Les profils itinérants

Les profils itinérants sont un mécanisme Windows permettant aux utilisateurs de conserver leur paramétrage d’un ordinateur à un autre. Dans le cas de Citrix, cette fonctionnalité est importante, du fait que les utilisateurs peuvent se retrouver sur n’importe quel serveur Citrix.

Petits rappels sur le fonctionnement de ce  système et sur les bonnes pratiques…

1. Fonctionnement

Le fonctionnement des profils itinérants est simple :

  • Lors de la fermeture de la session utilisateur, le profil (composé des dossiers application data, Favoris, cookies, Mes documents… et du registre utilisateur) est copié depuis le dossier Documents and Settings vers un partage réseau.
  • Lorsque l’utilisateur ré-ouvre une session, ce dossier est rapatrié localement sur le serveur Citrix.

 

Remarque : Depuis Windows Server 2008, les profils sont en version 2, et sont nommés Utilisateur.V2 sur le partage contenant les profils itinérants.

 

Remarque : Si vous disposez d’une édition Enterprise de XenApp, celle-ci comprend l’outil Citrix Profile Management, qui permet entre autres de « streamer » les profils au fur-et-à-mesure de la session. Cet article ne tient pas compte de cet outil, et détaille un fonctionnement classique des profils.

 

2. Configuration

Il est possible d’activer les profils itinérants de 2 manières :

  • En spécifiant un chemin dans le propriétés TS d’un utilisateur,
  • En utilisant la stratégie « Définir le chemin d’accès au profil utilisateur itinérant des services Bureau à distance« , situés dans les stratégies système Hôte de bureau à distance. Cette deuxième est celle recommandée pour des environnements TS, où l’emplacement des profils itinérants doit être uniforme pour chaque utilisateur.

 

3. Optimisation

Le temps de chargement du profil est souvent une source de problèmes, la taille des profils augmentant avec le temps dans les environnements où aucune configuration poussée n’a été effectuée.

Afin de disposer d’un temps d’ouverture de session réduit, plusieurs mécanismes peuvent être mis en place :

 

  • La redirection de dossiers, qui va permettre de stocker des éléments du profil directement dans un dossier réseau. La redirection de dossier est principalement utilisée pour les dossiers Mes documents, Favoris, et le Bureau Windows. Ces éléments ne sont donc plus rapatriés à l’ouverture de session, mais accédés au travers du réseau pendant la session.
    Remarque :
    Cette fonctionnalité doit être mise en place avec précaution dans le cas du dossier Application Data, ceci pouvant engendrer une quantité d’accès réseau importante avec certaines applications (Office notamment).

 

  • L’exclusion de dossiers, qui permet d’exclure des emplacements du profil itinérant. Il peut notamment être intéressant d’exclure les dossiers Cookies, Temp, ou les caches d’applications (Java, Flash…).
    L’exclusion peut être configurée dans la section Système\Profils des stratégies de groupes utilisateur. Voici une liste de base des dossiers qui sont couramment exclus du profil itinérant :

– IECompatCache
– IETldCache
– PrivacIE
– Application Data\Citrix\PNAgent\Icon Cache
– Application Data\Citrix\PNAgent\Appcache
– Application Data\Citrix\PNAgent\ResourceCache
– Application Data\ICAClient\Cache
– Application Data\Adobe\Flash Player\AssetCache
– Application Data\Macromedia\Flash Player\#SharedObjects
– Application Data\Macromedia\Flash Player\macromedia.com\
      support\flashplayer\sys
– Application Data\Sun\Java\Deployment\cache
– Application Data\OpenOffice.org2\user\temp
– Application Data\OpenOffice.org2\user\config\imagecache
– Application Data\OpenOffice.org2\user\uno_packages\cache
– Application Data\OpenOffice.org2\user\registry\cache

 

  • La limitation de la taille du profil. Ce paramètre définit par GPO permet de restreindre la taille à une valeur raisonnable. Dans l’idéal, tout élément volumineux doit être sorti du profil (via l’exclusion ou la redirection), afin de ne pas laisser le profil atteindre cette taille critique.

 

  • Un script de nettoyage. Cette dernière solution peut permettre de supprimer des éléments volumineux présents dans un dossier redirigé, ou un fichier en particulier. Le script est exécuté lors de la fermeture de session.

 

Il est souvent nécessaire de combiner ces mécanismes afin d’attendre un fonctionnement optimal.

Remarque : La mise en place d’une stratégie de profils efficace nécessite souvent une phase de correction. Il en effet important de surveiller les profils une fois la plateforme en production, afin d’ajouter des éléments aux mécanismes d’allégement des profils.

 

Pour plus d’informations sur les profils sous Citrix, je vous conseille les documents suivants : User Profile Best Practices for MetaFrame Presentation Server (Citrix, juillet 2011) et User Profile Planning Guide .

Il y a également un article sur ce blog à propos de la sécurité des dossiers de profils.

par .

11 Commentaires

  1. guigui69 dit :

    Bonjour et merci pour vos conseils.

    Je suis dans l’étude pour mettre en place citrix (6.5) et justement au niveau des profils utilisateur j’aurai une question.

    Au niveau des profils utilisateurs je pense à mettre en place la redirection des dossier appdata/Romaning ( Car celui-ci contient le fichier outlook.pst ) et le dossier mes documents/music/video/image

    Les documents utilisateur (word excel) seront sur un partage réseau.

    – Auriez-vous d’autre conseil par rapport à la redirection de dossier?
    – Avez-vous quelque conseil concernant le « nettoyage »?

    Je vous remercie encore votre article

    guigui69

    • David dit :

      Bonjour,

      La redirection de dossier est un mécanisme qu’il est intéressant d’activer dés la phase de mise en place de l’infrastructure, tu fais donc bien de te poser quelques questions.

      Je te conseille de rediriger l’ensemble des dossiers susceptibles de contenir des documents utilisateurs. Si tu ne redirige pas un dossier particulier (téléchargement par exemple), alors l’utilisateur ne devra pas y avoir accès.

      Concernant la mise en place :
      – Créé tout d’abord tes partages et sécurise-les.
      – Active ensuite la redirection par GPO, en décochant les cases « Grant user exclusive rights » et « move the content ». La première te permettra d’accéder aux dossiers redirigés en tant qu’administrateur, et la deuxième accélérera la création des redirections.

      Concernant la redirection du dossier Application Data, je ne le recommande que lors de l’utilisation de Citrix UPM. La redirection de ce dossier avec Windows peut entrainer des effets de bords difficiles à contrôler. Je te conseille plutôt de faire des exclusions de sous-dossiers pour contrôler sa taille.

      Un mot à propos des PST redirigés. Tout d’abord, l’hébergement des dossiers PST sur le réseau n’est pas pleinement supporté par Microsoft, méfie-toi donc si tu dispose d’un support. Tu peux notamment rencontrer des problèmes de corruption de PST, dûs à une saturation du protocole SMB. Cela peut cependant être réalisé dans de petites proportions, et en veillant à bien tailler le serveur de fichiers.

      Quelques informations à ce sujet :
      Network Stored PST files … don’t do it!
      Getting to know the MmSt Pool Tag

      Dans tous les cas, je te conseille plutôt de déplacer le fichier .PST vers un emplacement spécifique (autre que le Roaming profile), en utilisant les GPO Office.

      A propos du nettoyage : il n’y a pas de règle particulière, puisque tout dépend des applications hébergées. Dans tous les cas, il faut contrôler régulièrement la taille des dossiers après la mise en production, et ajuster les règles d’exclusion en fonction des dossiers consommateurs.

      En espérant que j’ai répondu à tes questions, je t’invite également à consulter l’article de Dan Allen sur ce sujet (et ses commentaires !) : Citrix Profile Management and VDI – Doing it Right!

      A bientôt,
      David

  2. guigui69 dit :

    Bonsoir et merci pour ta réponse.

    « Je te conseille de rediriger l’ensemble des dossiers susceptibles de contenir des documents utilisateurs. Si tu ne redirige pas un dossier particulier (téléchargement par exemple), alors l’utilisateur ne devra pas y avoir accès.  »

    je ne comprend pas,
    comme tu indique au début de ton article, le profil itinérant va a chaque fermeture/ ouverture sauvegarder/récupérer le profil utilisateur (l’ensemble des dossier). C’est bien ca?
    la fonction de redirection de dossier comme tu l’évoque est utile dans le cas ou un/dossier (exemple mes documents) qui a beaucoup de fichier ( en terme de taille) pour éviter de déplacer des volume de donnée important. c’est ca ?
    Donc normalement si je ne redirige pas les dossiers a chaque fermeture et ouverture on doit retourner l’ensemble de nos dossiers utilisateurs.

    « Dans tous les cas, je te conseille plutôt de déplacer le fichier .PST vers un emplacement spécifique (autre que le Roaming profile), en utilisant les GPO Office. » Ce que tu me conseils la, c’est de faire a travers une GPO de faire pointer le fichier PST dans un répertoire réseau spécifique (qui peut etre dans le profils utilisateur) c’est ca ?

    En terme utilisation:
    (Environnement virtualisé)
    – 4-5 citrix 6.5 (2-4 vcpu + 12 giga ram)
    – 1 serveur DATA (word etc ..+ profil user)
    etc…

  3. guigui69 dit :

    En application:(130 utilisateurs total)

    – une Application métier principale (110 utilisateurs)
    – une seconde application métier. ( 50 utilisateurs)
    – Compta (20 utilisateurs)
    – Office ( word/excel/outlook compte pop)
    – Internet explorer (outil web de nos partenaire)

    La plupart des utilisateurs ouvre 1-2 fichier excel + outlook.
    La compta elle ouvre plus de fichier.

    • David dit :

      – « si je ne redirige pas les dossiers a chaque fermeture et ouverture on doit retourner l’ensemble de nos dossiers utilisateurs. » :
      En effet, mais il faut toujours prendre en compte la taille du profil itinérant.

      Prenons un exemple : Si tu n’as pas redirigé le dossier Download, et qu’un utilisateur y enregistre un fichier de 600Mo (un ISO par exemple), ce fichier sera copié à chaque ouverture et fermeture de session. Par contre, si tu as interdit l’accés à ce dossier l’utilisateur sera obligé de stocker son fichier dans un dossier géré, comme un lecteur réseau.

      La redirection de dossier va souvent de pair avec des GPOs de restriction, permettant d’interdire l’accès à un dossier, ou de spécifier un emplacement de sauvegarde par défaut.

      – « Ce que tu me conseils la, c’est de faire (…) pointer le fichier PST dans un répertoire réseau spécifique (qui peut être dans le profils utilisateur) c’est ca ? » :
      Je te conseille plutôt de faire pointer ton PST dans un lecteur réseau, correspondant à la racine de tes dossier redirigés.
      Construction profils

      Dans l’exemple ci-dessus, j’ai deux dossiers racines :
      Les profils, qui correspondent aux dossiers de roaming, sans les dossiers redirigés. J’en créé habituellement un par environnement (le .V2 correspondant à 2008/7). On pourrait ainsi avoir un profil pour une ferme XenApp 5/2003, ou des postes Windows XP dans le même dossier. Concrètement, on va stocker ici le paramétrage de la couche Windows (registre…) et des applications.
      Les documents, qui sont l’ensemble des fichiers auxquels l’utilisateur souhaite accéder quelque-soit son environnement. C’est dans ce dossier que viennent pointer les dossiers redirigés. Tu peux également mapper la racine du dossier sur un lecteur réseau. Pour en revenir au PST, il peut être stocké à cet emplacement, et être ensuite accédé au travers d’un lecteur réseau.

      Par rapport à la taille de ton environnement, et a la problématique concernant le stockage des PST sur le réseau, je te conseille de limiter la taille de tes PST, et de bien consulter les GPOs Office Outlook.

      En espérant que j’ai répondu a tes questions,
      David.

      PS : Si tu as des questions concernant d’autres sujets Citrix, je t’invite à les poser sur le forum Doctor Citrix.

  4. guigui69 dit :

    Bonjour et merci pour ta réponse.

    Les sessions utilisateur seront uniquement sur les serveur Xenapps.

    Tu l’évoque dans ta réponse ( et je ne savais pas ) comment interdire l’acces à certain dossier (exemple: Téléchargement/ Musique/ vidéo), ou faut-il passer?

    Dans ton exemple tu as donc 2 dossiers propre pour chaque utilisateur
    1- Le profils utilisateurs qui contient l’ensemble de l’environnement « utilisateur » ==> registre et le dossier apps/romaning

    2- Un dossier DATA propre à chaque utilisateur ou l’on redirige les dossiers mes document image etc..

    Les deux dossier seront accessible quelque soit le serveur pour retrouver un environnement unique.

    Tu me conseils de mettre en place un dossier « OUTLOOK » dans le dossier DATA et de faire pointer le PST de dans c’est bien ca?

    Pour faire pointer le fichier PST il passer forcement par un lecteur réseau ou bien je peut prendre un chemin (\\server\documentusers$\%username%\….)

    « Par rapport à la taille de ton environnement, et a la problématique concernant le stockage des PST sur le réseau, je te conseille de limiter la taille de tes PST, et de bien consulter les GPOs Office Outlook. » ==> je voudrais limiter la taille en fonction de certain groupe utilisateur pour cela il faut que je passe par les GPP pour qu’en fonction du groupe utilisateur cela autorise taille ou telle taille. c’est bien ca ?

    • David dit :

      Pour empêcher que l’utilisateur ne puisse accéder à certains dossier, tu peux jouer sur les droits NTFS, changer l’emplacement du dossier par GPO (pour téléchargement notamment), ou tout simplement supprimer le dossier avec une GPO de préférence.

      Tu peux spécifier l’emplacement et la taille du fichier PST dans une GPO, et filtrer cette GPO selon tes groupes AD. L’emplacement peut être un lecteur réseau ou un chemin UNC. En utilisant plusieurs GPOs, tu pourras configurer des tailles différentes selon les groupes utilisateurs.

      David.

  5. guigui69 dit :

    Bonsoir,

    C’est cette méthode que tu utilises pour tes fichiers PST?

    Tu as le fichier PST placer sur un serveur data ?

    • David dit :

      Cela dépend du client, et de son système de messagerie.
      Dans la mesure du possible, je préfère travailler avec un serveur Exchange, sans mise en cache.
      J’ai déjà eu des clients en production avec des PST redirigés sur un serveur de fichier. Un tuning de la couche SMB a été nécessaire pour offrir de bonnes performances.

  6. guigui69 dit :

    Aujourd’hui,
    nous sommes uniquement avec un outlook qui réceptionne le mail en POP (sur orange.fr)

    Un jour (peut être) nous basculerons sur une solution exchange.

  7. guigui69 dit :

    Je regarde pour le tuning de couche SMB. Dans le futur environnement les serveur citrix/ fichier seront en 2008 r2.

    Il faut donc que je modifie les valeurs de registre comme ceci sur les citrix et serveur fichier:

    « “HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\MaxCmds” ==> valeur 2048.

    HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
    “MaxWorkItems”=dword:00002000 (decimal 8192)
    “MaxMpxCt”=dword:00000800 (decimal 2048)
    “MaxRawWorkItems”=dword:00000200 (decimal 512)
    “MaxFreeConnections”=dword:00000064 (decimal 100)
    “MinFreeConnections”=dword:00000020 (decimal 32)

    Au niveau utilisateur outlook à terme cela pourra monter à 130 utilisateurs.

Laisser un commentaire

*