best79

Guten Tag. Ein Bekannter (kleiner Handwerksbetrieb) hat mir folgenden KI-unterstützt erstellten Ablaufplan für die Einrichtung von FSLogix und Installation von M365 Business Premium auf RDS gesendet. Ich halte es für Recht detailliert und weitgehend zutreffend, hätte aber gerne noch eine zweite Meinung. Falls jemand Zeit hat darüber zu fliegen und eine Einschätzung der Vollständigkeit und Machbarkeit abzugeben, wäre ich sehr dankbar... LG BeSt 1 Voraussetzungen & Vorbereitungen Kurz: Erstelle Snapshots/Backups, lege AD‑Gruppen an, prüfe Platz & Rechte. 1. Backups / Snapshots - RDS‑Host: VM‑Snapshot oder vollständiges Image. - Fileserver: Snapshot des Laufwerks mit Profilen. - Domain Controller: System State Backup (falls DNS auf DC läuft). - Notiere Zeitstempel und Bezeichnungen. 2. AD‑Gruppen - Erstelle FSLogix-Users und FSLogix-Admins. - Füge die entsprechenden Benutzer/Administratoren hinzu. 3. Zugänge - Domain Admin (für GPO/Central Store), Fileserver‑Admin, Exchange Admin (nur für SCP/DNS‑Änderungen falls nötig), lokaler Admin auf RDS‑Host. 4. Software - FSLogixAppsSetup.exe bereitstellen. - Office Deployment Tool (ODT) herunterladen. - Aktuelle FSLogix ADMX/ADML herunterladen. --- 2 Central Store (SYSVOL) & ADMX Ziel: Zentrale GPO‑Vorlagen bereitstellen. 1. Central Store anlegen (auf DC) `powershell New-Item -Path "\\$env:USERDNSDOMAIN\SYSVOL\$env:USERDNSDOMAIN\Policies\PolicyDefinitions" -ItemType Directory -Force ` 2. ADMX/ADML kopieren - Kopiere C:\Windows\PolicyDefinitions\* in \\<domain>\SYSVOL\<domain>\Policies\PolicyDefinitions. - Kopiere fslogix.admx in ...PolicyDefinitions\ und fslogix.adml in ...PolicyDefinitions\de-DE\ (oder en-US). 3. Prüfung - Auf einem Admin‑PC gpmc.msc öffnen → neue GPO erstellen → Administrative Vorlagen prüfen: FSLogix sollte erscheinen. --- 3 Fileserver: Ordner, Share, NTFS‑Berechtigungen (vollständig) Ziel: Sicherer, funktionaler Profil‑Share. 3.1 Ordner & SMB‑Share (PowerShell) `powershell Ordner anlegen New-Item -Path "D:\FSLogixProfiles" -ItemType Directory -Force SMB‑Share erstellen (nur Change für FSLogix-Users, Full für Admins) New-SmbShare -Name "FSLogixProfiles$" -Path "D:\FSLogixProfiles" -FullAccess "FSLogix-Admins" -ChangeAccess "FSLogix-Users" ` 3.2 NTFS‑Berechtigungen (icacls) Ziel‑ACL: SYSTEM & Administrators Vollzugriff (This folder, subfolders, files); Creator Owner Vollzugriff (Subfolders & files); FSLogix‑Users nur „This folder only“ Create/List. `cmd icacls "D:\FSLogixProfiles" /inheritance:r icacls "D:\FSLogixProfiles" /grant "SYSTEM:(OI)(CI)F" /grant "BUILTIN\Administrators:(OI)(CI)F" icacls "D:\FSLogixProfiles" /grant "CREATOR OWNER:(CI)(IO)F" icacls "D:\FSLogixProfiles" /grant "FSLogix-Users:(CI)(IO)(M)" icacls "D:\FSLogixProfiles" /setowner "Administrators" ` Erklärung: (OI)/(CI) = Vererbung; (IO) = nur untergeordnete Objekte; F = Full; M = Modify. 3.3 Optional: PST‑Export‑Share `powershell New-Item -Path "D:\PSTExports" -ItemType Directory -Force New-SmbShare -Name "PSTExports" -Path "D:\PSTExports" -FullAccess "Exchange Trusted Subsystem" icacls "D:\PSTExports" /grant "Exchange Trusted Subsystem:(OI)(CI)F" ` 3.4 Prüfungen - Test-SmbShare -Name "FSLogixProfiles$" (PowerShell) - Get-ChildItem \\FS01\FSLogixProfiles$ (von Admin‑PC) --- 4 redirections.xml (vollständiges Beispiel) Pfad: \\FS01\FSLogixProfiles$\settings\redirections.xml `xml <?xml version="1.0" encoding="utf-8"?> <Redirections> <Excludes> <Exclude Path="%LOCALAPPDATA%\Microsoft\Windows\INetCache" /> <Exclude Path="%LOCALAPPDATA%\Microsoft\Windows\WebCache" /> <Exclude Path="%LOCALAPPDATA%\Temp" /> <Exclude Path="%LOCALAPPDATA%\Packages" /> <Exclude Path="%LOCALAPPDATA%\Microsoft\Teams" /> <Exclude Path="%LOCALAPPDATA%\Microsoft\Office\16.0\OfficeFileCache" /> <Exclude Path="%LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache" /> </Excludes> <Includes> <Include Path="%APPDATA%\Microsoft\Windows\Start Menu" /> <Include Path="%APPDATA%\Microsoft\Windows\Recent" /> <Include Path="%APPDATA%\Microsoft\Outlook" /> <Include Path="%APPDATA%\Roaming\Microsoft\Office" /> </Includes> </Redirections> ` Hinweis: Passe Excludes/Inlcudes an Anwendungen in deiner Umgebung an. Teste mit einem Pilot‑Benutzer. --- 5 FSLogix Installation & Konfiguration (RDS‑Host) Ziel: FSLogix installieren, konfigurieren und per GPO ausrollen. 5.1 Installation (GUI oder Silent) GUI: Doppelklick FSLogixAppsSetup.exe → Install → Restart. Silent: `powershell Start-Process -FilePath "C:\Install\FSLogixAppsSetup.exe" -ArgumentList "/quiet" -Wait Restart-Computer -Force ` 5.2 Lokale Registry‑Konfiguration (sofern nötig) `powershell New-Item -Path "HKLM:\SOFTWARE\FSLogix\Profiles" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\FSLogix\Profiles" -Name "Enabled" -Value 1 -Type DWord Set-ItemProperty -Path "HKLM:\SOFTWARE\FSLogix\Profiles" -Name "VHDLocations" -Value "\\FS01\FSLogixProfiles$" -Type ExpandString Set-ItemProperty -Path "HKLM:\SOFTWARE\FSLogix\Profiles" -Name "VolumeType" -Value "vhdx" -Type ExpandString Set-ItemProperty -Path "HKLM:\SOFTWARE\FSLogix\Profiles" -Name "SizeInMBs" -Value 30000 -Type DWord Set-ItemProperty -Path "HKLM:\SOFTWARE\FSLogix\Profiles" -Name "DeleteLocalProfileWhenVHDShouldApply" -Value 1 -Type DWord Set-ItemProperty -Path "HKLM:\SOFTWARE\FSLogix\Profiles" -Name "FlipFlopProfileDirectoryName" -Value 1 -Type DWord Set-ItemProperty -Path "HKLM:\SOFTWARE\FSLogix\Profiles" -Name "RedirXML" -Value "\\FS01\FSLogixProfiles$\settings\redirections.xml" -Type ExpandString ` 5.3 GPO‑Erstellung & Einstellungen (Domain) Voraussetzung: GroupPolicy Modul vorhanden. `powershell Import-Module GroupPolicy New-GPO -Name "RDS-FSLogix" -Comment "FSLogix Profile Container Settings for RDS" Beispiel: GPO mit OU verknüpfen (ersetze Target entsprechend) New-GPLink -Name "RDS-FSLogix" -Target "OU=RDS-Hosts,DC=contoso,DC=local" Registry Werte setzen (Computer Configuration) Set-GPRegistryValue -Name "RDS-FSLogix" -Key "HKLM\SOFTWARE\FSLogix\Profiles" -ValueName "Enabled" -Type DWord -Value 1 Set-GPRegistryValue -Name "RDS-FSLogix" -Key "HKLM\SOFTWARE\FSLogix\Profiles" -ValueName "VHDLocations" -Type String -Value "\\FS01\FSLogixProfiles$" Set-GPRegistryValue -Name "RDS-FSLogix" -Key "HKLM\SOFTWARE\FSLogix\Profiles" -ValueName "VolumeType" -Type String -Value "vhdx" Set-GPRegistryValue -Name "RDS-FSLogix" -Key "HKLM\SOFTWARE\FSLogix\Profiles" -ValueName "SizeInMBs" -Type DWord -Value 30000 Set-GPRegistryValue -Name "RDS-FSLogix" -Key "HKLM\SOFTWARE\FSLogix\Profiles" -ValueName "DeleteLocalProfileWhenVHDShouldApply" -Type DWord -Value 1 Set-GPRegistryValue -Name "RDS-FSLogix" -Key "HKLM\SOFTWARE\FSLogix\Profiles" -ValueName "FlipFlopProfileDirectoryName" -Type DWord -Value 1 Set-GPRegistryValue -Name "RDS-FSLogix" -Key "HKLM\SOFTWARE\FSLogix\Profiles" -ValueName "RedirXML" -Type String -Value "\\FS01\FSLogixProfiles$\settings\redirections.xml" ` 5.4 GPO anwenden & prüfen `cmd Auf RDS Host gpupdate /force gpresult /h C:\Temp\gpresult.html ` - Öffne gpresult.html und prüfe, dass die FSLogix‑Einstellungen angewendet wurden. - Prüfe FSLogix Dienst: Get-Service -Name "FSLogix Apps Service". --- 6 Microsoft 365 Apps (Shared Computer Activation) — ODT Ziel: Office im SCA‑Modus installieren. 6.1 configuration.xml (Beispiel) `xml <Configuration> <Add OfficeClientEdition="64" Channel="Current"> <Product ID="O365BusinessRetail"> <Language ID="de-de" /> </Product> </Add> <Property Name="SharedComputerLicensing" Value="1" /> <Display Level="None" AcceptEULA="TRUE" /> </Configuration> ` Hinweis: Passe Product ID an deine Lizenz an. 6.2 Installation (ODT) `cmd Optional: Download der Installationsdateien (einmalig) setup.exe /download configuration.xml Installation setup.exe /configure configuration.xml ` 6.3 Prüfung SCA - Word → Datei → Konto → Sitzung für gemeinsam genutzte Computer sichtbar. - Token‑Ordner prüfen: `powershell Get-ChildItem -Path "$env:LOCALAPPDATA\Microsoft\Office\16.0\Licensing" -Force ` - Test: Melde dich als normaler Benutzer an, starte Word/Outlook, prüfe Aktivierung. --- 7 Exchange Cutover (SCP/DNS/Autodiscover) — angepasst für bereits migrierte Mailboxen Annahme: Alle Mailboxen sind bereits nach Exchange Online migriert. Ziel ist: On‑Prem Exchange so anpassen/abschalten, dass Clients zuverlässig Exchange Online nutzen. 7.1 Vorbemerkung - Da Mailboxdaten bereits in Exchange Online liegen, ist der Fokus auf Autodiscover‑Routing (SCP, DNS) und Registry‑Keys, damit Outlook nicht mehr On‑Prem priorisiert. - Behalte On‑Prem Exchange solange online, bis alle Clients stabil auf Exchange Online arbeiten und Backups/Exports abgeschlossen sind. 7.2 Autodiscover Registry Keys (User‑Konfiguration via GPO Preferences) Pfad: HKCU\Software\Microsoft\Office\16.0\Outlook\AutoDiscover Empfohlene Werte (testen, dann ausrollen): - ExcludeScpLookup (REG_DWORD) = 1 - ExcludeHttpsRootDomain (REG_DWORD) = 1 (wenn Root‑HTTPS stört) - ExcludeHttpsLookup (REG_DWORD) = 0 (erlaubt HTTPS Lookup) - ExcludeLastKnownGoodUrl (REG_DWORD) = 1 Setzen per PowerShell (GPO): `powershell $gpoName = "RDS-Outlook-Autodiscover" Import-Module GroupPolicy New-GPO -Name $gpoName -Comment "Autodiscover registry keys for Exchange Online cutover" New-GPLink -Name $gpoName -Target "OU=RDS-Hosts,DC=contoso,DC=local" Set-GPRegistryValue -Name $gpoName -Key "HKCU\Software\Microsoft\Office\16.0\Outlook\AutoDiscover" -ValueName "ExcludeScpLookup" -Type DWord -Value 1 Set-GPRegistryValue -Name $gpoName -Key "HKCU\Software\Microsoft\Office\16.0\Outlook\AutoDiscover" -ValueName "ExcludeHttpsRootDomain" -Type DWord -Value 1 Set-GPRegistryValue -Name $gpoName -Key "HKCU\Software\Microsoft\Office\16.0\Outlook\AutoDiscover" -ValueName "ExcludeHttpsLookup" -Type DWord -Value 0 Set-GPRegistryValue -Name $gpoName -Key "HKCU\Software\Microsoft\Office\16.0\Outlook\AutoDiscover" -ValueName "ExcludeLastKnownGoodUrl" -Type DWord -Value 1 ` > Wichtig: Du hast keine Test‑OU; verknüpfe GPO zuerst nur mit der OU, in der der RDS‑Host‑Computerobjekt liegt, oder verwende Sicherheitsfilterung, um nur die RDS‑Benutzer zu treffen. Prüfe Wirkung an einem Pilot‑Benutzer bevor du breit ausrollst. 7.3 SCP (Service Connection Point) entfernen/anpassen Sichere Vorgehensweise: 1. Dokumentation: Notiere aktuelle SCP‑Werte (Get-ClientAccessService / Get-WebServicesVirtualDirectory etc.). 2. Snapshot/Backup des Exchange‑Servers erstellen. 3. SCP entfernen (vorsichtig): `powershell Beispiel: AutoDiscover URI entfernen Set-ClientAccessService -Identity "EXCH01" -AutoDiscoverServiceInternalUri $null ` 4. Prüfung: Warte AD‑Replikation; prüfe mit Test-OutlookWebServices -Identity user@domain.com (Exchange Shell) oder Outlook Autodiscover Tests. 7.4 DNS‑Cutover (falls noch nicht geschehen) - Setze Autodiscover CNAME/A auf Microsoft 365 (z. B. autodiscover.domain.tld → autodiscover.outlook.com oder wie Microsoft vorgibt). - Setze MX auf Exchange Online (falls noch nicht). - TTL vorher reduziert (z. B. 300s) — nach Cutover wieder erhöhen. 7.5 Prüfungen nach Cutover - Auf RDS: nslookup autodiscover.domain.tld / Resolve-DnsName autodiscover.domain.tld - Outlook: Neues Profil anlegen → Autodiscover → Postfach verbindet zu outlook.office365.com. - Eventuelle lokale Redirects/Proxies prüfen. --- 8 PST‑Export (optional) — nur falls noch lokale Exporte nötig Hinweis: Du hast gesagt, Mailboxen sind migriert; PST‑Exports sind optional für Archivzwecke. 8.1 Rolle zuweisen (falls Export On‑Prem nötig) `powershell New-ManagementRoleAssignment -Role "Mailbox Import Export" -User "CONTOSO\ExportUser" ` 8.2 Export‑Share & Berechtigungen `powershell New-Item -Path "D:\PSTExports" -ItemType Directory -Force New-SmbShare -Name "PSTExports" -Path "D:\PSTExports" -FullAccess "Exchange Trusted Subsystem" icacls "D:\PSTExports" /grant "Exchange Trusted Subsystem:(OI)(CI)F" ` 8.3 Voller Export `powershell New-MailboxExportRequest -Mailbox "benjamin" -FilePath "\\FS01\PSTExports\benjamin_full.pst" ` 8.4 Differenz‑Export (ContentFilter) `powershell $since = "2026-01-01" New-MailboxExportRequest -Mailbox "benjamin" -ContentFilter {Received -gt $since} -FilePath "\\FS01\PSTExports\benjamin_since20260101.pst" ` 8.5 Status prüfen `powershell Get-MailboxExportRequest | Get-MailboxExportRequestStatistics Get-MailboxExportRequest -Status Failed | Format-List ` --- 9 Tests & Validierung Ziel: Sicherstellen, dass Profile, Office SCA und Outlook/Autodiscover korrekt funktionieren. 9.1 Test A — Profil‑Mount prüfen (Schritt für Schritt) 1. Anmeldung: Melde dich am RDS‑Host als Test‑Benutzer (z. B. ein normaler Anwender). 2. Auf dem RDS‑Host (als Admin) prüfen: `powershell Liste VHDX Dateien auf Share Get-ChildItem "\\FS01\FSLogixProfiles$" -Filter "testuser" -Recurse Prüfe offene Handles (optional) Get-SmbOpenFile | Where-Object Path -like "testuser" ` 3. Erwartet: Für den Benutzer existiert eine VHDX (z. B. testuser.vhdx), sie ist gemountet und enthält das Benutzerprofil. 9.2 Test B — Login‑Timing messen (konkretes Vorgehen) 1. Vorbereitung: Erstelle ein kleines Login‑Script C:\Scripts\LoginTimer.ps1: `powershell $start = Get-Date Beispiel: Warte auf Desktop (simuliert) Start-Sleep -Seconds 1 $end = Get-Date $elapsed = $end - $start $elapsed.TotalSeconds | Out-File -FilePath "C:\Temp\LoginTimes.txt" -Append ` 2. Messung: Melde dich 10× ab und wieder an; das Script schreibt Zeiten in C:\Temp\LoginTimes.txt. 3. Auswertung: `powershell Get-Content C:\Temp\LoginTimes.txt | ForEach-Object {[double]$_} | Measure-Object -Average -Minimum -Maximum ` 4. Erwartet: Konsistente Werte; dokumentiere Durchschnitt, Min, Max. 9.3 Test C — VHDX Integrität & Mount 1. VHDX prüfen (Admin): `powershell Kopiere VHDX temporär lokal (nur ReadOnly prüfen) Copy-Item "\\FS01\FSLogixProfiles$\testuser.vhdx" -Destination "C:\Temp\testuser.vhdx" -ErrorAction Stop Mount-VHD -Path "C:\Temp\testuser.vhdx" -ReadOnly Get-Volume -FileSystemLabel * | Where-Object {$_.DriveType -eq 'Fixed'} Dismount-VHD -Path "C:\Temp\testuser.vhdx" ` 2. Erwartet: VHDX mountet ohne Fehler; Dateisystem intakt. 9.4 Test D — Office SCA Prüfung 1. Als Anwender: Starte Word/Outlook. 2. Prüfen: Datei → Konto → Shared Computer Activation sichtbar. 3. Token prüfen (Admin): `powershell Get-ChildItem -Path "C:\Users\testuser\AppData\Local\Microsoft\Office\16.0\Licensing" -Force ` 4. Erwartet: Keine Aktivierungsaufforderung; Office als aktiviert angezeigt. 9.5 Test E — Outlook Autodiscover (konkret) 1. Neues Outlook‑Profil anlegen: Systemsteuerung → Mail → Profile → Add → richte Konto ein. 2. Autodiscover‑Trace aktivieren (Outlook): Datei → Optionen → Erweitert → Aktivieren von Protokollierung (oder Outlook Logging aktivieren). 3. Erwartet: Autodiscover zeigt outlook.office365.com / Exchange Online Endpoints; Postfach verbindet erfolgreich. 9.6 Test F — PST‑Export Validierung (falls durchgeführt) 1. PST öffnen: Outlook → Datei → Öffnen → Outlook‑Datendatei → wähle exportierte PST. 2. Vergleich: Ordneranzahl und Itemanzahl mit Quellpostfach vergleichen. 3. Erwartet: PST lesbar, vollständige Daten vorhanden.