Komplexe Datenstrukturen über OneDrive for Business bereitstellen, Datenbank-Server nach Azure verlagern, die Unternehmenskommunikation und Zusammenarbeit über Microsoft Teams abwickeln: Dies ist die Realität heutiger IT-Umgebungen. Da Unternehmen immer mehr Windows-Workloads, -Daten und -Anwendungen in die Azure-Cloud verschieben, hat Microsoft mit Windows Virtual Desktop (WVD) eine hilfreiche Lösung für Cloud-Arbeitsplätze geschaffen. Sie löst Microsoft Remote Desktop Services (RDS) ab und nimmt sich künftig auch Workloads von Windows-Arbeitsstationen an. Doch auch diese Umgebung will verwaltet sein.

Gerade für Umgebungen, in denen man RDS-Hardware ersetzen muss, ist es in vielen Fällen sinnvoll, Arbeitslasten zu Windows Virtual Desktops umzuziehen. Dass es mit WVD erstmals eine Multi-Session-Variante von Windows 10 gibt, hat dabei besonderen Charme. Sie ist als Workstation-OS nun deutlich besser für die gemeinsame Nutzung von Geschäftsanwendungen geeignet. Ein weiterer, vor allem monetärer Vorteil von WVD liegt in der Möglichkeit der Nutzung von Azure Reserved VM Instances. Durch die vorab „gemieteten“ virtuellen Maschinen (VMs) sinken die Kosten gegenüber der sonst üblichen „Pay per use“-Variante von Azure um bis zu 70 Prozent. Insbesondere beim Wechsel der Server-Hardware trumpft eine in Azure gehostete WVD-Umgebung im Vergleich zu einer lokalen RDS-Lösung auf, da diese Server-Hardware, Server-Betriebssysteme, Strom, Kühlung, Wartung und vieles mehr benötigt. Weitere Vorteile: Nicht nur muss man sich um die darunterliegende Hardware keine Gedanken mehr machen, auch Wartung und Pflege der WVD-VMs ist einfacher. Selbst wenn sich Anforderungen ändern, lässt sich die Hardware in Azure-typischer Manier recht einfach wechseln.
Oft unerwähnt bleibt jedoch der Aufwand für die Einrichtung einer soliden WVD-Lösung. Während viele IT-Abteilungen in lokalen Umgebungen einen hohen Aufwand für die Automatisierung betreiben, hört man bei Windows Virtual Desktop die Behauptung, man müsse nur ein WVD-Image mit der notwendigen Software bestücken und klonen, um auch große Umgebungen sinnvoll bereitstellen zu können. Dies ist zwar technisch richtig, aber aus mehreren anderen Gründen unsinnig. Denn genau dieselben Regeln, die für lokal bereitgestellte Betriebssysteme und somit für ihre Arbeitslasten gelten, greifen auch für die (Multi-User-)Arbeitsstationen auf Azure: Automatisierung, Nachvollziehbarkeit, Kontrolle und Vorhersehbarkeit sind umso wichtiger, je zentralisierter die Systeme aufgestellt sind. Nicht auszudenken, was das Ausbringen eines einzigen falschen Updates auf einer kompletten WVD-Umgebung verursachen kann! Da ist auch das sehr einfache manuelle Neu-Ausrollen der Umgebung kein Trost, bringt es doch immer einen deutlichen Arbeitsausfall mit sich.

Planen und nachvollziehen

Microsoft bietet für die WVD-Bereitstellung eigene Lösungen, unterstützt aber auch Software von externer Seite. Es gibt einige Tools, die den Aufbau und die Wartung einer komplexen WVD-Umgebung deutlich erleichtern. Nahezu unverzichtbar ist die gründliche Planung der Umgebung. Bei einer On-Premises-Lösung würde sich wohl niemand erst nach dem Hardwarekauf über die Bereitstellung und Wartung der Umgebung Gedanken machen. Ähnliches gilt auch im Falle der WVDs: Planung, Nachvollziehbarkeit und Wiederholbarkeit sind zwingende Grundlage für jeden Rollout, um eine optimierte Hardwarenutzung sowie minimalen Bereitstellungs- und Wartungsaufwand zu erreichen.
Ein Basisprodukt, das bei der Einrichtung umfangreicher Infrastrukturen auf Microsoft Azure unterstützen kann, ist beispielsweise Terraform von HashiCorp. Terraform ist eine Lösung zur Erstellung, Anpassung und Versionierung von Infrastrukturen, die dabei hilft, komplexe Umgebungen sicher und effizient bereitzustellen. Sie zielt dabei nicht nur auf Cloud-umgebungen wie Azure, Amazon AWS, Google Cloud Platform und ähnliche ab, sondern ist auch für die lokale Bereitstellung von IT-Umgebungen ausgelegt.
Dabei beschreibt man die Bestandteile einer Umgebung zunächst komplett in Konfigurationsdateien. Der Anwender – in der Regel ein Administrator oder IT-Architekt – erstellt dann per Cloudoberfläche oder über manuelles Anpassen der Konfigurationsdateien einen Ausführungsplan. Das Erstellen virtueller Netzwerke und der WVD-Maschinen wie auch die Umsetzung weiterer Maßnahmen erfolgen dann automatisch. Parallelisierbare, nicht voneinander abhängige Vorgänge führt Terraform zeitgleich aus. Dienste wie Netzwerk, Storage und virtuelle Maschinen erfahren hier dieselbe Behandlung wie DNS-Einträge und andere, sonst manuelle Aufgaben. Änderungen an Konfigurationen erkennt die Software automatisch und erstellt daraus inkrementelle Ausführungspläne. Mit deren Hilfe kann der Administrator die Infrastruktur nachvollziehen und komplett wiederherstellen. Mit Terraform aufgebaute Umgebungen lassen sich mit wenigen Änderungen an den Konfigurationsdateien sehr einfach vervielfältigen und bei Bedarf auch ohne manuellen Eingriff von Grund auf neu erstellen.

Automatisierung im Sinne der Nutzer

Eine weitere Herausforderung, die Administratoren bereits aus lokalen RDS-Umgebungen kennen, ist der automatisierte Aufbau der Arbeitsstationen oder der RDS-Server. Gerade bei der Bereitstellung vieler VMs, auf denen Benutzer per Load Balancing bei jeder Anmeldung eine unterschiedliche Session erhalten, müssen identische Systeme identische Software aufweisen, um immer dieselbe Nutzererfahrung zu garantieren. Um dies sicherzustellen, ist es angeraten, die Maschinen per Master Image automatisiert mit Software zu bestücken. Dies trifft auch dann zu, wenn man die VMs klont.
Hier helfen Tools wie Boxstarter und Chocolatey. Boxstarter ist ein Open-Source-Werkzeug zur automatisierten Installation von Windows-Maschinen, das sowohl lokal als auch remote in einer Azure-Umgebung funktioniert. Es installiert und konfiguriert einfache wie auch komplexe Anwendungspakete und agiert dabei wie bei einer klassischen Softwareverteilung. Der Installationsprozess lässt sich allerdings auch agentenlos und remote anstoßen. Dadurch eignet sich diese Lösung hervorragend für die Master-Image-Erstellung in Azure-Umgebungen. Gerade die Möglichkeit, die Installationsfolge lokal zu entwickeln, zu testen und ohne größeren Zusatzaufwand auf Azure zu übertragen, macht Boxstarter zu einem mächtigen Werkzeug. Zum Einsatz kommen dabei Chocolatey-Pakete.
Chocolatey ist Package-Manager und zentrales Software-Repository zugleich. Administratoren können so eigene Pakete für eigene Anwendungen bereitstellen – aber auch auf vorwiegend fehler- und virenfreie Templates einer großen Community zugreifen und bereits von anderen paketierte Standardanwendungen verteilen. Mit dieser Kombination von Tools ist eine komplette WVD-Umgebung unter Azure mit recht geringem Planungsaufwand schnell aufgesetzt, erweitert und neu gebaut. Natürlich eignen sich dazu auch klassische Software-Verteilungsmechanismen wie Microsoft System Center Configuration Manager (SCCM). Sie werden jedoch dem Cloudanspruch einer WVD-Umgebung nicht gerecht.
Auch nach der Erstellungsphase gibt es Tools und Utilities, die die Arbeit mit der WVD-Umgebung erleichtern. Microsofts FSLogix-Produkte sind hier an erster Stelle erwähnenswert. So lagern die FSLogix Profile Container zum Beispiel das Benutzerprofil in eine im Netzwerk liegende VHDX-Datei (Hyper-V Virtual Hard Disk) aus und minimieren Profil-Ladezeiten. Vor allem zwei Komponenten sind aber noch interessanter: AppAttach und AppMasking. AppAttach ist eine Methode ähnlich der früher erhältlichen Lösungen zur Anwendungsvirtualisierung und somit weitläufig mit App-V verwandt. Die Software nutzt dafür jedoch einen anderen Ansatz: Alle notwendigen Anwendungen werden in einer eigenen virtuellen Festplatte im Netzwerk vorgehalten, die transparent auf den virtuellen Client gemappt wird. Dadurch stehen die Anwendungen in derselben Weise zur Verfügung wie lokal installierte Apps. Bei Updates reicht es dann aus, die VHDX-Datei anzupassen. Die Änderungen stehen damit allen WVD-Maschinen automatisch zur Verfügung.
Um nun einzugrenzen, welche Benutzer Zugriff auf bestimmte Anwendungen haben, kommt AppMasking ins Spiel. Es steuert den Anwendungszugriff auf der Basis von Benutzern und Gruppen. Fehlen Benutzern die notwendigen Rechte für eine Anwendung, so ist diese für sie nicht sichtbar. Da die FSLogix-Komponente direkt an der Filterschnittstelle des Redirectors ansetzt, kann der Anwender dies auch nicht umgehen. Gerade bei der Installation lizenzpflichtiger Software in einem für mehrere Benutzer und WVD-Maschinen verfügbaren Image kann der Administrator dadurch wirkungsvoll einschränken, wer diese Anwendung nutzen kann.
Innerhalb kürzester Zeit haben sich auf dem Markt zahlreiche Management-Werkzeuge für Windows Virtual Desktops entwickelt. Allein dies belegt den hohen Stellenwert, den die Anbieter den WVDs beimessen. Dieser Stellenwert wird abermals unterstrichen, wenn man auf mächtige Anwendungen schaut: Deren massive Verfügbarkeit kurz nach der WVD-Produktvorstellung zeigt klar und deutlich, dass sich WVD als Breitenlösung etablieren wird.

Simon Hirth ist Division Manager bei AppSphere, www.appsphere.com.