Publicado por Uno de los temas que los IT Admins más solicitan conocer es el tratamiento de los perfiles de usuario dentro de Windows Virtual Desktop. Surgen varias cuestiones:
- ¿Qué son y para qué se utilizan?
- ¿Cómo se despliegan y administran?
- ¿Qué tipo de autenticación soportan?
- ¿Cuánto me va a costar?
Al finalizar la lectura de este post habremos aprendido cómo configurar estos perfiles de usuario mediante la tecnología FSLogix, habremos conocido los métodos de autenticación que el servicio soporta y tendremos las respuestas a todas estas cuestiones iniciales.
¿Qué son y para qué se utilizan?
El perfil de contenedor FSLogix es una solución adquirida por Microsoft utilizada en el servicio Windows Virtual Desktop para el tratamiento de los perfiles de usuario. El fin de esta solución es almacenar un perfil de usuario completo en un único contenedor, con una extensión de fichero .vhd o .vhdx.
En el momento de iniciar sesión, el contenedor se anexa automáticamente a la sesión del usuario mediante el disco duro virtual, permitiendo que dicho perfil de usuario esté disponible inmediatamente y apareciendo en el sistema exactamente como un perfil de usuario nativo.
¿Cómo se despliegan y administran?
En primer lugar, tenemos que crear una cuenta de almacenamiento. Nos vamos al portal de Azure y creamos una Storage Account y, dentro de ella, un File Share:
Debemos ahora acceder a nuestra máster VM que nos servirá para configurar todas nuestras aplicaciones corporativas, el perfil de FSLogix y todas las personalizaciones que deseemos. Esta máster VM nos va a servir de ejemplo para el despliegue del servicio.
Nos conectamos vía RDP a la VM y entramos en el siguiente enlace para descargarnos el software:
Instalamos el software FSLogix:
Una vez instalado, podremos administrar y configurar los parámetros que queramos desde 2 posibles vías:
- Desde el Editor de Registro (regedit) de la propia VM máster.
- Vía Políticas de Grupo (GPO de dominio).
Administración FSLogix desde Regedit
Al haber instalado el software, nos encontramos con una entrada bajo HKEY_LOCAL_MACHINE/SOFTWARE llamada FSLogix. Para configurar parámetros, deberemos crear una nueva Key llamada Profiles (si no estuviese creada):
Los parámetros más importantes son 2: Enabled y VHDLocations. El primero de ellos, si está en 0: deshabilitado; 1, habilitado. El segundo de ellos nos indica la localización de nuestra cuenta de almacenamiento, seguida de nuestro File Share recientemente creado. Para más información sobre posibles parámetros, podremos consultar la documentación de Microsoft sobre Profile Container.
Administración FSLogix desde GPO
Otra variante de administración es mediante políticas de grupo. De esta forma, podremos tener, de forma centralizada, la gestión de FSLogix desde nuestro dominio.
En la carpeta comprimida de FSLogix anteriormente descargada veremos 2 ficheros: fslogix.adml y fslogix.admx, que son ficheros de plantillas administrativas para la gestión de GPOs:
Esos ficheros los llevaremos a nuestro Controlador de dominio (o a la carpeta centralizada de Políticas de Grupo) y lo pegaremos:
- ADMX Files: %SystemRoot% \PolicyDefinitions.
- ADML Files: %SystemRoot% \PolicyDefinitions\MUI_culture, donde MUI_culture es el idioma instalado seguido de la cultura (o país). Ej: en-US:
Una vez realizado esto, abriremos la consola de políticas de grupo y veremos esa plantilla administrativa y podremos utilizarla para gestionar centralizadamente el comportamiento de FSLogix desde ahí:
¿Qué tipo de autenticación soportan?
Hablemos de autenticación. Azure Files soporta autenticación basada en identidades a través de 2 métodos posibles, otorgándonos beneficios y escenarios de autenticación:
- Autenticación Kerberos.
- Protocolo SMB.
- Azure Active Directory (Azure AD).
- Azure Active Directory Domain Services (Azure AD DS).
- On-premises Active Directory Domain Services (AD DS). También válido en Azure VM.
- RBAC.
A continuación veremos los 2 escenarios posibles y su configuración:
Azure Files – Active Directory Domain Services authentication
Comencemos por el método tradicional, autenticación de Active Directory. Lo primero que debemos revisar es si tenemos creada la Storage Account como hemos mencionado anteriormente.
Nos vamos a nuestro Domain Controller. Debemos descargarnos y descomprimir el módulo AzFilesHybrid.
Lo siguiente será ejecutar el script CopyToPSPath.ps1:
Importamos el módulo AzFilesHybrid:
Nos conectamos a nuestra cuenta de Azure:
Debemos asegurarnos de escoger la suscripción correcta. Para ello, podemos utilizar el siguiente comando:
Get-AzSubscription | Out-GridView -Title «Selecciona la suscripción correcta» -PassThru | Select-AzSubscription
Ahora ejecutaremos el comando que unirá la Storage Account de Azure a nuestro dominio. Esto nos generará una cuenta de máquina en nuestro Active Directory:
Join-AzStorageaccountForAuth -ResourceGroupName «<grupo de recursos>» -Name «<nombre de la storage account>» -DomainAccountType «ComputerAccount» -OrganizationalUnitName «<OU…>»
Una vez hecho esto, tendremos nuestra Storage Account creada:
Si nos vamos a Azure, veremos que la autenticación de Active Directory en la Storage Account se ha habilitado:
Ahora debemos dar permisos RBAC dentro de la Storage Account y, para afinar más, dentro del File Share. Existen 3 tipos de permisos en Azure que han sido incorporados para configurar el nivel de recurso compartido:
- Storage File Data SMB Share Reader: permite el acceso de lectura en los recursos compartidos de archivos de Azure Storage a través de SMB.
- Storage File Data SMB Share Contributor: permite el acceso de lectura, escritura y eliminación en los recursos compartidos de archivos de Azure Storage a través de SMB.
- Storage File Data SMB Share Elevated Contributor: permite el acceso de lectura, escritura y eliminación en los recursos compartidos de archivos de Azure Storage a través de SMB
Deberemos asignar permisos de, al menos, Storage File Data SMB Share Contributor para poder generar, con nuestro login de usuario, el fichero VHD (o VHDX) y almacenarlo en el File Share.
Ahora comprobaremos si tenemos acceso al File Share desde el Explorador de Archivos. Entramos de nuevo en el Domain Controller y abrimos la ruta que hemos definido en FSLogix para VHDLocations, es decir, seguiremos el formato: \\storageaccountname.file.core.windows.net\filesharename:
Comprobamos que tenemos acceso y vemos perfiles creados.
Azure Files – Azure Active Directory Domain Services authentication
Nos toca hablar ahora sobre el otro método de autenticación de Azure Files. Este método trata sobre Azure AD Domain Services, el servicio de identidad de Active Directory desplegado como servicio (PaaS) dentro de Azure.
Comenzaríamos con un escenario de partida con el servicio Azure AD Domain Services implementado en nuestra suscripción:
Ahora crearemos una Storage Account y el File Share en la misma zona geográfica que nuestro Azure AD Domain Services. En nuestro caso, la ubicación es West Europe.
Habilitamos la Storage Account para la autenticación con Azure AD Domain Services. Para ello, entramos en la Storage Account, pulsamos sobre Configuration y lo habilitamos:
Tras esto, nos vamos a una VM que esté enlazada al Managed Domain de Azure AD Domain Services e intentamos entrar en la ruta del File Share (si no tenemos ninguna VM enlazada a este managed domain, creamos una vm, la asignamos a la red del Azure AD Domain Services (o a otra red, siempre y cuando esté emparejada con la del AADDS), la unimos al dominio gestionado (con una cuenta que sea miembro del grupo AAD DC Administrators, situado en Azure AD) y comprobamos acceso a la ruta:
Comprobamos que tenemos acceso.
¿Cuánto me va a costar?
En cuanto al precio que cuesta el servicio, cabe destacar la facilidad que Microsoft nos ofrece permitiendo el coste cero del mismo, incluido en las licencias requeridas para Windows Virtual Desktop.
Lo que sí nos va a facturar Microsoft es el espacio de almacenamiento de esos ficheros VHD/VHDX, que contienen los perfiles de sesión de los usuarios que han iniciado sesión al menos una vez. Este coste viene definido en el precio de Azure Files, que podremos encontrar y desglosar desde el siguiente enlace.
Y hasta aquí el post de hoy!! En los siguientes posts sobre Windows Virtual Desktop aprenderemos más configuraciones adicionales, así como os traeré todo lo nuevo que desde Microsoft nos vayan facilitando.
Hasta el siguiente post !!
<< La nube puede ser maravillosa >>
Darío Romero