Schluss mit wiederholten Anmeldungen: Wie Sie Office 365 auf einem Server 2025 RD Sitzungshost mit FSLogix korrekt konfigurieren

Kennen Sie das frustrierende Szenario? Ihre Benutzer melden sich an ihren Remote Desktop Services (RDS) Sitzungen an, starten Microsoft Outlook oder Teams und werden jedes Mal erneut zur Eingabe ihrer Office 365-Anmeldeinformationen aufgefordert. Dieses Problem der wiederholten Anmeldungen ist nicht nur zeitraubend und ärgerlich für die Nutzer, sondern mindert auch die Produktivität und belastet den IT-Support. Besonders in modernen virtualisierten Umgebungen wie einem Windows Server 2025 RD Sitzungshost, wo Benutzerprofile oft flüchtig sind, wird dies zu einer echten Herausforderung.

Die gute Nachricht ist: Es gibt eine elegante und bewährte Lösung – FSLogix. Dieser Artikel führt Sie detailliert durch die notwendigen Schritte, um Office 365 (Microsoft 365 Apps) in einer RDSH-Umgebung auf Windows Server 2025 mithilfe von FSLogix korrekt zu konfigurieren. Ziel ist es, eine nahtlose und persistente Benutzererfahrung zu schaffen, bei der sich Nutzer nur einmal anmelden müssen.

Warum wiederholte Anmeldungen ein Problem sind und wie Office 365 funktioniert

Das Kernproblem der wiederholten Anmeldungen liegt in der Art und Weise, wie Office 365 seine Anmeldeinformationen speichert und wie traditionelle RDS-Umgebungen mit Benutzerprofilen umgehen. Wenn sich ein Benutzer das erste Mal bei einer Office 365-Anwendung anmeldet, werden nicht nur die Zugangsdaten authentifiziert, sondern es werden auch Token (z.B. OAuth-Token und Primary Refresh Tokens – PRT) generiert und im lokalen Benutzerprofil gespeichert. Diese Token sind entscheidend, da sie den Office-Anwendungen ermöglichen, sich bei nachfolgenden Starts automatisch anzumelden, ohne den Benutzer erneut zur Eingabe aufzufordern.

In einer standardmäßigen RDSH-Umgebung ohne Profilverwaltung werden die lokalen Profile oft beim Abmelden des Benutzers gelöscht oder zurückgesetzt. Dies führt dazu, dass die gespeicherten Authentifizierungstoken bei jeder neuen Sitzung verloren gehen. Das Ergebnis: Die Office 365-Anwendungen finden keine gültigen Token mehr und fordern den Benutzer erneut zur Anmeldung auf – ein endloser Kreislauf der Frustration.

Die Rolle von FSLogix im Remote Desktop Services (RDS) Umfeld

FSLogix ist eine leistungsstarke Profilverwaltungslösung von Microsoft, die genau dieses Problem löst. Im Kern ermöglicht FSLogix die Kapselung des gesamten Benutzerprofils (oder spezifischer Teile davon) in einer virtuellen Festplattendatei (VHD oder VHDX). Diese VHDX-Datei wird auf einer zentralen Dateifreigabe gespeichert und dynamisch an den RD Sitzungshost angehängt, sobald sich ein Benutzer anmeldet. Für das Betriebssystem und die Anwendungen sieht es so aus, als ob das Profil lokal auf dem Server vorhanden wäre.

Die wichtigsten Vorteile von FSLogix für Office 365 in RDS sind:

• Persistenz: Alle Benutzerdaten, einschließlich der Office 365-Anmeldeinformationen, Einstellungen und Outlook-Cache-Dateien (OST), bleiben über verschiedene Sitzungen und RD Sitzungshosts hinweg erhalten.
• Nahtlose Integration: Da das Profil als VHDX-Datei gemountet wird, sind keine Änderungen an den Anwendungen erforderlich. Office 365 „denkt“, es arbeite mit einem lokalen Profil.
• Leistung: FSLogix ist für seine hervorragende Leistung bekannt, da es die Profilinhalte bei Bedarf streamt und lokale I/O-Vorgänge minimiert.
• Vereinfachte Verwaltung: Komplexe Roaming Profiles oder Folder Redirection werden überflüssig.

FSLogix bietet zwei Haupttypen von Containern: Profile Containers und Office Containers. Für die meisten Szenarien, insbesondere zur vollständigen Lösung des Anmeldeproblems, wird der Profile Container empfohlen, da er das gesamte Benutzerprofil persistent macht und somit alle Office 365-Daten einschließt.

Voraussetzungen für eine erfolgreiche Implementierung

Bevor wir mit der Konfiguration beginnen, stellen Sie sicher, dass die folgenden Voraussetzungen in Ihrer Umgebung erfüllt sind:

• Windows Server 2025 RD Session Host(s): Ihre RDS-Umgebung muss installiert und betriebsbereit sein. Der Artikel geht davon aus, dass Sie mindestens einen RD Session Host haben.
• Microsoft 365 Apps for Enterprise (Office 365): Die Office-Suite muss auf Ihren RD Session Hosts installiert sein. Es ist unerlässlich, dass die Shared Computer Activation (SCA) für Office 365 aktiviert ist, da dies die Lizenzierung für Multi-User-Umgebungen ermöglicht.
• Active Directory Domain Services (AD DS): Alle RD Session Hosts und Benutzer müssen Teil Ihrer Active Directory-Domäne sein.
• Dateifreigabe (SMB Share) für FSLogix-Profile: Eine hochverfügbare und performante Dateifreigabe (z.B. auf einem Dateiserver-Cluster oder einem dedizierten Server mit schnellem Speicher) ist zwingend erforderlich. Hier werden die VHDX-Dateien der Benutzerprofile gespeichert.
• Administrative Rechte: Sie benötigen Domänenadministratorrechte oder delegierte Berechtigungen, um Gruppenrichtlinien zu erstellen und FSLogix zu installieren.
• FSLogix Agent: Laden Sie die neueste Version des FSLogix-Agenten von der Microsoft-Website herunter. Stellen Sie sicher, dass diese mit Windows Server 2025 kompatibel ist.

Schritt-für-Schritt-Anleitung: FSLogix für Office 365 konfigurieren auf Server 2025 RDSH

1. FSLogix Agent auf den RD Session Hosts installieren

Dies ist der erste Schritt, der auf *jedem* RD Session Host in Ihrer Farm durchgeführt werden muss:

1. Laden Sie die neueste Version des FSLogix-Installationspakets (z.B. FSLogixAppsSetup.exe) von der offiziellen Microsoft-Website herunter.
2. Führen Sie das Installationsprogramm mit Administratorrechten aus.
3. Wählen Sie die Option Install FSLogix Apps.
4. Folgen Sie den Anweisungen des Installationsassistenten. Ein Neustart des Servers wird nach der Installation dringend empfohlen und ist oft erforderlich, damit alle Komponenten korrekt geladen werden.

Wiederholen Sie diesen Vorgang für alle RD Session Hosts, die FSLogix-Profile verwenden sollen.

2. Dateifreigabe für FSLogix-Profile erstellen

Die Performance und Verfügbarkeit dieser Freigabe sind kritisch für die Benutzererfahrung. Wählen Sie einen Speicherort mit hoher IOPS-Leistung und Redundanz.

1. Erstellen Sie auf Ihrem Dateiserver (oder einem Dateiserver-Cluster) einen neuen Ordner, z.B. D:FSLogixProfiles.
2. Geben Sie diesen Ordner als SMB-Freigabe frei, z.B. \DateiserverFSLogixProfiles.
3. Wichtige Berechtigungen (Share Permissions):
   • Fügen Sie die Gruppe Jeder oder Authentifizierte Benutzer mit der Berechtigung Volle Kontrolle hinzu. Dies ist ein häufiger Ansatz, da NTFS-Berechtigungen die eigentliche Kontrolle regeln.
4. Wichtige Berechtigungen (NTFS Permissions) für den Ordner D:FSLogixProfiles:
   • SYSTEM: Volle Kontrolle (Diesen Ordner, Unterordner und Dateien)
   • Administratoren (oder eine spezifische Gruppe für Administratoren Ihrer RDS-Umgebung): Volle Kontrolle (Diesen Ordner, Unterordner und Dateien)
   • CREATOR OWNER: Volle Kontrolle (Nur Unterordner und Dateien) – Dies ist entscheidend, damit Benutzer die volle Kontrolle über ihre eigenen VHDX-Dateien erhalten.
   • Eine spezifische Sicherheitsgruppe, die alle Ihre FSLogix-Benutzer enthält (z.B. FSLogixUsers):
   • Erlauben Sie Ordner auflisten / Daten lesen
   • Erlauben Sie Attribute lesen
   • Erlauben Sie Attribute erweitern
   • Erlauben Sie Ordner erstellen / Daten anhängen (für diesen Ordner Only)
   • Erlauben Sie Dateien erstellen / Daten schreiben (für diesen Ordner Only)
   • Entfernen Sie die Vererbung und kopieren Sie die vorhandenen Berechtigungen, bevor Sie diese spezifischen Anpassungen vornehmen.

   Hinweis: Die NTFS-Berechtigungen sind entscheidend, um sicherzustellen, dass Benutzer ihre eigenen VHDX-Dateien erstellen und verwalten können, aber nicht die Profile anderer Benutzer löschen oder ändern können.

3. FSLogix über Gruppenrichtlinien (GPO) konfigurieren

Die Konfiguration erfolgt am besten zentral über Gruppenrichtlinien, die auf Ihre RD Session Hosts angewendet werden.

1. FSLogix ADMX-Dateien importieren:
   • Kopieren Sie die ADMX- und ADML-Dateien aus dem heruntergeladenen FSLogix-Paket (typischerweise im Verzeichnis FSLogixPolicies) in Ihren Central Store für Gruppenrichtlinien (\IhreDomäneSYSVOLIhreDomänePoliciesPolicyDefinitions).
2. Neues GPO erstellen:
   • Öffnen Sie die Gruppenrichtlinienverwaltung (gpmc.msc).
   • Erstellen Sie ein neues GPO (z.B. GPO_FSLogix_RDSH_2025) und verknüpfen Sie es mit der Organisationseinheit (OU), die Ihre Windows Server 2025 RD Session Hosts enthält.
3. FSLogix-Einstellungen konfigurieren (Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> FSLogix -> Profile Containers):
   • Enable: Aktiviert (Setzen Sie den Status auf Enabled). Dies ist die wichtigste Einstellung, um FSLogix zu aktivieren.
   • VHDLocations: Geben Sie den Pfad zu Ihrer Dateifreigabe an (z.B. \DateiserverFSLogixProfiles). Sie können hier auch mehrere Pfade für Redundanz angeben (kommagetrennt).
   • DeleteLocalProfileWhenVHDShouldApply: Aktiviert (Enabled). Diese Einstellung ist sehr wichtig, da sie sicherstellt, dass vorhandene lokale Benutzerprofile gelöscht werden und FSLogix das Profilmanagement vollständig übernimmt.
   • ProfileType: 0 - VHD/VHDX Profile Type. Stellen Sie sicher, dass dies auf den Standardwert für Profile Container gesetzt ist.
   • SizeInMBs: Legen Sie eine maximale Größe für die Profil-VHDX-Dateien fest (z.B. 30000 für 30 GB).
   • FlipFlopProfileDirectoryName: Aktiviert (Enabled). Diese Einstellung ist für die Kompatibilität mit Office 365, insbesondere mit Outlook und dem OST-Caching, oft hilfreich.
   • FSLogix Profile Container um bestimmte Gruppen aktivieren/deaktivieren:
     • Set groups to exclude from Profile Containers: Fügen Sie hier Gruppen hinzu, deren Profile *nicht* von FSLogix verwaltet werden sollen (z.B. Administratoren, die lokale Profile behalten sollen).
     • Set groups to include in Profile Containers: Fügen Sie hier die Gruppe hinzu, die die Benutzer enthält, deren Profile von FSLogix verwaltet werden sollen (z.B. FSLogixUsers). Wenn diese Einstellung nicht konfiguriert ist, werden standardmäßig alle Benutzer verwaltet. Es ist jedoch eine Best Practice, dies auf eine spezifische Gruppe zu beschränken.
4. Optional: Office Container Einstellungen (falls nur Office-Profile verwaltet werden sollen, aber Profile Container empfohlen werden):
   • Wenn Sie *ausschließlich* die Office-Daten in einem separaten Container verwalten möchten und keine vollständigen Profile, würden Sie diese Einstellungen anstelle der Profile Container-Einstellungen konfigurieren. In diesem Szenario müssten Sie Enable unter Office Containers aktivieren und die VHDLocations für den Office Container festlegen. Für die meisten Office 365-Anmeldeprobleme ist jedoch der Profile Container die umfassendere Lösung.
5. Nach der Konfiguration des GPO erzwingen Sie eine Gruppenrichtlinienaktualisierung auf den RD Session Hosts (gpupdate /force) und starten Sie die Server neu, um sicherzustellen, dass alle Einstellungen übernommen werden.

4. Office 365 Shared Computer Activation (SCA) sicherstellen

Die Shared Computer Activation ist entscheidend für die Lizenzierung von Office 365 in Multi-User-Umgebungen.

1. Stellen Sie sicher, dass Ihre Microsoft 365 Apps mit SCA installiert wurden. Dies wird typischerweise über das Office Deployment Tool (ODT) mit der Einstellung in der Konfigurationsdatei erreicht.
2. Verifizieren Sie auf einem RD Session Host, dass SCA aktiviert ist, indem Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINESOFTWAREMicrosoftOfficeClickToRunConfigurationSharedComputerLicensing prüfen. Der Wert sollte 1 sein.

5. Testen der Konfiguration

Nun ist es an der Zeit, die Konfiguration zu testen.

1. Melden Sie sich mit einem Testbenutzer (der in der FSLogixUsers-Gruppe ist) an einem RD Session Host an.
2. Starten Sie eine Office 365-Anwendung (z.B. Outlook oder Word). Sie werden wahrscheinlich einmalig zur Eingabe Ihrer Anmeldeinformationen aufgefordert. Schließen Sie die Anmeldung ab.
3. Überprüfen Sie auf Ihrer Dateifreigabe, ob eine VHDX-Datei für diesen Benutzer erstellt wurde (z.B. \DateiserverFSLogixProfilesusername_SID.VHDX).
4. Melden Sie sich vom RD Session Host ab.
5. Melden Sie sich erneut mit demselben Benutzer an, möglicherweise auf einem anderen RD Session Host in Ihrer Farm.
6. Starten Sie die Office 365-Anwendung erneut. Wenn alles korrekt konfiguriert ist, sollte die Anwendung direkt starten, ohne dass eine erneute Anmeldung erforderlich ist. Ihre Einstellungen und Daten sollten ebenfalls verfügbar sein (z.B. Ihre Outlook-Ordner).

Wenn die VHDX-Datei nicht erstellt wird oder die erneute Anmeldung immer noch erforderlich ist, überprüfen Sie die FSLogix-Logs (im Event Viewer unter Applications and Services Logs -> FSLogix -> Operational) und die Gruppenrichtlinienergebnisse auf dem RD Session Host.

Best Practices und Fehlerbehebung

• Regelmäßige Updates: Halten Sie den FSLogix Agent und Microsoft 365 Apps stets auf dem neuesten Stand, um von den neuesten Funktionen, Performance-Verbesserungen und Sicherheitsfixes zu profitieren.
• Cloud Cache: Für Umgebungen, die hohe Verfügbarkeit und verbesserte Performance bei Netzausfällen benötigen, sollten Sie FSLogix Cloud Cache in Betracht ziehen. Cloud Cache repliziert Profile auf mehrere Speicherorte und bietet so eine resiliente Lösung.
• Antivirus-Ausschlüsse: Fügen Sie für Antivirus-Software auf den RD Session Hosts und dem Dateiserver Ausschlüsse für die VHDX-Dateien (*.VHDX, *.VHD) und die FSLogix-Installationspfade hinzu, um Performance-Probleme zu vermeiden.
• Speicher-Monitoring: Überwachen Sie den Speicherplatz auf Ihrer Dateifreigabe. Große Profile können schnell viel Speicherplatz belegen.
• Profilbereinigung: Implementieren Sie eine Strategie zur Bereinigung alter oder inaktiver FSLogix-Profile, um Speicherplatz freizugeben.
• Testen in Phasen: Führen Sie Änderungen an FSLogix-Einstellungen oder Office 365-Installationen immer schrittweise in einer Testumgebung ein, bevor Sie diese in die Produktion übernehmen.
• FSLogix Troubleshooting Tools: Nutzen Sie die integrierten Tools und Logs von FSLogix zur Diagnose von Problemen. Der Event Viewer ist Ihr bester Freund.

Fazit

Die korrekte Konfiguration von FSLogix auf Ihren Windows Server 2025 RD Sitzungshosts ist der Schlüssel zur Beseitigung der lästigen wiederholten Anmeldungen bei Office 365. Durch die Implementierung von FSLogix Profile Containers schaffen Sie eine robuste, performante und benutzerfreundliche Umgebung, die eine nahtlose Erfahrung bietet, als würden die Anwendungen lokal ausgeführt.

Ihre Benutzer werden die verbesserte Produktivität und die reibungslose Arbeitsweise schätzen, während Ihre IT-Administratoren von einer vereinfachten Profilverwaltung profitieren. Nehmen Sie sich die Zeit für eine sorgfältige Planung und Umsetzung, und Sie werden eine stabile und effiziente RDS-Infrastruktur mit Office 365 auf Server 2025 aufbauen, die den Anforderungen moderner Arbeitsplätze gerecht wird. Schluss mit den Anmeldeprompts – willkommen zu einer echten Single-Sign-On-Erfahrung!