VMware Horizon View 6.2 Mode d'emploi

Taper
Mode d'emploi

Ce manuel convient également à

Administration du plug-in View Agent
Direct-Connection
VMware Horizon 6
Version 6.2
Ce document prend en charge la version de chacun des produits
répertoriés, ainsi que toutes les versions publiées par la suite
jusqu'au remplacement dudit document par une nouvelle
édition. Pour rechercher des éditions plus récentes de ce
document, rendez-vous sur :
http://www.vmware.com/fr/support/pubs.
FR-001912-02
Administration du plug-in View Agent Direct-Connection
2 VMware, Inc.
Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :
http://www.vmware.com/fr/support/
Le site Web de VMware propose également les dernières mises à jour des produits.
N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :
Copyright © 2015 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
VMware, Inc.
100-101 Quartier Boieldieu
92042 Paris La Défense
France
www.vmware.com/fr
Table des matières
Administration du plug-in View Agent Direct-Connection 5
1Installation du plug-in View Agent Direct-Connection 7
Configuration système requise pour le plug-in View Agent Direct-Connection 7
Installer le plug-in View Agent Direct-Connection 7
Installer le plug-in View Agent Direct-Connection en silence 8
2Configuration avancée du plug-in View Agent Direct-Connection 11
Paramètres de configuration du plug-in View Agent Direct-Connection 11
Désactivation des chiffrements faibles dans les protocoles SSL/TLS 15
Remplacement du certificat de serveur SSL auto-signé par défaut 16
Autoriser Horizon Client à accéder aux postes de travail et aux applications 16
Utilisation de la traduction d'adresses réseau et du mappage de ports 16
Ajouter une autorité de certification à un magasin de certificats Windows 19
3Configuration de HTML Access 21
Installer View Agent pour HTML Access 21
Configurer une livraison de contenu statique 22
Configurer un certificat de serveur SSL signé par une autorité de certification de confiance 23
Désactiver le protocole HTTP/2 sur des postes de travail Windows 10 24
4Configuration de View Agent Direct Connection sur des hôtes des services
Bureau à distance (RDS) 25
Hôtes des services Bureau à distance 25
Autoriser des postes de travail et des applications RDS 26
5Dépannage du plug-in View Agent Direct-Connection 27
Le pilote graphique installé est incorrect 27
RAM vidéo insuffisante 28
Activation de la journalisation complète pour inclure les informations de suivi et de débogage 28
Index 29
VMware, Inc. 3
Administration du plug-in View Agent Direct-Connection
4 VMware, Inc.
Administration du plug-in View Agent Direct-
Connection
Administration du plug-in View Agent Direct-Connection fournit des informations sur l'installation et la
configuration du plug-in View Agent Direct-Connection. Ce plug-in est une extension installable de View
Agent qui permet à Horizon Client de se connecter directement à un poste de travail basé sur une machine
virtuelle, à un poste de travail des services Bureau à distance (Remote Desktop Services, RDS) ou à une
application sans utiliser le Serveur de connexion View. Toutes les fonctionnalités de poste de travail ou
d'application s'exécutent de la même manière que lorsque l'utilisateur se connecte via le Serveur de
connexion View.
Public cible
Ces informations sont destinées à un administrateur qui souhaite installer, mettre à niveau ou configurer le
plug-in View Agent Direct-Connection sur un poste de travail basé sur une machine virtuelle ou sur un hôte
RDS. Ce guide a été rédigé à l'attention des administrateurs système Windows expérimentés qui connaissent
bien la technologie de machines virtuelles et les opérations de centre de données.
VMware, Inc. 5
Administration du plug-in View Agent Direct-Connection
6 VMware, Inc.
Installation du plug-in View Agent
Direct-Connection 1
Le plug-in VADC (View Agent Direct-Connection) autorise les clients Horizon Client à se connecter
directement aux postes de travail basés sur une machine virtuelle, aux postes de travail RDS ou aux
applications. Le plug-in VADC, qui est une extension de View Agent, est installé sur des postes de travail
basés sur une machine virtuelle ou des hôtes RDS.
Ce chapitre aborde les rubriques suivantes :
n« Configuration système requise pour le plug-in View Agent Direct-Connection », page 7
n« Installer le plug-in View Agent Direct-Connection », page 7
n« Installer le plug-in View Agent Direct-Connection en silence », page 8
Configuration système requise pour le plug-in View Agent Direct-
Connection
Le plug-in View Agent Direct-Connection (VADC) est installé sur des machines sur lesquelles View Agent
est déjà installé. Pour obtenir la liste des systèmes d'exploitation que View Agent prend en charge, reportez-
vous à la section « Systèmes d'exploitation pris en charge pour View Agent » dans le document Installation
de View.
Le plug-in VADC a les exigences supplémentaires suivantes :
nLa machine virtuelle ou physique sur laquelle le plug-in VADC est installé doit disposer d'au moins
128 Mo de mémoire RAM vidéo pour garantir le bon fonctionnement de PCoIP.
nPour une machine virtuelle, vous devez installer VMware Tools avant d'installer View Agent.
nUne machine physique doit disposer d'une carte d'hôte Teradici. Il n'est pas nécessaire d'installer
VMware Tools.
REMARQUE Un poste de travail basé sur une machine virtuelle qui prend en charge VADC peut joindre un
domaine Microsoft Active Directory ou peut être membre d'un groupe de travail.
Installer le plug-in View Agent Direct-Connection
Le plug-in View Agent Direct-Connection (VADC) est modularisé dans un fichier de programme
d'installation Windows que vous pouvez télécharger à partir du site Web VMware et installer.
Prérequis
nVérifiez que View Agent n'est pas installé. Si votre environnement n'inclut pas le Serveur de connexion
View, installez View Agent à partir de la ligne de commande et spécifiez un paramètre qui demande à
View Agent de ne pas s'enregistrer dans le Serveur de connexion View. Reportez-vous à la section
« Installer View Agent pour HTML Access », page 21.
VMware, Inc. 7
Procédure
1 Téléchargez le fichier du programme d'installation du plug-in VADC à partir de la page de
téléchargement VMware à l'adresse http://www.vmware.com/go/downloadview.
Le nom de fichier du programme d'installation est VMware-viewagent-direct-connection-x86_64-y.y.y-
xxxxxx.exe pour Windows 64 bits ou VMware-viewagent-direct-connection--y.y.y-xxxxxx.exe pour
Windows 32 bits, où y.y.y est le numéro de version et xxxxxx le numéro de build.
2 Double-cliquez sur le fichier du programme d'installation.
3 (Facultatif) Modifiez le numéro de port TCP.
Le numéro de port par défaut est 443.
4 (Facultatif) Choisissez comment configurer le service Pare-feu Windows.
Par défaut, l'option Configurer automatiquement le Pare-feu Windows est cochée et le programme
d'installation configure le Pare-feu Windows afin d'autoriser les connexions réseau requises.
5 (Facultatif) Indiquez si vous souhaitez désactiver SSL 3.0.
Par défaut, l'option Désactiver automatiquement la prise en charge de SSLv3 (recommandé) est
sélectionnée et le programme d'installation désactive SSL 3.0 au niveau du système d'exploitation. Cette
option ne s'affiche pas et le programme d'installation n'exécute aucune action si SSL 3.0 est déjà activé
ou désactivé de manière explicite dans le registre. Si cette option est décochée, le programme
d'installation n'exécute pas cette action.
6 Suivez les invites et terminez l'installation.
Installer le plug-in View Agent Direct-Connection en silence
Vous pouvez utiliser la fonctionnalité d'installation silencieuse de MSI (Microsoft Windows Installer) pour
installer le plug-in View Agent Direct-Connection (VADC). Lors d'une installation silencieuse, vous utilisez
la ligne de commande sans avoir besoin de répondre aux invites de l'assistant.
Avec l'installation silencieuse, vous pouvez déployer efficacement le plug-in VADC dans une grande
entreprise. Pour en savoir plus sur Windows Installer, consultez la section « Options de la ligne de
commande Microsoft Windows Installer » dans le document Configuration de pools de postes de travail et
d'applications dans View. Le plug-in VADC prend en charge les propriétés MSI suivantes.
Tableau 11. Propriétés MSI pour l'installation silencieuse du plug-in View Agent Direct-Connection
Propriété MSI Description
Valeur par
défaut
LISTENPORT Port TCP utilisé par le plug-in VADC pour accepter les connexions à
distance. Par défaut, le programme d'installation configurera le pare-feu
Windows pour qu'il autorise le trafic sur le port.
443
MODIFYFIREWALL Si cette propriété est définie sur 1, le programme d'installation configurera
le pare-feu Windows pour qu'il autorise le trafic sur LISTENPORT. Si elle
est définie sur 0, le programme d'installation ne le configurera pas.
1
DISABLE_SSLV3 Si SSL 3.0 est déjà activé ou désactivé explicitement dans le registre, le
programme d'installation ignore cette propriété. Sinon, le programme
d'installation désactive SSL 3.0 au niveau du système d'exploitation si cette
propriété est définie sur 1 et n'exécute aucune action si cette propriété est
définie sur 0.
1
Administration du plug-in View Agent Direct-Connection
8 VMware, Inc.
Prérequis
nVérifiez que View Agent n'est pas installé. Si votre environnement n'inclut pas le Serveur de connexion
View, installez View Agent à partir de la ligne de commande et spécifiez un paramètre qui demande à
View Agent de ne pas s'enregistrer dans le Serveur de connexion View. Reportez-vous à la section
« Installer View Agent pour HTML Access », page 21.
Procédure
1 Ouvrez une invite de commande Windows.
2 Exécutez le fichier d'installation du plug-in VADC avec les options de la ligne de commande pour
spécifier une installation silencieuse. Vous pouvez éventuellement spécifier des propriétés MSI
facultatives.
L'exemple suivant installe le plug-in VADC avec les options par défaut.
VMware-viewagent-direct-connection--y.y.y-xxxxxx.exe /s
L'exemple suivant installe le plug-in VADC et spécifie un port TCP que vadc écoutera pour des
connexions à distance.
VMware-viewagent-direct-connection--y.y.y-xxxxxx.exe /s /v"/qn LISTENPORT=9999"
Chapitre 1 Installation du plug-in View Agent Direct-Connection
VMware, Inc. 9
Administration du plug-in View Agent Direct-Connection
10 VMware, Inc.
Configuration avancée du plug-in
View Agent Direct-Connection 2
Vous pouvez utiliser les paramètres de configuration par défaut du plug-in View Agent Direct-Connection
ou les personnaliser via les objets de stratégie de groupe (GPO) de Windows Active Directory ou en
modifiant des paramètres de Registre Windows spécifiques.
Ce chapitre aborde les rubriques suivantes :
n« Paramètres de configuration du plug-in View Agent Direct-Connection », page 11
n« Désactivation des chiffrements faibles dans les protocoles SSL/TLS », page 15
n« Remplacement du certificat de serveur SSL auto-signé par défaut », page 16
n« Autoriser Horizon Client à accéder aux postes de travail et aux applications », page 16
n« Utilisation de la traduction d'adresses réseau et du mappage de ports », page 16
n« Ajouter une autorité de certification à un magasin de certificats Windows », page 19
Paramètres de configuration du plug-in View Agent Direct-Connection
Tous les paramètres de configuration du plug-in View Agent Direct-Connection sont stockés sur le registre
local sur chaque poste de travail basé sur une machine virtuelle ou sur chaque hôte RDS. Vous pouvez gérer
ces paramètres à l'aide des objets de stratégie de groupe (GPO) de Windows Active Directory, de l'éditeur
de stratégie locale ou en modifiant directement le Registre.
Les valeurs de Registre sont situées dans la clé de registre HKEY_LOCAL_MACHINE\Software\VMware,
Inc.\VMware VDM\Agent\Configuration\XMLAPI.
Tableau 21. Paramètres de configuration du plug-in View Agent Direct-Connection
Paramètre Valeur de Registre Type Description
Numéro de port
HTTPS
httpsPortNumber REG_SZ Port TCP sur lequel le plug-in écoute les demandes
HTTPS entrantes provenant d'Horizon Client. Si vous
modifiez cette valeur, vous devez effectuer la
modification correspondante dans le Pare-feu
Windows pour autoriser le trafic entrant.
Délai d'expiration de
session
sessionTimeout REG_SZ Période pendant laquelle un utilisateur peut garder
une session ouverte avec Horizon Client. La valeur
est définie en minutes. La valeur par défaut est de
600 minutes. Lorsque le délai arrive à expiration,
toutes les sessions de poste de travail et
d'applications de l'utilisateur sont déconnectées.
VMware, Inc. 11
Tableau 21. Paramètres de configuration du plug-in View Agent Direct-Connection (suite)
Paramètre Valeur de Registre Type Description
Clause d'exclusion de
responsabilité activée
disclaimerEnabled REG_SZ La valeur peut être définie sur TRUE ou FALSE. Si elle
est définie sur TRUE, le texte d'exclusion de
responsabilité que l'utilisateur doit accepter à
l'ouverture de session s'affiche. Il correspond au
« Texte d'exclusion de responsabilité » si celui-ci a été
rédigé, ou il est extrait du GPO
Configuration\Paramètres
Windows\Paramètres de sécurité\Stratégies
locales\Options de sécurité : Ouverture de
session interactive. Le paramètre par défaut
pour disclaimerEnabled est FALSE.
Texte d'exclusion de
responsabilité
disclaimerText REG_SZ Texte d'exclusion de responsabilité qui s'affiche pour
les utilisateurs d'Horizon Client à l'ouverture de
session. La stratégie Exclusion de responsabilité
activée doit être définie sur TRUE. Si le texte n'est pas
spécifié, la valeur par défaut utilisée est celle de la
stratégie Windows Configuration\Paramètres
Windows\Paramètres de sécurité\Stratégies
locales\Options de sécurité.
Paramètre client :
AlwaysConnect
alwaysConnect REG_SZ La valeur peut être définie sur TRUE ou FALSE. Le
paramètre AlwaysConnect est envoyé à Horizon
Client. Si cette stratégie est définie sur TRUE, elle
remplace toutes les préférences client enregistrées.
Aucune valeur n'est définie par défaut. L'activation
de cette stratégie définit la valeur sur TRUE. La
désactivation de cette stratégie définit la valeur sur
FALSE.
Port PCoIP externe externalPCoIPPort REG_SZ Numéro de port envoyé à Horizon Client pour le
numéro de port TCP/UDP de destination utilisé avec
le protocole PCoIP. Le signe + devant le numéro
indique un nombre relatif calculé par rapport au
numéro de port utilisé pour HTTPS. Ne définissez
cette valeur que si le numéro de port exposé en
externe ne correspond pas au port sur lequel le
service écoute. En général, ce numéro de port s'utilise
dans un environnement NAT. Aucune valeur n'est
définie par défaut.
Port Blast externe externalBlastPort REG_SZ Numéro de port envoyé à Horizon Client pour le
numéro de port TCP de destination utilisé avec le
protocole HTML5/Blast. Le signe + devant le numéro
indique un nombre relatif calculé par rapport au
numéro de port utilisé pour HTTPS. Ne définissez
cette valeur que si le numéro de port exposé en
externe ne correspond pas au port sur lequel le
service écoute. En général, ce numéro de port s'utilise
dans un environnement NAT. Aucune valeur n'est
définie par défaut.
Port RDP externe externalRDPPort REG_SZ Numéro de port envoyé à Horizon Client pour le
numéro de port TCP de destination utilisé avec le
protocole RDP. Le signe + devant le numéro indique
un nombre relatif calculé par rapport au numéro de
port utilisé pour HTTPS. Ne définissez cette valeur
que si le numéro de port exposé en externe ne
correspond pas au port sur lequel le service écoute.
En général, ce numéro de port s'utilise dans un
environnement NAT. Aucune valeur n'est définie par
défaut.
Administration du plug-in View Agent Direct-Connection
12 VMware, Inc.
Tableau 21. Paramètres de configuration du plug-in View Agent Direct-Connection (suite)
Paramètre Valeur de Registre Type Description
Adresse IP externe externalIPAddress REG_SZ Adresse IPv4 envoyée à Horizon Client pour
l'adresse IP de destination utilisée avec les protocoles
secondaires (RDP, PCoIP, Framework Channel, etc.).
Ne définissez cette valeur que si l'adresse exposée en
externe ne correspond pas à celle de la machine de
poste de travail. En général, cette adresse s'utilise
dans un environnement NAT. Aucune valeur n'est
définie par défaut.
Port Framework
Channel externe
externalFrameworkCha
nnelPort
REG_SZ Numéro de port envoyé à Horizon Client pour le
numéro de port TCP de destination utilisé avec le
protocole Framework Channel. Le signe + devant le
numéro indique un nombre relatif calculé par rapport
au numéro de port utilisé pour HTTPS. Ne définissez
cette valeur que si le numéro de port exposé en
externe ne correspond pas au port sur lequel le
service écoute. En général, ce numéro de port s'utilise
dans un environnement NAT. Aucune valeur n'est
définie par défaut.
USB activé usbEnabled REG_SZ La valeur peut être définie sur TRUE ou FALSE.
Détermine si des postes de travail peuvent utiliser
des périphériques USB connectés au système client.
La valeur par défaut est activée. Pour empêcher
l'utilisation de périphériques externes pour des
raisons de sécurité, désactivez le paramètre (FALSE).
Paramètre client :
Connexion USB
automatique
usbAutoConnect REG_SZ La valeur peut être définie sur TRUE ou FALSE.
Connecte des périphériques USB au poste de travail
lorsqu'ils sont branchés. Si cette stratégie est définie,
elle remplace les préférences client enregistrées.
Aucune valeur n'est définie par défaut.
Réinitialisation activée resetEnabled REG_SZ La valeur peut être définie sur TRUE ou FALSE.
Lorsque ce paramètre est défini sur TRUE, un client
Horizon authentifié peut effectuer un redémarrage
au niveau du système d'exploitation. Le paramètre
par défaut est désactivé (FALSE).
Délai d'expiration de
la mise en cache des
informations
d'identification du
client
clientCredentialCacheTi
meout
REG_SZ Délai, en minutes, pendant lequel un client Horizon
autorise un utilisateur à utiliser un mot de passe
enregistré. 0 correspond à Jamais, -1 correspond à
Toujours. Horizon Client donne aux utilisateurs la
possibilité d'enregistrer leur mot de passe si ce
paramètre est défini sur une valeur valide. La valeur
par défaut est 0 (jamais).
Délai d'inactivité de
l'utilisateur
userIdleTimeout REG_SZ En l'absence d'activité utilisateur sur le client Horizon
pendant ce délai, les sessions de poste de travail et
d'application de l'utilisateur sont déconnectées. La
valeur est définie en secondes. La valeur par défaut
est de 900 secondes (15 minutes).
Prise en charge d'une
carte à puce
x509CertAuth REG_SZ Indique comment l'authentification par carte à puce
est prise en charge en fonction des valeurs suivantes :
n0 : non autorisée
n1 : facultative
n2 : requise
La valeur par défaut est 0.
Chapitre 2 Configuration avancée du plug-in View Agent Direct-Connection
VMware, Inc. 13
Tableau 21. Paramètres de configuration du plug-in View Agent Direct-Connection (suite)
Paramètre Valeur de Registre Type Description
Source de certificats
de carte à puce
x509SSLCertAuth REG_SZ Indique que le certificat de carte à puce est obtenu de
la négociation SSL. La valeur doit être définie sur
TRUE lorsque x509CertAuth est défini sur 1 ou sur 2.
La valeur par défaut est FALSE. La modification de
ce paramètre nécessite un redémarrage du service
View Agent.
Paires de valeurs de
nom de configuration
du client
BioMetricsTimeout REG_SZ Indique si l'authentification biométrique est prise en
charge et, si c'est le cas, une période pendant laquelle
elle peut être utilisée. 0 signifie que l'authentification
biométrique n'est pas prise en charge. -1 signifie
qu'elle est prise en charge sans limite de temps. Un
nombre positif signifie qu'elle peut être utilisée
pendant ce nombre de minutes. La valeur par défaut
est 0 (non prise en charge).
Les numéros de ports externes et les valeurs d'adresses IP externes sont utilisés pour prendre en charge la
traduction d'adresses réseau (Network Address Translation, NAT) et le mappage des ports. Pour plus
d'informations, reportez-vous à « Utilisation de la traduction d'adresses réseau et du mappage de ports »,
page 16
Vous pouvez définir des stratégies qui remplacent ces paramètres de registre en utilisant l'Éditeur de
stratégie local ou des objets de stratégie de groupe (GPO) dans Active Directory. Les paramètres de stratégie
sont prioritaires par rapport aux paramètres de registre normaux. Un fichier de modèle de GPO est fourni
pour configurer les stratégies. Lorsque View Agent et le plug-in sont installés dans l'emplacement par
défaut, le fichier de modèle se trouve dans :
C:\Program Files\VMware\VMware View\Agent\extras\view_agent_direct_connection.adm
Vous pouvez importer ce fichier de modèle dans Active Directory ou dans l'Éditeur de stratégie de groupe
local pour simplifier la gestion de ces paramètres de configuration. Pour plus d'informations sur ce mode de
gestion des paramètres de stratégie, reportez-vous à la documentation relative à l'Éditeur de stratégie
Microsoft et à la gestion des GPO. Les paramètres de stratégie pour le plug-in sont stockés dans la clé de
registre :
HKEY_LOCAL_MACHINE Software\Policies\VMware, Inc.\VMware VDM\Agent\Configuration\XMLAPI
Pour l'authentification par carte à puce, l'autorité de certification (CA) qui signe les certificats de carte à puce
doit exister dans le magasin de certificats Windows. Pour obtenir des informations sur l'ajout d'une autorité
de certification, reportez-vous à « Ajouter une autorité de certification à un magasin de certificats
Windows », page 19.
REMARQUE Si un utilisateur tente de se connecter à l'aide d'une carte à puce à une machine Windows 7 ou
Windows Server 2008 R2 et que le certificat de la carte à puce a été signé par une autorité de certification
intermédiaire, la tentative peut échouer, car Windows peut envoyer au client une liste d'émetteurs
approuvés ne contenant pas les noms des autorités de certification intermédiaires. Le cas échéant, le client
n'est pas en mesure de sélectionner un certificat de carte à puce correspondant. Pour éviter ce problème,
définissez la valeur de registre SendTrustedIssuerList (REG_DWORD) sur 0 dans la clé de registre
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL. Lorsque cette valeur
de registre est définie sur 0, Windows n'envoie pas de liste d'émetteurs approuvés au client qui peut alors
sélectionner tous les certificats valides de la carte à puce.
Administration du plug-in View Agent Direct-Connection
14 VMware, Inc.
Désactivation des chiffrements faibles dans les protocoles SSL/TLS
Pour atteindre une meilleure sécurité, vous pouvez configurer l'objet de stratégie de groupe (GPO) de
stratégie de domaine pour garantir que les communications qui utilisent le protocole SSL/TLS entre des
Horizon Client et des postes de travail basés sur une machine virtuelle ou des hôtes RDS n'autorisent pas les
chiffrements faibles.
Procédure
1 Sur le serveur Active Directory, modifiez les objets de stratégie de groupe (GPO) en sélectionnant
Démarrer > Outils d'administration > Gestion de stratégie de groupe, puis en cliquant avec le bouton
droit sur GPO et en sélectionnant Édition.
2 Dans l'éditeur de la gestion des stratégies du groupe accédez à Configuration de l'ordinateur >
Stratégies > Modèles d'administration > Réseau > Paramètres de configuration SSL.
3 Double-cliquez sur Ordre des suites de chiffrement SSL.
4 Dans la fenêtre Ordre des suites de chiffrement SSL cliquez sur Activé.
5 Dans le volet Options, remplacez la totalité du contenu du champ Suites de chiffrement SSL avec la liste
de chiffrement suivante :
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA
Les suites de chiffrement sont répertoriées ci-dessus sur des lignes distinctes pour plus de clarté.
Lorsque vous collez la liste dans le champ de texte, les suites de chiffrement doivent être sur une même
ligne, sans espaces après les virgules.
6 Quittez l'éditeur de la gestion des règles du groupe.
7 Redémarrez les machines VADC pour que la nouvelle stratégie de groupe prenne effet.
REMARQUE Si Horizon Client n'est pas configuré pour prendre en charge un chiffrement pris en charge par
le système d'exploitation du poste de travail virtuel, la négociation TLS/SSL échoue et le client ne peut plus
se connecter.
Pour plus d'informations sur la configuration des suites de chiffrement prises en charge dans les clients
Horizon Client, reportez-vous à la documentation Horizon Client à l'adresse
https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.
Chapitre 2 Configuration avancée du plug-in View Agent Direct-Connection
VMware, Inc. 15
Remplacement du certificat de serveur SSL auto-signé par défaut
Un certificat SSL auto-signé ne peut pas fournir à Horizon Client une protection suffisante contre les
menaces de falsification et d'écoute. Pour protéger vos postes de travail contre ces menaces, vous devez
remplacer le certificat auto-signé généré.
Lorsque le plug-in View Agent Direct-Connection démarre pour la première fois après l'installation, il
génère automatiquement un certificat de serveur SSL auto-signé et le place dans le magasin de certificats de
Windows. Le certificat de serveur SSL est présenté à Horizon Client pendant la négociation du protocole
SSL pour fournir au client des informations sur ce poste de travail. Ce certificat de serveur SSL auto-signé
par défaut ne peut pas fournir de garanties sur ce poste de travail, il doit être remplacé par un certificat
signé par une autorité de certification (CA) qui est approuvé par le client et est entièrement validé par les
vérifications de certificat d'Horizon Client.
La procédure de stockage de ce certificat dans le magasin de certificats Windows et la procédure de
remplacement par un certificat signé par une autorité de certification appropriée sont les mêmes que celles
utilisées pour le Serveur de connexion View (version 5.1 ou version ultérieure). Pour plus d'informations sur
cette procédure de remplacement de certificat, reportez-vous à « Configuration de certificats SSL pour les
serveurs View Server » dans le document Installation de View.
Les certificats disposant d'une extension Autre nom de l'objet (SAN) et de certificats génériques sont pris en
charge.
REMARQUE Pour distribuer les certificats de serveur SSL signés par une autorité de certification à un grand
nombre de postes de travail à l'aide du plug-in View Agent Direct-Connection, utilisez la stratégie
d'inscription à Active Directory pour distribuer les certificats à chaque machine virtuelle. Pour plus
d'informations, reportez-vous à : http://technet.microsoft.com/en-us/library/cc732625.aspx.
Autoriser Horizon Client à accéder aux postes de travail et aux
applications
Le mécanisme d'autorisation permettant à un utilisateur d'accéder directement aux postes de travail et aux
applications est géré au sein d'un groupe du système d'exploitation local appelé Utilisateurs de View Agent
Direct-Connection.
Si un utilisateur est membre de ce groupe, il est autorisé à se connecter au poste de travail basé sur une
machine virtuelle, à un poste de travail RDS ou à des applications. Lorsque le plug-in est installé pour la
première fois, ce groupe local est créé et contient le groupe Utilisateurs authentifiés. Tous les utilisateurs
authentifiés par le plug-in sont autorisés à accéder au poste de travail ou aux applications.
Pour restreindre l'accès à ce poste de travail ou à cet hôte RDS, vous pouvez modifier l'appartenance à ce
groupe et spécifier une liste d'utilisateurs et de groupes d'utilisateurs. Ces utilisateurs peuvent être locaux
ou être des utilisateurs et des groupes d'utilisateurs du domaine. Si l'utilisateur ne fait pas partie de ce
groupe, il reçoit un message après l'authentification lui signalant qu'il n'est pas autorisé à accéder à ce poste
de travail basé sur une machine virtuelle ou à un poste de travail RDS et aux applications hébergés sur cet
hôte RDS.
Utilisation de la traduction d'adresses réseau et du mappage de ports
La traduction d'adresses réseau (NAT) et la configuration du mappage de ports sont requises si
Horizon Client se connecte à des postes de travail de machine virtuelle sur différents réseaux.
Dans les exemples du présent document, vous devez configurer les informations d'adressage externe sur le
poste de travail afin qu'Horizon Client puisse les utiliser pour se connecter au poste de travail à l'aide d'un
périphérique de traduction d'adresses réseau ou de mappage de ports. Cette URL est la même que celle des
paramètres URL externe et URL externe PCoIP sur le Serveur de connexion View et le serveur de sécurité.
Administration du plug-in View Agent Direct-Connection
16 VMware, Inc.
Si Horizon Client se trouve sur un autre réseau et que le périphérique NAT est situé entre Horizon Client et
le poste de travail exécutant le plug-in, une traduction d'adresses réseau ou une configuration du mappage
de ports est requise. Par exemple, si un pare-feu est situé entre Horizon Client et le poste de travail, le pare-
feu agit comme un périphérique de traduction d'adresses réseau ou de mappage de ports.
Un exemple de déploiement d'un poste de travail dont l'adresse IP est 192.168.1.1 illustre la configuration de
la traduction d'adresses réseau et du mappage de ports. Un système Horizon Client disposant de l'adresse
IP 192.168.1.9 sur le même réseau établit une connexion PCoIP en utilisant TCP et UDP. Cette connexion est
directe, sans traduction d'adresses réseau ni configuration du mappage de ports.
Figure 21. PCoIP direct à partir d'un client sur le même réseau
Adresse IP
192.168.1.9
Client PCoIP Serveur PCoIP
TCP DST 192.168.1.1:4172
SRC 192.168.1.9:?
UDP DST 192.168.1.1:4172
SRC 192.168.1.9:55000
UDP DST 192.168.1.9:55000
SRC 192.168.1.1:4172
Poste de travail View
Adresse IP
192.168.1.1
Si vous ajoutez un périphérique NAT entre le client et le poste de travail pour qu'ils fonctionnent dans un
espace d'adressage différent et si vous ne modifiez pas la configuration dans le plug-in, les paquets PCoIP
ne seront pas correctement acheminés et échoueront. Dans cet exemple, le client utilise un espace
d'adressage différent et dispose de l'adresse IP 10.1.1.9. Cette configuration échoue, car le client utilise
l'adresse du poste de travail pour envoyer les paquets PCoIP TCP et UDP. L'adresse de
destination 192.168.1.1 ne fonctionnera pas à partir du réseau du client et peut provoquer l'affichage d'un
écran vide sur le client.
Figure 22. PCoIP à partir d'un client via un périphérique NAT montrant la panne
Adresse IP
10.1.1.9
TCP DST 192.168.1.1:4172
SRC 10.1.1.9:?
Adresse IP
192.168.1.1
NAT
PNAT
Client PCoIP
Serveur PCoIP
Poste de travail View
Pour résoudre ce problème, vous devez configurer le plug-in pour utiliser une adresse IP externe. Si
externalIPAddress est configuré sur 10.1.1.1 pour ce poste de travail, le plug-in attribue au client l'adresse
IP 10.1.1.1 lors de l'établissement de connexions du protocole de poste de travail au poste de travail. Pour
PCoIP, le service PCoIP Secure Gateway doit être démarré sur le poste de travail pour cette configuration.
Pour le mappage de ports, lorsque le poste de travail utilise le port PCoIP standard 4172, alors que le client
doit utiliser un port de destination différent, mappé au port 4172 sur le périphérique de mappage de ports,
vous devez configurer le plug-in pour cette installation. Si le périphérique de mappage de ports mappe le
port 14172 à 4172, le client doit utiliser le port de destination 14172 pour PCoIP. Vous devez configurer cette
installation pour PCoIP. Définissez externalPCoIPPort dans le plug-in sur 14172.
Chapitre 2 Configuration avancée du plug-in View Agent Direct-Connection
VMware, Inc. 17
Dans une configuration qui utilise la traduction d'adresses réseau et le mappage de ports, externalIPAdress
est définie sur 10.1.1.1, qui est traduite en 192.168.1.1, et externalPColPPort est défini sur 14172, qui fait
l'objet d'un mappage de port à 4172.
Figure 23. PCoIP à partir d'un client via un périphérique NAT et un mappage de ports
adresse IP
10.1.1.9
Client PCoIP
PCoIP
serveur
Poste de
travail View
adresse IP
192.168.1.1
NAT
PNAT
TCP DST 10.1.1.1:14172
SRC 10.1.1.9:?
UDP DST 10.1.1.1:14172
SRC 10.1.1.9:55000
UDP DST 10.1.1.9:55000
SRC 10.1.1.1:14172
TCP DST 192.168.1.1:4172
SRC 192.168.1.9:?
UDP DST 192.168.1.1:4172
SRC 192.168.1.9:?
UDP DST 192.168.1.9:?
SRC 192.168.1.1:4172
Comme pour la configuration de ports PCoIP TCP/UDP externes pour PCoIP, si le port RDP (3389) ou le
port Framework Channel (32111) fait l'objet d'un mappage de ports, vous devez configurer externalRDPPort
et externalFrameworkChannelPort pour spécifier les numéros de ports TCP que le client utilisera pour établir
ces connexions au moyen d'un périphérique de mappage de ports.
Schéma d'adressage avancé
Lorsque vous configurez des postes de travail basés sur une machine virtuelle pour qu'ils soient accessibles
via un périphérique de traduction d'adresses réseau et de mappage de ports sur la même adresse IP externe,
vous devez attribuer à chaque poste de travail un ensemble unique de numéros de port. Les clients peuvent
ensuite utiliser la même adresse IP de destination, mais utilisent un numéro de port TCP unique pour la
connexion HTTPS pour diriger la connexion vers un poste de travail virtuel spécifique.
Par exemple, le port HTTPS 1000 dirige les demandes vers un poste de travail, le port HTTPS 1005 vers un
autre poste, tous deux utilisant la même adresse IP de destination. Dans ce cas, la configuration de numéros
de port externes uniques pour chaque poste de travail pour les connexions de protocole de postes de travail
serait trop complexe. Pour cette raison, les paramètres de plug-in externalPCoIPPort,externalRDPPort et
externalFrameworkChannelPort peuvent prendre une expression relationnelle facultative plutôt qu'une
valeur statique pour définir un numéro de port relatif au numéro de port HTTPS de base utilisé par le client.
Si le périphérique de mappage de ports utilise le numéro de port 1000 pour HTTPS, mappé à TCP 443, le
numéro port 1001 pour RDP, mappé à TCP 3389, le numéro de port 1002 pour PCoIP, mappé à TCP et UDP
4172, et le numéro de port 1003 pour le canal d'infrastructure, mappé à TCP 32111, pour simplifier la
configuration, les numéros de port externes peuvent être configurés de la manière
suivante :externalRDPPort=+1, externalPCoIPPort=+2 et externalFrameworkChannelPort=+3. Lorsque la
connexion HTTPS provient d'un client qui a utilisé le numéro de port de destination HTTPS 1000, les
numéros de ports externes sont automatiquement calculés par rapport à ce numéro de port 1000 et utilisent
respectivement 1001, 1002 et 1003.
Pour déployer un autre poste de travail virtuel, si le périphérique de mappage de ports a utilisé le numéro
de port 1005 pour HTTPS, mappé à TCP 443, le numéro de port 1006 pour RDP, mappé à TCP 3389, le
numéro de port 1007 pour PCoIP, mappé à TCP et UDP 4172, et le numéro de port 1008 pour le canal
d'infrastructure, mappé à TCP 32111, avec exactement la même configuration de ports externes sur le poste
de travail (+1, +2, +3, etc.), lorsque la connexion HTTPS provient d'un client qui a utilisé le numéro de port
de destination HTTPS 1005, les numéros de port externes sont automatiquement calculés par rapport à ce
numéro de port 1005 et utilisent respectivement les valeurs 1006, 1007 et 1008.
Administration du plug-in View Agent Direct-Connection
18 VMware, Inc.
Ce schéma permet à tous les postes de travail d'être configurés de façon identique et de tous partager la
même adresse IP externe. L'allocation des numéros de port par incréments de cinq (1000, 1005, 1010…) pour
le numéro de port HTTPS de base permet donc de disposer de plus de 12 000 postes de travail virtuels
accessible sur la même adresse IP. Le numéro de port de base sert à déterminer le poste de travail virtuel
vers lequel acheminer la connexion, en fonction de la configuration du périphérique de mappage de ports.
Pour une configuration externalIPAddress=10.20.30.40, externalRDPPort=+1, externalPCoIPPort=+2 and
externalFrameworkChannelPort=+3 définie sur tous les postes de travail virtuels, le mappage à des postes de
travail virtuels correspondrait à la description incluse dans la traduction d'adresses réseau et la table de
mappage de ports.
Tableau 22. Valeurs de traduction d'adresses réseau et de mappage de ports
VM#
Adresse IP
du poste de
travail HTTPS RDP
PCOIP (TCP et
UDP) Canal d'infrastructure
0 192.168.0.0 10.20.30.40:1000 ->
192.168.0.0:443
10.20.30.40:1001 ->
192.168.0.0:3389
10.20.30.40:1002 ->
192.168.0.0:4172
10.20.30.40:1003 ->
192.168.0.0:32111
1 192.168.0.1 10.20.30.40:1005 ->
192.168.0.1:443
10.20.30.40:1006 ->
192.168.0.1:3389
10.20.30.40:1007 ->
192.168.0.1:4172
10.20.30.40:1008 ->
192.168.0.1:32111
2 192.168.0.2 10.20.30.40:1010 ->
192.168.0.2:443
10.20.30.40:1011 ->
192.168.0.2:3389
10.20.30.40:1012 ->
192.168.0.2:4172
10.20.30.40:1013 ->
192.168.0.2:32111
3 192.168.0.3 10.20.30.40:1015 ->
192.168.0.3:443
10.20.30.40:1016 ->
192.168.0.3:3389
10.20.30.40:1017 ->
192.168.0.3:4172
10.20.30.40:1018 ->
192.168.0.3:32111
Dans cet exemple, Horizon Client se connecte à l'adresse IP 10.20.30.40 et à un numéro de port de
destination HTTPS (1000 + n * 5) où n est le numéro du poste de travail. Pour se connecter au poste de
travail 3, le client se connecte à 10.20.30.40:1015. Ce schéma d'adressage simplifie de façon significative la
configuration de chaque poste de travail. Tous les postes de travail sont configurés avec des configurations
d'adresse externe et de port identiques. La configuration de la traduction d'adresses réseau et du mappage
de ports est effectuée dans le périphérique de traduction d'adresses réseau et de mappage de port avec ce
modèle cohérent, et tous les postes de travail sont accessibles sur une adresse IP publique unique. Le client
utilise généralement un nom DNS public unique qui se résout à cette adresse IP.
Ajouter une autorité de certification à un magasin de certificats
Windows
Pour l'authentification par carte à puce, l'autorité de certification (CA) qui signe les certificats de carte à puce
doit exister dans le magasin de certificats Windows. . Sinon, vous pouvez ajouter l'autorité de certification
au magasin de certificats Windows.
Prérequis
Vérifiez que Microsoft Management Console (MMC) dispose du composant logiciel enfichable Certificats.
Reportez-vous à « Ajouter le composant logiciel enfichable Certificat à MMC » dans le document Installation
de View.
Procédure
1 Démarrez MMC.
2 Dans la console MMC, développez le nœud Certificats (Ordinateur local) et allez dans le dossier
Autorités de certification racines de confiance > Certificats.
Si le certificat racine est présent et qu'il n'y a pas de certificats intermédiaires dans la chaîne de
certificats, quittez MMC.
3 Cliquez avec le bouton droit sur le dossier Autorités de certification racines de confiance > Certificats
et cliquez sur Toutes les tâches > Importer.
Chapitre 2 Configuration avancée du plug-in View Agent Direct-Connection
VMware, Inc. 19
4 Dans l'assistant Importation de certificat, cliquez sur Suivant et allez à l'emplacement de stockage du
certificat de l'autorité de certification racine.
5 Sélectionnez le fichier du certificat de l'autorité de certification racine et cliquez sur Ouvrir.
6 Cliquez sur Suivant, Suivant et Terminer.
7 Si le certificat de carte à puce est émis par une autorité de certification intermédiaire, importez tous les
certificats intermédiaires de la chaîne de certificats.
a Allez dans le dossier Certificats (Ordinateur local) > Autorités de certification intermédiaires >
Certificats.
b Recommencez les étapes 3 à 6 pour chaque certificat intermédiaire.
Administration du plug-in View Agent Direct-Connection
20 VMware, Inc.
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17
  • Page 18 18
  • Page 19 19
  • Page 20 20
  • Page 21 21
  • Page 22 22
  • Page 23 23
  • Page 24 24
  • Page 25 25
  • Page 26 26
  • Page 27 27
  • Page 28 28
  • Page 29 29
  • Page 30 30

VMware Horizon View 6.2 Mode d'emploi

Taper
Mode d'emploi
Ce manuel convient également à