Desktop Goes Cloud

26. Oktober 2022 von Rene Niewianda

Arbeiten von überall mit Azure Virtual Desktop

Immer mehr Unternehmen nutzen Remote Desktop-Umgebungen, um ihren Mitarbeitern standortunabhängiges, komfortables und performantes Arbeiten zu ermöglichen. Solche Lösungen bieten vor allem den Vorteil, dass die Geräte der Mitarbeiter günstig und leicht auszutauschen sind. Diese Thin-Clients minimieren den Verwaltungsaufwand, da alle wichtigen Daten und Anwendungen auf den zentral Session-Hosts verwaltet werden. Diese Architektur schützt vor Datenverlust, weil die Dokumente, die in der Cloud liegen, von dort automatisch und redundant gesichert werden können.

Eine cloud-basierte Variante dieser Remote Desktop-Umgebungen ist Azure Virtual Desktop (AVD) von Microsoft. Durch den großen Funktionsumfang und die Einstellungsmöglichkeiten ist die Konfiguration einer AVD-Umgebung nicht trivial. Deshalb wollen wir im Folgenden zeigen, worauf Sie bei der Erstellung und Verwendung einer AVD-Umgebung achten sollten.

Warum Azure Virtual Desktop?

Mit AVD bietet Microsoft eine weitaus flexiblere Remote-Desktop-Lösung als Windows 365, Citrix oder VMware. Die Flexibilität besteht insbesondere in einer genauen Anpassbarkeit der Server, den sogenannten Session Hosts, an die Bedürfnisse der Nutzer. Im Gegensatz zu Microsofts zweiter virtual Desktop Lösung, Windows 365, bei der nur eine eingeschränkte Auswahl an VM-Konfigurationen zur Verfügung steht, kann bei AVD fast jede Azure VM-Konfiguration ausgewählt werden. So können, laut Microsoft, Rechner mit besonders hohem Arbeitsspeicher oder einer leistungsfähigen Grafikkarte für CAD- und Videoschnitt bereitgestellt werden. Es können auch die Hardwarekosten von Thin-Clients reduziert werden, da alle rechenintensiven Prozesse von den Session-Hosts übernommen werden.

AVD bietet die Möglichkeit, entweder einen kompletten virtuellen Desktop oder nur einzelne Applikationen bereit zu stellen. Das Verbindungs-, Lasten- und Speicherverwaltung wird komplett von AVD übernommen. Des Weiteren gibt es beispielsweise die Option, zwischen verschiedenen Algorithmen zum Lastenausgleich zu wählen.

Folgendes Schaubild erläutert den kompletten Aufbau und Verwaltungsbereiche einer AVD-Umgebung.

Eine weitere Stärke von AVD ist die optionale Multisessionskalierung. Mehrere Nutzer können sich einen Host teilen, sodass bereits wenige leistungsstarke Hosts ausreichen, um vielen Benutzern die Arbeit von überall zu ermöglichen. Zur Optimierung der Kosten können weitere Hosts, je nach Bedarf und Auslastung, automatisiert ein- und ausgeschaltet werden.

Ein solcher AVD-Skalierungsplan ist in vier Phasen unterteilt: Ramp-up, Peak hours, Ramp-down und Off-Peak hours. Diese Phasen werden der obigen Reihenfolge nach durchlaufen und es kann eingestellt werden, zu welchen Uhrzeiten in die nächste Phase gewechselt werden soll. Die Ramp-up Phase dient dazu, zusätzliche Hosts hochzufahren, um direkt ausreichend viele Sessions, ohne Wartezeit für die User, während der Peak hours bereitstehen. Während des Ramp-downs wird die Anzahl der aktiven Session-Hosts sukzessive reduziert. Hierbei kann ausgewählt werden, ob die User zwangsweise ausgeloggt werden oder nur Hosts ohne aktive Sessions heruntergefahren werden. Während der Off-Peak Hours stehen keine oder nur ein Mindestmaß an Hosts zur Verfügung, sodass Kosten eingespart werden können. Die Skalierung erfolgt in allen vier Phasen immer anhand der prozentualen CPU-Auslastung der Session-Hosts. Die Schwelle lässt sich dabei individuell festlegen, allerdings ist die Schwelle bei Ram-up und Peak hours bzw. bei Ramp-down und Off-Peak hours immer gleich.

Bei dieser Skalierungsmethode muss vorher abgeschätzt werden, wie viele Hosts vorhanden sein müssen, da durch den automatisierten Skalierungsplan keine neuen Session-Hosts erstellt werden können. Sind also alle vorher erstellten Maschinen voll ausgelastet, werden keine neuen Verbindungen mehr zugelassen. Allerdings können nachträglich manuell weitere Session-Hosts hinzugefügt werden.

Erstellen eines AVD-Hostpools

Zum Bereitstellen einer AVD-Umgebung muss zuerst ein Host-Pool und ein Workspace erstellt werden. Beide können mit demselben Einrichtungsassistenten im Azure Portal konfiguriert werden. Bevor der Assistent gestartet wird, müssen, falls nicht vorhanden, eine Ressourcengruppe und ein virtuelles Netzwerk erstellt werden, da dies im Assistenten nicht möglich ist. Um den Host-Pool und einen Workspace zu erstellen, wird einfach „Create Hostpool“ im AVD-Bereich ausgewählt. Neben den üblichen Einstellungen wie Azure Region Name und Resource Group muss entschieden werden, ob die Session-Hosts von mehreren Usern (Multisession) oder nur von einem Nutzer verwendet werden sollen. Bei der multisession Nutzung kann des Weiteren der Loadbalancing-Algorithmus und die maximale Anzahl an Sessions eingestellt werden.

Als Nächstes werden die Session-Hosts erstellt. Dies läuft fast genauso ab, wie bei normalen Azure VMs. Allerdings wird hier zusätzlich die Anzahl und ein Namenspräfix angegeben, sodass mehrere gleiche VMs mit durchnummerierten Namen erstellt werden können. Die Session-Hosts können direkt ins (Azure) Active Directory eingebucht werden und im Falle des Azure Active Directory optional auch direkt in Intune eingebucht werden. Damit ist eine nachträgliche zentralisierte Verwaltung der Session-Hosts möglich.

Zuletzt kann noch eine standard Desktop App Group zu einem Workspace hinzugefügt werden und, wenn noch keiner existiert, dieser auch erstellt werden. In App Groups werden User und Gruppen zusammengefasst, die Zugriff auf bestimmte AVD-Applications wie z.B. den AVD-Desktop haben. (Diese User müssen zusätzlich die Virtual Machine User Login Rolle auf den jeweiligen Session Hosts zugewiesen bekommen, da sonst der Zugriff verweigert wird).

Wenn alles konfiguriert ist, kann der Hostpool erstellt werden. Dies dauert in der Regel ca. 20 Minuten.
In dieser Standardkonfiguration können nur Clients eine Verbindung über die Remote-Desktop-App aufbauen, die in derselben Azure AD-Domain wie der Host-Pool sind. Ist dies nicht der Fall oder soll die Web-App benutzt werden, muss in der RDP-Konfiguration des Hostpools „targetisaadjoined:i:1“ als „Ausschalter“ angegeben werden. Dieser Zusatz ermöglicht Verbindungen von beliebigen Geräten und stellt daher ein besonderes Sicherheitsrisiko dar. Deshalb sollte, wenn diese Variante genutzt wird, zusätzlich die MFA-Authentifizierung für die jeweiligen Benutzer eingeschaltet werden.

Fazit

AVD ist vor allem für maßgeschneiderte Szenarien eine gute Lösung. Zusätzlich können selbst kleine Remote Desktop-Umgebungen schnell und ohne teure Hardwareanschaffungen erstellt werden. So können auch zeitlich begrenzte Bereitstellungen effizient und vergleichsweise günstig ermöglicht werden. Allerdings kann die Einrichtung, durch die vielen Optionen, leicht komplex werden. An dieser Stelle unterstützen wir Seitens ITERACON gerne.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.