Nach der erstmaligen Einrichtung der Smartcard-Authentifizierung oder bei nicht ordnungsgemäßer Funktionsweise der Smartcard-Authentifizierung sollten Sie die Konfiguration der Smartcard-Authentifizierung überprüfen.

Prozedur

  • Stellen Sie sicher, dass jedes Clientsystem über Smartcard-Middleware, eine Smartcard mit gültigem Zertifikat sowie einen Smartcard-Leser verfügt. Stellen Sie für Endbenutzer sicher, dass sie über Horizon Client verfügen.
    In der Dokumentation Ihres Smartcard-Anbieters finden Sie Informationen zur Konfiguration der Smartcard-Software und -Hardware.
  • Wählen Sie auf jedem Client-System Start > Einstellungen > Systemsteuerung > Internetoptionen > Inhalt > Zertifikate > Persönlich aus, um sicherzustellen, dass die Zertifikate für die Smartcard-Authentifizierung verfügbar sind.

    Wenn ein Benutzer oder ein Administrator eine Smartcard in den Smartcard-Leser einlegt, kopiert Windows Zertifikate von der Smartcard auf den Computer des Benutzers. Anwendungen auf dem Clientsystem, einschließlich Horizon Client, können diese Zertifikate verwenden.

  • Überprüfen Sie in der Datei locked.properties auf dem Verbindungsserver-Host, ob die Eigenschaft useCertAuth auf true gesetzt und richtig geschrieben ist.
    Die Datei locked.properties befindet sich im Verzeichnis Installationsverzeichnis\VMware\VMware View\Server\sslgateway\conf. Die Eigenschaft useCertAuth wird durch den Tippfehler userCertAuth häufig falsch angegeben.
  • Wenn Sie die Smartcard-Authentifizierung auf einer Verbindungsserver-Instanz konfiguriert haben, überprüfen Sie die Smartcard-Authentifizierungseinstellung in Horizon Console.
    1. Wählen Sie Einstellungen > Server aus.
    2. Wählen Sie auf der Registerkarte Verbindungsserver die Verbindungsserver-Instanz aus und klicken Sie auf Bearbeiten.
    3. Wenn Sie die Smartcard-Authentifizierung für Benutzer konfiguriert haben, stellen Sie auf der Registerkarte Authentifizierung sicher, dass Smartcard-Authentifizierung für Benutzer auf Optional oder Erforderlich festgelegt ist.
    4. Wenn Sie die Smartcard-Authentifizierung für Administratoren konfiguriert haben, stellen Sie auf der Registerkarte Authentifizierung sicher, dass Smartcard-Authentifizierung für Administratoren auf Optional oder Erforderlich festgelegt ist.
    Sie müssen den Verbindungsserver-Dienst neu starten, damit die Änderungen an den Smartcard-Einstellungen in Kraft treten.
  • Wenn sich der Smartcard-Benutzer in einer anderen Domäne befindet als derjenigen, von der Ihr Stammzertifikat ausgegeben wurde, stellen Sie sicher, dass der Benutzer-UPN auf den alternativen Antragstellernamen (SAN) festgelegt ist, der im Stammzertifikat der vertrauenswürdigen Zertifizierungsstelle angegeben ist.
    1. Sie können den alternativen Antragstellernamen (SAN) ermitteln, indem Sie im Stammzertifikat der vertrauenswürdigen Zertifizierungsstelle die Zertifikateigenschaften anzeigen.
    2. Wählen Sie auf Ihrem Active Directory-Server Start > Verwaltung > Active Directory-Benutzer und -Computer aus.
    3. Klicken Sie im Ordner Benutzer mit der rechten Maustaste auf den Benutzer und wählen Sie Eigenschaften.
    Der Benutzerprinzipalname wird auf der Registerkarte Konto in den Textfeldern Benutzeranmeldename angezeigt.
  • Wenn Smartcard-Benutzer das PCoIP-Anzeigeprotokoll oder das VMware Blast-Anzeigeprotokoll zur Herstellung einer Verbindung mit Einzelsitzungs-Desktops verwenden, müssen Sie sicherstellen, dass die Horizon Agent-Komponente „Smartcard-Umleitung“ auf Computern für Einzelbenutzer installiert ist. Mit der Smartcard-Funktion können sich Benutzer bei Einzelsitzungs-Desktops mit Smartcards anmelden. RDS-Hosts, auf denen die Remotedesktopdienst-Rolle installiert ist, unterstützen die Smartcard-Funktion automatisch. Daher ist es nicht erforderlich, die Funktion zu installieren.
  • Überprüfen Sie die Protokolldateien in Laufwerksbuchstabe:\ProgramData\VMware\log\ConnectionServer auf dem Verbindungsserver-Host auf Meldungen, die besagen, dass die Smartcard-Authentifizierung aktiviert ist.
    Hinweis: Dieser Dateipfad ist ein symbolischer Link, der auf den tatsächlichen Speicherort der Protokolldateien verweist, nämlich Laufwerksbuchstabe:\ProgramData\VMware\VDM\logs