User Profile Disk: Benutzerprofile für Terminal-Server zentral speichern

    VHDX im Share für User Profile DisksDie Remotedesktop-Dienste von Windows Server 2012 (R2) bieten neben den altbekannten Mechanismen wie Orderumleitung und Roaming Profiles mit User Profile Disk (Benutzerprofil-Datenträger) ein neues Verfahren, um Daten und Einstellungen der Benutzer zentral zu verwalten. Es handelt sich dabei um eine recht einfache Technik, die sich mit wenig Aufwand nutzen lässt, aber auch einige Limits hat.

    Die Terminaldienste sind die Geburtshelfer zahlreicher Tools für das Management von Benutzerprofilen und User-Umgebungen. Dort zeigen sich nämlich die Schwächen von Roaming Profiles am deutlichsten, etwa in Form von Versionskonflikten bei parallelen Sessions oder in langen Anmeldezeiten. Die gleiche Problematik gibt es auch bei virtuellen Desktops.

    Späte Reaktion von Microsoft

    Aus diesem Grund integrieren Citrix und VMware alternative Technologien in ihre Systeme, um die unerwünschten Nebeneffekte von Roaming Profiles zu vermeiden. Hinzu kommt ein ganzer Markt von UEM-Produkten, die in ihren Funktionen erheblich über diese integrierten Tools hinausgehen. Nur Microsoft zeigte bis in die jüngste Zeit wenig Ambitionen, um diese Lücke in seiner Plattform zu schließen. UE-V und User Profile Disk sollen das nun leisten.

    User Profile Disks lassen sich sowohl für Remotedesktop-Sessions als auch für nicht-persistente virtuelle Desktops (pooled Desktops) einsetzen. Die Funktions­weise ist dabei jeweils die gleiche: Der Administrator gibt ein Netzlaufwerk an, auf dem die Benutzerdaten in einer VHDX-Datei gespeichert werden. Der Session Host oder der virtuelle Desktop mounten die VHDX unterhalb des Verzeichnisses \users, so dass die Umleitung des Profils in eine virtuelle Harddisk für alle Anwendungen völlig transparent erfolgt.

    Zuweisung von User Profile Disks zu RDSH Collections

    Im Fall der Terminaldienste konfiguriert man die User Profile Disks auf der Ebene von Sammlungen (Collections). Daher gilt eine solche Konfiguration für sämtliche Benutzer auf allen Session Hosts einer Collection. Eine Zuweisung für bestimmte Benutzergruppen oder OUs ist entsprechend nicht möglich.

    Will man die persönlichen Einstellungen aus einer User Profile Disk in andere Sammlungen oder auf einen lokalen Windows-PCs übertragen, dann sieht Microsoft dafür die Synchronisierung via UE-V vor.

    Konfiguration im Server Manager

    Für die Konfiguration der User Profile Disks ist wie für jene der meisten RDS-Features der Server Manager zuständig. Dazu öffnet man in der Übersicht einer Sammlung im Pull-Down-Menü Aufgaben den Dialog Eigenschaften bearbeiten. Dort findet sich in der Liste von Einstellungen an der letzten Position der Eintrag Benutzerprofil-Datenträger. Standardmäßig ist dieses Feature abgeschaltet, nach seinem Aktivieren über die entsprechende Checkbox lässt es mit relativ wenigen Optionen konfigurieren.

    Benutzerprofil-Datenträger sind standardmäßig deaktiviert. Sie lassen sich pro Sammlung konfigurieren.

    Zu den erforderlichen Angaben zählt der Pfad zum Verzeichnis, auf denen die Profile gespeichert werden sollen. Dabei handelt es sich in der Regel um Netzwerkfreigaben auf einem File-Server, in Frage kommen aber auch SANs, wobei auch Cluster Shared Volumes unterstützt werden. Es ist nicht notwendig, explizit Zugriffsrechte für das Share zu vergeben, die Konfiguration des Features erledigt dies automatisch. Der im Feld Maximale Größe (in GB) anzugebende Wert gilt für einzelne VHDX-Dateien und damit pro Benutzer.

    Verzeichnisse selektiv in die VHDX umleiten

    Entscheidet man sich für den Einsatz von User Profile Disks, dann muss man keineswegs sämtliche Daten und Einstellungen dort speichern. Vielmehr erlaubt die Option Nur folgende Ordner auf dem Benutzerprofil-Datenträger speichern, dass man gezielt Verzeichnisse auswählt. Auf diese Weise ist es etwa möglich, nur die Einstellungen und die benutzerspezifischen Registry-Zweige in einer User Profile Disk abzulegen und die Daten weiterhin mit Hilfe der Ordnerumleitung an einem anderen Ort zu speichern.

    Bei Bedarf lassen sich nur ausgewählte Verzeichnisse in einer User Profile Disk speichern.

    Sobald man die Konfiguration für User Profile Disk gespeichert hat, legt der Server Manager auf dem gewählten Netzlaufwerk eine Datei namens UVHD-template.vhdx ab, die als Vorlage für die künftigen benutzerspezifischen Laufwerke dient. Letztere tragen zusätzlich die SID des Users in ihrem Namen. Falls Benutzer schon Daten in ihrem Profil gespeichert haben, bevor die User Profile Disk aktiviert wurde, dann wird das alte Profil nach \users\<user>.backup-<nummer> verschoben.

    Fazit

    Insgesamt überwiegen trotz einiger Einschränkungen die Vorteile der Benutzerprofil-Datenträger: Sie sind einfach zu konfigurieren, verkürzen Anmelde- und Abmeldezeiten, vermeiden Zugriffskonflikte, weil die VHDX-Dateien immer nur von einem Session Host gemountet werden können, und sie überlassen dem Administrator die Kontrolle über die Verzeichnisse, die dort gespeichert werden sollen.

    8 Kommentare

    Bild von Christoph
    Christoph sagt:
    15. April 2014 - 8:30

    Hallo,

    wir haben bei einem Kunden damit enorme Probleme und wollen jetzt die Inhalt dieser User Profile Disks wieder in normale Profile für Terminalserver übertragen die über den klassischen UNC Pfad angesprochen werden. Gibt es hier einen präferierten Weg?

    Bild von Andy
    Andy sagt:
    24. April 2014 - 14:33

    Hallo,

    ist es möglich die Maximale Größe der Profile zu ändern,
    so das diese Änderung im GUI auch sichtbar ist?

    Danke!

    Bild von Alexander Fröhner
    Alexander Fröhner sagt:
    6. Mai 2014 - 10:52

    Hallo,

    wir haben seit etwa ein halbes Jahr Remote Desktop Services 2012.
    Und trotz vieler Hotfixes, scheint es immer wieder vorzukommen, dass
    bei manchen Usern die User Profile nicht geladen werden und diese User temporär angemeldet werden.
    Das scheint ein bekanntes Problem zu sein.
    Es gibt viele Einträge in Foren darüber.
    Als Abhilfe in der Registry unter Profilelist immer wieder die bak-einträge zu löschen ist auch nicht hilfreich.

    Gibt es da evtl. neue Erkenntnisse?

    Danke und viele Grüße
    Alexander

    Bild von Christoph
    Christoph sagt:
    7. Mai 2014 - 16:05

    @Alexander Fröhner:

    Dies ist ein bekanntes Problem, das schon seit der Windows NT4.0-Terminalserveredition (1998) besteht und anscheinend bis heute nicht abgestellt werden konnte. Bis inklusive W2K3 gab es ein Tool von Microsoft, das per Taskplaner ausgeführt werden konnte und zuverlässig täglich die lokalen Profile inklusive zugehörigem Reg.-Eintrag löschen konnte (es hieß "User Profile Hive Cleanup" - oder so ähnlich). Seit W2K8 kann dafür eine GPO erstellt werden, alles weitere dazu findest Du hier: http://social.technet.microsoft.com/Forums/de-DE/2cec1633-ffa9-45b3-bab3....

    In dem Artikel wird allerdings auch noch ein anderes Tool genannt, das ich nicht kenne.

    Grüße,

    C.

    Bild von Thomas Franz
    Thomas Franz sagt:
    3. Dezember 2014 - 17:35

    Nur als kleiner Hinweis (hat uns eine ganze Menge Arbeit zur Fehlersuche gekostet):

    Versuchen Sie nicht, dieses Feature auf einem Server zu aktivieren, auf dem der MS SQL-Server (bei uns 2014) läuft. Wenn Sie (wie empfohlen wird) für die Ausführung des SQL Serverdienstes ein separates Active Directory Benutzerkonto mit minimalen Rechten (also auch ohne lok. Adminrechte) verwenden, wird der Start des SQL Serverdienstes mit einigen (völlig unzutreffenden Fehlermeldungen) fehlschlagen, es sei denn, Sie melden sich zuvor lokal oder Remot mit dem Servicenutzer an dem Server an.

    Konkret kommt es im Ereignisprotokoll zu folgenden Fehlereinträgen des MS SQL-Servers (neuester Eintrag zuerst):

    Event 17120:
    SQL Server konnte den Thread FRunCommunicationsManager nicht erzeugen. Suchen Sie im SQL Server-Fehlerprotokoll und in den Windows-Ereignisprotokollen nach Informationen zu möglichen verwandten Problemen.

    Event 17826:
    Aufgrund eines internen Fehlers in einer Netzwerkbibliothek konnte die Netzwerkbibliothek nicht gestartet werden. Überprüfen Sie zum Bestimmen der Ursache die diesem Fehler unmittelbar vorhergehenden Fehler im Fehlerprotokoll.

    Event 17182:
    Fehler bei der TDSSNIClient-Initialisierung. Fehler 0x80092004, Statuscode 0x1. Ursache: Initialization failed with an infrastructure error. Check for previous errors.

    Event 17190:
    Fehler beim Initialisieren des FallBack-Zertifikats. Fehlercode: 1, Status: 20, Fehlernummer: 0.

    Ein ganzes Stück weiter unten kommt dann der ursächliche Fehler vom User Profile Service:
    Event 1511:
    Das lokale Benutzerprofil wurde nicht gefunden. Sie werden mit einem temporären Benutzerprofil angemeldet. Änderungen, die Sie am Benutzerprofil vornehmen, gehen bei der Abmeldung verloren.

    Bild von Christian K.
    Christian K. sagt:
    3. August 2015 - 18:42

    Hallo,
    ich habe auch den Weg mit den UPD's gewählt. Die Probleme mit den temporären Profilen habe ich nicht. Allerdings gibt es Probleme, wenn ein User Daten auf seinem Desktop oder in seinen Dokumenten löschen will. Hierzu muss das Admin-Konto die Autorisierung erteilen oder man löscht mit Shift-Taste gedrückt - also OHNE Papierkorb.
    Ich konnte das schon eingrenzen, dass es mit der Berechtigung des Users auf das $Recycle.bin-Verzeichnis zusammenhängt. Jedoch kann ich das Problem nicht dauerhaft lösen.
    Haben Sie da evtl einen Tipp für mich? Vielen Dank und schöne Grüße.
    Christian

    Bild von Wir auch
    Wir auch sagt:
    11. August 2015 - 15:18

    Dasselbe Problem haben wir auch und auch keinerlei Lösung dafür.

    Bild von Emil
    Emil sagt:
    6. Dezember 2016 - 23:06

    Schade dass dieser Thread gerade hier endet. Ich hoffe es liest noch jemand mit einer Lösung mit ^^

    Wir nutzen mehrere Terminal Server mit Roaming Profiles / servergespeicherten Profilen, und die Benutzer können keine Daten in den Papierkorb versichieben. Es erscheint ein Admin Login Fenster mit dem man sich authentifizieren muss. Shift+DEL geht natürlich.
    Als Admin kann man den Papierkorb problemlos nutzen.

    Danke!
    Emil