您可以使用注册服务器操作系统上的 Windows 注册表设置来配置要连接到的域、各种超时时限、轮询周期、重试次数,以及是否首选使用同一本地服务器上安装的证书颁发机构(建议使用)。
要更改高级配置设置,您可以在注册服务器计算机上打开 Windows 注册表编辑器 (regedit.exe),然后创建以下注册表项:
HKLM\SOFTWARE\VMware, Inc.\VMware VDM\Enrollment Service
在进行任何注册表修改之前,请确保您具有最新的有效注册表备份。有关备份注册表的更多信息,请参阅 Microsoft 知识库文章 136393。
| 注册表项 | 最小值和最大值 | 类型 | 说明 |
|---|---|---|---|
| AllowIssuancePolicyInCerts | N/A | REG_SZ | 指定注册服务器是否允许具有颁发策略的证书。默认值为 FALSE。 使用以下值之一:
|
| ConnectToDomains | N/A | REG_MULTI_SZ | 注册服务器尝试自动连接的域列表。对于这种多字符串注册表类型,将列出每个域的 DNS 完全限定域名 (Fully Qualified Domain Name, FQDN),其中每个 FQDN 占一行。 默认将信任所有域。 |
| ExcludeDomains | N/A | REG_MULTI_SZ | 注册服务器不自动连接的域列表。如果连接服务器提供了包含任何域的配置集,则注册服务器将尝试连接该域或这些域。对于这种多字符串注册表类型,将列出每个域的 DNS FQDN,其中每个 FQDN 占一行。 默认将不排除任何域。 |
| ConnectToDomainsInForest | N/A | REG_SZ | 指定是否连接并使用注册服务器所属林中的所有域。默认值为 TRUE。 使用以下值之一:
|
| ConnectToTrustingDomains | N/A | REG_SZ | 指定是否显式连接信任/入站域。默认值为 TRUE。 使用以下值之一:
|
| PreferLocalCa | N/A | REG_SZ | 指定是否首选本地安装的 CA(如果有)以提高性能。如果设置为 TRUE,则注册服务器会将请求发送至本地 CA。如果连接本地 CA 失败,则注册服务器会尝试将证书请求发送至备用 CA。默认值为 FALSE。
使用以下值之一:
|
| MaxSubmitRetryTime | 9500- 59000 | DWORD | 在重新尝试提交证书签名请求之前等待的时间长度(以毫秒为单位)。默认值为 25000。 |
| SubmitLatencyWarningTime | 500 - 5000 | DWORD | 接口被标记为“已降级”时的提交延迟警告时间(以毫秒为单位)。默认值为 1500。 注册服务器使用此设置来确定是否应将 CA 视为处于已降级状态。如果完成最近三次证书请求所用的毫秒数多于此设置所指定的毫秒数,则 CA 即被视为已降级,并且此状态会显示在 Horizon Console 仪表板中。 CA 通常会在 20 毫秒内颁发证书,但如果该 CA 空闲了几个小时,则任何首次请求都可能会花费较长时间才能完成。管理员可以使用此设置来了解某个 CA 是否缓慢,从而不必将该 CA 标记为缓慢。使用此设置可配置用于将该 CA 标记为缓慢的阈值。 |
| WarnForLonglivedCert | N/A | REG_SZ | 针对长久 True SSO 证书(模板)禁用警告。默认值是 True。 如果证书的寿命设置为 14 天以上,注册服务器会在 Horizon Console 仪表板中显示一个警告状态,同时报告 True SSO 模板处于已降级或者非最佳状态。注册服务器使用此设置禁用警告。 必须重新启动注册服务器才能使此设置生效。 |
