Windows Server

Active Directory ile VDI User Profile Management – 1

Kullanıcılarınızın masa üstü öğeleri, browser için sık kullanılan linkleri veya kişisel ayarlarının her logon olduğunda sıfırlandığını düşünün? Böyle bir ortamda kullanıcıların çalışması mümkün olmayacaktır. Alışkın olduğumuz kullanıcı masa üstleri için aslında böyle bir risk yoktur. Çünkü mevut bir laptop veya masa üstü bilgisayarı kendileri için sabit olarak kullanmakta ve hep aynı kullanıcı profilini yüklemektedir. Ancak VDI ortamlarında işler biraz değişiktir. VDI ortamlarındaki kullanıcı profil yönetimine geçmeden önce kısaca VDI nedir ondan bahsetmek istiyorum.

VDI teknolojisi Sanal Masaüstü Altyapısı’ dır. Veri merkezimizin içinde bulunan Sanal bilgisayarların uzak masa üstü protokolleri sayesinde son kullanıcılarımızın hizmetine sunulmasıdır. Sanallaştırma teknolojileri içinde bulunan ve belki de toplam sahip olma maliyetlerinde azalma göstermeyen ve aksine toplam sahip olma maliyetlerinde artış gösteren bir sanallaştırma çözümüdür. Çünkü VDI teknolojisinde yatırım son kullanıcı bilgisayarlarına değil, veri merkezlerimizin içine yapılmaktadır. Bu sebepten ötürü, veri merkezi yatırımları pahalı olduğu için maliyetlerimizi arttıran bir teknolojidir.

VDI teknolojisiyle ilgili yanlış bilinen bir inanç vardır. Birçok kurum şu düşünce içinde olabilirler;

“VDI teknolojisiyle birlikte son kullanıcı aygıt yatırımını düşürdük ve son kullanıcılarımıza Aptal Terminaller tahsis ettik, son kullanıcılarımıza zengin kaynaklara sahip bir donanım vermedik. Böylelikle VDI teknolojisi sayesinde toplam sahip olma maliyetlerimizde tasarruf elde ettik”

Yukarıda aktarılan düşünce yanlıştır!

VDI teknolojisi incelendiği zaman son kullanıcılarımızın kullanmış oldukları aygıtlar sadece VDI bileşenlerinden bir tanesidir. VDI teknolojisi bir bütün olarak incelendiği zaman pahalı ve hatta toplam sahip olma maliyetlerinde artış gösteren bir teknoloji olduğu tespit edilecektir.

Peki, VDI tanımını yaptık isek eğer şimdi sıra geldi kullanıcı profillerinin önemine. Yukarıda da özetlediğimiz gibi kullanıcılar artık basit istemcilerden veya son günlerin modası olan BYOD dediğimiz (bring your own device) yani çalışanların kendi mobil aygıtları üzerinden şirket kaynaklarına erişmesi modelinde masa üstünüz hep sabit olmalıdır.

clip_image001

Bu ve bunun gibi pek çok nedenden dolayı VDI ortamlarında kullanıcı profil yönetimi büyük önem taşımaktadır.

VDI için bir adet golden imajdan sonra kullanıcı tarafından yapılan her şey ( masa üstü arka planı, uygulama ayarları, Windows ayarları, masa üstü, belgeler ve benzeri klasörlerdeki dosyalar) profili üzerinde kayıt edilir ve bizimde amacımız bu profili herhangi bir VDI ortamında (sanal masa üstü) logon olursa olsun aynı kullanıcı deneyimi yaşatmasını sağlamaktır. Eğer işletmenizin ihtiyaçları doğrultusunda kullanıcıların herhangi bir şekilde kişiselleştirmeye gitmesini istemiyorsanız, ya da yaptığı tüm değişiklikler log off sonrasında ilk haline dönmesini istiyorsanız buna mandatory profiles denir ki bu bizim şu anda üzerinde durduğumuz bir konu değildir. Ancak bunu da bir çözüm olduğunu ve kullanıldığını söylemek isterim.

Kullanıcı profil yönetimi denince pek çok ürün olduğunu ve bunlardan bazılarının özellikle VDI ortamları için geliştirildiğini görebiliyoruz.

Peki, masa üstünü sanallaştırmadan önce profilleri ne yapmalıyız? Buradaki en önemli fikir tabiki artık profilleri yerel disklerde tutmamak olacaktır. Bu sayede User State Virtualization (USV) dediğimiz kullanıcıların yönetilen tüm cihazları için aynı kullanıcı deneyimi yaşamasını sağlayabileceğiz. USV, kullanıcıların her zaman kişisel tecrübelerine yönetilen herhangi bir cihaz üzerinden erişmesi demektir. Temel anlamda kullanıcının herhangi bir bilgisayardaki dosyaları, ayarları gibi kendisine ait kişiselleştirilmiş bilgileri tüm makinelerden sunmaktır. Bu sayede kullanıcıların herhangi bir yerden herhangi bir zamanda çalışmasına yardımcı olarak üretkenliği arttırılabilir. Bu özelliğin Microsoft tarafından sağlanması için Folder Redirection, Roaming Profile, One Drive Pro, Offline Files gibi teknolojiler birlikte kullanılabilir. Ben ise makalemde mevcut bu teknolojilerden roaming ve folder rediretion’ dan bahsedeceğim.

Not: Ek olarak Windows Server 2012 ile RDS ortamları için sunulan User Profile Disk teknolojisi için aşağıdaki makaleyi inceleyebilirsiniz.

Makale

Öncelikle VDI ortamları ile yerleşik bilgisayar ortamlarındaki en büyük fark aslında mobil platform kullanımıdır. Yani şirket çalışanları ister şirket içerisinde masa üstü bilgisayarı, ister yine şirket içerisinde toplantıda kullandığı laptop, veya evindeki tablet yada cep telefonu ile aynı kullanıcı deneyimi yaşamak ister. Durum böyle olunca da bunu Active Directory Roaming Profile ile sağlayabilirsiniz. (VDI Floating Pool)

Roaming Profile için temel çalışma mantığı son derece basit olup AD üzerinde kullanıcı için profile path tanımlanır ve kullanıcı çalışma yaptıktan sonra log off olur, log off sırasında o makinedeki tüm dosyalar sunucu üzerine gönderilir. Daha sonra evine gittiğinde tablet bilgisayarı ile sanal masa üstüne bağlandığında logon olurken sunucu üzerinden tekrar bu profil bilgileri yüklenir ( Aslında bu yükleme tablet bilgisayara olmaz, tablet bilgisayar üzerine kullandığınız VDI alt yapısının bir istemcisini kuruyorsunuz ve bu istemci yazılımı ile sanallaştırma sunucularına bağlanıyorsunuz.

Bu senaryo içerisinde aklınıza bazı durumlar takılabilir, bunlardan ilki çalışanlarınızın log off olmaması. Evet bu kötü bir durum olup log off olmaması durumunda bu bilgiler sunucu üzerine yazılmayacağı için başka bir bilgisayardan profil’ e ulaştığı zaman en güncel profili yüklenmeyecektir. Hatta zaman damgası mantığı ile çalıştığı için evdeki pc de çalışır, sonra şirketteki makineyi log off olmadan kapatıp açar ise o makinedeki çalışmaları da log on olurken ezilir. Bu tür senaryolar için tabiki çözümlerimiz var. Bunlardan ilki roaming profile ile beraber folder redirection dediğimiz profil içerisindeki belgelerinizin, masa üstü çalışma alanınızın aslında size ayrılan bir file server üzerinden çalışması, bu sayede siz log off olmasanız bile yazdığınız tüm işler sunucu üzerinde olacaktır. Folder redirection yoğun bir network kullanımına neden olur, çünkü aslında kullandığınız masa üstü ve belgelerim gibi ( bunları seçebilirsiniz) yollar, direkt olarak file server üzerinden okuma ve yazma yapmaktadır.  Bu bahsettiğim ikinci yöntem yani Roaming Profile ile Folder Redirection çözümlerinin beraber kullanılması aynı zamanda logon ve log off sürelerini de kısaltacaktır. Çünkü roaming profile için tüm kullanıcı profilinin yeni bir makineye yüklenmesi bazen ciddi bir zaman alabilir. Veya mevcut bir makinede hızlı bir şekilde logon oldu ancak 5GB lık bir veri çalışması yaptı ve log off olarak şirketten çıkmak istiyor, bu durumda bu 5GB’ ın sunucuya atılmasını beklemek zorundadır.

Peki, gelelim uygulama tarafına, aslında bu bölüm bir hayli uzun sürecek, yani Roaming Profile ile başlayıp Folder Redirection’ ın beraber kullanma senaryolarına kadar adım adım uygulamalı bir anlatım planladım, ancak her bir demo için ortam hazırlamak ve tek bir solukta yazmak benim iş yoğunluğumda uzun bir zaman alacağı için bölüm temeli yazıp sizler ile paylaşmak istiyorum.

İlk olarak Roaming Profile ile başlıyorum.

Romaing Profile için aşağıdaki gibi bir yol izlememiz gerekmektedir;

·         Farklı profil sürümlerinin desteklenmesi 

·         Roaming User Profiles için bir security group oluşturmak

·         Roaming user profiles için bir dosya paylaşımı hazırlamak

·         Roaming User Profiles için isteğe bağlı olarak GPO oluşturmak

·         Roaming User Profiles ayarlarının kullanıcılar için tanımlanması

·         Roaming User Profiles için isteğe bağlı bilgisayar ayarları

·         Roaming User Profiles için tanımlanan GPO’ nun devreye alınması

·         Test İşlemleri

 

 

Farklı Profil Sürümlerinin Desteklenmesi 

Kullanmış olduğunuz işletim sisteminin sürümüne göre kullanıcı profilleri farklılıklar göstermektedir. Yani ilk olarak bir Windows 7 de oturum açan bir roaming user daha sonra bir Windows 8 de oturum açar ise veya tam tersi bir Windows 8 de oturum açan roaming user sonrasında Windows 7 makineye logon olursa tek olarak tutulan bu profil dosyası her iki işletim sisteminin tüm ayarlarını doğru bir şekilde yapılandırmak için yeterli değildir. Bu nedenle aşağıdaki gibi profil versiyonları bulunmaktadır.

Windows 7 – Windows Server 2008 R2= v2
Windows 8 – Windows Server 2012 = V3
Windows 8.1 – Windows Server 2012 R2 = V4
Windows 10 = V5

clip_image002

Yukarıdaki örnekte aynı kullanıcı için iki adet farklı sürümü görebiliyoruz.

Ancak varsayılan olarak bu özellik açık olmadığı için aşağıdaki gibi iki işletim sistemi sürümü için hotfix yüklemeniz ve bir kayıt defteri ayarı değiştirmeniz gereklidir.

Windows 8.1 ve Server 2012 R2 için http://support.microsoft.com/kb/2887595

Windows 8 ve Server 2012 için http://support.microsoft.com/kb/2887239

Kayıt defteri girdisi aşağıdaki gibi olup değeri “1” olacaktır

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProfSvc\Parameters\UseProfilePathExtensionVersion

Bunu GPO ile aşağıdaki gibi tüm makinelere uygulayabilirsiniz

clip_image004

Artık sürüm desteğine kavuştuğumuza göre ikinci adıma geçebiliriz.

 

Roaming User Profiles için bir security group oluşturmak

Bu adım son derece basit olup örneğin “Roaming User Profiles Users and Computers” ismin de bir Security – Global grup oluşturuyoruz.

clip_image005

Roaming user profiles için bir dosya paylaşımı hazırlamak

Bu adımda ise kullanıcı profil dosyaları için bir file server üzerinde paylaşım oluşturacağız. Bunun için öncelikle Server Manager ekranında “File and Storage Services” düğümüne geliyoruz ve Share kısmına tıklayarak paylaşımların gösterildiği ekranı açıyoruz.

 

clip_image006

 

Sağ üst köşedeki Task menüsü altından New Share diyerek yeni bir paylaşım oluşturmak için sihirbazı açıyoruz.

clip_image008

 

clip_image010

Karşımıza çıkan ekranda SMB Share Quick diyerek ilerliyoruz. Eğer siz içerik ve kota yönetimi gibi sunucu tarafında beklenmedik bir yoğunluk oluşumunu engellemek istiyorsanız SMB Share Advanced seçeneği ile ilerleyebilirsiniz.

clip_image012

Hangi sunucu ve volume üzerinde paylaşım açacak ise onu seçiyoruz ( Server manager üzerinden birden çok sunucuyu yönetme şansınız olduğu için birden çok sunucu üzerinde de paylaşım açabilirsiniz)

 

clip_image014

Paylaşım için anlamlı bir isim veriyoruz, sonuna $ işaretini koyarak isek herkesin görmesini istemediğimiz gizli bir paylaşım olmasını sağlıyoruz.

clip_image016

Bu bölümdeki seçenekler isteğinize bağlı olup ben yine bir kişinin bir paylaşım üzerinde yetkisi olmayan klasörleri listelememesi için “Enable access-based enumeration” kutucuğunu işaretliyorum.

clip_image018

Bir sonraki bölüm ise izinler. Bu bölüm son derece kritik bir öneme sahip olup gösterilen izinleri uygulamak güvenlik açısından en doğru konfigürasyonu yapmanızı sağlayacaktır.

İlk olarak karşımıza çıkan ekranda “Customize permissions” linkine tıklıyoruz.

clip_image020

Daha sonra açılan pencerede “Disable inheritance” ve ardından karşımıza çıkan uyarı ekranında

clip_image021

Kırmızı işaretli linke tıklıyoruz.

clip_image022

Daha sonra ise izinleri yukarıdaki tabloda gösterildiği gibi tanımlıyoruz.

clip_image024

clip_image026

 

clip_image028

İzinlerin son hali yukarıdaki gibidir.

clip_image030

Artık Roaming Profile için gerekli olan dosya paylaşımını tamamlamış bulunuyoruz.

Evet adımlarımıza makalemin bir sonraki bölümünde devam edeceğim. Umarım bu bölüme kadar faydalı bir makale olmuştur, bir sonraki bölümde görüşmek üzere.

 

Kaynaklar

http://searchvirtualdesktop.techtarget.com/tip/User-profile-management-tools-16-options-to-consider

http://searchvirtualdesktop.techtarget.com/feature/Tips-for-VDI-user-profile-management

https://technet.microsoft.com/en-us/library/jj649079.aspx#EnableProfileVersions

Makalemin VDI tanımı Fatih Karaalioğlu’ nun aşağıdaki makalesinden alıntıdır

http://www.cozumpark.com/blogs/citrix/archive/2012/07/15/citrix-flexcast-teknolojisi-bolum1-sunucu-bilesenleri-ve-vdi-nedir.aspx

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu