Nur wenige Monate nach dem Start von Windows Virtual Desktop hat Microsoft mit dem Spring Update schon die zweite Version seines Clouddiensts an den Start gebracht, die den technischen Unterbau erneuert. Die Administration basiert nun nicht mehr ausschließlich auf der PowerShell, ein bewährtes kostenloses Tool ist aber weiterhin von großem Nutzen. Wir stellen die Neuerungen und deren Einsatz vor.
Im Herbst 2019 erblickte die erste Version von Microsoft Windows Virtual Desktop (WVD) das Licht der Welt. Mit dem Dienst stellte Microsoft erstmals komplette Desktopumgebungen sowie einzelne RemoteApps als Desktop-as-a-Service (DaaS) aus der Azure-Cloud bereit. Damit nahm Microsoft IT-Verantwortlichen die Aufgabe ab, die nötigen Infrastrukturdienste in Eigenregie zu betreiben. Sämtliche aus einer Installation der Remotedesktopdienste on-premises bekannten Rollen wie Gateway, Web Access, Broker und Loadbalancer wanderten in die Cloud, wo Microsoft sie verwaltet (Bild 1).
Diese erste Version mitsamt einiger nützlicher Tools, die Ihnen den Admin-Alltag vereinfachen, hatten wir bereits vorgestellt [1]. Dass zusätzliche Werkzeuge nötig waren, lag an der Komplexität der Lösung. So handelte es sich beim Kundenkonto für WVD, dem WVD-Tenant oder -Mandanten, um eine Verwaltungsinstanz, die nicht vollständig ins Azure-Portal integriert war, sondern parallel dazu existierte. Um beide Welten zu verbinden, mussten Sie die PowerShell bemühen und auch im laufenden Betrieb ließen die WVDs einige Funktionen vermissen, etwa eine komfortable Verwaltung von Hostpools, RemoteApps und Benutzersitzungen direkt im Azure-Portal.
Trotz dieser Unzulänglichkeiten konnte bereits die Erstausgabe der WVD viele Unternehmenskunden begeistern, sodass diese ältere Variante auch jetzt noch in Betrieb ist. Wer sich neu mit dem Thema beschäftigt, darf aber getrost sofort zur zweiten Version greifen, die einiges besser macht. So dürfen sich Endanwender über deutlich verbesserte Audio- und Video-Redirection sowie gesteigerte Performance von Teams freuen. Im Backend profitieren aber vor allem die Admins von der vereinfachten Handhabung.
Im Herbst 2019 erblickte die erste Version von Microsoft Windows Virtual Desktop (WVD) das Licht der Welt. Mit dem Dienst stellte Microsoft erstmals komplette Desktopumgebungen sowie einzelne RemoteApps als Desktop-as-a-Service (DaaS) aus der Azure-Cloud bereit. Damit nahm Microsoft IT-Verantwortlichen die Aufgabe ab, die nötigen Infrastrukturdienste in Eigenregie zu betreiben. Sämtliche aus einer Installation der Remotedesktopdienste on-premises bekannten Rollen wie Gateway, Web Access, Broker und Loadbalancer wanderten in die Cloud, wo Microsoft sie verwaltet (Bild 1).
Diese erste Version mitsamt einiger nützlicher Tools, die Ihnen den Admin-Alltag vereinfachen, hatten wir bereits vorgestellt [1]. Dass zusätzliche Werkzeuge nötig waren, lag an der Komplexität der Lösung. So handelte es sich beim Kundenkonto für WVD, dem WVD-Tenant oder -Mandanten, um eine Verwaltungsinstanz, die nicht vollständig ins Azure-Portal integriert war, sondern parallel dazu existierte. Um beide Welten zu verbinden, mussten Sie die PowerShell bemühen und auch im laufenden Betrieb ließen die WVDs einige Funktionen vermissen, etwa eine komfortable Verwaltung von Hostpools, RemoteApps und Benutzersitzungen direkt im Azure-Portal.
Trotz dieser Unzulänglichkeiten konnte bereits die Erstausgabe der WVD viele Unternehmenskunden begeistern, sodass diese ältere Variante auch jetzt noch in Betrieb ist. Wer sich neu mit dem Thema beschäftigt, darf aber getrost sofort zur zweiten Version greifen, die einiges besser macht. So dürfen sich Endanwender über deutlich verbesserte Audio- und Video-Redirection sowie gesteigerte Performance von Teams freuen. Im Backend profitieren aber vor allem die Admins von der vereinfachten Handhabung.
Integriert ins Azure-Portal
Erstmals vorgestellt hat Microsoft den neuen Ansatz im Rahmen einer öffentlichen Beta-Phase Anfang des letzten Jahres. Die finale Version ist seit Anfang Mai 2020 allgemein verfügbar, weshalb sie auch als "Spring Update" oder "Spring Release" bekannt ist. Im zweiten Anlauf basieren die WVDs auf dem Azure Resource Manager (ARM) und sind damit, wie jeder andere von Microsofts Clouddiensten auch, direkt ins Azure-Portal und das Azure-PowerShell-Modul integriert.
Erste Anlaufstelle für brandaktuelle Informationen und Tipps rund um WVD ist weiterhin der Blog des Microsoft-Mitarbeiters Christiaan Brinkhoff, der auch für das Spring Update mit einer praktischen Anleitung bei Inbetriebnahme und Administration hilft [2]. Noch schneller bringt Microsofts Windows Virtual Desktop QuickStart eine erste Testumgebung an den Start [3].
Sie benötigen für Setup und Verwaltung kein eigenständiges Webfrontend und kein separates PowerShell-Modul mehr. WVD verzichtet auch auf eine separate API. Die URL zu einer WVD-Ressource, etwa einem Hostpool, folgt dem einheitlichen Pfadaufbau, wie er für alle Azure-Ressourcen gilt. Das vereinfacht die Verwaltung via PowerShell sowie Abfragen per REST-Schnittstelle. Doch wer sich der neuen Version lieber grafisch nähern möchte, gelangt über das Azure-Portal nun auch ganz ohne PowerShell zum Ziel.
Voraussetzungen unverändert
Die grundlegenden Voraussetzungen haben sich im Vergleich zur Vorgängerversion allerdings nicht geändert. So setzen die WVD weiterhin eine passende Lizenz voraus: Remote-Desktop-Services-Client-Access-Lizenzen (RDS-CAL) mit aktiver Software Assurance (SA) berechtigen zum Betrieb von Remote-Desktop-Session-Hosts, also den guten alten Terminalservern, in der Cloud. Virtuelle Desktops auf Basis eines Windows-Clientbetriebssystems erfordern Lizenzen der Typen Windows E3, E5, A3, A5 oder Microsoft 365 E3, E5, A3, A5, F1 und Business. Hinzu addieren sich die Betriebskosten der Azure-Compute- und -Storage-Ressourcen, die Ihre WVD-Hostpools verwenden.
Weiterhin sind auch die technischen Voraussetzungen unverändert. Die VMs in Ihren Hostpools wollen bereits beim Erstellen des Pools einer Domäne beitreten und benötigen dazu ein virtuelles Netz, das den Zugriff auf mindestens einen herkömmlichen AD-Domaincontroller oder aber die Azure Active Directory Domain Services [4] erlaubt. In beiden Fällen muss sich die klassische Windows-Domäne per "Azure AD Connect" mit dem Azure Active Directory (AAD) synchronisieren, da sich Benutzer, die auf WVD-Ressourcen zugreifen möchten, gegen das AAD authentifizieren. Sind diese Voraussetzungen erfüllt, können Sie sich an die Konfiguration eines Hostpools begeben.
Dienst registrieren, Hostpool erstellen
Zunächst navigieren Sie im Azure-Portal zum Bereich "Kostenverwaltung + Abrechnung / Kostenverwaltung / Azure-Abonnements" und wählen dort Ihr Abonnement aus. In dessen Eigenschaften begeben Sie sich dann zum Unterpunkt "Ressourcenanbieter", suchen den Anbieter "Microsoft.DesktopVirtualization" und registrieren diesen.
Weiter geht es dann im Portal unter "Alle Dienste", wo Sie in der Rubrik "Sonstiges" den Dienst "Windows Virtual Desktop" finden. Der versammelt sämtliche Funktionen zur Konfiguration der Desktops unter einer Haube und positioniert die Aktion "Hostpool erstellen" prominent an oberster Stelle (Bild 2). Für den produktiven Einsatz empfiehlt es sich natürlich, zunächst ein auf
Ihren Bedarf angepasstes individuelles VM-Image zu erzeugen. Doch zum Kennenlernen tut es auch eins der im Azure-Katalog vorhandenen Images.
Separate Speicherorte für Metadaten und VMs einrichten
Beginnen Sie also mit der Konfiguration eines Hostpools. Auf der ersten Registerkarte wählen Sie die Ressourcengruppe und geben dem Pool einen Namen. Weiterhin stoßen Sie hier auf das Dropdown-Feld "Standort" und müssen feststellen, dass darin ausschließlich verschiedene Regionen in den USA zur Auswahl stehen (Bild 3).
Es handelt sich dabei allerdings nicht um den Standort, an dem die VMs des Hostpools laufen werden, sondern nur um die geografische Region, in der die Metadaten des Hostpools lagern. Davon unabhängig können Sie im zweiten Dialogschritt des Assistenten den VM-Standort separat bestimmen und die Desktops etwa auch in der Region "Deutschland, Westen-Mitte" ansiedeln. Auch Metadaten enthalten aber Informationen zu Benutzern und ihrem Verhalten, sodass viele Datenschützer schon das Speichern der Metadaten in den USA kritisch sehen. Auf der Roadmap zur Weiterentwicklung der WVDs [5] hat Microsoft andere geografische Regionen als Speicherort der Metadaten für den März 2021 angekündigt, sodass die Funktion vielleicht schon verfügbar ist, wenn Sie diesen Artikel lesen.
Im Bereich des Hostpooltyps bestimmen Sie die Zuordnung von Benutzern zu Hosts: "Persönlich" weist Anwender einem Host statisch zu, "In Pool" bezeichnet eine dynamische Zuordnung, bei der ein Anwender zufällig auf einer der freien Maschinen landet. In diesem Fall ist der Lastenausgleichsalgorithmus relevant. Der Standardwert "Breitenorientierter Lastausgleich" verteilt reihum die Benutzer über alle verfügbaren Hosts. Das sorgt für eine optimale Lastverteilung sowie den geringsten Schaden, sollte ein Host ausfallen. Ein "Tiefenorientierter Lastausgleich" füllt dagegen erst einen Host bis zum konfigurierten maximalen Session-Limit, bevor er der nächsten VM Benutzer zuweist. Dies hilft bei einer möglichst sparsamen Ressourcennutzung, da nur so viele Hosts laufen müssen, wie tatsächlich aktuell benötigt werden.
Multi-User-Windows-10 nur in Azure
Auf der nächsten Seite wählen Sie den Standort und die Konfektionsgröße der Desktop-VMs. Bestimmen Sie die Anzahl der VMs und ein Präfix für die Namen ihrer AD-Konten. Weiterhin müssen Sie sich beim Image-Typ zwischen "Katalog" und "Speicherblob" entscheiden. Letzterer setzt allerdings voraus, dass Sie zuvor ein individuelles Image erstellt haben und den URI dazu kennen. Für erste Gehversuche wählen Sie eines der von Microsoft vorgefertigten Images aus dem Katalog, etwa mit "Windows 10 Enterprise multi-session, Version 2004 + Microsoft 365 Apps" die Multi-User-Variante von Windows, die Microsoft nur in Azure, jedoch nicht zur lokalen Installation herausrückt.
Im Bereich von "Netzwerk und Sicherheit" definieren Sie ein virtuelles Netzwerk, aus dem die VMs Ihre AD-Domäne erreichen können, und geben im Bereich "Administratorkonto" Anmeldeinformationen eines Benutzers ein, der die VMs zum AD-Domänenbeitritt berechtigt. Daraufhin fragt der Assistent, ob Sie eine Desktop-App-Gruppe registrieren möchten und in welchem Arbeitsbereich diese verortet sein soll. Letzteres bedarf der Erklärung: Das Prinzip der Desktop-App-Gruppen oder auch Anwendungsgruppen ist bereits aus den lokalen Remotedesktopdiensten bekannt. Microsoft fasst RemoteApps und Desktops in solchen Gruppen zusammen und vergibt Berechtigungen zum Zugriff auf die freigegebenen Ressourcen auf Basis dieser Gruppen. Neu ist, dass Hostpools nun gleichzeitig Anwendungsgruppen für Desktops und RemoteApps bereitstellen können. In der vorherigen Version mussten Sie sich noch pro Hostpool für einen dieser Anwendungsgruppentypen entscheiden.
Anwendungsgruppen und Arbeitsbereich nutzen
Oberhalb der Anwendungsgruppen führt Microsoft mit dem Spring Update als weitere logische Einheit die Arbeitsbereiche ein, im Englischen "Workspaces" genannt. Die dienen allerdings nur der logischen Gruppierung von Anwendungen im WVD-Client. Berechtigungen an Benutzer vergeben Sie weiterhin nur auf Ebene der Anwendungsgruppen. Jede Anwendungsgruppe muss genau einem Arbeitsbereich zugeordnet sein. Ein Arbeitsbereich nimmt mehrere Anwendungsgruppen auf und dies auch Hostpool-übergreifend, aber mit der Beschränkung, dass alle Hostpools in derselben geografischen Azure-Region angesiedelt sein müssen. Zu guter Letzt versehen Sie den Hostpool optional noch mit Tags, überprüfen die gewählten Optionen und erstellen die Ressource. Die erste Inbetriebnahme geht damit deutlich schneller von der Hand als in der vorherigen Version.
Ist der Hostpool fertig, konfigurieren Sie dessen Einstellungen komfortabel über das Azure-Portal. Navigieren Sie in die Eigenschaften eines Hostpools, steht Ihnen dort, wie von jeder anderen Azure-Ressource gewohnt, die Zugriffssteuerung (IAM) zur Verfügung, sodass Sie die Administration delegieren können. Im Menübereich der "Einstellungen" finden Sie die "RDP-Eigenschaften", mit denen Sie im Detail Sitzungsverhalten, Geräteumleitung und Anzeigeeinstellungen konfigurieren.
Im Menübereich "Verwalten" haben Sie Zugriff auf alle VMs im Pool und können nach Bedarf weitere hinzufügen. Weiterhin ordnen Sie den Pool hier einer oder mehreren Anwendungsgruppen zu, die Sie auch unter dem gleichnamigen Menüpunkt in der Übersicht der WVDs verwalten. Pro Anwendungsgruppe konfigurieren Sie dort die freigegebenen An- wendungen oder Desktops und regeln, wer darauf zugreifen darf. Das funktionierte in der früheren Version nur auf Basis einzelner Benutzer, mit dem Spring Update nun endlich auch auf Basis von Benutzergruppen im Azure AD. Sobald Sie nun die Anwendungsgruppen mit Arbeitsbereichen verknüpfen, können sich die Endanwender per Webfrontend oder WVD-Client unter Windows, macOS, iOS, Android sowie Linux anmelden und Sitzungen starten.
WVDAdmin vereinfacht Verwaltung
Anschließend finden Sie die Sitzungen im Bereich "Benutzer" in der WVD-Administration des Azure-Portals wieder. Finden ist in diesem Fall allerdings leider wörtlich zu nehmen, denn das Azure-Portal bietet keine Übersicht über alle laufenden Sitzungen, sondern lediglich ein Suchfeld, in dem Sie gezielt nach Anzeigenamen sowie User Principal Names (UPN) einzelner Benutzer oder Benutzergruppen suchen können. Das setzt aber voraus, dass Sie bereits wissen, nach welchen Sitzungen Sie fahnden. Eine tabellarische Darstellung aller Sitzungen lässt auch das Spring Update weiterhin vermissen.
Und damit hat das frei verfügbare Werkzeug WVDAdmin [6], entwickelt vom Microsoft Azure MVP Marcel Meurer aus dem Kölner Beratungshaus sepago, weiterhin seine Daseinsberechtigung. Die grundlegende Funktionalität hatten wir bereits in unserem früheren Beitrag vorgestellt. Doch wie die WVDs selbst hat auch das Tool an Funktionen dazugewonnen und spricht in der aktuellen Version mit beiden Welten, also sowohl der ursprünglichen Ausgabe der WVDs wie auch dem Spring Update. Die Software unterstützt die neue Architektur und kann Arbeitsbereiche hinzufügen, entfernen sowie mit Anwendungsgruppen verknüpfen.
WVDAdmin zeigt Ihnen alle laufenden Sitzungen über alle Hostpools in einer Tabelle, sodass Sie Sitzungen nach Bedarf abmelden oder zwecks Supports spiegeln können. Gleichermaßen präsentiert Ihnen WVDAdmin eine tabellarische Ansicht aller Maschinen in einem Hostpool mitsamt ihrem Status und der Anzahl laufender Sitzungen (Bild 3).
Als neue Funktion hat das Tool in dieser Übersicht eine Mehrfachauswahl von Maschinen im Angebot. So können Sie mehrere VMs in einem Rutsch für Anmeldungen sperren, alle Benutzer abmelden und auch aus der Ferne Skripte ausführen. Dazu bringt WVDAdmin im Installationsverzeichnis unter "C:\ Program Files\ ITProCloud.de\ WVDAdmin" zwei Beispiele mit. Das Skript "TriggerWindowsUpdates.ps1" startet die unbeaufsichtigte Installation von Updates, das "Custom-Script.ps" dient als Fundament für beliebige eigene Aktionen. Als besonders praktisch erweist sich dabei, dass WVDAdmin zur Remote-Ausführung der Skripte die native Schnittstelle von Azure nutzt und somit keinen direkten Netzwerkzugriff auf die Zielmaschinen benötigt.
Nicht-destruktive Images erzeugen
Den größten praktischen Nutzen entfalten die WVDs natürlich erst, wenn Sie eigene Betriebssystem-Images mit den in Ihrer Organisation benötigten Anwendungen als Basis für die Hostpools integrieren. Wie Sie dies bewerkstelligen, beschreibt im Detail der eingangs erwähnte Blog-Beitrag von Christiaan Brinkhoff.
Einen Nachteil in der Handhabung individueller Images beseitigt aber auch das Spring Update nicht. Wenn Sie auf dem von Microsoft vorgesehenen Weg eine VM nach Ihren Vorstellungen installieren und dann per sysprep generalisieren, wird diese dadurch unbrauchbar. Der sysprep-Befehl verwandelt die VM irreversibel in ein Template, das anschließend nicht mehr startet.
WVDAdmin erzeugt stattdessen zunächst aus einem Snapshot eine temporäre Kopie der VM und generiert daraus das Image. Die ursprüngliche VM bleibt erhalten, so dass Sie sie jederzeit wieder starten, verändern und erneut als Vorlage für weitere Images verwenden können. Somit bleibt WVDAdmin auch mit dem Spring Update ein unverzichtbarer Begleiter im Admin-Alltag.
Fazit
Das Spring Update bedeutet einen signifikanten Schritt nach vorn in der Entwicklung der WVD. Die neue technische Basis integriert den Dienst vollständig ins Azure-Portal und macht für Admins vieles leichter. Allerdings lässt Microsoft auch in der neuen Version Komfort bei der Handhabung vermissen. Wer mit eigenen Images arbeiten und auch in größeren Bereitstellungen mit vielen Hosts den Überblick behalten möchte, findet mit WVDAdmin ein äußerst praktisches und noch dazu kostenloses Hilfsmittel, das diese Lücke schließt.