Gold Image
Das Master-Image, aus dem alle Session Hosts geklont werden. Ein gutes Gold Image ist der Unterschied zwischen einem wartbaren und einem chaotischen DaaS-Deployment — hier liegt die zentrale Qualitäts-Schaltstelle.
Was ist ein Gold Image?
Ein Gold Image (auch: Master Image oder Base Image) ist eine vor-konfigurierte, getestete Windows-VM, die als Vorlage für alle produktiven Session Hosts dient. Statt jeden Session Host einzeln zu installieren und zu konfigurieren, wird einmal ein perfektes Image erstellt — und dann beliebig oft geklont.
Das Image enthält typischerweise: OS-Version, alle Updates, vorinstallierte Apps, Group Policies, Security Baseline, Optimierungs-Tweaks. Je besser das Image, desto weniger Arbeit hat man im Betrieb.
Grundprinzip: Ein Gold Image sollte nach dem Erstellen unverändert bleiben. Änderungen werden über ein neues Image deployed, nicht durch nachträgliches Patching der laufenden VMs. Das ist die „Immutable Infrastructure“-Philosophie.
Wie wird ein Gold Image gebaut?
Typische Build-Reihenfolge
- Basis-VM erstellen aus Azure Marketplace (z.B. Windows 11 Multi-Session)
- Windows Updates installieren — alle verfügbaren patches
- AVD-Agent installieren
- Office / M365 Apps über ODT (Office Deployment Tool), in shared mode
- Teams mit VDI-Optimierung (aus AVD-Empfehlungen)
- FSLogix Agent & Config
- LOB-Apps (SAP GUI, DATEV, Branche-Software)
- Security — MDE, Intune Enrollment
- Optimizations — AVD Image Optimization Script (VDI Optimization Tool), Dienste deaktivieren, Bloatware entfernen
- Sysprep — Generalisierung der VM (entfernt SID, Netzwerk-Config)
- Capture — als Image in Azure Compute Gallery speichern
Wichtige Tools für Gold Image
- Azure Image Builder — Code-basiertes, deklaratives Image-Building
- Nerdio Image Management — grafisch, mit Staged Rollout & Automatic Rollback
- Packer (HashiCorp) — DevOps-Ansatz, CI/CD-integrierbar
- Windows Optimization Tool — Microsoft-Script für VDI-Optimierungen
Gold Image Patch-Strategie
Windows-Updates müssen regelmäßig ins Gold Image — aber wie?
Manuell (alte Schule)
- FrequenzMonatlich
- Aufwand4-8h pro Iteration
- RisikoHoch (Human Error)
- RollbackSchwierig
- SkalierungProblematisch
Automatisiert (modern)
- FrequenzWöchentlich möglich
- Aufwand< 30 Min Review
- RisikoNiedrig (Automation)
- RollbackAutomatisch bei Fehlerrate
- SkalierungLinear
Staged Rollout
Ein neues Image nie direkt auf 100% der Session Hosts deployen. Stattdessen:
- 5% der Hosts mit neuem Image (Canary-Gruppe)
- Monitoring für 24-48h — Login-Zeit, Fehlerrate, User-Feedback
- 25% der Hosts wenn Canary OK
- 100% der Hosts nach weiteren 48h
- Automatic Rollback wenn Fehlerrate Schwellwert überschreitet
Nerdio Manager oder Citrix Provisioning Services haben das als Standard-Feature eingebaut.
Welche Apps gehören ins Gold Image?
Eine zentrale Design-Frage: Was installiere ich ins Image, was dynamisch pro User?
| App-Typ | Wo installieren | Grund |
|---|---|---|
| Betriebssystem-Komponenten | Gold Image | Braucht jeder |
| Office 365 / M365 Apps | Gold Image (Shared Mode) | Standard-Tool, alle User |
| Teams, Edge, Security | Gold Image | Universal |
| Kleine LOB-Apps | Gold Image | Einfacher zu managen |
| Große Nischen-Apps (AutoCAD, SAP) | MSIX App Attach oder User-basiert | Nur für einige User, sonst Image-Bloat |
| Schnell-ändernde Apps | MSIX / Intune | Kein Image-Rebuild nötig |
| Abteilungs-spezifische Apps | App Volumes / App Layering | Per Assignment, nicht im Image |
Gold-Image-Patterns in DaaS Maps
Die DaaS Maps zeigen Image-Management-Workflows verschiedener Plattformen im Vergleich. Für Diskussionen zu Image-Optimierung, Staged Rollouts und Patch-Strategien findet ihr mich auf LinkedIn.