Installations- und Einrichtungshandbuch
VMware Horizon Client for Chrome 2111
Die aktuellste technische Dokumentation finden Sie auf der VMware-Website unter:
https://docs.vmware.com/de/
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304 www.vmware.com
VMware Global, Inc.
Zweigniederlassung Deutschland Willy-Brandt-Platz 2
81829 München Germany
Tel.: +49 (0) 89 3706 17 000 Fax: +49 (0) 89 3706 17 333 www.vmware.com/de
Copyright © 2021 VMware, Inc. Alle Rechte vorbehalten. Urheberrechts- und Markenhinweise.
VMware Horizon Client für Chrome Installations- und Einrichtungshandbuch 5
1
Konfiguration und Installation 6Systemanforderungen 6
Anforderungen für die Smartcard-Authentifizierung 7 Einschränkungen für die Smartcard-Authentifizierung 9 Vorbereiten von Verbindungsserver 9
Firewallregeln für Client-Webbrowser-Zugriff 11
Installieren oder Aktualisieren von Horizon Client für Chrome 12
Verwenden der Google-Verwaltungskonsole zum Konfigurieren von registrierten Chromebook- Geräten 13
Liste der Verbindungsserver-Instanzen 13 Standardmäßige Verbindungsserver-Instanz 14 Clientfunktionen 14
Serverfunktionen 18
Konfigurieren von HTML Access-Agents zur Verwendung von neuen TLS-Zertifikaten 21 Hinzufügen des Zertifikat-Snap-In zur MMC auf einem Remote-Desktop 22
Importieren eines Zertifikats für den HTML Access-Agent in den Windows-Zertifikatspeicher 22
Importieren von Stamm- und Zwischenzertifikaten für den HTML Access-Agent 23 Festlegen des Zertifikatfingerabdrucks in der Windows-Registrierung 24
Konfiguration der HTML Access-Agents zur Verwendung spezifischer Verschlüsselungsansammlungen 25
Verwenden eines von einer Zertifizierungsstelle signierten Zertifikats mit Unified Access Gateway 26
Konfigurieren der Horizon Client-Datenfreigabe 27
Konfigurieren der Medienoptimierung für Microsoft Teams in Horizon Client für Chrome 28 Systemanforderungen für die Geolocation-Umleitung 28
2
Verwalten der Remote-Desktop- und veröffentlichten Anwendungsverbindungen 30Verbindung zu einem Remote-Desktop oder einer veröffentlichten Anwendung herstellen 30 Verwenden des nicht authentifizierten Zugriffs zur Verbindungsherstellung mit veröffentlichten
Anwendungen 33
Einstufen eines selbstsignierten Zertifikats als vertrauenswürdig 33 Informationen zum Speicherort der Freigabe 34
Festlegen der Zeitzone 35
Verwalten von Serververknüpfungen 35
3
Verwenden eines Remote-Desktops oder einer veröffentlichten Anwendung 38Funktionsunterstützung für Chrome-Clients 39 Gesten 40
Ändern des Anzeigemodus für Remote-Desktops 41 Einrichten der Bildschirmauflösung 42
Verwenden des Vollbildmodus 43
Verwendung der DPI-Synchronisierung 44
Verwenden der Echtzeit-Audio/Video-Funktion für Webcams und Mikrofone 46 Auswählen einer bevorzugten Webcam oder eines bevorzugten Mikrofons auf einem
Chromebook 46
Konfigurieren der Verzögerungssteuerung für die Audiowiedergabe 47 Verwenden von Remote-Desktops 48
Verwenden veröffentlichter Anwendungen 49
Verwenden von veröffentlichten Anwendungen im Kiosk-Modus 49 Kopieren und Einfügen von Text und Bildern 50
Protokollieren der Aktivität „Kopieren und Einfügen“ 51
Übertragen von Dateien zwischen dem Client und einem Remote-Desktop oder einer veröffentlichten Anwendung 51
Festlegen der Dateizuordnung 52
Freigeben von Zugriff auf lokale Ordner und Laufwerke mit der Clientlaufwerksumleitung 53 Verwenden von USB-Geräten in einem Remote-Desktop 54
Drucken auf einem Remote-Desktop oder in einer veröffentlichten Anwendung 56 Festlegen von Druckeinstellungen für die Funktion „VMware Integrated Printing“ 56 Verwenden mehrerer Sitzungen einer veröffentlichten Anwendung von unterschiedlichen
Clientgeräten aus 57
Anpassen des Tons in Remotedesktops und veröffentlichten Anwendungen 58 Tastenkombinationen 58
Internationalisierung 61
4
Fehlerbehebung 62Neustarten eines Remote-Desktops 62
Zurücksetzen von Remote-Desktops oder veröffentlichten Anwendungen 63 Deinstallieren von Horizon Client für Chrome 64
Aktivieren der Protokollerfassung 65
Installations- und Einrichtungshandbuch
In diesem Handbuch wird beschrieben, wie Sie VMware Horizon® Client™ für Chrome auf einem Chromebook installieren, konfigurieren und verwenden.
Diese Informationen sind für Administratoren vorgesehen, die Horizon mit Chromebooks bereitstellen müssen. Diese Informationen sind für erfahrene Windows-Systemadministratoren bestimmt, die mit der Technologie virtueller Maschinen und Vorgängen in Datencentern vertraut sind.
Wenn Sie Endbenutzer sind, finden Sie die für Sie relevanten Informationen im Dokument VMware Horizon Client für Chrome Benutzerhandbuch oder in der Onlinehilfe für Horizon Client für Chrome.
1
Die Konfiguration von Horizon Client umfasst die Installation der App für Horizon Client für Chrome auf Clientgeräten, die Konfiguration des Verbindungsservers und das Öffnen der erforderlichen Ports.
Dieses Kapitel enthält die folgenden Themen:
n Systemanforderungen
n Anforderungen für die Smartcard-Authentifizierung
n Vorbereiten von Verbindungsserver
n Installieren oder Aktualisieren von Horizon Client für Chrome
n Verwenden der Google-Verwaltungskonsole zum Konfigurieren von registrierten Chromebook-Geräten
n Konfigurieren von HTML Access-Agents zur Verwendung von neuen TLS-Zertifikaten
n Konfiguration der HTML Access-Agents zur Verwendung spezifischer Verschlüsselungsansammlungen
n Verwenden eines von einer Zertifizierungsstelle signierten Zertifikats mit Unified Access Gateway
n Konfigurieren der Horizon Client-Datenfreigabe
n Konfigurieren der Medienoptimierung für Microsoft Teams in Horizon Client für Chrome
n Systemanforderungen für die Geolocation-Umleitung
Systemanforderungen
Das Gerät, auf dem Sie Horizon Client für Chrome verwenden, muss bestimmte Softwareanforderungen erfüllen.
Gerätemodelle Chromebook Betriebssysteme
Chrome OS 75 oder höher CPU-Architektur
ARM oder x86
Verbindungsserver und Horizon Agent
Die aktuelle Wartungsversion von Horizon 7 7.5 und höheren Versionen.
Wenn Clientsysteme von außerhalb der firmeneigenen Firewall eine Verbindung herstellen, verwenden Sie eine Unified Access Gateway-Appliance, damit Clientsysteme keine VPN- Verbindung benötigen. Wenn Ihr Unternehmen ein internes WLAN besitzt, das über einen Router den Zugriff auf Remote-Desktops für Geräte ermöglicht, müssen Sie Unified Access Gateway nicht einrichten und auch keine VPN-Verbindung.
Smartcard-Authentifizierung
Siehe Anforderungen für die Smartcard-Authentifizierung.
Firewalls von Drittanbietern
Firewalls müssen eingehenden Datenverkehr an bestimmten TCP-Ports zulassen. Siehe Firewallregeln für Client-Webbrowser-Zugriff.
Anzeigeprotokoll VMware Blast
Systemanforderungen für die Geolocation-Umleitung
Horizon Agent und Horizon Client sowie der virtuelle Desktop oder RDS-Host und der
Client-Computer, auf dem Sie die Agent- und Client-Software installieren, müssen bestimmte Anforderungen erfüllen, um die Geolocation-Umleitungsfunktion zu unterstützen. Siehe Systemanforderungen für die Geolocation-Umleitung.
Anforderungen für die Smartcard-Authentifizierung
Chromebooks, die eine Smartcard für die Benutzerauthentifizierung verwenden, müssen bestimmte Anforderungen erfüllen.
Hardware- und Softwareanforderungen an den Client
Benutzer, die sich mithilfe von Smartcards authentifizieren, müssen über eine physische Smartcard verfügen, und jede Smartcard muss ein Benutzerzertifikat enthalten. Die folgenden Smartcards werden unterstützt.
n U.S. Department of Defense Common Access Card (CAC)
n U.S. Federal Government Personal Identity Verification Card (PIV), (auch als FIPS-201 Smartcard bezeichnet)
Für jedes Chromebook, das zur Benutzerauthentifizierung eine Smartcard verwendet, gelten die folgenden Hardware- und Softwareanforderungen.
n Horizon Client für Chrome
n Ein kompatibler Smartcard-Leser
n Google Smart Card Connector-App
Die Connector-App bietet Standardsupport für Smartcards bei Chrome OS. Sie können die Smartcard-Connector-App aus dem Chrome Web Store herunterladen. VMware empfiehlt die Verwendung der Google-Smartcard-Connector-App der Version 1.2.16.1 oder höher.
n Charismathics CSSI-Smartcard-Middleware-App
Middleware kommuniziert mit der Smartcard und anderen Clientzertifikaten. Sie können die CSSI-Smartcard-Middleware-App aus dem Chrome Web Store herunterladen.
Sie müssen möglicherweise Stamm- und Zwischenzertifikate auf dem Chromebook installieren.
Weitere Informationen finden Sie in der Google Chrome OS-Dokumentation.
Anforderungen an die Agent-Software
Horizon Administratoren müssen die Charismathics CSSI-Smartcard-Middleware-App auf dem Agent-Computer installieren.
Die unterstützten Agent-Betriebssysteme finden Sie unter Funktionsunterstützung für Chrome- Clients.
Zusätzliche Anforderungen für die Smartcard-Authentifizierung
Neben der Erfüllung der Smartcard-Anforderungen für Horizon Client für Chrome müssen andere Horizon-Komponenten zur Unterstützung von Smartcards bestimmte Konfigurationsanforderungen erfüllen.
Verbindungsserver
Informationen zur Konfiguration des Verbindungsservers für die Unterstützung von Smartcards finden Sie im Dokument Horizon-Verwaltung.
Unified Access Gateway-Appliances Unified Access Gateway 3.2 und höher.
Informationen zur Konfiguration einer Unified Access Gateway-Appliance für die
Unterstützung von Smartcards finden Sie im Dokument Bereitstellen und Konfigurieren von VMware Unified Access Gateway.
Active Directory
Informationen zu den Aufgaben, die Ihr Administrator eventuell in Active Directory zur
Implementierung der Smartcard-Authentifizierung durchführen muss, finden Sie im Dokument Horizon-Verwaltung.
Einschränkungen für die Smartcard-Authentifizierung
Mit der Smartcard-Authentifizierung schließen Sie einen Smartcard-Leser an das Chromebook an, legen eine Smartcard ein und wählen einen Server in Horizon Client aus. Geben Sie während des Authentifizierungsschritts eine PIN statt eines Benutzernamens und ein Kennwort ein.
Nach der Auswahl eines Remote-Desktops oder einer veröffentlichten Anwendung werden alle Smartcard-Befehle und -Antworten an den Remote-Desktop oder die veröffentlichte Anwendung umgeleitet.
Bei der Smartcard-Authentifizierung liegen bestimmte Einschränkungen bei Verwendung mit Horizon Client für Chrome vor.
n Der Verbindungsserver und Unified Access Gateway-Smartcard-Benutzernamenhinweise werden nicht unterstützt.
n Die Richtlinie zum Entfernen der Verbindungsserver-Smartcard wird nicht unterstützt.
n Single Sign-On wird nicht unterstützt. Wenn Sie eine Verbindung zu einem Remote-Desktop oder einer veröffentlichten Anwendung herstellen, müssen Sie die Smartcard-PIN in der Remotesitzung erneut eingeben.
n Nachdem Sie eine Smartcard für die Authentifizierung bei einem Server verwenden, können Sie keine andere Authentifizierungsmethode wie Active Directory-Authentifizierung mehr verwenden. Um beim nächsten Mal eine Verbindung zu einem Server mit einer anderen Authentifizierungsmethode herzustellen, müssen Sie sich von Chrome OS abmelden oder das Chromebook neu starten.
n Nachdem Sie ein Zertifikat ausgewählt und Ihre PIN eingegeben haben, wird das von Ihnen ausgewählte Zertifikat auf dem Chromebook zwischengespeichert und das nächste Mal beim Herstellen einer Verbindung mit einem Server verwendet. Um beim nächsten Mal eine Verbindung zu einem Server mit einem anderen Zertifikat herzustellen, müssen Sie das Chromebook neu starten.
Vorbereiten von Verbindungsserver
Bevor Endbenutzer eine Verbindung mit einem Server herstellen und auf einen Remote-Desktop oder eine veröffentlichte Anwendung zugreifen können, muss ein Horizon-Administrator den Verbindungsserver installieren und konfigurieren.
Konfigurieren der externen Blast-URL
Nach der Installation der Server ist die Einstellung Blast Secure Gateway auf den betreffenden Verbindungsserver-Instanzen in Horizon Console aktiviert. Darüber hinaus ist für die Einstellung Externe Blast-URL die Verwendung von Blast Secure Gateway auf den betreffenden
Verbindungsserver-Instanzen konfiguriert.
Standardmäßig schließt die URL den FQDN der externen URL für den sicheren Tunnel sowie die standardmäßige Portnummer 8443 ein. Die URL muss den FQDN und die Portnummer enthalten,
Weitere Informationen finden Sie unter „Festlegen der externen URLs für Horizon- Verbindungsserver-Instanz“ im Dokument Horizon-Installation.
Konfigurieren von Firewallregeln
Wenn Sie eine Firewall eines Drittanbieters verwenden, konfigurieren Sie Regeln zum Zulassen von eingehendem Datenverkehr am TCP-Port 8443 für alle Verbindungsserver-Hosts in einer replizierten Gruppe. Konfigurieren Sie außerdem eine Regel zum Zulassen von eingehendem Datenverkehr (von Servern) am TCP-Port 22443 auf virtuellen Maschinen von Remote-Desktops und RDS-Hosts im Datencenter.
Weitere Informationen finden Sie unter Firewallregeln für Client-Webbrowser-Zugriff.
Konfigurieren der Benutzerauthentifizierung
Verwenden Sie die folgende Checkliste beim Einrichten der Benutzerauthentifizierung.
n Vergewissern Sie sich, dass jede Verbindungsserver-Instanz ein TLS-Zertifikat besitzt, das unter Verwendung des Hostnamens, den Sie im Webbrowser eingeben, vollständig überprüft werden kann. Weitere Informationen finden Sie im Dokument Horizon-Installation.
n Zum Verwenden der zweistufigen Authentifizierung, z. B. der RSA SecurID- oder RADIUS- Authentifizierung, muss diese Funktion auf dem Verbindungsserver aktiviert sein. Sie
können die Bezeichnungen auf der Anmeldeseite für die RADIUS-Authentifizierung anpassen.
Sie können die Zwei-Faktor-Authentifizierung so konfigurieren, dass Sie nach einer
Zeitüberschreitung bei einer Remotesitzung stattfindet. Weitere Informationen finden Sie in den Themen zur zweistufigen Authentifizierung im Dokument Horizon-Verwaltung.
n Um das Dropdown-Menü Domäne in Horizon Client auszublenden, aktivieren Sie die globale Einstellung Domänenliste in der Kunden-Benutzeroberfläche ausblenden. Diese Einstellung ist standardmäßig aktiviert. Weitere Informationen finden Sie im Dokument Horizon-Verwaltung.
n Um die Domänenliste an Horizon Client zu senden, aktivieren Sie die globale Einstellung Domänenliste senden. Diese Einstellung ist standardmäßig deaktiviert. Weitere Informationen finden Sie im Dokument Horizon-Verwaltung.
n Um einen nicht authentifizierten Zugriff auf veröffentlichte Anwendungen zu ermöglichen, aktivieren Sie diese Funktion im Verbindungsserver. Weitere Informationen finden Sie im Dokument Horizon-Verwaltung.
In der folgenden Tabelle wird gezeigt, wie die globalen Einstellungen Domänenliste senden und Domänenliste in der Kunden-Benutzeroberfläche ausblenden festlegen, wie Benutzer sich von Horizon Client beim Server anmelden können.
Einstellung
„Domänenliste senden“
Einstellung „Domänenliste in der Kunden-
Benutzeroberfläche
ausblenden“ Wie sich Benutzer anmelden Deaktiviert
(Standard)
Aktiviert Das Dropdown-Menü Domäne ist ausgeblendet. Benutzer müssen einen der folgenden Werte in das Textfeld Benutzername eingeben.
n Benutzername (nicht für mehrere Domänen zulässig) n Domäne\Benutzername
n username@domain.com Deaktiviert
(Standard)
Deaktiviert Wenn eine Standarddomäne auf dem Client konfiguriert ist, wird die Standarddomäne im Dropdown-Menü Domäne angezeigt. Wenn der Client keine Standarddomäne kennt, wird *DefaultDomain* im Dropdown-Menü Domäne angezeigt.
Benutzer müssen einen der folgenden Werte in das Textfeld Benutzername eingeben.
n Benutzername (nicht für mehrere Domänen zulässig) n Domäne\Benutzername
n username@domain.com
Aktiviert Aktiviert Das Dropdown-Menü Domäne ist ausgeblendet. Benutzer müssen einen der folgenden Werte in das Textfeld Benutzername eingeben.
n Benutzername (nicht für mehrere Domänen zulässig) n Domäne\Benutzername
n username@domain.com
Aktiviert Deaktiviert Benutzer können einen Benutzernamen in das Textfeld Benutzername eingeben und dann eine Domäne aus dem Dropdown-Menü Domäne auswählen. Alternativ können Benutzer auch einen der folgenden Werte in das Textfeld Benutzername eingeben.
n Domäne\Benutzername n username@domain.com
Firewallregeln für Client-Webbrowser-Zugriff
Um es Client-Webbrowsern zu ermöglichen, eine Verbindung zu Verbindungsserver-Instanzen, Remote-Desktops und veröffentlichten Anwendungen herzustellen, müssen Ihre Firewalls eingehenden Datenverkehr auf bestimmten TCP-Ports erlauben.
Verbindungen mit Horizon Client für Chrome müssen HTTPS verwenden. HTTP-Verbindungen sind nicht erlaubt.
Bei der Installation einer Verbindungsserver-Instanz wird standardmäßig die Regel VMware Horizon View-Verbindungsserver (Blast-In) in der Windows-Firewall aktiviert, und die Firewall wird so konfiguriert, dass eingehender Datenverkehr auf dem TCP-Port 8443 zugelassen wird.
Tabelle 1-1. Firewallregeln für Client-Browser-Zugriff
Quelle
Standar dquell- Port
Protokol
l Ziel
Standard
ziel-Port Hinweise Client-
Webbrow ser
TCP beliebig
HTTPS Verbindung sserver- Instanz
TCP 443 Um die erste Verbindung herzustellen, verbindet sich der Webbrowser auf einem Clientgerät an TCP- Port 443 mit einer Verbindungsserver-Instanz.
Client- Webbrow ser
TCP beliebig
HTTPS Blast Secure Gateway
TCP 8443
Nachdem die erste Verbindung hergestellt wurde, stellt der Webbrowser auf einem Clientgerät eine Verbindung mit dem Blast Secure Gateway über den TCP-Port 8443 her. Diese zweite Verbindung kann nur hergestellt werden, wenn das Blast Secure Gateway auf einer Verbindungsserver-Instanz aktiviert ist.
Blast Secure Gateway
TCP beliebig
HTTPS HTML
Access- Agent
TCP 22443
Wenn, nachdem der Benutzer einen Remote-Desktop oder eine veröffentlichte Anwendung ausgewählt hat, das Blast Secure Gateway aktiviert ist, stellt das Blast Secure Gateway über den TCP-Port 22443 auf der virtuellen Maschine des Remote-Desktops oder auf dem RDS-Host eine Verbindung zum HTML Access- Agent her. Diese Agent-Komponente ist Bestandteil der Installation von Horizon Agent.
Client- Webbrow ser
TCP beliebig
HTTPS HTML
Access- Agent
TCP 22443
Wenn das Blast Secure Gateway nicht aktiviert ist, stellt der Webbrowser auf einem Clientgerät eine direkte Verbindung über den TCP-Port 22443 auf der virtuellen Maschine des Remote-Desktops oder auf dem RDS-Host zum HTML Access-Agent her, nachdem der Benutzer einen Remote-Desktop oder eine veröffentlichte Anwendung ausgewählt hat. Diese Agent-Komponente ist Bestandteil der Installation von Horizon Agent.
Installieren oder Aktualisieren von Horizon Client für Chrome
Horizon Client für Chrome ist eine Chrome-App und wird auf dieselbe Weise wie andere Chrome- Apps installiert.
Voraussetzungen
Stellen Sie sicher, dass das Clientgerät die Systemanforderungen für Horizon Client für Chrome erfüllt. Siehe Systemanforderungen.
Verfahren
1 Melden Sie sich beim Chromebook an.
2 Laden Sie VMware Horizon Client für Chrome aus dem Chrome Web Store herunter und installieren Sie es.
Verwenden der Google-Verwaltungskonsole zum Konfigurieren von registrierten Chromebook-Geräten
Sie können die Google-Verwaltungskonsole verwenden, um Verbindungsserver-Einstellungen auf registrierten Chromebook-Geräten zu konfigurieren.
Sie können eine Liste der Verbindungsserver-Instanzen, eine standardmäßige
Verbindungsserver-Instanz und bestimmte Server- und Clienteinstellungen konfigurieren.
Wenn Sie eine Serverliste konfigurieren, werden die Server als Verknüpfungen in Horizon Client angezeigt. Wenn Sie einen Standardserver konfigurieren, wird Horizon Client automatisch mit diesem Server verbunden.
Sie konfigurieren diese Einstellungen in einer JSON-Konfigurationsdatei. Ein Chrome-
Administrator muss mit der Google-Admin-Konsole die JSON-Konfigurationsdatei für die Horizon Client-App hochladen. Ausführliche Informationen zur Anwendung der Google Admin-Konsole finden Sie in der Hilfe zum G Suite-Administrator.
Liste der Verbindungsserver-Instanzen
Sie können die Eigenschaften im Abschnitt Serverliste verwenden, um eine Serverliste zu konfigurieren.
Eigenschaft Beschreibung
server IP-Adresse oder Hostname des Servers.
username (Optional) Name eines Benutzers, der dazu berechtigt ist, den Server zu verwenden.
domain (Optional) Domäne des Benutzers, der in der username-
Eigenschaft angegeben ist.
description (Optional) Beschreibung des Servers.
Das folgende Beispiel einer JSON-Konfigurationsdatei zeigt eine Liste der Server.
{
"broker_list": { "Value": { "settings": { "server-list": [{
"server": "viewserver0.mydomain.com", "default": false,
"description": "View Server 0", "username": "User0",
"desktopId": "RDS2012R2DC", "domain": "TestDomain0"
},{
"server": "viewserver1.mydomain.com", "description": "View Server 1", "username": "User1",
"domain": "TestDomain1",
}, {
"server": "123.456.1.2", "description": "View Server 2", "username": "User2",
"default": false, "domain": "TestDomain2"
}, {
"server": "123.456.1.3", "description": "View Server 3", "username": "User3",
"default": false, "domain": "TestDomain3"
}, {
"server": "viewserver4.mydomain.com", "description": "View Server 4", "username": "User4",
"default": false, "domain": "TestDomain4"
}]}
} } }
Standardmäßige Verbindungsserver-Instanz
Sie können die standardmäßige Eigenschaft verwenden, um einen Standardserver im Abschnitt Serverliste anzugeben. Gültige Werte sind true und false.
Das folgende Beispiel einer JSON-Konfigurationsdatei zeigt einen Standardserver.
{
"broker_list": { "Value": { "settings": { "server-list": [{
"server": "viewserver0.mydomain.com", "default": true,
"description": "View Server 0", "username": "User0",
"desktopId": "RDS2012R2DC", "domain": "TestDomain0"
}]}
} } }
Clientfunktionen
Mit den Einstellungen im Abschnitt common-setting können Sie bestimmte Horizon Client- Funktionen konfigurieren. Die Eigenschaft editable gibt die Verfügbarkeit von Einstellungen an, die vom Benutzer geändert werden sollen. Ein Sternchen in der folgenden Tabelle kennzeichnet Einstellungen, die Sie in der bearbeitbaren Liste konfigurieren können.
Einstellung Beschreibung
editable Konfiguriert eine Liste von Horizon Client-Einstellungen und legt fest, ob ein Benutzer bestimmte allgemeine Einstellungen ändern kann. Im Allgemeinen bestimmt die Richtlinie jedes Servers den Wert der Einstellungen.
Sie können jede mit einem Sternchen (*) markierte Clientfunktion in dieser Tabelle hinzufügen.
Wenn der Wert für eine in der Eigenschaft editable aufgeführte Einstellung false ist, ist diese Einstellung nicht verfügbar. Der Benutzer kann diese Einstellung nicht ändern. Die Benutzeroberfläche wird grau dargestellt. Um Änderungen vorzunehmen, kann der Systemadministrator die vom Server festgelegte Richtlinie aktualisieren.
Wenn sich eine Einstellung in der Eigenschaftsliste editable befindet und auf true festgelegt ist, steht diese Einstellung auf der Benutzeroberfläche zur Verfügung. Der Benutzer kann eine Änderung vornehmen.
Hinweis Bei der ersten Verwendung wendet der Client alle Einstellungen in der Richtlinie für den Server an. Wenn die Einstellung danach bearbeitet werden kann und vom Benutzer geändert wurde, verwendet der Client diese Einstellung.
allowDataSharing* Konfiguriert die Datenfreigabefunktion. Verwenden Sie die Eigenschaft value, um die Freigabe zu aktivieren oder zu deaktivieren. Gültige Werte sind true und false.
Einstellung Beschreibung
display* Konfiguriert die Verwendung lokaler Monitore für den
Client. Diese Einstellung kann die Größe des Clientfensters festlegen. Diese Einstellung wird beim Start eines Remote- Desktops aktiviert.
Verfügbare Optionen:
n multipleMonitors: Rendern in allen verfügbaren Monitoren. Sie müssen die Eigenschaft
enableMultiMonitor auf true setzen.
n singleMonitor: Rendern auf einem Monitor unter Verwendung der Standardfenstergröße.
n singleMonitorFullscreen: Rendern auf einem Monitor im Vollbildmodus.
n singleMonitorSmallWindow: Rendern auf einem Monitor mit kleinem Fenster (640x480)
n singleMonitorLargeWindow: Rendern auf einem Monitor mit großem Fenster (1680x983).
n {"width":mmm, "height":nnn}: Rendern auf einem Monitor mit der von Ihnen angegebenen Größe.
(mmmxnnn)
Diese Einstellung ist gesperrt , wenn display in der Liste in der Eigenschaft editable fehlt oder auf false festgelegt ist. Wenn die Einstellung in der Eigenschaft editable auf true festgelegt ist, kann der Benutzer die Einstellung ändern.
Hinweis Die Einstellung display hat eine höhere Priorität als enableMultiMultiMonitor. Die Priorität von enableMultiMonitor in Serverfunktionen ist höher als die Priorität der Einstellung enableMultiMonitor in Clientfunktionen, aber niedriger als die Einstellung display in Clientfunktionen.
.
enableAnonymousLogin* Konfiguriert die Funktion „Nicht authentifizierter Zugriff“, die im Dialogfeld „Einstellungen“ als Anonym mit nicht authentifiziertem Zugriff anmelden angezeigt wird. Die Eigenschaft value legt fest, ob die Funktion aktiviert oder deaktiviert ist. Gültige Werte sind true und false.
Einstellung Beschreibung
enableMultiMonitor* Konfiguriert die Funktion für mehrere Monitore. Verwenden Sie die Eigenschaft value, um anzugeben, ob die Funktion aktiviert oder deaktiviert ist. Gültige Werte sind true und false.
powerSetting Verhindert, dass das Gerät als Reaktion auf
Benutzerinaktivität in einer Remotesitzung in den Ruhezustand versetzt wird. Standardmäßig wird das Chromebook nach 10 Minuten in den Ruhezustand versetzt. Wenn Sie powerSetting konfigurieren, wird das Chromebook erst nach dem Ende der letzten Remotesitzung in den Ruhezustand versetzt.
Mit der Eigenschaft keepAwakeLevel wird die Ebene der Energierichtlinie angegeben. Für die Eigenschaft keepAwakeLevel sind die folgenden Werte gültig:
n system: verhindert, dass das System als Reaktion auf Benutzerinaktivität in den Ruhezustand versetzt wird.
Dieser Wert ist der Standardwert.
n display: verhindert, dass die Anzeige als Reaktion auf Benutzerinaktivität ausgeschaltet oder gedimmt wird oder dass das System in den Ruhezustand versetzt wird.
Das folgende Beispiel einer JSON-Konfigurationsdatei zeigt die allgemeinen Einstellungen und die Verwendung der Eigenschaft „editable“.
{
"broker_list": { "settings": { "server-list": [{
"server": "viewserver0.mydomain.com", "default": true,
"description": "View Server 0", "username": "User0",
"domain": "TestDomain0"
}],
"common-setting": {
"allowDataSharing": false, "enableAnonymousLogin": true, "endableMultiMonitor": false,
"display":{"width":400, "height":500}, "editable":{
"allowDataSharing": true, "enableAnonymousLogin: false "enableMultiMonitor": false },
"powerSetting":{
"keepAwakeLevel":"display"
} } }
} }
Serverfunktionen
Sie können die Einstellungen im Abschnitt server-list verwenden, um bestimmte Funktionen für bestimmte Server zu konfigurieren. Die Eigenschaft editable gibt die Verfügbarkeit von Einstellungen an, die vom Benutzer geändert werden sollen.
Einstellung Beschreibung
editable Konfiguriert eine Liste, die angibt, ob ein Benutzer
bestimmte Einstellungen ändern kann. Im Allgemeinen bestimmt die Richtlinie jedes Servers den Wert der Einstellungen.
Wenn eine in der Eigenschaft editable aufgeführte Einstellung auf false festgelegt ist, wird diese Einstellung gesperrt. Der Benutzer kann diese Einstellung nicht ändern.
Die Benutzeroberfläche wird grau dargestellt und ist nicht verfügbar. Um Änderungen vorzunehmen, kann der Systemadministrator die Einstellung in der Richtlinie aktualisieren.
Wenn sich eine Einstellung in der Eigenschaft editable befindet und auf true festgelegt ist, steht diese Einstellung auf der Benutzeroberfläche zur Verfügung. Der Benutzer kann eine Änderung vornehmen.
Hinweis Bei der ersten Verwendung wendet der Client alle Einstellungen in der Richtlinie an. Wenn die Einstellung danach bearbeitet werden kann und vom Benutzer geändert wurde, verwendet der Client diese Einstellung.
enableHighResolution Konfiguriert die Funktion für den Modus mit hoher
Auflösung. Die Eigenschaft value legt fest, ob die Funktion aktiviert oder deaktiviert ist. Die Eigenschaft editable legt fest, ob Benutzer die Einstellung Modus mit hoher Auflösung in Horizon Client ändern können. Gültige Werte für beide Objekte sind true und false.
Einstellung Beschreibung
enableMultiMonitor Konfiguriert die Funktion für mehrere Monitore. Die Eigenschaft value legt fest, ob die Funktion aktiviert oder deaktiviert ist. Gültige Werte sind true und false.
Wenn die Eigenschaft Wert aktiviert ist, wird die Einstellung Anzeige in Horizon Client wie folgt beeinflusst:
n Wenn der Benutzer bereits eine bestimmte Anzeige auf dem Gerät eingerichtet hat, ist die Einstellung Anzeige auf Ausgewählte Anzeige verwenden festgelegt.
n Wenn der Benutzer noch nie eine bestimmte Anzeige auf dem Gerät eingerichtet hat, ist die Einstellung Anzeige auf Alle Monitore verwenden festgelegt.
Wenn die Eigenschaft Wert deaktiviert ist, wird die Einstellung Anzeige auf Einzelnen Monitor verwenden festgelegt.
Hinweis Die Priorität dieser Einstellung
enableMultiMonitor in Serverfunktionen ist höher als die Priorität der Einstellung enableMultiMonitor in Clientfunktionen, aber niedriger als die Einstellung display in Clientfunktionen.
enableWindowsKey Aktiviert oder deaktiviert den Windows-Schlüssel für Remotedesktops. Die Eigenschaft value legt fest, ob die Funktion aktiviert oder deaktiviert ist. Die Eigenschaft editable legt fest, ob Benutzer die Einstellung Windows- Tasten für Desktops aktivieren in Horizon Client ändern können. Gültige Werte für beide Objekte sind true und false.
timezoneSync Konfiguriert die Zeitzone für Remotedesktops und
veröffentlichte Anwendungen. Die Eigenschaft isSync legt fest, ob die Zeitzone automatisch festgelegt wird. Die Eigenschaft editable legt fest, ob Benutzer die Einstellung Zeitzone automatisch festlegen in Horizon Client ändern können. Gültige Werte für beide Objekte sind true und false. Wenn Sie isSync auf false setzen, können Sie die Zeitzone manuell festlegen, indem Sie die Eigenschaft timezone angeben.
Hinweis Wenn Sie die Eigenschaft isSync auf true festlegen, ist die Zeitzone des Clients unabhängig vom Wert der Eigenschaft timezone immer mit der Zeitzone des Hostbetriebssystems konsistent.
resolution Konfiguriert die Bildschirmauflösung. Die Eigenschaft width gibt die Bildschirmbreite an, und die Eigenschaft height die Bildschirmhöhe. Beide Werte sollten kleiner oder gleich der Breite und Höhe des Chromebook- Fensters sein. Andernfalls verwendet Horizon Client die Standardauflösung (die Breite und die Höhe des Chromebook-Fensters).
Einstellung Beschreibung
usbAllowList Gibt die USB-Geräte an, die umgeleitet werden. Wenn ein Gerät nicht aufgeführt ist, ist es blockiert. Verwenden Sie die Eigenschaft vid, um die Anbieter-ID und die Eigenschaft pid zur Angabe der Produkt-ID jedes Geräts festzulegen.
Wenn diese Einstellung verwendet wird, wird die entsprechende Agent-Gruppenrichtlinieneinstellung (Vid/
Pid-Gerät einschließen) ignoriert.
usbBlockList Gibt die USB-Geräte an, die für die Umleitung gesperrt sind.
Verwenden Sie die Eigenschaft vid, um die Anbieter-ID und die Eigenschaft pid zur Angabe der Produkt-ID jedes Geräts festzulegen.
Wenn diese Einstellung verwendet wird, wird die entsprechende Agent-Gruppenrichtlinieneinstellung (Vid/
Pid-Gerät ausschließen) ignoriert.
Die Einstellung usbBlockList hat eine höhere Priorität als die Einstellung usbAllowList. Das heißt, wenn sich ein Gerät in beiden Listen befindet, wird es blockiert.
Das folgende Beispiel für eine JSON-Konfigurationsdatei zeigt die Servereinstellungen.
{
"broker_list": { "Value": { "settings": { "server-list": [{
"server": "viewserver0.mydomain.com", "default": true,
"description": "View Server 0", "username": "User0",
"domain": "TestDomain0", "settings": {
"enableHighResolution": false, "enableMultiMonitor": false, "enableWindowsKey": true, "timezoneSync": {
"isSync": false, "timezone": "-00:00"
},
"resolution": { "width": 600, "height": 800 },
"editable": {
"enableHighResolution": True, "enableMultiMonitor": false, "enableWindowsKey": false, "timezoneSync": false },
"usbAllowList":[{
"vid": 1111, "pid": 2222
},{
"vid": 1112, "pid": 2223 }],
"usbBlockList":[{
"vid": 2222, "pid": 3333 },{
"vid": 2223, "pid": 3334 }],
} }]
} } }
Konfigurieren von HTML Access-Agents zur Verwendung von neuen TLS-Zertifikaten
Um die Einhaltung von Branchen- oder Sicherheitsbestimmungen sicherzustellen, können Sie die standardmäßigen TLS-Zertifikate, die der HTML Access-Agent generiert, durch von einer Zertifizierungsstelle (CA, Certificate Authority) signierte Zertifikate ersetzen.
Wenn Sie den HTML Access-Agent auf einem Remotedesktop installieren, erstellt der HTML Access-Agent-Dienst selbstsignierte Standardzertifikate. Der Dienst stellt die Standardzertifikate für Browser bereit, die Horizon Client für Chrome verwenden.
Hinweis Im Gastbetriebssystem auf der virtuellen Desktop-Maschine wird dieser Dienst VMware Blast-Dienst genannt.
Um die Standardzertifikate durch signierte Zertifikate zu ersetzen, die Sie von einer
Zertifizierungsstelle erhalten haben, müssen Sie auf jedem Remote-Desktop ein Zertifikat in den lokalen Windows-Zertifikatspeicher des Computers importieren. Außerdem müssen Sie einen Registrierungswert festlegen, der es dem HTML Access-Agent ermöglicht, das neue Zertifikat zu verwenden.
Wenn Sie die standardmäßigen HTML Access-Agent-Zertifikate durch von einer
Zertifizierungsstelle signierte Zertifikate ersetzen, konfigurieren Sie auf jedem Remote-Desktop ein eindeutiges Zertifikat. Konfigurieren Sie kein von einer Zertifizierungsstelle signiertes Zertifikat auf einer übergeordneten virtuellen Maschine oder Vorlage, die Sie für das Erstellen eines
Desktop-Pools verwenden. Bei einem solchen Vorgehen entstehen Hunderte oder Tausende von Remote-Desktops, die identische Zertifikate haben.
Hinzufügen des Zertifikat-Snap-In zur MMC auf einem Remote- Desktop
Bevor Sie Zertifikate im lokalen Windows-Zertifikatspeicher des Computers hinzufügen können, müssen Sie das Zertifikats-Snap-In der Microsoft Management Console (MMC) auf den Remote- Desktops hinzufügen, auf denen der HTML Access-Agent installiert ist.
Voraussetzungen
Stellen Sie sicher, dass die MMC und das Zertifikats-Snap-In in dem Windows-Gast- Betriebssystem verfügbar sind, in dem der HTML Access-Agent installiert wurde.
Verfahren
1 Klicken Sie auf dem Remote-Desktop auf Start und geben Sie mmc.exe ein.
2 Gehen Sie im Fenster MMC auf Datei > Snap-In hinzufügen/entfernen.
3 Wählen Sie im Fenster Snap-Ins hinzufügen oder entfernenZertifikate aus und klicken Sie auf Hinzufügen.
4 Wählen Sie im Fenster Zertifikat-Snap-InComputerkonto, klicken Sie auf Weiter, wählen Sie Lokaler Computer und klicken Sie auf Fertig stellen.
5 Klicken Sie im Fenster Snap-In hinzufügen oder entfernen auf OK.
Nächste Schritte
Importieren Sie das SSL-Zertifikat in den Zertifikatsspeicher des lokalen Windows-Computers auf dem View Server-Host. Siehe Importieren eines Zertifikats für den HTML Access-Agent in den Windows-Zertifikatspeicher.
Importieren eines Zertifikats für den HTML Access-Agent in den Windows-Zertifikatspeicher
Um ein standardmäßiges HTML Access-Agent-Zertifikat durch ein von einer Zertifizierungsstelle signiertes Zertifikat zu ersetzen, müssen Sie das von einer Zertifizierungsstelle signierte Zertifikat in den lokalen Windows-Zertifikatspeicher des Computers importieren. Führen Sie diesen
Vorgang auf allen Remote-Desktops durch, auf denen der HTML Access-Agent installiert ist.
Voraussetzungen
n Stellen Sie sicher, dass der HTML Access-Agent auf dem Remote-Desktop installiert ist.
n Stellen Sie sicher, dass das von einer Zertifizierungsstelle signierte Zertifikat auf den Remote- Desktop kopiert wurde.
n Überprüfen Sie, ob das Zertifikat-Snap-In der MMC hinzugefügt wurde. Siehe Hinzufügen des Zertifikat-Snap-In zur MMC auf einem Remote-Desktop.
Verfahren
1 Erweitern Sie im MMC-Fenster auf dem Remote-Desktop den Knoten Zertifikate (Lokaler Computer) und wählen Sie den Ordner Persönlich aus.
2 Wechseln Sie im Bereich „Aktionen“ zu Weitere Aktionen > Alle Aufgaben > Importieren.
3 Klicken Sie im Zertifikatimport-Assistenten auf Weiter und navigieren Sie zum Speicherort des Zertifikats.
4 Wählen Sie die Zertifikatdatei und klicken Sie auf Öffnen.
Um den Typ Ihrer Zertifikatdatei anzuzeigen, können Sie ihr Dateiformat im Dropdown-Menü Dateiname auswählen.
5 Geben Sie das Kennwort für den privaten Schlüssel in der Zertifikatdatei ein.
6 Wählen Sie Schlüssel als exportierbar markieren.
7 Wählen Sie Alle erweiterbaren Eigenschaften mit einbeziehen aus.
8 Klicken Sie auf Weiter und anschließend auf Fertig stellen.
Das neue Zertifikat wird im Ordner Zertifikate (Lokaler Computer) > Persönlich > Zertifikate angezeigt.
9 Überprüfen Sie, ob das neue Zertifikat einen privaten Schlüssel enthält.
a Doppelklicken Sie im Ordner Zertifikate (Lokaler Computer) > Persönlich > Zertifikate auf das neue Zertifikat.
b Prüfen Sie, ob die folgende Meldung im Dialogfeld „Zertifikatinformationen“ auf der Registerkarte „Allgemein“ angezeigt wird: Sie besitzen einen privaten Schlüssel für dieses Zertifikat.
Nächste Schritte
Falls erforderlich, importieren Sie das Stammzertifikat und Zwischenzertifikate in den Windows- Zertifikatspeicher. Siehe Importieren von Stamm- und Zwischenzertifikaten für den HTML Access- Agent.
Konfigurieren Sie den entsprechenden Registrierungsschlüssel mit dem Zertifikatfingerabdruck.
Siehe Festlegen des Zertifikatfingerabdrucks in der Windows-Registrierung.
Importieren von Stamm- und Zwischenzertifikaten für den HTML Access-Agent
Wenn die Stamm- und Zwischenzertifikate in der Zertifikatskette nicht mit dem SSL-Zertifikat importiert werden, das Sie für den HTML Access-Agent importiert haben, müssen Sie diese Zertifikate in den lokalen Windows-Zertifikatsspeicher des Computers importieren.
Verfahren
1 Auf der MMC-Konsole auf dem Remote-Desktop erweitern Sie den Knoten Zertifikate (Lokaler Computer) und gehen Sie zum Ordner Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate.
n Wenn sich Ihr Stammzertifikat in diesem Ordner befindet und Ihre Zertifikatskette keine Zwischenzertifikate enthält, überspringen Sie diesen Vorgang.
n Wenn Ihr Stammzertifikat sich nicht in diesem Ordner befindet, fahren Sie mit Schritt 2 fort.
2 Klicken Sie mit der rechten Maustaste auf den Ordner Vertrauenswürdige
Stammzertifizierungsstellen > Zertifikate und klicken Sie auf Alle Aufgaben > Importieren.
3 Klicken Sie im Zertifikatsimport-Assistenten auf Weiter und navigieren Sie zum Speicherort des Stamm-Zertifizierungsstellenzertifikats.
4 Wählen Sie die Datei mit dem Stamm-Zertifizierungsstellenzertifikat aus und klicken Sie auf Öffnen.
5 Klicken Sie auf Weiter, klicken Sie auf Weiter und klicken Sie auf Fertig stellen.
6 Wenn Ihr Serverzertifikat von einer Zwischenzertifizierungsstelle signiert wurde, importieren Sie alle Zwischenzertifikate in der Zertifikatskette in den lokalen Windows-Zertifikatsspeicher des Computers.
a Navigieren Sie zum Ordner Zertifikate (Lokaler Computer) >
Zwischenzertifizierungsstellen > Zertifikate.
b Wiederholen Sie die Schritte 3 bis 6 für jedes zu importierende Zwischenzertifikat.
Nächste Schritte
Konfigurieren Sie den entsprechenden Registrierungsschlüssel mit dem Zertifikatfingerabdruck.
Siehe Festlegen des Zertifikatfingerabdrucks in der Windows-Registrierung.
Festlegen des Zertifikatfingerabdrucks in der Windows-Registrierung
Um dem HTML Access-Agenten zu ermöglichen, ein durch eine Zertifizierungsstelle signiertes Zertifikat zu verwenden, das in den Windows-Zertifikatsspeicher importiert wurde, müssen Sie den Fingerabdruck des Zertifikats in einem Windows-Registrierungsschlüssel konfigurieren. Sie müssen diesen Schritt auf jedem Remote-Desktop vornehmen, auf dem Sie das Standardzertifikat durch ein durch eine Zertifizierungsstelle signiertes Zertifikat ersetzen.
Voraussetzungen
Stellen Sie sicher, dass das durch die Zertifizierungsstelle signierte Zertifikat in den Windows- Zertifikatsspeicher importiert wurde. Siehe Importieren eines Zertifikats für den HTML Access- Agent in den Windows-Zertifikatspeicher.
Verfahren
1 Navigieren Sie im MMC-Fenster auf dem Remote-Desktop, auf dem der HTML Access-Agent installiert ist, zum Ordner Zertifikate (Lokaler Computer) > Persönlich > Zertifikate.
2 Doppelklicken Sie auf das von Ihnen in den Windows-Zertifikatsspeicher importierte durch die Zertifizierungsstelle signierte Zertifikat.
3 Klicken Sie im Dialogfeld „Zertifikate“ auf die Registerkarte „Details“. Blättern Sie nach unten, und wählen Sie das Symbol Fingerabdruck aus.
4 Kopieren Sie den ausgewählten Fingerabdruck in eine Textdatei.
Zum Beispiel: 31 2a 32 50 1a 0b 34 b1 65 46 13 a8 0a 5e f7 43 6e a9 2c 3e
Hinweis Schließen Sie beim Kopieren des Fingerabdrucks das führende Leerzeichen nicht ein. Wenn Sie das führende Leerzeichen versehentlich zusammen mit dem Fingerabdruck in den Registrierungsschlüssel (in Schritt 7) einfügen, wird das Zertifikat möglicherweise nicht erfolgreich konfiguriert. Dieses Problem kann auftreten, auch wenn das führende Leerzeichen im Registrierungswert-Textfeld nicht angezeigt wird.
5 Starten Sie den Windows-Registrierungs-Editor auf dem Desktop, wo der HTML Access- Agent installiert ist.
6 Navigieren Sie zum Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config.
7 Ändern Sie den Wert SslHash, und fügen Sie den Fingerabdruck des Zertifikats in das Textfeld ein.
8 Starten Sie Windows neu.
Ergebnisse
Wenn ein Benutzer über Horizon Client für Chrome eine Verbindung zu einem Remote-Desktop herstellt, präsentiert der HTML Access-Agent dem Browser des Benutzers das durch eine Zertifizierungsstelle signierte Zertifikat.
Konfiguration der HTML Access-Agents zur Verwendung spezifischer Verschlüsselungsansammlungen
Sie können den HTML Access-Agent so konfigurieren, dass er anstelle der standardmäßigen Verschlüsselungen spezifische Verschlüsselungsansammlungen verwendet.
Der HTML Access-Agent erfordert standardmäßig, dass eingehende TLS-Verbindungen Verschlüsselung auf Basis bestimmter Verschlüsselungsverfahren verwenden, die umfassend gegen das Abhören und Fälschen von Netzwerken geschützt sind. Sie können eine
alternative Liste mit Verschlüsselungsverfahren zur Verwendung durch den HTML Access-Agent konfigurieren. Der Satz mit akzeptablen Verschlüsselungsverfahren wird im OpenSSL-Format ausgedrückt, Um das Format der Verschlüsselungsliste anzuzeigen, können Sie in einem Webbrowser nach openssl cipher string suchen.
Verfahren
1 Starten Sie auf dem Desktop, auf dem der HTML Access-Agent installiert ist, den Windows- Registrierungseditor.
2 Navigieren Sie zum Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config.
3 Fügen Sie einen neuen Zeichenfolgenwert (REG_SZ) hinzu, SslCiphers, und fügen Sie die Verschlüsselungsliste im OpenSSL-Format in das Textfeld ein.
4 Starten Sie den VMware Blast-Dienst neu, damit die Änderungen wirksam werden.
Im Windows-Gast-Betriebssystem wird der Dienst für den HTML Access-Agent VMware Blast genannt.
Ergebnisse
Um zur Nutzung der standardmäßigen Verschlüsselungsliste zurückzukehren, löschen Sie den SslCiphers-Wert und starten Sie den VMware Blast-Dienst neu. Löschen Sie nicht einfach den Datenteil des Werts, sonst behandelt der HTML Access-Agent alle Verschlüsselungsverfahren entsprechend der Formatdefinition für die OpenSSL-Verschlüsselungsliste als inakzeptabel.
Wenn der HTML Access-Agent startet, schreibt er die Verschlüsselungsdefinition in die Protokolldatei des VMware Blast-Dienstes. Sie können die aktuelle standardmäßige
Verschlüsselungsliste ermitteln, indem Sie die Protokolle beim Start des VMware Blast-Dienstes prüfen, der keinen SslCiphers-Wert in der Windows-Registrierung konfiguriert hat.
Die standardmäßige Verschlüsselungsdefinition des HTML Access-Agent kann sich von einer Version zur anderen unterscheiden, um einen verbesserten Schutz zu bieten.
Verwenden eines von einer Zertifizierungsstelle signierten Zertifikats mit Unified Access Gateway
Wenn Sie eine Unified Access Gateway-Appliance verwenden, müssen Sie ein von einer Zertifizierungsstelle signiertes Zertifikat installieren, für das ein alternativer Antragstellername (Subject Alternative Name, SAN) konfiguriert ist.
Wenn Sie ein von einer Zertifizierungsstelle signiertes Zertifikat ohne konfigurierten SAN oder ein selbstsigniertes Zertifikat verwenden, erhalten Benutzer eine Fehlermeldung, dass ihre Verbindung nicht privat ist, und können keine Verbindung mit Horizon Client für Chrome herstellen.
Hinweis Wenn Sie eine Verbindungsserver-Instanz verwenden, können Benutzer trotzdem eine Verbindung herstellen, indem sie auf den Link Weiter zu IP-Adresse (unsicher) klicken.
Informationen zum Installieren und Konfigurieren von Zertifikaten finden Sie im Dokument Horizon-Installation. Informationen zum Installieren von Zertifikaten in Chrome finden Sie in der Google Chrome-Dokumentation.
Konfigurieren der Horizon Client-Datenfreigabe
Wenn ein Horizon-Administrator sich für die Teilnahme am VMware-Programm zur Verbesserung der Benutzerfreundlichkeit (Customer Experience Improvement Program, CEIP) entschieden hat, erfasst und empfängt VMware anonyme Daten von Clientsystemen über den Verbindungsserver.
Sie können konfigurieren, ob diese Clientdaten für den Verbindungsserver freigegeben werden sollen.
Informationen zum Konfigurieren von Horizon für die Teilnahme am CEIP finden Sie im Dokument Horizon-Verwaltung.
Tabelle 1-2. Für das CEIP erfasste Clientdaten
Beschreibung Feldname
Wird dieses Feld anonymisiert
? Beispielswert
Unternehmen, das die Anwendung hergestellt hat
<client_vendor> Nein VMware
Produktname <client_product> Nein VMware Horizon Client für Chrome
Client-Produktversion <client_version> Nein 2012-8.1.0-xxxxxxxx
Client-Binärarchitektur <client_arch> Nein Browser
Systemeigene Architektur des Browsers
<browser_arch> Nein Chrome OS:
Zeichenfolge zum Browserbenutzer- Agent
<browser_user_agent> Nein Chrome/3.0.1750
Interne Versionszeichenfolge des Browsers
<browser_version> Nein 3.0.1750 (für Chrome)
Core-Implementierung des Browsers <browser_core> Nein Chrome Angabe, ob der Browser auf einem
Handheld-Gerät ausgeführt wird
<browser_is_handheld> Nein true
Verfahren
1 Klicken Sie auf der VMware Horizon-Webportalseite auf Einstellungen (Zahnradsymbol).
2 Aktivieren oder deaktivieren Sie die Option Datenfreigabe zulassen.
Konfigurieren der Medienoptimierung für Microsoft Teams in Horizon Client für Chrome
In diesem Thema wird beschrieben, wie Sie die Funktion Medienoptimierung für Microsoft Teams konfigurieren. Mit dieser Funktion wird die Medienverarbeitung von Audioanrufen, Videoanrufen und Desktopfreigaben auf den Clientcomputer statt auf den Agentencomputer umgeleitet.
Detaillierte Informationen zur Funktion „Medienoptimierung für Microsoft Teams“ finden Sie unter Konfigurieren der Medienoptimierung für Microsoft Teams.
Die Funktion ist standardmäßig in Horizon Client für Chrome aktiviert. Wenn das Clientgerät jedoch von einer Unternehmensrichtlinie verwaltet wird, hat die Unternehmensrichtlinie Vorrang vor der Horizon Client-Einstellung. Wenn beispielsweise die Option Medienoptimierung für Microsoft Teams aktivieren in Horizon Client aktiviert ist, Ihre Unternehmensrichtlinie jedoch die Medienumleitung zum Clientgerät nicht zulässt, wird die Medienoptimierung für Microsoft Teams- Funktion nicht wirksam.
Verfahren
1 Klicken Sie in der oberen rechten Ecke des Fensters für die Desktop- und Anwendungsauswahl auf die Schaltfläche Einstellungen in der Symbolleiste.
2 Um die Medienoptimierung für Microsoft Teams zu aktivieren oder auszuschalten, aktivieren oder deaktivieren Sie die Option Medienoptimierung für Microsoft Teams aktivieren.
3 Wenn Sie die Medienoptimierung für Microsoft Teams aktiviert haben, geben Sie an, ob Bildschirmfreigabefunktionen in Microsoft Teams zugelassen werden sollen.
n Um Bildschirmfreigabefunktionen zu erlauben, aktivieren Sie die Option
Bildschirmfreigabe für Microsoft Teams-Virtualisierung aktivieren. Bildschirmfreigaben werden zur Medienverarbeitung an den Clientcomputer weitergeleitet.
n Um Bildschirmfreigabefunktionen zu blockieren, deaktivieren Sie die Option
Bildschirmfreigabe für Microsoft Teams-Virtualisierung aktivieren. Die Steuerelemente für die Bildschirmfreigabe sind in Microsoft Teams nicht mehr verfügbar.
Systemanforderungen für die Geolocation-Umleitung
Horizon Agent und Horizon Client und der virtuelle Desktop oder RDS-Host und der Client- Computer, auf dem Sie die Agent- und Client-Software installieren, müssen bestimmte Anforderungen erfüllen, um die Geolocation-Umleitungsfunktion zu unterstützen.
Als Quelle für die Geolocation-Informationen fungiert das Betriebssystem des lokalen Geräts, das Horizon Client verwendet. Diese Informationen können vom Client an Remote-Desktops oder veröffentlichte Anwendungen umgeleitet werden. Die Konfigurationseinstellungen des Hostsystems und des Agenten können die Verfügbarkeit der Funktion einschränken.
Bei der Geolocation-Umleitung werden Geolocation-Informationen vom Clientsystem an den Remote-Desktop oder die veröffentlichte Anwendung gesendet.
Virtueller Desktop oder RDS-Host
n Die Windows-Einstellung Standortdienste muss auf Ein unter Einstellungen >
Datenschutz > Standort festgelegt sein.
n Die Geolocation-Umleitung unterstützt folgende Remote-Desktop-Anwendungen.
Anwendung Plattform
Google Chrome (neueste Version) Alle virtuellen Desktops oder RDS-Hosts
Internet Explorer 11 Alle virtuellen Desktops oder RDS-Hosts
Microsoft Edge (Chromium) Alle virtuellen Desktops oder RDS-Hosts
Microsoft Edge, Maps, Weather und andere Win32- und UWP-Apps Windows 10
Die Berechtigungseinstellung für den Standort muss, falls vorhanden, einzeln in jedem unterstützten Browser aktiviert werden.
n Für Horizon Agent 7.6 oder höher muss bei der Installation die benutzerdefinierte Setup-Option für die Geolocation-Umleitung aktiviert werden. Diese Option ist nicht standardmäßig ausgewählt. Weitere Informationen finden Sie in den Abschnitten zum Installieren von Horizon Agent in den Dokumenten Einrichten von virtuellen Desktops in Horizon und Einrichten von veröffentlichten Desktops und Anwendungen in Horizon.
Clientsystem
n Um die Standortinformationen des Clientsystems freizugeben, müssen Sie die Geolocation-Einstellungen in Horizon Clientkonfigurieren.
n In Horizon Client für Chrome müssen die Berechtigungen für Standortdienste auf Ein unter Einstellungen > Apps verwalten > Apps > Horizon > Berechtigungen > Standort festgelegt sein.
Das Anzeigeprotokoll für die Remote-Sitzung ist
n Horizon Client für Chrome – VMware Blast
Desktop- und veröffentlichten
Anwendungsverbindungen 2
Endbenutzer können eine Verbindung mit einem Server herstellen und Remote-Desktops und veröffentlichte Anwendungen verwenden. Zur Fehlerbehebung können Endbenutzer Remote- Desktops und veröffentlichte Anwendungen zurücksetzen.
Dieses Kapitel enthält die folgenden Themen:
n Verbindung zu einem Remote-Desktop oder einer veröffentlichten Anwendung herstellen
n Verwenden des nicht authentifizierten Zugriffs zur Verbindungsherstellung mit veröffentlichten Anwendungen
n Einstufen eines selbstsignierten Zertifikats als vertrauenswürdig
n Informationen zum Speicherort der Freigabe
n Festlegen der Zeitzone
n Verwalten von Serververknüpfungen
n Abmelden oder trennen
Verbindung zu einem Remote-Desktop oder einer veröffentlichten Anwendung herstellen
Zum Herstellen einer Verbindung mit einem Remote-Desktop oder einer veröffentlichten
Anwendung müssen Sie den Namen eines Servers und die Anmeldedaten für Ihr Benutzerkonto angeben.
Bevor Endbenutzer auf ihre Remote-Desktops und veröffentlichten Anwendungen zugreifen, sollten Sie testen, ob Sie über ein Clientgerät eine Verbindung mit einem Remote-Desktop oder einer veröffentlichten Anwendung herstellen können.
Voraussetzungen
n Besorgen Sie sich die Anmeldedaten, etwa einen Benutzernamen und das zugehörige
Kennwort, den RSA SecurID-Benutzernamen und -Passcode, RADIUS-Authentifizierungsdaten oder die Smartcard-PIN.
n Besorgen Sie sich den NETBIOS-Domänennamen für die Anmeldung. Beispielsweise ist es sinnvoller, MeineFirma als MeineFirma.com zu verwenden.
n Wenn Sie die Smartcard-Authentifizierung verwenden, stellen Sie sicher, dass alle Anforderungen für die Smartcard-Authentifizierung erfüllt sind und Sie mit den Einschränkungen vertraut sind. Informationen finden Sie unter Anforderungen für die Smartcard-Authentifizierung und Einschränkungen für die Smartcard-Authentifizierung.
n Wenn Sie außerhalb des Unternehmensnetzwerks eine VPN-Verbindung benötigen, um auf Remote Desktops und veröffentlichte Anwendungen zuzugreifen, vergewissern Sie sich, dass das Clientgerät zur Verwendung von VPN-Verbindungen eingerichtet ist, und aktivieren Sie diese Verbindung.
n Stellen Sie sicher, dass Sie über den vollqualifizierten Domänennamen (FQDN) des Servers verfügen, der Zugriff auf den Remote Desktop oder die veröffentlichte Anwendung gewährt.
Unterstriche (_) werden in Servernamen nicht unterstützt. Wenn es sich nicht um Port 443 handelt, benötigen Sie auch die Portnummer.
Verfahren
1 Melden Sie sich beim Chromebook an.
2 Sollte eine VPN-Verbindung erforderlich sein, müssen Sie das VPN aktivieren.
3 Öffnen Sie die VMware Horizon Client-App.
4 Wenn Sie dazu aufgefordert werden, Zugriff auf den Smartcard-Anschluss zu gewähren, klicken Sie auf Zulassen.
Diese Aufforderung wird beim ersten Start von Horizon Client angezeigt, wenn die Smartcard-Authentifizierung auf dem Chromebook konfiguriert ist.
5 Stellen Sie eine Verbindung mit einem Server her.
Option Aktion
Verbindung mit einem neuen Server herstellen
Klicken Sie auf das Pluszeichen (+), geben Sie den Namen des Servers ein, geben Sie eine Beschreibung des Servers ein (optional) und klicken Sie auf Verbinden.
Verbindung mit einem vorhandenen Server herstellen
Klicken Sie auf die Serververknüpfung.
Verbindungen zwischen Horizon Client und Servern verwenden immer TLS. Der Standardport für TLS-Verbindungen ist 443. Wenn der Server nicht zur Verwendung des Standardports konfiguriert ist, muss das in folgendem Beispiel gezeigte Format verwendet werden:
view.firma.com:1443.
6 Wenn eine Smartcard erforderlich ist oder optional verwendet werden kann, wählen Sie das zu verwendende Zertifikat für Smartcards aus und geben Sie Ihre PIN ein.
7 Wenn Sie zur Eingabe von RSA SecurID- oder RADIUS-Anmeldedaten zur Authentifizierung aufgefordert werden, geben Sie die Anmeldedaten ein und klicken Sie auf Anmelden.
Der Passcode kann möglicherweise sowohl aus einer PIN als auch aus einer auf dem Token
