Operator

Ich hoffe nur offline (für unser aller IT-Security-Wohl). Business Prozesse mit Internetanwendungen auf dem Gerät abzubilden wäre mit Windows XP schon echt fahrlässig.

Hi! Kann der PDF Reader entsprechend konfiguriert werden die Files nur lesend zu öffnen? Oder reicht den PDF Lesern ggf. Das Lesen-Recht, damit sie nichts sperren können? Es gibt Nicht-Adobe PDF Reader, die per Default nicht sperren. Wäre das überhaupt eine Option? Fileserver-seitig wirst Du das nicht lösen können, wenn die Anwender einerseits schreiben/sperren dürfen und der Reader andererseits die Dateien ohne Grund mit Sperre öffnet. Gruss Andre

Hi! Ich würde sagen, dass der vorgeschlagene Aufbau gut funktionieren sollte, wobei ich aber ebenfalls auf RemoteFX verzichten würde. So kleine Videos sollten eigentlich kaum stören, aber das findest du konkret leider nur durchs Testen heraus. Der Käufer muss damit ja zufrieden sein. Pro 5 User (gerechnet für Office Taskworker, Schüler ggf. geringer) solltest Du einen physischen Kern vorsehen (mit den schlechten Microcode Updates der CPU bzgl. Spectre/Meltdown sind nur 3,5-4,0 realistisch, aber das legt sich hoffentlich wieder). Bei 50 User also 10 Cores (ohne HT und Intelbugs gerechnet), plus ca. 2 Cores für den DC. Wenn die Anzahl User nicht groß steigt, nimm 2 CPU mit je 6-8 Cores. Je weniger Cores pro CPU desto höher kannst du die garantierte Taktrate beim Kauf wählen, und die ist bei RDS ein limitierender Faktor. Bei meinen Intel 14 Core CPU bspw. liegt diese nur noch bei 2,6GHz je Core. 4 Kern CPU bekommt man aber auch bis 3,5 GHz oder höher. Die ins. 50 User in einer VM gehen zwar, aus Wartungs- und Ausfallgründen würde ich die an deiner Stelle aber auf min. 2 VM verteilen. Auch eine RDS VM kann mal streiken und man behält wenigstens die halbe Kapazität. Ist aber auch eine Lizenzfrage. Wenn die Grafikleistung über RDS nicht reicht würde ich persönlich zu Citrix XenApp greifen. Macht die Sache auch insgesamt schöner, aber nochmal teurer und etwas Skill in dem Bereich benötigt man dann ja auch noch, plus DB/Controller etc. Hoffe aber das hilft Dir erst mal. Gruss Andre

"In Verwendung" darf ruhig voll ausgelastet sein. Das ist kein Problem, vor allem nicht, wenn viele Daten bewegt werden (SQL Server bspw.). Wie siehts in der "Verfügbar"-Spalte aus? Das ist der Speicher, den Anwendungen noch abrufen können, weil bspw. Daten "im Cache" (weitere Spalte im Taskmgr) direkt verworfen werden könnten und danach frei wären. Die SearchUI Auslastung ist unkritisch und völlig normal. Hängt halt davon ab, ob man die Windows-Suche / Cortana-Suche nutzt. Spätestens beim Hosting vieler Win10 VMs würde ich das per Policy abschalten, um den Speicherverbrauch zu reduzieren und die CPU Cycles zu sparen, die regelmäßig den Suchindex aktualisieren. Das macht die Suche dann zwar langsamer oder unmöglich (wenn abgeschaltet), aber das wäre dann eine Frage des Konzepts.

Normalerweise liegt sowas nicht an Windows selbst. Welche Prozesse zeigen denn eine steigende Nutzung. Und erneut die Frage: wo liest du den RAM Bedarf ab und kann es nicht einfach nur das normale Caching Verhalten sein, wie bereits beschrieben? taskmgr Detailseite sortiert nach Arbeitssatz zur Hand? Außerdem die Detailseite zur Gesamtspeichernutzung? Jeweils wenn die VM das Verhalten nach einiger Zeit sichtbar zeigt. Gruss Andre

Vielleicht hab ichs auch überlesen, aber ich vermute, dass dyn. Disks nicht das Problem sind. Ich muss Nils hier zustimmen. Weitere Tests sollten mit einer Pagefile Konfigurationen durchgeführt werden, die möglichst den Original Microsoft Einstellungen entsprechen. Wenn das nicht zur Besserung führt, müsste man weiter überlegen. Aber teste das bitte erst mal und melde Feedback

Wer redet von dyn Disks?

Warum die VM mehr RAM verbraucht kann ich spontan nicht beantworten. Solange keine Anwendersoftware gestartet ist, sollte dies aber nicht grundlos passieren. Welchen Wert liest Du hierfür ab? Viel RAM wird nur temporär verwendet und bleibt dann für zukünftige Zugriffe erst mal als Cache verwendet weiter belegt. Erst bei Knappheit räumt Windows hier wieder auf, was auch sinnvoll ist. Was zeigt der Taskmgr für Belegt und Im Cache an? Aber ohne Pagefile sollte die VM besser dennoch nicht betrieben werden. Der Kernel mindestens erwartet am liebsten ein Pagefile. Das sollte auch den MS Best Practices entsprechen. Meinen VDI Desktop VMs weise ich normalerweise 1-2GB Pagefile dynamisch zu. Diese Win10 x64 VMs betreibe ich auch mit 4GB RAM wovon ich 2GB als absolutes Minimum ansehe, weil noch Citrix VDA Software für den Zugriff sowie weitere Software installiert ist. Teste das bitte mal. Gruss Andre

Wurde was an der Konfiguration der Auslagerungsdatei geändert oder steht das alles noch auf Auto? Wieviel GB sind für Swap tatsächlich für Windows verfügbar/eingestellt?

@lefg: Deinen SCCM Tipp konnte ich ja nachvollziehen, wenn auch nicht ganz günstig. Aber Clonezilla würde ich pauschal nicht empfehlen. Zumal nicht klar ist, dass alle dieselben Anwendungen erhalten und die PCs alle identisch sind. Danach stünde sicherlich noch manueller Aufwand an (Rechner umbenennen, Domain Join, Software individualisieren). Clonezilla an sich ist top. Würde ich aber eher für Einzelplätze nutzen und nicht pauschal für Deployments mehrerer User.

Wenn du keine Angst vor Linux hast, nimm OPSI (www.opsi.org). Dann bist Du auch für zukünftige Unattended Rollouts gewappnet. Wir haben damit ca. 250 von 500 Clients im letzten Jahr erfolgreich migriert. Allerdings waren hier auch die meisten Anwendungen via Citrix XenApp bereitgestellt, so dass hier nur wenig Anwendungssoftware zu installieren war. Persönlich würde ich es auch schon für 20 Clients einsetzen. Für mich wars einfach aufzusetzen und zu verwalten und erspart mir viel Arbeit. Geht ein Client kaputt wird er in der Mittagspause neuinstalliert und der User kann sofort weiterarbeiten. Der einmalig höhere Aufwand wird mit hoher Konsistenz der Systeme belohnt, was insgesamt die Fehlerquote reduziert. Das Projekt Ist insgesamt reibungslos für die Anwender gelaufen. An 2-3 Stellen waren die Treiber nicht so in Ordnung und haben noch mal ein Update erhalten. Profile würde ich in jedem Fall neu machen und ggf. wichtige Einstellungen vorab manuell oder automatisch exportieren und später importieren (z.b. Bookmarks). Bei Fragen fragen :) Andre

- Die Vererbung von NTFS Rechten ist für die INI selbst nicht abgeschaltet worden, oder? Ansonsten hilft die Ordnerberechtigung nämlich nicht. - Sind die Berechtigungen am Server denn angekommen (direkt am Ordner via Eigenschaften prüfen). Ansonsten wirklich mal mit dem Process Monitor gucken, ob die Anwendung die Schreibrechte nicht anders prüft bzw. ob hier wirklich ein Access Denied sichtbar wird. Gruß Andre

Hi, mir ist leider keine Möglichkeit bekannt Windows das irgendwie für spezielle Anwendung abzugewöhnen. Wenn der Hersteller dieses Feature nicht abstellen möchte, sehe ich im XenApp Umfeld nur 2 Workarounds: - Die betroffene Anwendung isolieren und damit auf dedizierten Servern auszuführen. Alle anderen Anwendungen dann auf weiteren Servern. Wenn Du sowieso eine große Batterie von Servern hast und die Anwendung von vielen Anwender genutzt wird, könnte diese Form der Silobildung ggf. funktionieren. Das "Bring to Front" der Anwendung sollte eigentlich nur für die eine Sitzung gelten, so dass Anwendungen anderer Sitzungen vielleicht weniger betroffen sind. - Session Sharing aushebeln, damit die betroffene Anwendung alleine in einer Session läuft. Alle anderen Anwendungen laufen in einer zweiten Session (ggf. desselben Servers). Das erhöht zwar den Ressourcenverbrauch, aber vielleicht ist das ja praktikabler. Erreicht werden kann dies pro Anwendung, in dem z.B. als Farbtiefe eine andere konfiguriert wird. Audio für die Anwendung zu deaktivieren (für alle anderen aber aktivieren) wäre ebenfalls eine Möglichkeit Session Sharing auszuhebeln. Der Citrix Receiver reicht m. E. die Bring-to-Front Anweisung nicht in letzter Konsequenz an den Client durch. Vermutlich wird die betroffene Anwendung nur in der Taskleiste blinken, wenn die beschriebene Isolierung angewendet wird. Teste das doch mal und berichte :) Gruß Andre

Wenn ich mich richtig erinnere muss man im NPS einmal eine Benutzergruppe und einmal eine Computergruppe als einwahlberechtigt zur Richtlinie hinzufügen. Die dabei angegebene Gruppe kann dabei aber durchaus identisch sein.Nur einmal werden nur die User, das andere mal nur die Computer ausgewertet. An den Clients sollte ggf. die GPO Einstellung aktiviert werden: Bei Starten immer auf das Netzwerk warten. Soviel in Kurzform. :) Für Detailfragen fragen. Gruß Andre

Hi XenKing, versuchs doch mal, deinem Namen entsprechend, mit Citrix XenDesktop. Ist zwar nicht umsonst, kann aber viel. Ich setze es für ca. 150 Thin Clients ein (max. 120 gleichzeitig aktiv) und dafür reicht ein IBM Server (Dual-Eight Core, 192GB RAM, SAN oder vergleichbar schnell (SSD?)). Einen zweiten Server habe ich für die Redundanz. Die gesamte Architektur zu erläutern sprengt aber hier den Rahmen für deine kleine Anfrage. Eine Win7 VM für viele User funktioniert jedenfalls nicht, dann muss es zwingend eine Windows VDA Lizenz je ThinClient sein (ca. 70-80€ p.a.). Bei nur 10 Usern wäre aber tatsächlich ein RDS Server vermutlich günstiger, wenn Windows 7/8/8.1 kein Zwang ist (sondern nur so ähnlich aussehen muss in Form eines Server 2008/2012 R2). Gruß Andre

Das Deaktivieren des DHCP Client Dienstes ist jedenfalls keine gute Idee, da dieser Dienst für die dynamische Registrierung der DNS Einträge zuständig ist, auch bei statischer Vergabe von IP Adressen. Zum Problem: Wie alt sind denn die DHCP Einträge im DHCP? Vielleicht wurde die Alterung der Einträge deaktiviert und die DHCP Einträge sind älter als die Vergabe der statischen IP-Adressen? Aber dafür liegen zu wenig Informationen vor. Wie iDiddi schon sagt, fehlt definitiv ipconfig /all zur genaueren Analyse. Auch der Zeitstempel der DNS Einträge der entsprechenden Server wäre wichtig. Gruß Andre

Bei der geplanten Anzahl Maschinen würde ich mir bei den Platten noch keine Sorgen machen. Die User werden ja kaum Videoschnitt damit betreiben. Nur Luft nach oben bleibt da nicht mehr viel. Ich bin damals mit 8x 15k SAS Platten im RAID 10 angefangen und habe damit 120 VMs betrieben. Die waren total unterfordert.

Kann GuentherH nur zustimmen. Das geht am Besten mit einer VDI Lösung. Soweit ich weiß kann man bei Citrix bis zu 10 User kostenfrei nutzen (allerdings nur Basis Features). Hier kann mans kostenfrei ausprobieren: Citrix Systems, Inc. - Try XenDesktop Platinum Allerdings musst du produktiv für jede VM eine Windows VDA Lizenz erwerben, wenn Du nicht sowieso Software Assurance für Windows hast. Gruß Andre

Citrix Systems, Inc. - Try XenDesktop Platinum Citrix bietet eine Demo Umgebung kostenfrei auf Cloud-Servern. Gruß Andre

Dazu kommt noch, dass man nicht einfach 4-5x Win7 Boxen kaufen kann und sie dann einfach als VM auf einem Server installiert. Eine Win7 boxed oder OEM Lizenz erlaubt den Einsatz von Windows nur 1x pro physikalischem System. Also ist der Einsatz zur Desktopvirtualisierung ausgeschlossen. Dafür hat Microsoft VDA Lizenzen eingeführt. Eine Art Abomodell und Softwarewartung, das pro Desktop lizenziert wird und immer alle supporteten Windows Versionen enthält. Kostet allerdings p.a. ~ $100 je VM. Microsoft Volume Licensing - Microsoft Licensing for Virtualization http://download.microsoft.com/download/5/0/5/5059CBF7-F736-4D1E-BF90-C28DADA181C5/Microsoft%20VDI%20and%20Windows%20VDA%20FAQ%20v2%200.pdf Ausnahme: Wenn Du schon Software Assurance für Windows 7 der Anwender hast, brauchst Du keine weitere Lizenzen und kannst einfach loslegen. Bzgl. der Performance mach Dir mal keinen Kopf bei der Benutzeranzahl. Ich betreibe auf einem IBM HS22 Blade (2x 6-Core Xeon 2.93GHz und 96GB RAM) insgesamt 60 Windows 7 VMs, die alle Office und eine Telnet/5250-Sitzungssoftware ausführen. Wenn alle Maschinen in Verwendung sind steigt die CPU Last kaum auf 15%. Als Hypervisor setze ich XenServer 6 von Citrix ein, XenDesktop 5.5 für die Zuweisung der Desktops und Citrix Provisioning Services um die VMs mit ihrem Betriebssystem zu versorgen (die VMs booten dann via LAN alle dasselbe Image). Gruß Andre

Beim Einsatz von Desktopvirtualisierung geht es ja nicht nur darum spezielle Anwendungen bereitstellen zu können. Es geht vielmehr darum EINEN PERSÖNLICHEN Desktop für jeden Anwender individuell von jedem Endgerät aus zu erreichen, ob via Thin/Zero-Client, Fat Client im Büro (Lizenzkostengünstig mit Microsoft ThinPC, ggf. simpel bereitgestellt mittels Citrix Provisioning Services) oder von privaten Geräten aus (Notebook, iPad etc.). Bevor Du irgendeine Aussage deinem Kunden gegenüber treffen kannst, würde ich mich mal gaaaanz tief in das Thema einarbeiten und dir das Portfolio eines Herstellers mal genau angucken. Ich bin eher aus dem Citrix Lager und da gibt es schon sehr viele Tools und Produkte, die sich je nach Anwendungszweck wunderbar kombinieren lassen. Eine Lösung für alle Szenarien gibt es jedenfalls nicht. Zu den Kosten: Die Lizenzen sind nicht ganz billig. Aber ein fähiger Admin kann eine fertige Umgebung mit 250-500 Clients locker in Teilzeit administrieren (ohne 1st Level Support, rein die Umgebung) und noch weitere Aufgaben übernehmen. In den meisten Fällen sind die Lizenzen im Jahr günstiger als die Horde Admins, die man für die Turnschuh-Betreuung von Fat-/Thinclients (auch in Verbindung mit XenApp) ansonsten bräuchte. Ist halt n Rechenexempel. Also: Langsam mit nem Proof-of-Concept starten und dann schauen was alles so beim Kunden möglich ist und was er eigentlich will. =) CTX127594 - XenDesktop 5.0 Quick Start Guide - Citrix Knowledge Center Achso: Zu deiner Eingangsfrage. Die Masse der VMs starte ich von einem zentral gewarteten Image übers Netzwerk mittels Citrix Provisioning Services. Auch meine XenApp Server boote ich seit ca. 2 Jahren damit und führe regelmäßig zentrale Wartungen (Updates) an Images durch. Vorteil: Alle gebooteten Maschinen sind identisch, was letztendlich zu weniger Fehlern führt. Gruß Andre

Im folgenden Artikel ganz unten (Abschnitt Windows XP SP2): Group Policy application fails on a computer that is running Windows 2000, Windows XP Service Pack 1, or Windows XP Service Pack 2 Den Schlüssel GpNetworkStartTimeoutPolicyValue setze ich immer noch zusätzlich zu den genannten aus der GruRiLi FAQ. Damit wartet der PC solange, bis tatsächlich das Netzwerk gestartet ist. Scheinbar ist das ja das Problem, wenn bloßes Warten vor dem Verbinden der Laufwerke ausreicht. Seit dem hab ich keine Probleme beim Ausführen von Anmeldescripten (egal ob per Richtlinie oder Autostart). Gruß Andre

Stimmt, eine eigenschaft dafür gibt es nicht. ABER das zertifikat wird auch nicht im Benutzer Objekt im AD abgespeichert, sondern FÜR einen Benutzer in dessen Benutzerprofil (in einem geschützten Bereich der Registry, wenn ich mich recht entsinne). Also, geht das nur manuell am PC oder halt automatisiert via GPO. Gruß Andre

AFAIK geht das mit Hausmitteln nur für ganze Volumes.

Die alternative wäre es manuell zu tun. Was spricht gegen die Richtlinie? Ist doch ein sauberer Weg. Und so ein normaler Benutzer sollte sich ja auch irgendwann mal an einem PC anmelden, damit er überhaupt arbeiten und auf Dateien zugreifen kann. Würdest Du bitte ein wenig ausführen warum das nicht mit der Anmeldung gekoppelt sein kann/darf? Andre