VMware Horizon 7.1 Mode d'emploi

Marque: VMware

Modèle: Horizon 7.1

Taper: Mode d'emploi

Ce manuel convient également à

Horizon 7.2

Administration du plug-in View Agent

Direct-Connection

VMware Horizon 7 7.2

Administration du plug-in View Agent Direct-Connection

2 VMware, Inc.

Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :

hps://docs.vmware.com/fr/

Le site Web de VMware propose également les dernières mises à jour des produits.

N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :

[email protected]

VMware, Inc.

3401 Hillview Ave.

Palo Alto, CA 94304

www.vmware.com

VMware, Inc.

100-101 Quartier Boieldieu

92042 Paris La Défense

France

www.vmware.com/fr

Table des matières

Administration du plug-in View Agent Direct-Connection 5

1Installation du plug-in View Agent Direct-Connection 7

Conguration système requise pour le plug-in View Agent Direct-Connection 7

Installer le plug-in View Agent Direct-Connection 7

Installer le plug-in View Agent Direct-Connection en silence 8

2Conguration avancée du plug-in View Agent Direct-

Connection 11

Paramètres de conguration du plug-in View Agent Direct-Connection 11

Désactivation des chirements faibles dans les protocoles SSL/TLS 15

Remplacement du certicat de serveur SSL auto-signé par défaut 16

Autoriser Horizon Client à accéder aux postes de travail et aux applications 16

Utilisation de la traduction d'adresses réseau et du mappage de ports 16

Ajouter une autorité de certication à un magasin de certicats Windows 19

3Conguration de HTML

Access 21

Installer View Agent pour HTML Access 21

Congurer une livraison de contenu statique 22

Congurer un certicat de serveur SSL signé par une autorité de certication de conance 23

Désactiver le protocle HTTP/2 sur des postes de travail Windows 10 et Windows 2016 24

4Conguration de View Agent Direct Connection sur des hôtes des services

Bureau à distance (RDS) 25

Hôtes des services Bureau à distance 25

Autoriser des postes de travail et des applications RDS 26

5Dépannage du plug-in View Agent Direct-Connection 27

Le pilote graphique installé est incorrect 27

RAM vidéo insusante 28

Activation de la journalisation complète pour inclure les informations de suivi et de débogage 28

Index 29

VMware, Inc. 3

Administration du plug-in View Agent Direct-Connection

4 VMware, Inc.

Administration du plug-in View Agent Direct-

Connection

Administration du plug-in View Agent Direct-Connection fournit des informations sur l'installation et la

conguration du plug-in View Agent Direct-Connection. Ce plug-in est une extension installable de View

Agent qui permet à Horizon Client de se connecter directement à un poste de travail basé sur une machine

virtuelle, à un poste de travail des services Bureau à distance (Remote Desktop Services, RDS) ou à une

application sans utiliser le Serveur de connexion View. Toutes les fonctionnalités de poste de travail ou

d'application s'exécutent de la même manière que lorsque l'utilisateur se connecte via le Serveur de

connexion View.

Public cible

Ces informations sont destinées à un administrateur qui souhaite installer, mere à niveau ou congurer le

plug-in View Agent Direct-Connection sur un poste de travail basé sur une machine virtuelle ou sur un hôte

RDS. Ce guide a été rédigé à l'aention des administrateurs système Windows expérimentés qui connaissent

bien la technologie de machines virtuelles et les opérations de centre de données.

VMware, Inc. 5

Administration du plug-in View Agent Direct-Connection

6 VMware, Inc.

Installation du plug-in View Agent

Direct-Connection 1

Le plug-in VADC (View Agent Direct-Connection) autorise les clients Horizon Client à se connecter

directement aux postes de travail basés sur une machine virtuelle, aux postes de travail RDS ou aux

applications. Le plug-in VADC, qui est une extension de View Agent, est installé sur des postes de travail

basés sur une machine virtuelle ou des hôtes RDS.

Ce chapitre aborde les rubriques suivantes :

n« Conguration système requise pour le plug-in View Agent Direct-Connection », page 7

n« Installer le plug-in View Agent Direct-Connection », page 7

n« Installer le plug-in View Agent Direct-Connection en silence », page 8

Configuration système requise pour le plug-in View Agent Direct-

Connection

Le plug-in View Agent Direct-Connection (VADC) est installé sur des machines sur lesquelles View Agent

est déjà installé. Pour obtenir la liste des systèmes d'exploitation que View Agent prend en charge, reportez-

vous à la section « Systèmes d'exploitation pris en charge pour View Agent » dans le document Installation

de View.

Le plug-in VADC a les exigences supplémentaires suivantes :

nLa machine virtuelle ou physique sur laquelle le plug-in VADC est installé doit disposer d'au moins

128 Mo de mémoire RAM vidéo pour garantir le bon fonctionnement de PCoIP.

nPour une machine virtuelle, vous devez installer VMware Tools avant d'installer View Agent.

nUne machine physique doit disposer d'une carte d'hôte Teradici. Il n'est pas nécessaire d'installer

VMware Tools.

R Un poste de travail basé sur une machine virtuelle qui prend en charge VADC peut joindre un

domaine Microsoft Active Directory ou peut être membre d'un groupe de travail.

Installer le plug-in View Agent Direct-Connection

Le plug-in View Agent Direct-Connection (VADC) est modularisé dans un chier de programme

d'installation Windows que vous pouvez télécharger à partir du site Web VMware et installer.

Prérequis

nVériez que View Agent n'est pas installé. Si votre environnement n'inclut pas le Serveur de connexion

View, installez View Agent à partir de la ligne de commande et spéciez un paramètre qui demande à

View Agent de ne pas s'enregistrer dans le Serveur de connexion View. Reportez-vous à la section

« Installer View Agent pour HTML Access », page 21.

VMware, Inc. 7

nActivez le paramètre DMA d'écran pour les machines virtuelles sur vSphere 6.0 et versions ultérieures.

Si le DMA d'écran est désactivé, les utilisateurs voient un écran noir lorsqu'ils se connectent au poste de

travail distant. Pour plus d'informations sur la conguration du DMA d'écran, consultez

l'article 2144475 de la base de connaissances de VMware hp://kb.vmware.com/kb/2144475.

Procédure

1 Téléchargez le chier du programme d'installation du plug-in VADC à partir de la page de

téléchargement VMware à l'adresse hp://www.vmware.com/go/downloadview.

Le nom de chier du programme d'installation est VMware-viewagent-direct-connection-x86_64-y.y.y-

xxxxxx.exe pour Windows 64 bits ou VMware-viewagent-direct-connection--y.y.y-xxxxxx.exe pour

Windows 32 bits, où y.y.y est le numéro de version et xxxxxx le numéro de build.

2 Double-cliquez sur le chier du programme d'installation.

3 (Facultatif) Modiez le numéro de port TCP.

Le numéro de port par défaut est 443.

4 (Facultatif) Choisissez comment congurer le service Pare-feu Windows.

Par défaut, l'option  automatiquement le Pare-feu Windows est cochée et le programme

d'installation congure le Pare-feu Windows an d'autoriser les connexions réseau requises.

5 (Facultatif) Indiquez si vous souhaitez désactiver SSL 3.0.

Par défaut, l'option Désactiver automatiquement la prise en charge de SSLv3 (recommandé) est

sélectionnée et le programme d'installation désactive SSL 3.0 au niveau du système d'exploitation. Cee

option ne s'ache pas et le programme d'installation n'exécute aucune action si SSL 3.0 est déjà activé

ou désactivé de manière explicite dans le registre. Si cee option est décochée, le programme

d'installation n'exécute pas cee action.

6 Suivez les invites et terminez l'installation.

Installer le plug-in View Agent Direct-Connection en silence

Vous pouvez utiliser la fonctionnalité d'installation silencieuse de MSI (Microsoft Windows Installer) pour

installer le plug-in View Agent Direct-Connection (VADC). Lors d'une installation silencieuse, vous utilisez

la ligne de commande sans avoir besoin de répondre aux invites de l'assistant.

Avec l'installation silencieuse, vous pouvez déployer ecacement le plug-in VADC dans une grande

entreprise. Pour plus d'informations sur Windows Installer, reportez-vous à la section « Options de ligne de

commande de Microsoft Windows Installer » dans le document Conguration des postes de travail virtuels dans

Horizon 7. Le plug-in VADC prend en charge les propriétés MSI suivantes.

Tableau 1‑1. Propriétés MSI pour l'installation silencieuse du plug-in View Agent Direct-Connection

Propriété MSI Description Valeur par défaut

LISTENPORT Port TCP utilisé par le plug-in VADC pour accepter les connexions à

distance. Par défaut, le programme d'installation congurera le pare-feu

Windows pour qu'il autorise le trac sur le port.

443

MODIFYFIREWALL Si cee propriété est dénie sur 1, le programme d'installation congurera

le pare-feu Windows pour qu'il autorise le trac sur LISTENPORT. Si elle

est dénie sur 0, le programme d'installation ne le congurera pas.

DISABLE_SSLV3 Si SSL 3.0 est déjà activé ou désactivé explicitement dans le registre, le

programme d'installation ignore cee propriété. Sinon, le programme

d'installation désactive SSL 3.0 au niveau du système d'exploitation si cee

propriété est dénie sur 1 et n'exécute aucune action si cee propriété est

dénie sur 0.

Administration du plug-in View Agent Direct-Connection

8 VMware, Inc.

Prérequis

nVériez que Horizon Agent n'est pas installé. Si votre environnement n'inclut pas le Serveur de

connexion Horizon, installez Horizon Agent à partir de la ligne de commande et spéciez un paramètre

qui demande à Horizon Agent de ne pas s'enregistrer sur le Serveur de connexion Horizon. Reportez-

vous à la section « Installer View Agent pour HTML Access », page 21.

Procédure

1 Ouvrez une invite de commande Windows.

2 Exécutez le chier d'installation du plug-in VADC avec les options de la ligne de commande pour

spécier une installation silencieuse. Vous pouvez éventuellement spécier des propriétés MSI

facultatives.

L'exemple suivant installe le plug-in VADC avec les options par défaut.

VMware-viewagent-direct-connection--y.y.y-xxxxxx.exe /s

L'exemple suivant installe le plug-in VADC et spécie un port TCP que vadc écoutera pour des

connexions à distance.

VMware-viewagent-direct-connection--y.y.y-xxxxxx.exe /s /v"/qn LISTENPORT=9999"

Chapitre 1 Installation du plug-in View Agent Direct-Connection

VMware, Inc. 9

Administration du plug-in View Agent Direct-Connection

10 VMware, Inc.

Configuration avancée du plug-in

View Agent Direct-Connection 2

Vous pouvez utiliser les paramètres de conguration par défaut du plug-in View Agent Direct-Connection

ou les personnaliser via les objets de stratégie de groupe (GPO) de Windows Active Directory ou en

modiant des paramètres de Registre Windows spéciques.

Ce chapitre aborde les rubriques suivantes :

n« Paramètres de conguration du plug-in View Agent Direct-Connection », page 11

n« Désactivation des chirements faibles dans les protocoles SSL/TLS », page 15

n« Remplacement du certicat de serveur SSL auto-signé par défaut », page 16

n« Autoriser Horizon Client à accéder aux postes de travail et aux applications », page 16

n« Utilisation de la traduction d'adresses réseau et du mappage de ports », page 16

n« Ajouter une autorité de certication à un magasin de certicats Windows », page 19

Paramètres de configuration du plug-in View Agent Direct-Connection

Tous les paramètres de conguration du plug-in View Agent Direct-Connection sont stockés sur le registre

local sur chaque poste de travail basé sur une machine virtuelle ou sur chaque hôte RDS. Vous pouvez gérer

ces paramètres à l'aide des objets de stratégie de groupe (GPO) de Windows Active Directory, de l'éditeur de

stratégie locale ou en modiant directement le Registre.

Les valeurs de Registre sont situées dans la clé de registre HKEY_LOCAL_MACHINE\Software\VMware,

Inc.\VMware VDM\Agent\Configuration\XMLAPI.

Tableau 2‑1. Paramètres de configuration du plug-in View Agent Direct-Connection

Paramètre Valeur de Registre Type Description

Numéro de port

HTTPS

hpsPortNumber REG_SZ Port TCP sur lequel le plug-in écoute les demandes

HTTPS entrantes provenant d'Horizon Client. Si vous

modiez cee valeur, vous devez eectuer la

modication correspondante dans le Pare-feu

Windows pour autoriser le trac entrant.

Délai d'expiration de

session

sessionTimeout REG_SZ Période pendant laquelle un utilisateur peut garder

une session ouverte avec Horizon Client. La valeur

est dénie en minutes. La valeur par défaut est de

600 minutes. Lorsque le délai arrive à expiration,

toutes les sessions de poste de travail et

d'applications de l'utilisateur sont déconnectées.

Protocole par défaut defaultProtocol REG_SZ Protocole d'achage par défaut utilisé par Horizon

Client pour se connecter au poste de travail. Si

aucune valeur n'est dénie, la valeur par défaut est

BLAST.

VMware, Inc. 11

Tableau 2‑1. Paramètres de configuration du plug-in View Agent Direct-Connection (suite)

Paramètre Valeur de Registre Type Description

Clause d'exclusion de

responsabilité activée

disclaimerEnabled REG_SZ La valeur peut être dénie sur TRUE ou FALSE. Si elle

est dénie sur TRUE, le texte d'exclusion de

responsabilité que l'utilisateur doit accepter à

l'ouverture de session s'ache. Il correspond au

« Texte d'exclusion de responsabilité » si celui-ci a été

rédigé, ou il est extrait du GPO

Configuration\Paramètres

Windows\Paramètres de sécurité\Stratégies

locales\Options de sécurité : Ouverture de

session interactive. Le paramètre par défaut

pour disclaimerEnabled est FALSE.

Texte d'exclusion de

responsabilité

disclaimerText REG_SZ Texte d'exclusion de responsabilité qui s'ache pour

les utilisateurs d'Horizon Client à l'ouverture de

session. La stratégie Exclusion de responsabilité

activée doit être dénie sur TRUE. Si le texte n'est pas

spécié, la valeur par défaut utilisée est celle de la

stratégie Windows Configuration\Paramètres

Windows\Paramètres de sécurité\Stratégies

locales\Options de sécurité.

Paramètre client :

AlwaysConnect

alwaysConnect REG_SZ La valeur peut être dénie sur TRUE ou FALSE. Le

paramètre AlwaysConnect est envoyé à Horizon

Client. Si cee stratégie est dénie sur TRUE, elle

remplace toutes les préférences client enregistrées.

Aucune valeur n'est dénie par défaut. L'activation

de cee stratégie dénit la valeur sur TRUE. La

désactivation de cee stratégie dénit la valeur sur

FALSE.

Port PCoIP externe externalPCoIPPort REG_SZ Numéro de port envoyé à Horizon Client pour le

numéro de port TCP/UDP de destination utilisé avec

le protocole PCoIP. Le signe + devant le numéro

indique un nombre relatif calculé par rapport au

numéro de port utilisé pour HTTPS. Ne dénissez

cee valeur que si le numéro de port exposé en

externe ne correspond pas au port sur lequel le

service écoute. En général, ce numéro de port s'utilise

dans un environnement NAT. Aucune valeur n'est

dénie par défaut.

Port Blast externe externalBlastPort REG_SZ Numéro de port envoyé à Horizon Client pour le

numéro de port TCP de destination utilisé avec le

protocole HTML5/Blast. Le signe + devant le numéro

indique un nombre relatif calculé par rapport au

numéro de port utilisé pour HTTPS. Ne dénissez

cee valeur que si le numéro de port exposé en

externe ne correspond pas au port sur lequel le

service écoute. En général, ce numéro de port s'utilise

dans un environnement NAT. Aucune valeur n'est

dénie par défaut.

Port RDP externe externalRDPPort REG_SZ Numéro de port envoyé à Horizon Client pour le

numéro de port TCP de destination utilisé avec le

protocole RDP. Le signe + devant le numéro indique

un nombre relatif calculé par rapport au numéro de

port utilisé pour HTTPS. Ne dénissez cee valeur

que si le numéro de port exposé en externe ne

correspond pas au port sur lequel le service écoute.

En général, ce numéro de port s'utilise dans un

environnement NAT. Aucune valeur n'est dénie par

défaut.

Administration du plug-in View Agent Direct-Connection

12 VMware, Inc.

Tableau 2‑1. Paramètres de configuration du plug-in View Agent Direct-Connection (suite)

Paramètre Valeur de Registre Type Description

Adresse IP externe externalIPAddress REG_SZ Adresse IPv4 envoyée à Horizon Client pour

l'adresse IP de destination utilisée avec les protocoles

secondaires (RDP, PCoIP, Framework Channel, etc.).

Ne dénissez cee valeur que si l'adresse exposée en

externe ne correspond pas à celle de la machine de

poste de travail. En général, cee adresse s'utilise

dans un environnement NAT. Aucune valeur n'est

dénie par défaut.

Port Framework

Channel externe

externalFrameworkCha

nnelPort

REG_SZ Numéro de port envoyé à Horizon Client pour le

numéro de port TCP de destination utilisé avec le

protocole Framework Channel. Le signe + devant le

numéro indique un nombre relatif calculé par rapport

au numéro de port utilisé pour HTTPS. Ne dénissez

cee valeur que si le numéro de port exposé en

externe ne correspond pas au port sur lequel le

service écoute. En général, ce numéro de port s'utilise

dans un environnement NAT. Aucune valeur n'est

dénie par défaut.

USB activé usbEnabled REG_SZ La valeur peut être dénie sur TRUE ou FALSE.

Détermine si des postes de travail peuvent utiliser

des périphériques USB connectés au système client.

La valeur par défaut est activée. Pour empêcher

l'utilisation de périphériques externes pour des

raisons de sécurité, désactivez le paramètre (FALSE).

Paramètre client :

Connexion USB

automatique

usbAutoConnect REG_SZ La valeur peut être dénie sur TRUE ou FALSE.

Connecte des périphériques USB au poste de travail

lorsqu'ils sont branchés. Si cee stratégie est dénie,

elle remplace les préférences client enregistrées.

Aucune valeur n'est dénie par défaut.

Réinitialisation activée resetEnabled REG_SZ La valeur peut être dénie sur TRUE ou FALSE.

Lorsque ce paramètre est déni sur TRUE, un client

Horizon authentié peut eectuer un redémarrage au

niveau du système d'exploitation. Le paramètre par

défaut est désactivé (FALSE).

Délai d'expiration de

la mise en cache des

informations

d'identication du

client

clientCredentialCacheTi

meout

REG_SZ Délai, en minutes, pendant lequel un client Horizon

autorise un utilisateur à utiliser un mot de passe

enregistré. 0 correspond à Jamais, -1 correspond à

Toujours. Horizon Client donne aux utilisateurs la

possibilité d'enregistrer leur mot de passe si ce

paramètre est déni sur une valeur valide. La valeur

par défaut est 0 (jamais).

Délai d'inactivité de

l'utilisateur

userIdleTimeout REG_SZ En l'absence d'activité utilisateur sur le client Horizon

pendant ce délai, les sessions de poste de travail et

d'application de l'utilisateur sont déconnectées. La

valeur est dénie en secondes. La valeur par défaut

est de 900 secondes (15 minutes).

Prise en charge d'une

carte à puce

x509CertAuth REG_SZ Indique comment l'authentication par carte à puce

est prise en charge en fonction des valeurs suivantes :

n0 : non autorisée

n1 : facultative

n2 : requise

La valeur par défaut est 0.

Chapitre 2 Configuration avancée du plug-in View Agent Direct-Connection

VMware, Inc. 13

Tableau 2‑1. Paramètres de configuration du plug-in View Agent Direct-Connection (suite)

Paramètre Valeur de Registre Type Description

Source de certicats de

carte à puce

x509SSLCertAuth REG_SZ Indique que le certicat de carte à puce est obtenu de

la négociation SSL. La valeur doit être dénie sur

TRUE lorsque x509CertAuth est déni sur 1 ou sur 2.

La valeur par défaut est FALSE. La modication de ce

paramètre nécessite un redémarrage du service View

Agent.

Paires de valeurs de

nom de conguration

du client

BioMetricsTimeout REG_SZ Indique si l'authentication biométrique est prise en

charge et, si c'est le cas, une période pendant laquelle

elle peut être utilisée. 0 signie que l'authentication

biométrique n'est pas prise en charge. -1 signie

qu'elle est prise en charge sans limite de temps. Un

nombre positif signie qu'elle peut être utilisée

pendant ce nombre de minutes. La valeur par défaut

est 0 (non prise en charge).

Les numéros de ports externes et les valeurs d'adresses IP externes sont utilisés pour prendre en charge la

traduction d'adresses réseau (Network Address Translation, NAT) et le mappage des ports. Pour plus

d'informations, reportez-vous à « Utilisation de la traduction d'adresses réseau et du mappage de ports »,

page 16

Vous pouvez dénir des stratégies qui remplacent ces paramètres de registre en utilisant l'Éditeur de

stratégie local ou des objets de stratégie de groupe (GPO) dans Active Directory. Les paramètres de stratégie

sont prioritaires par rapport aux paramètres de registre normaux. Un chier de modèle de GPO est fourni

pour congurer les stratégies. Lorsque View Agent et le plug-in sont installés dans l'emplacement par

défaut, le chier de modèle se trouve dans :

C:\Program Files\VMware\VMware View\Agent\extras\view_agent_direct_connection.adm

Vous pouvez importer ce chier de modèle dans Active Directory ou dans l'Éditeur de stratégie de groupe

local pour simplier la gestion de ces paramètres de conguration. Pour plus d'informations sur ce mode de

gestion des paramètres de stratégie, reportez-vous à la documentation relative à l'Éditeur de stratégie

Microsoft et à la gestion des GPO. Les paramètres de stratégie pour le plug-in sont stockés dans la clé de

registre :

HKEY_LOCAL_MACHINE Software\Policies\VMware, Inc.\VMware VDM\Agent\Configuration\XMLAPI

Pour l'authentication par carte à puce, l'autorité de certication (CA) qui signe les certicats de carte à puce

doit exister dans le magasin de certicats Windows. Pour obtenir des informations sur l'ajout d'une autorité

de certication, reportez-vous à « Ajouter une autorité de certication à un magasin de certicats

Windows », page 19.

R Si un utilisateur tente de se connecter à l'aide d'une carte à puce à une machine Windows 7 ou

Windows Server 2008 R2 et que le certicat de la carte à puce a été signé par une autorité de certication

intermédiaire, la tentative peut échouer, car Windows peut envoyer au client une liste d'émeeurs

approuvés ne contenant pas les noms des autorités de certication intermédiaires. Le cas échéant, le client

n'est pas en mesure de sélectionner un certicat de carte à puce correspondant. Pour éviter ce problème,

dénissez la valeur de registre SendTrustedIssuerList (REG_DWORD) sur 0 dans la clé de registre

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL. Lorsque cee valeur

de registre est dénie sur 0, Windows n'envoie pas de liste d'émeeurs approuvés au client qui peut alors

sélectionner tous les certicats valides de la carte à puce.

Administration du plug-in View Agent Direct-Connection

14 VMware, Inc.

Désactivation des chiffrements faibles dans les protocoles SSL/TLS

Pour aeindre une meilleure sécurité, vous pouvez congurer l'objet de stratégie de groupe (GPO) de

stratégie de domaine pour garantir que les communications qui utilisent le protocole SSL/TLS entre des

Horizon Client et des postes de travail basés sur une machine virtuelle ou des hôtes RDS n'autorisent pas les

chirements faibles.

Procédure

1 Sur le serveur Active Directory, modiez les objets de stratégie de groupe (GPO) en sélectionnant

Démarrer > Outils d'administration > Gestion de stratégie de groupe, puis en cliquant avec le bouton

droit sur GPO et en sélectionnant Édition.

2 Dans l'éditeur de la gestion des stratégies du groupe accédez à  de l'ordinateur >

Stratégies > Modèles d'administration > Réseau > Paramètres de  SSL.

3 Double-cliquez sur Ordre des suites de  SSL.

4 Dans la fenêtre Ordre des suites de chirement SSL cliquez sur Activé.

5 Dans le volet Options, remplacez la totalité du contenu du champ Suites de chirement SSL avec la liste

de chirement suivante :

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,

TLS_RSA_WITH_AES_128_CBC_SHA256,

TLS_RSA_WITH_AES_128_CBC_SHA,

TLS_RSA_WITH_AES_256_CBC_SHA256,

TLS_RSA_WITH_AES_256_CBC_SHA

Les suites de chirement sont répertoriées ci-dessus sur des lignes distinctes pour plus de clarté.

Lorsque vous collez la liste dans le champ de texte, les suites de chirement doivent être sur une même

ligne, sans espaces après les virgules.

6Quiez l'éditeur de la gestion des règles du groupe.

7 Redémarrez les machines VADC pour que la nouvelle stratégie de groupe prenne eet.

R Si Horizon Client n'est pas conguré pour prendre en charge un chirement pris en charge par

le système d'exploitation du poste de travail virtuel, la négociation TLS/SSL échoue et le client ne peut plus

se connecter.

Pour plus d'informations sur la conguration des suites de chirement prises en charge dans les clients

Horizon Client, reportez-vous à la documentation Horizon Client à l'adresse

hps://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.

Chapitre 2 Configuration avancée du plug-in View Agent Direct-Connection

VMware, Inc. 15

Remplacement du certificat de serveur SSL auto-signé par défaut

Un certicat SSL auto-signé ne peut pas fournir à Horizon Client une protection susante contre les

menaces de falsication et d'écoute. Pour protéger vos postes de travail contre ces menaces, vous devez

remplacer le certicat auto-signé généré.

Lorsque le plug-in View Agent Direct-Connection démarre pour la première fois après l'installation, il

génère automatiquement un certicat de serveur SSL auto-signé et le place dans le magasin de certicats de

Windows. Le certicat de serveur SSL est présenté à Horizon Client pendant la négociation du protocole

SSL pour fournir au client des informations sur ce poste de travail. Ce certicat de serveur SSL auto-signé

par défaut ne peut pas fournir de garanties sur ce poste de travail, il doit être remplacé par un certicat

signé par une autorité de certication (CA) qui est approuvé par le client et est entièrement validé par les

vérications de certicat d'Horizon Client.

La procédure de stockage de ce certicat dans le magasin de certicats Windows et la procédure de

remplacement par un certicat signé par une autorité de certication appropriée sont les mêmes que celles

utilisées pour le Serveur de connexion View (version 5.1 ou version ultérieure). Pour plus d'informations sur

cee procédure de remplacement de certicat, reportez-vous à « Conguration de certicats SSL pour les

serveurs View Server » dans le document Installation de View.

Les certicats disposant d'une extension Autre nom de l'objet (SAN) et de certicats génériques sont pris en

charge.

R Pour distribuer les certicats de serveur SSL signés par une autorité de certication à un grand

nombre de postes de travail à l'aide du plug-in View Agent Direct-Connection, utilisez la stratégie

d'inscription à Active Directory pour distribuer les certicats à chaque machine virtuelle. Pour plus

d'informations, reportez-vous à : hp://technet.microsoft.com/en-us/library/cc732625.aspx.

Autoriser Horizon Client à accéder aux postes de travail et aux

applications

Le mécanisme d'autorisation permeant à un utilisateur d'accéder directement aux postes de travail et aux

applications est géré au sein d'un groupe du système d'exploitation local appelé Utilisateurs de View Agent

Direct-Connection.

Si un utilisateur est membre de ce groupe, il est autorisé à se connecter au poste de travail basé sur une

machine virtuelle, à un poste de travail RDS ou à des applications. Lorsque le plug-in est installé pour la

première fois, ce groupe local est créé et contient le groupe Utilisateurs authentiés. Tous les utilisateurs

authentiés par le plug-in sont autorisés à accéder au poste de travail ou aux applications.

Pour restreindre l'accès à ce poste de travail ou à cet hôte RDS, vous pouvez modier l'appartenance à ce

groupe et spécier une liste d'utilisateurs et de groupes d'utilisateurs. Ces utilisateurs peuvent être locaux

ou être des utilisateurs et des groupes d'utilisateurs du domaine. Si l'utilisateur ne fait pas partie de ce

groupe, il reçoit un message après l'authentication lui signalant qu'il n'est pas autorisé à accéder à ce poste

de travail basé sur une machine virtuelle ou à un poste de travail RDS et aux applications hébergés sur cet

hôte RDS.

Utilisation de la traduction d'adresses réseau et du mappage de ports

La traduction d'adresses réseau (NAT) et la conguration du mappage de ports sont requises si

Horizon Client se connecte à des postes de travail de machine virtuelle sur diérents réseaux.

Dans les exemples du présent document, vous devez congurer les informations d'adressage externe sur le

poste de travail an qu'Horizon Client puisse les utiliser pour se connecter au poste de travail à l'aide d'un

périphérique de traduction d'adresses réseau ou de mappage de ports. Cee URL est la même que celle des

paramètres URL externe et URL externe PCoIP sur le Serveur de connexion View et le serveur de sécurité.

Administration du plug-in View Agent Direct-Connection

16 VMware, Inc.

Si Horizon Client se trouve sur un autre réseau et que le périphérique NAT est situé entre Horizon Client et

le poste de travail exécutant le plug-in, une traduction d'adresses réseau ou une conguration du mappage

de ports est requise. Par exemple, si un pare-feu est situé entre Horizon Client et le poste de travail, le pare-

feu agit comme un périphérique de traduction d'adresses réseau ou de mappage de ports.

Un exemple de déploiement d'un poste de travail dont l'adresse IP est 192.168.1.1 illustre la conguration de

la traduction d'adresses réseau et du mappage de ports. Un système Horizon Client disposant de l'adresse

IP 192.168.1.9 sur le même réseau établit une connexion PCoIP en utilisant TCP et UDP. Cee connexion est

directe, sans traduction d'adresses réseau ni conguration du mappage de ports.

Figure 2‑1. PCoIP direct à partir d'un client sur le même réseau

Adresse IP

192.168.1.9

Client PCoIP Serveur PCoIP

TCP DST 192.168.1.1:4172

SRC 192.168.1.9:?

UDP DST 192.168.1.1:4172

SRC 192.168.1.9:55000

UDP DST 192.168.1.9:55000

SRC 192.168.1.1:4172

Poste de travail View

Adresse IP

192.168.1.1

Si vous ajoutez un périphérique NAT entre le client et le poste de travail pour qu'ils fonctionnent dans un

espace d'adressage diérent et si vous ne modiez pas la conguration dans le plug-in, les paquets PCoIP

ne seront pas correctement acheminés et échoueront. Dans cet exemple, le client utilise un espace

d'adressage diérent et dispose de l'adresse IP 10.1.1.9. Cee conguration échoue, car le client utilise

l'adresse du poste de travail pour envoyer les paquets PCoIP TCP et UDP. L'adresse de

destination 192.168.1.1 ne fonctionnera pas à partir du réseau du client et peut provoquer l'achage d'un

écran vide sur le client.

Figure 2‑2. PCoIP à partir d'un client via un périphérique NAT montrant la panne

Adresse IP

10.1.1.9

TCP DST 192.168.1.1:4172

SRC 10.1.1.9:?

Adresse IP

192.168.1.1

NAT

PNAT

Client PCoIP

Serveur PCoIP

Poste de travail View

Pour résoudre ce problème, vous devez congurer le plug-in pour utiliser une adresse IP externe. Si

externalIPAddress est conguré sur 10.1.1.1 pour ce poste de travail, le plug-in aribue au client l'adresse

IP 10.1.1.1 lors de l'établissement de connexions du protocole de poste de travail au poste de travail. Pour

PCoIP, le service PCoIP Secure Gateway doit être démarré sur le poste de travail pour cee conguration.

Pour le mappage de ports, lorsque le poste de travail utilise le port PCoIP standard 4172, alors que le client

doit utiliser un port de destination diérent, mappé au port 4172 sur le périphérique de mappage de ports,

vous devez congurer le plug-in pour cee installation. Si le périphérique de mappage de ports mappe le

port 14172 à 4172, le client doit utiliser le port de destination 14172 pour PCoIP. Vous devez congurer cee

installation pour PCoIP. Dénissez externalPCoIPPort dans le plug-in sur 14172.

Chapitre 2 Configuration avancée du plug-in View Agent Direct-Connection

VMware, Inc. 17

Dans une conguration qui utilise la traduction d'adresses réseau et le mappage de ports, externalIPAdress

est dénie sur 10.1.1.1, qui est traduite en 192.168.1.1, et externalPColPPort est déni sur 14172, qui fait

l'objet d'un mappage de port à 4172.

Figure 2‑3. PCoIP à partir d'un client via un périphérique NAT et un mappage de ports

adresse IP

10.1.1.9

Client PCoIP

PCoIP

serveur

Poste de

travail View

adresse IP

192.168.1.1

NAT

PNAT

TCP DST 10.1.1.1:14172

SRC 10.1.1.9:?

UDP DST 10.1.1.1:14172

SRC 10.1.1.9:55000

UDP DST 10.1.1.9:55000

SRC 10.1.1.1:14172

TCP DST 192.168.1.1:4172

SRC 192.168.1.9:?

UDP DST 192.168.1.1:4172

SRC 192.168.1.9:?

UDP DST 192.168.1.9:?

SRC 192.168.1.1:4172

Comme pour la conguration de ports PCoIP TCP/UDP externes pour PCoIP, si le port RDP (3389) ou le

port Framework Channel (32111) fait l'objet d'un mappage de ports, vous devez congurer externalRDPPort

et externalFrameworkChannelPort pour spécier les numéros de ports TCP que le client utilisera pour établir

ces connexions au moyen d'un périphérique de mappage de ports.

Schéma d'adressage avancé

Lorsque vous congurez des postes de travail basés sur une machine virtuelle pour qu'ils soient accessibles

via un périphérique de traduction d'adresses réseau et de mappage de ports sur la même adresse IP externe,

vous devez aribuer à chaque poste de travail un ensemble unique de numéros de port. Les clients peuvent

ensuite utiliser la même adresse IP de destination, mais utilisent un numéro de port TCP unique pour la

connexion HTTPS pour diriger la connexion vers un poste de travail virtuel spécique.

Par exemple, le port HTTPS 1000 dirige les demandes vers un poste de travail, le port HTTPS 1005 vers un

autre poste, tous deux utilisant la même adresse IP de destination. Dans ce cas, la conguration de numéros

de port externes uniques pour chaque poste de travail pour les connexions de protocole de postes de travail

serait trop complexe. Pour cee raison, les paramètres de plug-in externalPCoIPPort,externalRDPPort et

externalFrameworkChannelPort peuvent prendre une expression relationnelle facultative plutôt qu'une

valeur statique pour dénir un numéro de port relatif au numéro de port HTTPS de base utilisé par le client.

Si le périphérique de mappage de ports utilise le numéro de port 1000 pour HTTPS, mappé à TCP 443, le

numéro port 1001 pour RDP, mappé à TCP 3389, le numéro de port 1002 pour PCoIP, mappé à TCP et UDP

4172, et le numéro de port 1003 pour le canal d'infrastructure, mappé à TCP 32111, pour simplier la

conguration, les numéros de port externes peuvent être congurés de la manière

suivante :externalRDPPort=+1, externalPCoIPPort=+2 et externalFrameworkChannelPort=+3. Lorsque la

connexion HTTPS provient d'un client qui a utilisé le numéro de port de destination HTTPS 1000, les

numéros de ports externes sont automatiquement calculés par rapport à ce numéro de port 1000 et utilisent

respectivement 1001, 1002 et 1003.

Pour déployer un autre poste de travail virtuel, si le périphérique de mappage de ports a utilisé le numéro

de port 1005 pour HTTPS, mappé à TCP 443, le numéro de port 1006 pour RDP, mappé à TCP 3389, le

numéro de port 1007 pour PCoIP, mappé à TCP et UDP 4172, et le numéro de port 1008 pour le canal

d'infrastructure, mappé à TCP 32111, avec exactement la même conguration de ports externes sur le poste

de travail (+1, +2, +3, etc.), lorsque la connexion HTTPS provient d'un client qui a utilisé le numéro de port

de destination HTTPS 1005, les numéros de port externes sont automatiquement calculés par rapport à ce

numéro de port 1005 et utilisent respectivement les valeurs 1006, 1007 et 1008.

Administration du plug-in View Agent Direct-Connection

18 VMware, Inc.

Ce schéma permet à tous les postes de travail d'être congurés de façon identique et de tous partager la

même adresse IP externe. L'allocation des numéros de port par incréments de cinq (1000, 1005, 1010…) pour

le numéro de port HTTPS de base permet donc de disposer de plus de 12 000 postes de travail virtuels

accessible sur la même adresse IP. Le numéro de port de base sert à déterminer le poste de travail virtuel

vers lequel acheminer la connexion, en fonction de la conguration du périphérique de mappage de ports.

Pour une conguration externalIPAddress=10.20.30.40, externalRDPPort=+1, externalPCoIPPort=+2 and

externalFrameworkChannelPort=+3 dénie sur tous les postes de travail virtuels, le mappage à des postes de

travail virtuels correspondrait à la description incluse dans la traduction d'adresses réseau et la table de

mappage de ports.

Tableau 2‑2. Valeurs de traduction d'adresses réseau et de mappage de ports

VM#

Adresse IP

du poste de

travail HTTPS RDP

PCOIP (TCP et

UDP) Canal d'infrastructure

0 192.168.0.0 10.20.30.40:1000 ->

192.168.0.0:443

10.20.30.40:1001 ->

192.168.0.0:3389

10.20.30.40:1002 ->

192.168.0.0:4172

10.20.30.40:1003 ->

192.168.0.0:32111

1 192.168.0.1 10.20.30.40:1005 ->

192.168.0.1:443

10.20.30.40:1006 ->

192.168.0.1:3389

10.20.30.40:1007 ->

192.168.0.1:4172

10.20.30.40:1008 ->

192.168.0.1:32111

2 192.168.0.2 10.20.30.40:1010 ->

192.168.0.2:443

10.20.30.40:1011 ->

192.168.0.2:3389

10.20.30.40:1012 ->

192.168.0.2:4172

10.20.30.40:1013 ->

192.168.0.2:32111

3 192.168.0.3 10.20.30.40:1015 ->

192.168.0.3:443

10.20.30.40:1016 ->

192.168.0.3:3389

10.20.30.40:1017 ->

192.168.0.3:4172

10.20.30.40:1018 ->

192.168.0.3:32111

Dans cet exemple, Horizon Client se connecte à l'adresse IP 10.20.30.40 et à un numéro de port de

destination HTTPS (1000 + n * 5) où n est le numéro du poste de travail. Pour se connecter au poste de

travail 3, le client se connecte à 10.20.30.40:1015. Ce schéma d'adressage simplie de façon signicative la

conguration de chaque poste de travail. Tous les postes de travail sont congurés avec des congurations

d'adresse externe et de port identiques. La conguration de la traduction d'adresses réseau et du mappage

de ports est eectuée dans le périphérique de traduction d'adresses réseau et de mappage de port avec ce

modèle cohérent, et tous les postes de travail sont accessibles sur une adresse IP publique unique. Le client

utilise généralement un nom DNS public unique qui se résout à cee adresse IP.

Ajouter une autorité de certification à un magasin de certificats

Windows

Pour l'authentication par carte à puce, l'autorité de certication (CA) qui signe les certicats de carte à puce

doit exister dans le magasin de certicats Windows. . Sinon, vous pouvez ajouter l'autorité de certication

au magasin de certicats Windows.

Prérequis

Vériez que Microsoft Management Console (MMC) dispose du composant logiciel enchable Certicats.

Reportez-vous à « Ajouter le composant logiciel enchable Certicat à MMC » dans le document Installation

de View.

Procédure

1 Démarrez MMC.

2 Dans la console MMC, développez le nœud  (Ordinateur local) et allez dans le dossier

Autorités de  racines de  > .

Si le certicat racine est présent et qu'il n'y a pas de certicats intermédiaires dans la chaîne de

certicats, quiez MMC.

3 Cliquez avec le bouton droit sur le dossier Autorités de  racines de  > 

et cliquez sur Toutes les tâches > Importer.

Chapitre 2 Configuration avancée du plug-in View Agent Direct-Connection

VMware, Inc. 19

4 Dans l'assistant Importation de certicat, cliquez sur Suivant et allez à l'emplacement de stockage du

certicat de l'autorité de certication racine.

5 Sélectionnez le chier du certicat de l'autorité de certication racine et cliquez sur Ouvrir.

6 Cliquez sur Suivant, Suivant et Terminer.

7 Si le certicat de carte à puce est émis par une autorité de certication intermédiaire, importez tous les

certicats intermédiaires de la chaîne de certicats.

a Allez dans le dossier  (Ordinateur local) > Autorités de  intermédiaires >

.

b Recommencez les étapes 3 à 6 pour chaque certicat intermédiaire.

Administration du plug-in View Agent Direct-Connection

20 VMware, Inc.

La page charge ...

VMware Horizon 7.1 Mode d'emploi

Marque: VMware

Modèle: Horizon 7.1

Taper: Mode d'emploi

Ce manuel convient également à

Horizon 7.2

Télécharger le PDF

rapport

VMware Horizon 7.1 Mode d'emploi

Ce manuel convient également à

VMware Horizon 7.1 Mode d'emploi

Documents connexes

Autres documents