CVAD 1912 LTSR 部署实践指南:配置Citrix UPM

CVAD 1912 LTSR 部署实践指南:配置Citrix UPM

Citrix Virtual Apps and Desktops 1912 部署实践指南

配置Citrix User Profile Management(Rev1.1)
Citrix User Profile Management(UPM)是Citrix提供的一个用于配置、优化Windows用户漫游配置文件的解决方案,通过UPM可以确保用户的个性化设置在任意的桌面或应用中得到同步。

Citrix UPM主要应用场景在池桌面与SBC环境中,由于池桌面注销或重启后用户的个性化配置及存储的文件会丢失,结合Citrix UPM就可以将个性化配置及存储的文件保留。UPM为管理Windows环境中的个性化设置提供了一种简单、可靠的方法,通过漫游用户的单个用户配置文件来确保用户在任意桌面或应用的一致体验。UPM可以自动整合和优化用户配置文件,以最大限度地降低管理和存储要求,同时为用户提供改进优化的的登录和注销体验。

本章节内容需要您首先了解Windows用户漫游配置文件、文件重定向、应用数据的基本概念。

当然经历过Citrix Virtual Desktops的小伙伴们都知道,用户的Profile的最难搞定的问题之一,当然在各种EUC方案中用户Profiles肯定都是一个很大的问题;这里面需要预先考虑Profile大小、Profile膨胀、应用程序数据、后端存储选项;甚至有担心管理Profile太麻烦而绕开池桌面使用专用桌面(Dedicated)。管理User Profile无疑对任何一个EUC工程师能力都是一种考验,User Profiles需要工程师们具备很强的综合能力;一套优秀的User Profiles配置对于最终用户而言的收益是不言而喻的。当然Citrix UPM并不是在管理User Profiles场景中唯一的选择,Citrix UPM也不仅是只支持在Citrix环境中运行;Citrix UPL也是管理User Profiles场景非常棒的解决方案,而我在项目中更喜欢使用FSLogix来处理User Profile。

配置并启用UPM有以下四种方法:

Citrix 策略
Citrix DDC默认提供的策略中包含了UPM部分,新建一组策略并分配给指定的对象使UPM生效;

Microsoft AD组策略
Citrix提供了UPM的ADM模板文件,将UPM ADM模板文件导入组策略,新建一组GPO并分配在指定的OU中使UPM生效;

修改 .ini文件(ini)
在安装UPM的安装路径(C:\Program Files\Citrix\User Profile Manager)中生成一个UPMPolicyDefaults_all.ini文件,通过修改这个ini文件可以配置UPM。

Citrix Workspace Environment Management (WEM)
*根据项目的实际情况选择一种方法进行配置即可,这四种的方法建议选择的优先级:

AD组策略> Citrix 策略>WEM>修改.ini文件

本章节内容介绍前两种管理User Profile的方法。

目录
• 配置文件服务器:
• 通过AD组策略配置UPM及文件重定向:
• 通过Citrix Studio配置UPM及文件重定向:
• 验证Citrix User Profile Management(UPM)及文件夹重定向:
• 配置文件服务器:

两种管理User Profile的方法配置前需要预先准备好NAS存储,NAS存储可以采用第三方的商业NAS存储,如DellEMC Isilon。或者采用Windows NAS;至于采用哪种NAS存储需要考虑投入成本、高可用方案、环境规模等因素。本节内容Windows NAS进行演示编写,给人建议Windows NAS推荐在小于500点的项目中使用,当然有条件的还是推荐购买商业NAS存储,由于现在很多硬件厂商都提供“统一存储”(一套存储同时提供块与文件存储),这类的存储选项时一定要擦亮眼睛,慎重考虑在VDI场景下同时提供块与文件对存储控制器性能的影响。

我(大大李)编写本系列文章的另一目的是提供一套参考下较强的标准配置手册,NAS系统的多样性很难达到统一的构建NAS系统,即使我们使用Windows Server虚拟机来构架一套高可用(文件服务器故障转移群集;Windows Server Failover Cluster,简称WSFC)的Windows NAS环境,在VMware vSphere与Citrix Hypervisor (以前称为XenServer)中的配置也是有一定区别的。一次接下来我将采用单台Windows Server虚拟机来作为我本次环境中使用的NAS。在生产环境中采用Windows NAS时请一定考虑高可用性。

1、打开预先创建的“VDI-FSR-01”虚拟机,更改计算机名、IP地址,加入“ad.itdali.cn”域 ;将“XDAdmin”加入到本地管理员组;

image.png

2、添加一块独立的硬盘(vDisk),格式化并分区;

image.png

3、如果你的环境是Windows Server 2016或2019可以尝试使用微软下一代文件系统REFS,REFS相比NTFS有着更好的性能;但需要注意REFS不支持VSS;

image.png

4、创建2个文件夹,命名分别为“HomeFolder”、“UserProfile” ,名称无所谓,够形象就好;

image.png

5、为“HomeFolder”文件夹开启共享,共享名称后面建议加一个“$”符号;在创建共享时,通过在共享名后放置 $ 来隐藏共享。 这会在资源浏览器中隐藏共享;

image.png

6、将权限设置为 “Everyone”为完全控制权限;

image.png

7、接下来配置文件所需的权限,可参考:https://msdn.microsoft.com/zh-cn/library/jj649079(v=ws.11).aspx

用户帐户 访问权限 适用于
System 完全控制 此文件夹、子文件夹和文件
Administrators 完全控制 此文件夹、子文件夹和文件 或者 只有该文件夹
CREATOR OWNER 完全控制 仅子文件夹和文件
需要将数据放在共享中的用户(漫游用户配置文件用户)的安全组 列出文件夹/读取数据
创建文件夹/附加数据

只有该文件夹
其他组和帐户 无(删除)
8、在HomeFolder文件的属性——安全——高级 页面中点击“禁用继承”;

image.png

9、选择“将已继承的权限转换为此对象的显示权限”

image.png

10、然后参考上面第7步的表格中的权限配置成如下即可,配置完成后点击确定

image.png

11、然后在HomeFolder文件的属性——安全——高级共享——缓存 页面中点击“该共享文件夹的文件或程序在脱机状态下不可用”;

image.png

12、然后参考步骤5~11配置另外一个文件夹“UserProfile” 的权限设置;至此两个符合最小权限管理的两个共享文件夹配置完成;

image.png

13、然后建议Windows NAS安装“文件服务器资源管理器”;

image.png

13、建议安装“增强的存储”功能;

image.png

14、两个推荐的安装完成后重启文件服务器即可;
image.png

• 通过AD组策略配置UPM及文件重定向:

15、域管理员登录到任意一台Dmoain Controller服务器;首先将Citrix提供的UPM ADM组策略模板文件导入到AD中,UPM ADM文件在Citrix_Virtual_Apps_and_Desktops_7_1912.ISO安装文件的x64\ProfileManagement\ADM_Templates中;,打开“ADM_Templates”与“C:\Windows\PolicyDefinitions”文件夹;
image.png

16、打开x64\ProfileManagement\ADM_Templates\CitrixBase

将adml文件复制到C:\Windows\PolicyDefinitions\zh-CN 文件夹中
将admx文件复制到C:\Windows\PolicyDefinitions\ 文件夹中
image.png

17、打开x64\ProfileManagement\ADM_Templates\zh-CN

将adml文件复制到C:\Windows\PolicyDefinitions\zh-CN 文件夹中
将admx文件复制到C:\Windows\PolicyDefinitions\ 文件夹中
image.png

如果要通过在DDC或其它端点安装了“组策略管理”功能的服务器中管理或查看UPM策略,也需要将UPM ADM文件拷贝到“C:\Windows\PolicyDefinitions”文件夹中;如果具有域控制服务器本地管理员权限,也可以将UPM ADM文件拷贝到\domain\SYSVOL\domain name\Policies\PolicyDefinitions文件夹中,如,在我这里可以拷贝到\ad.itdali.cn\SYSVOL\ad.itdali.cn\Policies\PolicyDefinitions。

18、在AD中打开“组策略管理器”;

image.png

19、找到“组策略对象”,新建一个GPO;

image.png

20、新建一个策略(GPO),我这里命名为“Citrix_UPM_Policy”,选中这个GPO打开点击右侧的“高级”;

image.png

21、点击“添加”;

image.png

22、这就添加不生效该策略的管理员账号,将“Citrix管理员用户组”添加进来,先分配“完全控制”权限;

image.png

23、然后在“应用组策略”项目周勾选“拒绝”;

image.png

24、点击“是”;

image.png

25、编辑这个GPO;

image.png

26、导航到 计算机配置——管理模板——Citrix Components——Profile Management

image.png

27、启用 “启用Profile Management”、“处理本地管理员登录”;禁用“主动回写”;

image.png

28、打开“用户存储路径”,选择“已启用”,路径输入 \VDI-FSR-01\UserProfile$#SAMAccountName#!CTX_OSNAME!!CTX_OSBITNESS!

https://support.citrix.com/article/CTX222893路径输入 \VDI-FSR-01\UserProfile$#SAMAccountName# 这个样式是最低要求,后面可以继续增加一些变量;更多说明参考:

image.png

29、导航到 计算机配置—管理模板—Citrix Components—Profile Management—高级设置

启用 “注销时处理Internet cookie文件”

禁用 “客户体验改善计划”
image.png

30、导航到 计算机配置—管理模板—Citrix Components—Profile Management—文件系统;启用 “启用默认排除列表-目录”

image.png

31、导航到 计算机配置—管理模板—CitrixComponents—ProfileManagement—注册表

启用 “默认排除列表”、“NTUSER.DAT 备份”

image.png

32、导航到 计算机配置—管理模板—CitrixComponents—ProfileManagement—流用户配置文件;启用 “Profile Streaming” ,启用此设置可加快登录速度;

image.png

33、至此UPM基本配置完成,将此GPO分配给对应的OU即可生效;但这样做使用一段时间后UuserProfile会膨胀变大,因此我们还需要做一下更多高级的配置;

导航到 计算机配置—管理模板—Citrix Components—Profile Management—文件系统;

启用 “排除列表-文件”,添加以下内容到目录列表:
AppData\Local\Google\Chrome\UserData*.tmp
AppData\Local\Google\Chrome\UserData*.pma
AppData\Local\Google\Chrome\UserData\en-US-8-0.bdic
AppData\Local\Google\Chrome\UserData\Last Version
AppData\Local\Google\Chrome\UserData\Safe Browsing Cookies
AppData\Local\Google\Chrome\UserData\Safe Browsing Cookies-journal
AppData\Local\Google\Chrome\UserData\chrome_shutdown_ms.txt
image.png

启用 “排除列表-目录”,添加以下内容到目录列表:
AppData\Local\Microsoft\Windows\INetCache
AppData\local\Microsoft\Windows\IEDownloadHistory
AppData\Local\Microsoft\Internet Explorer\DOMStore
Appdata\Local\Microsoft\Internet Explorer\emieuserlist
Appdata\Local\Microsoft\Internet Explorer\emiesitelist
Appdata\Local\Microsoft\Internet Explorer\emiebrowsermodelist
AppData\Local\Google\Software Reporter Tool
AppData\Local\Google\Chrome\User Data\Default\Media Cache
AppData\Local\Google\Chrome\UserData\BrowserMetrics
AppData\Local\Google\Chrome\UserData\CertificateRevocation
AppData\Local\Google\Chrome\UserData\CertificateTransparency
AppData\Local\Google\Chrome\UserData\Crashpad
AppData\Local\Google\Chrome\UserData\FileTypePolicies
AppData\Local\Google\Chrome\UserData\InterventionPolicyDatabase
AppData\Local\Google\Chrome\UserData\MEIPreload
AppData\Local\Google\Chrome\UserData\OriginTrials
AppData\Local\Google\Chrome\UserData\PepperFlash
AppData\Local\Google\Chrome\UserData\pnacl
AppData\Local\Google\Chrome\UserData\Safe Browsing
AppData\Local\Google\Chrome\UserData\ShaderCache
AppData\Local\Google\Chrome\UserData\SSLErrorAssistant
AppData\Local\Google\Chrome\UserData\Subresource Filter
AppData\Local\Google\Chrome\UserData\SwReporter
AppData\Local\Google\Chrome\UserData\WidevineCdm
image.png

34、导航到 计算机配置—管理模板—Citrix Components—Profile Management—文件系统;启用 “登录排除项检查”——“删除排除的文件或文件夹”;

image.png

35、导航到 计算机配置—管理模板—Citrix Components—Profile Management—文件系统—同步;

启用 “要同步的列表-目录”,添加以下内容到目录列表:
AppData\Local\Microsoft\Windows\Caches
AppData\Local\Microsoft\Credentials
Appdata\Roaming\Microsoft\Credentials
Appdata\Roaming\Microsoft\Crypto
Appdata\Roaming\Microsoft\Protect
Appdata\Roaming\Microsoft\SystemCertificates
image.png

启用 “要同步的列表-文件”,添加以下内容到目录列表:
Appdata\Local\Microsoft\Windows\UsrClass.dat*
AppData\Roaming\Microsoft\Signatures
AppData\LocalLow\Sun\Java\Deployment\security\exception.sites
AppData\LocalLow\Sun\Java\Deployment\security\trusted.certs
AppData\LocalLow\Sun\Java\Deployment\deployment.properties
AppData\Local\Google\Chrome\User Data\First Run
AppData\Local\Google\Chrome\User Data\Local State
AppData\Local\Google\Chrome\User Data\Default\Bookmarks
AppData\Local\Google\Chrome\User Data\Default\Favicons
AppData\Local\Google\Chrome\User Data\Default\History
AppData\Local\Google\Chrome\User Data\Default\Preferences
AppData\Local\Google\Chrome\UserData\Custom Dictionary.txt
image.png

启用 “要镜像的文件夹”,添加以下内容到目录列表:
AppData\Roaming\Microsoft\Windows\Cookies
AppData\Roaming\Microsoft\Signatures
AppData\Local\Microsoft\Windows\INetCookies
AppData\Local\Microsoft\Windows\WebCache
AppData\Local\TileDataLayer
AppData\Local\Microsoft\Vault
AppData\Local\Microsoft\Windows\Caches
AppData\Local\Packages
AppData\Local\Google\Chrome\User Data\Default\Extensions
AppData\Local\Google\Chrome\User Data\Default\Login Data
AppData\Local\Google\Chrome\User Data\Default\Last Session
AppData\Local\Google\Chrome\User Data\First Run
AppData\Local\Google\Chrome\User Data\Local State
AppData\Local\Google\Chrome\User Data\Default\Bookmarks
AppData\Local\Google\Chrome\User Data\Default\Favicons
AppData\Local\Google\Chrome\User Data\Default\History
AppData\Local\Google\Chrome\User Data\Default\Preferences
image.png

36、以上步骤,通过组策略的方式完成了UPM配置的配置;我们接着在该GPO中配置用户文件夹重定向;Citrix Profile Management也带有用户文件夹重定向功能,但我更加推荐采用微软的文件夹重定向工具进行交付;导航到 用户设置——策略——Windows设置——文件重定向

image.png

37、右键选择“AppData(Roaming)”,点击“属性”配置以下信息:

设置:基本—将每个人的文件夹重定向到同一个位置;
目标文件夹路径:在根路径下为每一个用户创建一个文件夹;
根路径:\VDI-FSR-01\HomeFolder$
image.png

38、然后在设置中取消勾选“授予用户对AppData(Roaming)的独占权限”

image.png

39、然后点击“确定”,出现警告框后点击“是”;

image.png

40、右键分别点击下面的项目,点击“属性”,

桌面
开始菜单
文档
收藏夹
联系人
下载
链接
搜索
为以上每个项目配置成以下设置:

设置:基本—将每个人的文件夹重定向到同一个位置;
目标文件夹路径:在根路径下为每一个用户创建一个文件夹;
根路径:\VDI-FSR-01\HomeFolder$
取消勾选“授予用户对AppData(Roaming)的独占权限”
41、右键分别点击下面的项目,点击“属性”,

图片
音乐
视频
为以上每个项目配置成以下设置:设置:跟随 文档 文件夹
image.png

42、以上步骤,通过组策略的方式将用户文件夹重定向策略配置完成,在这组策略中,所有策略均是用户策略,但这组策略Link的OU是计算机,默认情况下这样做是不生效的,这时就需要配置“环回”策略,在 计算机配置——策略——管理模板——系统——组策略 中找到“配置用户组策略环回处理模式”;改成“已启用”,选项“替换”,然后点击“确定”;

  • 将用户策略Link到计算机OU目的是为了限制用户策略的生效范围,因为在很多情况下,一个用户可能有多台、多种类型的Windows计算机。

image.png

43、下面应用这个GPO,找到要生效该策略的计算机OU,然后点击右键——“链接现有GPO”;

image.png

44、选择我们刚配置的“Citrix_UPM_Policy”,该OU内的计算机重启后将生效该策略;

image.png

• 通过Citrix Studio配置UPM及文件重定向:

45、打开Citrix Studio,点击左 策略——创建策略 ;

image.png

46、点开“所有设置”,下拉选择Profile Management中的“基本设置”;

image.png

47、配置以下项目:

主动回写:启用
主动回写注册表:启用
启用Profile Management:启用
处理本地管理员登录:启用
用户存储路径:启用;\VDI-FSR-01\UserProfile$#SAMAccountName#!CTX_OSNAME!!CTX_OSBITNESS!
image.png

48、再次点开“所有设置”,下拉选择Profile Management中的 “高级设置” 配置以下项目:

客户体验改善计划:禁用
注销时处理Internet cookie文件:启用
image.png

49、再次点开“所有设置”,下拉选择Profile Management中的“流用户配置文件”配置以下项目:

Profile Streaming:启用
image.png

50、再次点开“所有设置”,下拉选择Profile Management中的“默认排除性”,没有特效情况可以启用所有的设置项目;

image.png

51、再次点开“所有设置”,下拉选择Profile Management中的 “文件系统” 配置以下项目:

排除列表-文件:启用
列表:与AD中的配置
image.png

排除列表-文件:目录
列表:与AD中的配置
image.png

要同步的文件:启用
列表:与AD中的配置
image.png

要同步的目录:启用
列表:与AD中的配置
image.png

要镜像的文件夹:启用
列表:与AD中的配置
image.png

52、再次点开“所有设置”,下拉选择Profile Management中的 “注册表” 配置以下项目:

NTUSER.DAT 备份:启用
启用默认排除列表:启用
image.png

53、再次点开“所有设置”,下拉选择 文件夹重定向:

image.png

54、点开“文件夹重定向”,下拉选择 AppData(Roaming):

AppData(Roaming) 的重定向设置:重定向到以下UNC路径
AppData(Roaming) 路径:\VDI-FSR-01\HomeFolder$
然后像AppData(Roaming)一样依次设置下面的项目:

桌面
开始菜单
文档
收藏夹
联系人
下载
链接
搜索
image.png

55、分别下面的项目配置为 重定向设置:相对于“文档”文件夹重定向”,

图片
音乐
视频
image.png

56、开“所有设置”,下拉选择Profile Management中的 “通用设置” 配置以下项目:配置完成后点击“下一步”

授予管理员访问权限:启用(根据时间需求进行选择)
至此,通过Citrix Studio配置的UPM及文件夹重定向的策略项目配置完成,点击“下一步”;

image.png

57、选择一个策略应用对象,这里我选择“交付组”;

image.png

58、选择一个交付组,然后点击“确定”

image.png

59、定义一个策略名称,勾选“启用策略”;

image.png

60、调整“Citrix_UPM_Policy”策略为最高优先级;该策略所应用到的交付组内的计算机重启后将生效该策略。

image.png

• 验证Citrix User Profile Management(UPM)及文件夹重定向:

在上面的小节中,通过两种(AD组策略与Citrix Studio)方式配置了UPM及文件重定向策略;在使用时选择其中一种方式即可,虽然AD组策略与Citrix Studio两种配置方式最终实现的效果一样,但根据以往的项目经验建议优先选择AD组策略的方式进行配置UPM及文件重定向;我在这里验证时采用通过AD组策略配置UPM及文件重定向的方法;

61、首先登录到AD服务器,打开组策略,找要验证UPM使用的桌面所在的“组织单位”,该环境中我使用随机池桌面进行验证,对应的组织单位是“云桌面_B”,确认该OU中分配了UPM GPO;

image.png

62、登录到“云桌面_B”,我这里使用SC1用户登录;
image.png

63、在桌面新建一个文件,更换一个壁纸后注销或重启;

image.png

64、再次使用SC1用户登录,此时登录到了另外一个桌面,桌面壁纸、文件都在,UPM成功生效;

image.png

65、登录到文件服务器,可以看到在UserProfile与HomeFolder;日后若需要重置用户配置文件只需删除UserProfile文件夹下的对应用户文件夹即可。

image.png

©itdali.cn,大大李原创文章

# Citrix  Desktop 

评论

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×