VMware Horizon Server の証明書失効チェックのトラブルシューティング

サーバの TLS 証明書で証明書失効チェックを実行できない場合、安全な Horizon Client 接続に使用される Connection Server インスタンスが Horizon Console で赤色に表示されます。

問題

Horizon Console ダッシュボードでは、Connection Server のアイコンは赤色で表示されます。Connection Server の状態には、「サーバ証明書はチェックできません」というメッセージが表示されます。

原因

組織がインターネットアクセスにプロキシサーバを使用しているか、Connection Server インスタンスが、ファイアウォールなどの制御が原因で証明書失効チェックを提供するサーバにアクセスできない場合は、証明書失効チェックに失敗することがあります。

Connection Server インスタンスは、自身の証明書について証明書失効チェックを実行します。デフォルトでは、VMware Horizon Connection Server サービスは LocalSystem アカウントで開始されます。サービスが LocalSystem で実行されると、Connection Server インスタンスは、Internet Explorer で構成されているプロキシ設定を使用して CRL DP URL にアクセスしたり、OCSP レスポンダを使用して証明書の失効ステータスを判断することはできません。

Microsoft Netshell コマンドを使用してプロキシ設定を Connection Server インスタンスにインポートすると、サーバはインターネット上の証明書失効チェックサイトにアクセスできるようになります。

解決方法

Connection Server コンピュータで、[管理者として実行] 設定を使用してコマンドラインウィンドウを開きます。
たとえば、 [スタート] をクリックし、「 cmd」と入力し、 cmd.exe アイコンを右クリックして、 [管理者として実行] を選択します。
「netsh」と入力し、Enter キーを押します。
「winhttp」と入力し、Enter キーを押します。
「show proxy」と入力し、Enter キーを押します。
Netshell により、プロキシが直接接続に設定されたことが示されます。この設定では、組織でプロキシが使用されている場合は、Connection Server コンピュータはインターネットに接続できません。
プロキシ設定を構成します。
たとえば、 netsh winhttp> プロンプトで import proxy source=ie と入力します。

プロキシ設定が Connection Server コンピュータにインポートされます。
「show proxy」と入力して、プロキシ設定を確認します。
VMware Horizon Connection Server サービスを再起動します。
Horizon Console ダッシュボードで、Connection Server アイコンが緑色になっていることを確認します。