对于 Windows 计算机,VMware View Agent 配置 ADMX 模板文件 (view_agent_direct_connection.admx) 中包含与 View Agent Direct-Connection (VADC) 插件相关的配置设置。对于 Linux 计算机,请在 /etc/vmware/vadc/viewagent-vadc.conf 配置文件中指定这些配置设置。
(Windows) VADC 插件配置设置
对于 Windows 桌面,VADC 配置设置位于组策略管理编辑器的中。
| 设置 | 说明 |
|---|---|
| 已启用的应用程序 | 此设置支持在远程桌面会话主机上启动应用程序。默认设置为启用。 |
| 客户端配置名称值对 | 以 name=value 的格式传递至客户端的值列表。示例:clientCredentialCacheTimeout=1440。 |
| 客户端会话超时 | 客户端未连接时会话保持活跃状态的最长时间(以秒为单位)。默认值为 36000 秒 (10 小时)。 |
| 客户端设置:AlwaysConnect | 该值可设置为 TRUE 或 FALSE。AlwaysConnect 设置将发送到 Horizon Client。如果此策略设置为 TRUE,则它将覆盖保存的任何客户端首选项。默认情况下未设置值。启用此策略会将值设置为 TRUE。禁用此策略会将值设置为 FALSE。 |
| 客户端设置: AutoConnect | 此设置会覆盖任何已保存的 Horizon Client 首选项。默认情况下未设置值。启用此策略将把值设置为 True,禁用此策略将把值设置为 False。 |
| 客户端设置: ScreenSize | 发送到 Horizon Client 的设置。如果配置,它将覆盖任何已保存的客户端首选项。如果未配置,则使用客户端首选项。 |
| 多媒体重定向 (MMR) 已启用 | 确定是否为客户端系统启用 MMR。MMR 是一种 Microsoft DirectShow 筛选器,可直接通过 TCP 套接字将多媒体数据从 Horizon 桌面中的特定编解码器转发至客户端系统。随后,直接在播放数据的客户端系统中解码数据。默认值为禁用。 如果客户端系统的视频显示硬件不支持覆盖功能,MMR 将无法正常运行。客户端系统可能没有足够的资源处理本地多媒体解码。 |
| 已启用重置 | 该值可设置为 TRUE 或 FALSE。设置为 TRUE 时,通过验证的 Horizon Client 可执行操作系统级别的重新引导。默认设置为禁用 (FALSE)。 |
| 会话超时 | 用户在使用 Horizon Client 登录后可保持会话为打开状态的时间段。此值的单位为分钟。默认值是 600 分钟。达到此超时后,所有用户桌面和应用程序会话都将断开连接。 |
| 自动连接 USB | 该值可设置为 TRUE 或 FALSE。插入 USB 设备时将其连接到桌面。如果设置了此策略,它将覆盖保存的任何客户端首选项。默认情况下未设置值。 |
| 已启用 USB | 该值可设置为 TRUE 或 FALSE。确定桌面是否可以使用 USB 设备连接客户端系统。默认值为启用。如果出于安全因素阻止使用外部设备,请将设置更改为禁用 (FALSE)。 |
| 用户空闲超时 | 如果一段时间内在 Horizon Client 上没有用户活动,则用户的桌面和应用程序会话将断开连接。此值的单位为秒。默认值为 900 秒(15 分钟)。 |
(Windows) VADC 插件身份验证设置
对于 Windows 桌面,身份验证设置位于组策略管理编辑器的中。在此文件夹中,该设置为“以当前用户身份登录”设置。
| 设置 | 说明 |
|---|---|
| 允许旧版客户端 | 如果禁用,版本低于 5.5 的 Horizon Client 将无法使用“以当前用户身份登录”功能进行身份验证。如果未配置此设置,则支持旧版客户端。 |
| 允许 NTLM 回退 | 如果启用,在无法访问域控制器时,Horizon Client 将使用 NTLM 身份验证来代替 Kerberos。如果未配置此设置,则将不允许 NTLM 回退。 |
| 需要通道绑定 | 如果启用,通道绑定会提供额外的安全层来保护 NTLM 身份验证。版本低于 5.5 的 Horizon Client 不支持通道绑定。 |
| 客户端凭据缓存超时 | Horizon Client 允许用户使用已保存密码的时段(以分钟为单位)。0 表示从不,-1 表示永久。如果该设置设为有效值,则 Horizon Client 将为用户提供保存其密码的选项。默认值为 0(从不)。 |
| 已启用免责声明 | 该值可设置为 TRUE 或 FALSE。如果设置为 TRUE,则在登录时显示用户要接受的免责声明文本。该文本显示在“免责声明文本”(如果书写)或 GPO Configuration\Windows Settings\Security Settings\Local Policies\Security Options: Interactive logon 中。disclaimerEnabled 的默认设置为 FALSE。 |
| 免责声明文本 | 在登录时向 Horizon Client 用户显示的免责声明文本。“已启用免责声明”策略必须设置为 TRUE。如果未指定此文本,则默认使用 Windows 策略 Configuration\Windows Settings\Security Settings\Local Policies\Security Options 中的值。 |
| X509 证书身份验证 | 确定是已禁用、允许还是需要进行智能卡 X.509 证书身份验证。 |
| X509 SSL 证书身份验证已启用 | 确定是否通过 Horizon Client 的直接 SSL 连接启用了智能卡 X.509 证书身份验证。如果通过中间 SSL 端点处理 X.509 证书身份验证,则无需使用此选项。更改该设置需要重新启动 Horizon Agent。 |
(Windows) VADC 插件协议和网络设置
对于 Windows 桌面,协议和网络设置位于组策略管理编辑器的中。
| 设置 | 说明 |
|---|---|
| 默认协议 | Horizon Client 连接到桌面使用的默认显示协议。如果未设置该值,则默认值为 BLAST。 |
| 外部 Blast 端口 | 发送到 Horizon Client 的、用于 HTML5/Blast 协议的目标 TCP 端口号对应的端口号。数字前面的 + 字符表示用于 HTTPS 的端口号中的相对数字。如果外部公开的端口号与服务侦听的端口不匹配,请仅设置该值。通常,该端口号位于 NAT 环境中。默认情况下未设置值。 |
| 外部框架通道端口 | 发送到 Horizon Client 的、用于框架通道协议的目标 TCP 端口号对应的端口号。数字前面的 + 字符表示用于 HTTPS 的端口号中的相对数字。如果外部公开的端口号与服务侦听的端口不匹配,请仅设置该值。通常,该端口号位于 NAT 环境中。默认情况下未设置值。 |
| 外部 IP 地址 | 发送到 Horizon Client 的、用于辅助协议(RDP、PCoIP、框架通道等)的目标 IP 地址对应的 IPV4 地址。如果外部公开的地址与桌面计算机的地址不匹配,请仅设置该值。通常,该地址位于 NAT 环境中。默认情况下未设置值。 |
| 外部 PCoIP 端口 | 发送到 Horizon Client 的、用于 PCoIP 协议的目标 TCP/UDP 端口号对应的端口号。数字前面的 + 字符表示用于 HTTPS 的端口号中的相对数字。如果外部公开的端口号与服务侦听的端口不匹配,请仅设置该值。通常,该端口号位于 NAT 环境中。默认情况下未设置值。 |
| 外部 RDP 端口 | 发送到 Horizon Client 的、用于 RDP 协议的目标 TCP 端口号对应的端口号。数字前面的 + 字符表示用于 HTTPS 的端口号中的相对数字。如果外部公开的端口号与服务侦听的端口不匹配,请仅设置该值。通常,该端口号位于 NAT 环境中。默认情况下未设置值。 |
| HTTPS 端口号 | 插件侦听来自 Horizon Client 的传入 HTTPS 请求所用的 TCP 端口。如果此值发生更改,则必须对 Windows 防火墙进行相应更改以允许传入流量。默认值为 443。 |
外部端口号和外部 IP 地址值用于网络地址转换 (NAT) 和端口映射支持。有关更多信息,请参阅Windows - 使用网络地址转换和端口映射。
对于智能卡身份验证,Windows 证书存储区中必须存在可对智能卡证书进行签名的证书颁发机构 (CA)。有关如何添加证书颁发机构的信息,请参阅
Windows - 设置智能卡身份验证。
注: 由于 Windows 可能向客户端发送不包含中间 CA 名称的可信颁发者列表,如果用户尝试使用智能卡登录到 Windows 7 或 Windows Server 2008 R2 计算机,并且该智能卡证书由中间 CA 签发,该尝试可能会失败。如果发生这种情况,客户端将无法选择相应的智能卡证书。为避免出现此问题,请在注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL 中将注册表值
SendTrustedIssuerList (REG_DWORD) 设置为 0。将此注册表值设置为 0 后,Windows 将不会向客户端发送可信颁发者列表,这样之后便可以从智能卡中选择所有有效证书。
(Linux) VADC 插件配置设置
对于 Linux 桌面,VADC 配置设置位于 /etc/vmware/vadc/viewagent-vadc.conf 配置文件中。
| 设置 | 说明 |
|---|---|
| AgentDisconnectTimeout | 客户端会话在断开连接后,在等待该时间段(以分钟为单位)之后,Horizon Agent 会从桌面注销。要停用自动注销并使客户端无限期地登录到桌面,请将该值设置为 0。要在客户端断开会话连接时立即从桌面注销,请将值设置为 -1。默认值为 0。 |
| AgentEmptySessionLogoff | 指定在 AgentEmptySessionTimeout 策略中指定的时间段之后,是注销还是从应用程序会话断开连接。要指定注销操作,请将值设置为 TRUE。要指定断开连接操作,请将值设置为 FALSE。如果未配置此设置,则默认值为 FALSE。 |
| AgentEmptySessionTimeout | 客户端用户关闭所有应用程序窗口之后,在等待该指定时间段(以分钟单位)后,Horizon Agent 会从应用程序会话断开连接或注销。要使客户端无限期保持连接或登录到应用程序会话,请将该值设置为 0。要想在所有应用程序窗口关闭时立即从应用程序会话断开连接或注销,请将此值设置为 -1。默认值为 1 分钟。 此超时策略与 AgentEmptySessionLogoff 策略中指定的操作(从会话断开连接或注销)配合作用。 |
| AgentPreLaunchSessionTimeout | 如果客户端用户不启动应用程序,Horizon Agent 将应用程序会话保持活动状态的最长时间(以分钟为单位)。要使应用程序会话无限期保持活动状态,请将该值设置为 0。默认值为 10 分钟。 |
| ClientAlwaysConnect | 可以将该值设置为 TRUE 以启用策略,或者设置为 FALSE 以停用该策略。此设置将发送到 Horizon Client。如果此策略设置为 TRUE,则它将覆盖保存的任何客户端首选项。默认情况下未设置值。 |
| ClientAutoConnect | 此设置会覆盖任何已保存的 Horizon Client 首选项。可以将该值设置为 TRUE 以启用策略,或者设置为 FALSE 以停用该策略。默认情况下未设置值。 |
| ClientCredentialCacheTimeout | Horizon Client 允许用户使用已保存密码的时段(以分钟为单位)。0 表示从不,-1 表示永久。如果该设置设为有效值,则 Horizon Client 将为用户提供保存其密码的选项。如果未配置此设置,则默认值为 0(从不)。 |
| ClientScreenSize | 发送到 Horizon Client 的设置。如果配置,它将覆盖任何已保存的客户端首选项。如果未配置,则使用客户端首选项。 |
| ClientSessionTimeout | 在 Horizon Client 允许的最后一次报告的用户活动之后,在会话被视为空闲和断开连接之前的时间段(以秒为单位)。最小值为 300 秒(5 分钟)。默认值为 36000 秒 (10 小时)。 |
| CSRFProtectionEnabled | 指定是否通过随 Web 服务请求发送 X-CSRF-TOKEN 来启用 CSRF 保护。如果设置为 TRUE,则会启用保护。如果设置为 FALSE,则将停用保护。默认设置为 TRUE。 |
| DesktopName | 远程桌面的名称。如果未配置此设置,则桌面将采用主机的名称。 |
| DisclaimerFile | 文件的路径,其中包含在 Horizon Client 用户登录时向其显示的免责声明文本。默认情况下未设置值。 |
| DomainName | 设置客户端用户的 FQDN 域名。如果将计算机加入域,则会自动检索域名,并且不需要此设置。 如果使用 LDAP 身份验证服务而未将 Linux 计算机加入域,请配置此设置以检索域名。将占位符值 |
| EntitleGroups | 允许其成员访问直接连接桌面或应用程序的用户组或组列表。默认情况下,此设置配置有 要配置其他授权组,请将组名称添加到设置列表中,并使用冒号分隔条目。 |
| ExternalBlastPort | 发送到 Horizon Client 的端口号,用于通过端口映射设备进行 Blast 连接的目标 TCP 端口号。数字前面的 + 字符表示用于 NAT HTTPS 的端口号中的相对数字。如果外部公开的端口号与服务侦听的端口不匹配,请仅设置该值。通常,该端口号用于 NAT 环境中。默认情况下未设置值。 |
| ExternalIPAddress | 发送到 Horizon Client 的 IPV4 地址,用于通过端口映射设备进行 Blast 连接的目标 IP 地址。如果外部公开的地址与桌面计算机的地址不匹配,请仅设置该值。通常,该地址用于 NAT 环境中。默认情况下未设置值。 |
| HTTPSPortNumber | 插件侦听来自 Horizon Client 的传入 HTTPS 请求所用的 TCP 端口。默认值为 8443。 |
| MaxSessions | Horizon Agent 支持的最大已发布桌面或已发布应用程序会话数。仅当 Linux 计算机配置为多会话主机时,此策略才会生效。默认值为 50。 |
| ResetEnabled | 该值可设置为 TRUE 或 FALSE。设置为 TRUE 时,通过验证的 Horizon Client 可执行操作系统级别的重新引导。如果未配置此设置,则默认值为 FALSE,这将停用重新引导功能。 |
| SessionTimeout | 用户在使用 Horizon Client 登录后可保持会话为打开状态的时间段。此值的单位为分钟。-1 值表示永不超时。默认值为 600 分钟(10 小时)。达到此超时后,所有用户桌面和应用程序会话都将断开连接。 |
| USBAutoConnect | 该值可设置为 TRUE 或 FALSE。如果设置为 TRUE,Horizon Client 会在插入 USB 设备时自动将其连接到桌面。如果设置此策略,则它将覆盖保存的任何客户端首选项。默认情况下未设置值。 |
| UserIdleTimeout | 如果在此时间段内 Horizon Client 上没有用户活动,则用户的桌面和应用程序会话将断开连接。此值的单位为秒。值为 -1 表示会话永远不会断开连接。默认值为 900 秒(15 分钟)。 |
| X509CertAuth | 智能卡 X.509 证书身份验证的支持级别。该值可以设置为 0(已停用)、1(允许)或 2(必需)。默认值为 0。 |
