全局安全性设置决定了网络中断后是否对客户端重新进行身份验证、是否启用消息安全模式以及是否使用 IPSec 用于安全服务器连接。

Horizon 7 的所有 Horizon Client 连接和 Horizon Administrator 连接都需要使用 TLS。如果您的 Horizon 7 部署使用负载平衡器或其他面向客户端的中间服务器,可以将 TLS 负载分流到这些负载平衡器或中间服务器,然后在单个连接服务器实例和安全服务器上配置非 TLS 连接。请参阅将 TLS 连接负载分流到中间服务器

表 1. 客户端会话和连接的全局安全性设置
设置 说明
网络中断后对安全加密链路连接重新进行身份验证 在 Horizon Client 使用安全加密链路连接访问远程桌面的情况下,决定网络中断后是否必须对用户凭据重新进行身份验证。

如果选择此设置,当安全加密链路连接中断时,Horizon Client 会要求用户重新进行身份验证,然后才能重新连接。

此设置可提高安全性。例如,如果一台笔记本电脑被盗并转移到其他网络,用户在不输入凭据的情况下,将无法自动获得对远程桌面的访问权限。

如果不选择此设置,客户端将重新连接到远程桌面,而不要求用户重新进行身份验证。

不使用安全加密链路时,此设置无效。

消息安全模式 确定用于在各个组件之间发送 JMS 消息的安全机制
  • 当此模式设置为已启用时,将会对 Horizon 7 组件之间传输的 JMS 消息进行签名和验证。
  • 如果将该模式设置为已增强,将会通过相互身份验证的 TLS,JMS 连接和对 JMS 主题的访问控制来提供安全功能。

有关详细信息,请参阅Horizon 7 组件的消息安全模式

对于新安装,默认情况下消息安全模式设置为已增强。如果从先前版本进行升级,则将保留在先前版本中使用的设置。

增强安全状态(只读)

消息安全模式已启用更改为已增强时显示的只读字段。由于更改分阶段进行,此字段根据阶段显示进度:

  • 等待 Message Bus 重新启动是第一阶段。此状态将一直显示,直到您手动重新启动容器中的所有连接服务器实例或容器中所有连接服务器主机上的 VMware Horizon Message Bus 组件服务。
  • 等待增强是下一阶段。重新启动所有 Horizon Message Bus 组件服务后,系统开始将所有桌面和安全服务器的消息安全模式更改为已增强
  • 已增强是最终状态,表明所有组件现在正使用已增强消息安全模式。

还可以使用 vdmutil 命令行实用程序监控进度。请参阅使用 vdmutil 实用程序配置 JMS 消息安全模式
使用 IPSec 进行安全服务器连接 确定是否为安全服务器和连接服务器实例之间的连接使用 Internet 协议安全性 (Internet Protocol Security, IPSec)。

默认情况下,已启用安全连接(使用 IPSec)来进行安全服务器连接。

注: 如果您从较低的 Horizon 7 版本升级到 View 5.1 或更高版本,全局设置 要求使用 SSL 进行客户端连接会显示在 Horizon Administrator 中,但前提是升级前您已在 Horizon 7 配置中禁用了该设置。因为是 Horizon 7 的所有 Horizon Client 连接和 Horizon Administrator 连接要求使用 TLS,所以全新安装 Horizon 7 5.1 或更高版本时不显示此设置。另外,如果升级之前的 Horizon 7 配置中启用了该设置,升级后也不会显示此设置。

升级后,如果您不启用需要使用 SSL 进行客户端连接设置,Horizon Client 的 HTTPS 连接将失败,除非它们连接到某个已配置为使用 HTTP 进行接续连接的中间设备。请参阅将 TLS 连接负载分流到中间服务器