Identifizieren der zu schützenden Komponenten
Azure Virtual Desktop-Bereitstellungen bestehen aus mehreren Komponenten. Während dem Konfigurieren von Geschäftskontinuität und Notfallwiederherstellung (Business Continuity and Disaster Recovery, BCDR) für Azure Virtual Desktop ist es wichtig, jede Komponente einzeln zu berücksichtigen.
Azure Virtual Desktop-Dienste
Azure Virtual Desktop ist eine flexible VDI-Lösung (Virtual Desktop Infrastructure) in der Cloud. Dieser Dienst:
- Bietet Brokering und Orchestrierung virtueller Desktops als verwalteten Dienst.
- Ermöglicht die Verwaltung virtueller Computer (VMs), die in Ihrem Azure-Abonnement bereitgestellt werden.
- Stellt eine virtuelle Desktoperfahrung und Remote-Apps für jedes Gerät bereit.
- Umfasst Unterstützung für vorhandene Tools, z. B. Microsoft Intune.
Microsoft verwaltet die in der folgenden Tabelle beschriebenen Azure Virtual Desktop-Dienste:
| Dienst | Beschreibung |
|---|---|
| Gateway | Dieser Dienst verbindet Remoteclients mit einem Gateway, und er stellt dann eine Rückverbindung von einem virtuellen Computer mit demselben Gateway her. |
| Verbindungsbroker | Dieser Dienst bietet Lastenausgleich und eine erneute Verbindung mit virtuellen Desktops und Remote-Apps in vorhandenen Benutzersitzungen. |
| Diagnose | Dieser Dienst protokolliert Ereignisse von Aktionen in der Azure Virtual Desktop-Bereitstellung als Erfolg oder Fehler. Sie können diese Informationen verwenden, um Fehler zu beheben. |
| Erweiterbarkeitskomponenten | Diese Komponenten ermöglichen unterstützung für die Verwaltung von Azure Virtual Desktop über PowerShell, REST-APIs und die Integration in Drittanbietertools. |
| Webzugriff | Mit diesem Dienst können Sie sicher über einen Webbrowser auf Ihre Azure Virtual Desktop-Ressourcen zugreifen, ohne dass der Installationsvorgang langwierig ist. |
Die Kerninfrastrukturdienste von Azure Virtual Desktop werden vollständig von Microsoft verwaltet. Wenn es zu einem regionalen Ausfall kommt, müssen Sie keine zusätzlichen Schritte ausführen, um den Betrieb dieses Diensts beizubehalten. Jeder ungeplante Fehler initiiert ein Komponentenfailover auf mehrere Standorte. Dadurch wird sichergestellt, dass sowohl die Mandantenumgebung als auch die Hosts zugänglich bleiben.
Microsoft Entra-ID
Sie verwenden Microsoft Entra ID für die Identitäts- und Zugriffsverwaltung in Azure Virtual Desktop. Dies schließt den Zugriff auf Remotesitzungen, Verwaltungselemente und die Benutzereinrichtung ein. Azure Virtual Desktop verwendet Microsoft Entra ID, um jeden Vorgang zu authentifizieren, der mit Diensten interagiert, die in Azure ausgeführt werden. Dies schließt Apps und Websites ein, welche Benutzer verwenden, um verfügbare Ressourcen zu ermitteln.
AD DS
Azure Virtual Desktop-VMs müssen einem Ad DS-Dienst (Active Directory Domain Services) in die Domäne beitreten, und der Dienst muss mit der Microsoft Entra-ID synchronisiert sein, um Benutzer zwischen den beiden Diensten zuzuordnen. Sie können Microsoft Entra Connect verwenden, um AD DS in Microsoft Entra ID zu integrieren. Sie können Azure Virtual Desktop mit Identitäten aus einer reinen Cloudorganisation oder in einer Umgebung mit Hybrididentitäten bereitstellen.
Um Azure Virtual Desktop zu unterstützen, muss Ihre Infrastruktur jedoch bestimmte Anforderungen erfüllen. Sie benötigen Folgendes:
- Eine Microsoft Entra-Organisation.
- Ein Domänencontroller, der mit der Microsoft Entra-ID synchronisiert wird. Sie können Ihre Domänencontroller in Ihrem lokalen Netzwerk oder als VMs bereitstellen, die in einem virtuellen Azure-Netzwerk ausgeführt werden. Für die Bereitstellung von Domänencontrollern in einem lokalen Netzwerk ist eine Verbindung mit einem virtuellen Azure-Netzwerk entweder über ein Standort-zu-Standort-VPN oder über ExpressRoute erforderlich. Sie können auch AD DS verwenden, in dem Microsoft Ihre Domänencontroller verwalten kann, anstatt sie auf Azure-VMs bereitzustellen.
- Ein Azure-Abonnement, das ein virtuelles Netzwerk enthält, das entweder über AD DS oder Microsoft Entra Domain Services verfügt oder mit diesem verbunden ist.
Die Aufrechterhaltung der Verfügbarkeit von Active Directory-Domänencontrollern ist entscheidend, wenn ein Ausfall der primären Region auftritt. Ohne einen zugänglichen Active Directory-Domänencontroller können sich Benutzer nicht bei Ihren Azure Virtual Desktop- und RemoteApp-Instanzen anmelden.
Virtuelles Netzwerk
Ein virtuelles Netzwerk ist eine wichtige Komponente, in der Azure sowohl die Azure Virtual Desktop-VMs als auch Ihre AD DS-Instanzen einrichtet. Während eines Ausfalls ist es wichtig, dass die Netzwerkkonnektivität für Azure Virtual Desktop ordnungsgemäß funktioniert. Für eine Azure Virtual Desktop-Hybridbereitstellung müssen Sie entweder ein Standort-zu-Standort-VPN (Virtual Private Network) oder Azure ExpressRoute verwenden, um das virtuelle Netzwerk mit einem lokalen Netzwerk zu verbinden. Dies erfordert eine sorgfältige Planung der Netzwerkkonnektivität in Ihrer sekundären Region und der Konnektivität mit Ihrem lokalen Netzwerk.
Sitzungshosts
Azure Virtual Desktop bietet Zugriff auf die Sitzungshosts, auf denen die Remotedesktops oder Remote-Apps ausgeführt werden. Jeder Sitzungshost verfügt über einen Azure Virtual Desktop-Host-Agent, der die VM als Teil des Azure Virtual Desktop-Arbeitsbereichs oder -Mandanten registriert. Sitzungshosts müssen entweder mit Microsoft Entra Domain Services oder AD DS kommunizieren. Weil VMs nicht mehr verfügbar sein können, oder das Betriebssystem beschädigt werden kann, müssen Sie diese in den BCDR-Plan für Azure Virtual Desktop einschließen.
Bilder
Wenn Sie Sitzungshosts mit Anwendungsgruppen konfigurieren, steht Ihnen eine Auswahl an Images zur Verfügung. Sie können Betriebssystemimages auswählen, die von Microsoft in Azure Marketplace-Images bereitgestellt werden, z. B.:
- Windows 11 oder Windows 10 Enterprise für mehrere Sitzungen, mit oder ohne Microsoft 365-Apps.
- Windows Server 2022 oder 2019.
- Ihre eigenen benutzerdefinierten Images, die in einer Azure Compute Gallery gespeichert sind.
Images wirken sich nicht direkt auf die Fähigkeit eines Benutzers aus, eine Verbindung mit einer Sitzungshost-VM herzustellen. Sie sind jedoch von entscheidender Bedeutung, wenn Sie eine neue Sitzungshostkapazität einrichten. Wenn Sie also Hosts erstellen, müssen Sie diese sichern und sicherstellen, dass sie verfügbar sind. Sie müssen sicherstellen, dass das Image in der sekundären Region verfügbar ist.
Tipp
Obwohl eine Azure Compute Gallery eine globale Replikation ermöglicht, handelt es sich nicht um eine globale Ressource. Für Notfallwiederherstellungsszenarien besteht die bewährte Methode darin, mindestens zwei Kataloge in unterschiedlichen Regionen zu verwenden.
FSLogix
FSLogix ist für das Roaming von Profilen in Remotecomputingumgebungen konzipiert. Ein vollständiges Benutzerprofil wird in einem einzelnen Container in einer Server Message Block (SMB)-Protokolldateifreigabe gespeichert (beispielsweise Azure Files oder Azure NetApp Files). Bei der Anmeldung fügt Azure diesen Container dynamisch an die Computerumgebung an, indem nativ unterstützte virtuelle Festplatten (Virtual Hard Disk, VHD) und virtuelle Hyper-V-Festplatte (VHDX) verwendet werden.
FSLogix-Profile sind für Azure Virtual Desktop-Umgebungen von entscheidender Bedeutung. Sie müssen immer verfügbar sein, wenn ein Benutzer eine Verbindung mit einem Desktop oder einer RemoteApp herstellen und darauf arbeiten muss. Daher müssen FSLogix-Profile repliziert werden und in mehreren Regionen verfügbar sein.
MSIX App Attach
Msix App Attach speichert Anwendungsdateien als MSIX-Images (VHD/VHDX/CIM), getrennt vom Betriebssystem. Wenn Sie MSIX App Attach öffnen, wird über eine VHD auf die Anwendungsdateien zugegriffen. Genauso wie Sie mit FSLogix-Profilen umgehen würden, sollten Sie erwägen, MSIX App Attach in einer anderen Region zu replizieren.