiar o arquivo fslogix.admx para o caminho onde fica a central store de group policy do seu active directory:
Uma instalação nova do AD geralmente não acompanha a central store, basta criar nesse caminho a pasta PolicyDefinitions
Agora vamos colocar o arquivo .admx dentro dela:
Em seguida vamos criar a pasta com a liguagem da GPO, no caso padrão em Inglês é a pasta "en-us", se seu servidor estiver em português seria "pt-br"
Agora colar o arquivo .adml na pasta en-us
Feito isso vamos abrir o GPMC (Group Policy Management Console)
Em POCWVD ( Caso já tenha um hostpool criado basta vincular onde estão os hosts) vamos criar uma GPO:
Nomeie a GPO, no meu caso FSLogix
Clique com o botão direito para editar
Em seguida vamos para o seguinte caminho: Computer Configuration -> Policies -> Administrative Templates -> FSLogix
Nessa GPO estão várias configurações, vale a pena perder um tempo e conhecê-las para ver qual se adequa melhor ao seu ambiente.
Em FSLogix, vá para "Profile Conteiners"
Aqui vamos trabalhar 4 GPOS:
Enabled - Habilitar o FSLogix
VHD location - Local onde estarão guardados os perfis, no caso a storage account que criamos
Delete local profile when FSLogix Profile should apply - apagar perfil local existente quando aplicar o FSLogix, útil para não dar perfil temporário ou duplicidade
Size in MBs - tamanho do perfil
Em Enabled devemos marcar o "Enabled" nos dois locais.
Em "VHD Location" devo marcar enabled e colocar o caminho UNC do storage account:
Em "delete local profile" o mesmo:
Em "Size in MBs" vamos definir o tamanho máximo do perfil, no caso escolhi 10 GB's, lembrando que o tamanho máximo por compartilhamento é 5 tb.
Agora navegue até "Container and Directory Naming"
Aqui nó vamos configurar a "Virtual Disk Type" e forçar que todos os perfis sejam criados em VHDX que é um disco mais performático.
Com isso temos essencialmente nosso FSLogix configurado. Caso você tenha uma estrutura de hostpool basta vincular a GPO onde estão as máquinas e reiniciar. Caso esteja acompanhando não pare por ai, agora no próximo post vamos criar um Host Pool e ver FSLogix funcionando na prática.
Ficou com dúvida? Tem um vídeo excelente do Raphael Andrade (TFTEC) no youtube com um passo a passo super bacana:
Enjoy!!!
Referências
Comentários