若為 Windows 機器,VMware View Agent 組態 ADMX 範本檔 (view_agent_direct_connection.admx) 包含與 Horizon Agent Direct-Connection 外掛程式 (舊稱 View Agent Direct-Connection 外掛程式) 相關的組態設定。若為 Linux 機器,請在 /etc/vmware/vadc/viewagent-vadc.conf 組態檔案中指定這些組態設定。
(Windows) Horizon Agent Direct-Connection 外掛程式組態設定
對於 Windows 桌面平台,您可以從 VMware 下載站台下載 VMware View Agent 組態 ADMX 範本檔 (view_agent_direct_connection.admx)。移至 https://my.vmware.com/web/vmware/downloads。尋找 [桌面平台及終端使用者運算],並在此類別下,選取 VMware Horizon 下的下載產品。然後,選取適當的 Horizon 版本,並按一下前往下載。在此處,下載 Horizon GPO 服務包,其中含有 VMware View Agent 組態 ADMX 範本檔。
Horizon Agent Direct-Connection 外掛程式組態設定位於群組原則管理編輯器的。
| 設定 | 說明 |
|---|---|
| 應用程式已啟用 | 此設定支援遠端桌面工作階段主機上的應用程式啟動。預設設定為已啟用。 |
| 用戶端設定名稱值組 | 傳遞給用戶端的值清單,使用「名稱=值」的格式。範例:clientCredentialCacheTimeout=1440。 |
| 用戶端工作階段逾時 | 若未連線用戶端,工作階段可維持使用中的最長時間 (以秒為單位)。預設值為 36000 秒 (10 小時)。 |
| 用戶端設定:AlwaysConnect | 可將值設為 TRUE 或 FALSE。AlwaysConnect 設定會傳送至 Horizon Client。如果將此原則設為 TRUE,則該原則會覆寫所有儲存的用戶端喜好設定。預設沒有設定任何值。啟用此原則會將值設為 TRUE。關閉此原則會將值設為 FALSE。 |
| 用戶端設定: AutoConnect | 此設定會覆寫任何儲存的 Horizon Client 喜好設定。預設沒有設定任何值。啟用此原則會將值設為 true,關閉此原則會將值設為 false。 |
| 用戶端設定: ScreenSize | 傳送到 Horizon Client 的設定。如果有設定,則會覆寫任何已儲存的用戶端喜好設定。如果未設定,則會使用用戶端喜好設定。 |
| 多媒體重新導向 (MMR) 已啟用 | 決定是否啟用用戶端系統的 MMR。MMR 是一種 Microsoft DirectShow 篩選器,會將遠端桌面平台上特定轉碼器中的多媒體資料直接透過 TCP 通訊端轉送給用戶端系統。然後,當播放時,該資料會在用戶端系統上直接解碼。預設值為 FALSE,表示 MMR 會關閉。 如果用戶端系統的視訊顯示硬體沒有重疊支援,則 MMR 無法正確運作。用戶端系統的資源可能不足以處理本機多媒體解碼。 |
| 重設已啟用 | 可將值設為 TRUE 或 FALSE。設定為 TRUE 時,已驗證的 Horizon Client 可以執行作業系統層級的重新開機作業。預設設定為未啟用 (FALSE)。 |
| 工作階段逾時 | 使用 Horizon Client 登入後,使用者可保持工作階段為開啟狀態的時段。此值以分鐘為單位設定,預設值為 600 分鐘。達到此逾時後,會中斷連線所有的使用者桌面平台和應用程式工作階段。 |
| USB 自動連線 | 可將值設為 TRUE 或 FALSE。插入 USB 裝置時將其連線至桌面平台。如果已設定此原則,則它會複寫所有儲存的用戶端喜好設定。預設沒有設定任何值。 |
| USB 已啟用 | 可將值設為 TRUE 或 FALSE。決定桌面平台是否可以使用連線至用戶端系統的 USB 裝置。預設值已啟用。基於安全理由,為避免使用外部裝置,請將設定變更為關閉設定 (FALSE)。 |
| 使用者閒置逾時 | 如果此時段的 Horizon Client 上不存在任何使用者活動,則會中斷連線使用者的桌面平台和應用程式工作階段。此值以秒為單位設定。預設值為 900 秒 (15 分鐘)。 |
(Windows) Horizon Agent Direct-Connection 外掛程式驗證設定
針對 Windows 桌面平台,驗證設定位於群組原則管理編輯器的。在此資料夾內的是「以目前使用者身分登入」設定。
| 設定 | 說明 |
|---|---|
| 允許舊版用戶端 | 此設定關閉時,早於 5.5 版的 Horizon Client 版本將不會使用「以目前使用者身分登入」功能進行驗證。如果未進行此設定,則支援舊版用戶端。 |
| 允許 NTLM 後援 | 啟用時,如果無法存取網域控制站,則 Horizon Client 會使用 NTLM 驗證而非 Kerberos。如果未進行此設定,則不允許 NTLM 後援。 |
| 需要通道繫結 | 啟用時,通道繫結會額外提供一層安全防護層來保護 NTLM 驗證。早於 5.5 版的 Horizon Client 版本不支援通道繫結。 |
| 用戶端認證快取逾時 | Horizon Client 允許使用者使用儲存的密碼的時段 (以分鐘為單位)。0 表示從不,而 -1 表示永久。Horizon Client 可讓使用者選擇在此設定設為有效值時,儲存其密碼。預設為 0 (從不)。 |
| 免責聲明已啟用 | 可將值設為 TRUE 或 FALSE。如果設為 TRUE,則會顯示登入時使用者接受的免責聲明文字。如果已寫入文字,則會顯示「免責聲明文字」或 GPO Configuration\Windows Settings\Security Settings\Local Policies\Security Options: Interactive logon。disclaimerEnabled 的預設設定為 FALSE。 |
| 免責聲明文字 | 登入時向 Horizon Client 使用者顯示的免責聲明文字。「免責聲明已啟用」原則必須設為 TRUE。如果未指定文字,則預設為使用 Windows 原則 Configuration\Windows Settings\Security Settings\Local Policies\Security Options 中的值。 |
| X509 憑證驗證 | 決定是否關閉、允許或需要智慧卡 X.509 憑證驗證。 |
| X509 SSL 憑證驗證已啟用 | 決定是否從 Horizon Client 透過直接 SSL 連線啟用智慧卡 X.509 憑證驗證。如果透過中繼 SSL 終止點處理 X.509 憑證驗證,則不需要此選項。變更此設定需要重新啟動 Horizon Agent。 |
(Windows) Horizon Agent Direct-Connection 外掛程式通訊協定和網路設定
若為 Windows 桌面平台,通訊協定和網路設定位於群組原則管理編輯器的。
| 設定 | 說明 |
|---|---|
| 預設通訊協定 | Horizon Client 用來連線至桌面平台的預設顯示通訊協定。如果未設定值,則預設值為 BLAST。 |
| 外部 Blast 連接埠 | 傳送給 Horizon Client 的連接埠號碼,做為用於 HTML5/Blast 通訊協定的目的地 TCP 連接埠號碼。數字前的 + 字元表示用於 HTTPS 之連接埠號碼中的相對數字。如果在外部公開的連接埠號碼與服務正在接聽的連接埠不相符,則只會設定此值。通常,此連接埠號碼處於 NAT 環境。預設沒有設定任何值。 |
| 外部 Framework 通道連接埠 | 傳送給 Horizon Client 的連接埠號碼,做為用於 Framework 通道通訊協定的目的地 TCP 連接埠號碼。數字前的 + 字元表示用於 HTTPS 之連接埠號碼中的相對數字。如果在外部公開的連接埠號碼與服務正在接聽的連接埠不相符,則只會設定此值。通常,此連接埠號碼處於 NAT 環境。預設沒有設定任何值。 |
| 外部 IP 位址 | 傳送給 Horizon Client 的 IPV4 位址,做為用於次要通訊協定 (RDP、PCoIP、Framework 通道等) 的目的地 IP 位址。如果在外部公開的位址與桌面平台機器的位址不相符,則只會設定此值。通常,此位址處於 NAT 環境。預設沒有設定任何值。 |
| 外部 PCoIP 連接埠 | 傳送給 Horizon Client 的連接埠號碼,做為用於 PCoIP 通訊協定的目的地 TCP/UDP 連接埠號碼。數字前的 + 字元表示用於 HTTPS 之連接埠號碼中的相對數字。如果在外部公開的連接埠號碼與服務正在接聽的連接埠不相符,則只會設定此值。通常,此連接埠號碼處於 NAT 環境。預設沒有設定任何值。 |
| 外部 RDP 連接埠 | 傳送給 Horizon Client 的連接埠號碼,做為用於 RDP 通訊協定的目的地 TCP 連接埠號碼。數字前的 + 字元表示用於 HTTPS 之連接埠號碼中的相對數字。如果在外部公開的連接埠號碼與服務正在接聽的連接埠不相符,則只會設定此值。通常,此連接埠號碼處於 NAT 環境。預設沒有設定任何值。 |
| HTTPS 連接埠號碼 | 外掛程式接聽來自 Horizon Client 的傳入 HTTPS 要求的 TCP 連接埠。如果此值已變更,則必須對 Windows 防火牆進行對應的變更,以允許傳入流量。預設值為 443。 |
外部連接埠號碼和外部 IP 位址值用於網路位址轉譯 (NAT) 和連接埠對應支援。如需詳細資訊,請參閱Windows - 使用網路位址轉譯和連接埠對應。
對於智慧卡驗證,簽署智慧卡憑證的憑證授權機構 (CA) 必須位於 Windows 憑證存放區中。如需如何新增憑證授權機構的相關資訊,請參閱
Windows - 設定智慧卡驗證。
備註: 如果使用者嘗試使用智慧卡登入 Windows 7 或 Windows Server 2008 R2 機器且智慧卡憑證已由中繼 CA 簽署,則嘗試可能會失敗,因為 Windows 會向用戶端傳送不含中繼 CA 名稱的受信任的簽發者清單。如果發生這種情況,用戶端將無法選取適當的智慧卡憑證。若要避免此問題,請在登錄機碼
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL 中將登錄值
SendTrustedIssuerList (REG_DWORD) 設定為 0。將此登錄值設定為 0 後,Windows 不會向用戶端傳送受信任的簽發者清單,因此,便可透過智慧卡選取所有有效憑證。
(Linux) Horizon Agent Direct-Connection 外掛程式組態設定
若為 Linux 桌面平台,Horizon Agent Direct-Connection 外掛程式組態設定位於 /etc/vmware/vadc/viewagent-vadc.conf 組態檔案中。
備註: 執行
Horizon Agent 2111 或更新版本的 Linux 桌面平台上支援 Horizon Agent Direct-Connection 外掛程式。
| 設定 | 說明 |
|---|---|
| AgentDisconnectTimeout | 在用戶端工作階段中斷連線後,Horizon Agent 會先等待這個期間 (以分鐘為單位),再從桌面平台登出。若要停用自動登出,並讓用戶端無限期地保持登入到桌面平台的狀態,請將此值設定為 0。若要在用戶端將工作階段中斷連線時,就立即從桌面平台登出,請將此值設定為 -1。預設值為 0。 |
| AgentEmptySessionLogoff | 指定在經過 AgentEmptySessionTimeout 原則所指定的期間之後,是要登出還是與應用程式工作階段中斷連線。若要指定登出動作,請將此值設定為 TRUE。若要指定中斷連線動作,請將此值設定為 FALSE。如果未進行此設定,則預設值為 FALSE。 |
| AgentEmptySessionTimeout | 在用戶端使用者關閉所有應用程式視窗之後,Horizon Agent 會先等待這個期間 (以分鐘單位),再與應用程式工作階段中斷連線或從中登出。若要讓用戶端無限期地保持連線或登入到應用程式工作階段的狀態,請將此值設定為 0。若要在應用程式視窗均已關閉時,立即與應用程式工作階段中斷連線或從中登出,請將此值設定為 -1。預設值是 1 分鐘。 此逾時原則會與 AgentEmptySessionLogoff 原則所指定的動作 (與工作階段中斷連線或從中登出) 搭配使用。 |
| AgentPreLaunchSessionTimeout | 如果用戶端使用者未啟動應用程式,Horizon Agent 會讓應用程式工作階段保持使用中狀態的最長時間 (以分鐘為單位)。若要讓應用程式工作階段無限期地保持使用中狀態,請將此值設定為 0。預設值是 10 分鐘。 |
| ClientAlwaysConnect | 將此值設定為 TRUE 可啟用原則,設定為 FALSE 則可停用原則。此設定會傳送至 Horizon Client。如果將此原則設為 TRUE,則該原則會覆寫所有儲存的用戶端喜好設定。預設沒有設定任何值。 |
| ClientAutoConnect | 此設定會覆寫任何儲存的 Horizon Client 喜好設定。將此值設定為 TRUE 可啟用原則,設定為 FALSE 則可停用原則。預設沒有設定任何值。 |
| ClientCredentialCacheTimeout | Horizon Client 允許使用者使用儲存的密碼的時段 (以分鐘為單位)。0 表示從不,而 -1 表示永久。Horizon Client 可讓使用者選擇在此設定設為有效值時,儲存其密碼。如果未進行此設定,則預設值為 0 (從不)。 |
| ClientScreenSize | 傳送到 Horizon Client 的設定。如果有設定,則會覆寫任何已儲存的用戶端喜好設定。如果未設定,則會使用用戶端喜好設定。 |
| ClientSessionTimeout | Horizon Client 允許最後一次回報的使用者活動在經過這個期間 (以秒為單位) 後,才將工作階段視為閒置,並考慮中斷連線。最小值為 300 秒 (5 分鐘)。預設值為 36000 秒 (10 小時)。 |
| CSRFProtectionEnabled | 指定是否透過在 Web 服務要求中傳送 X-CSRF-TOKEN 來啟用 CSRF 保護。如果設定為 TRUE,則會啟用保護。如果設定為 FALSE,則將停用保護。預設值為 TRUE。 |
| DesktopName | 遠端桌面平台的名稱。如果未進行此設定,則桌面平台會使用主機的名稱。 |
| DisclaimerFile | 要在 Horizon Client 使用者登入時向其顯示的免責聲明文字所在檔案的路徑。預設沒有設定任何值。 |
| DomainName | 設定用戶端使用者的 FQDN 網域名稱。如果將機器加入某個網域,系統會自動擷取網域名稱,因此就不需要進行此設定。 如果使用 LDAP 驗證服務,卻未將 Linux 機器加入某個網域,則請進行此設定以擷取網域名稱。將預留位置值 |
| EntitleGroups | 允許其成員存取直接連線桌面平台或應用程式的使用者群組或群組清單。依預設, 若要設定其他權利群組,請將群組名稱新增到設定清單中,並使用冒號來分隔每個名稱。 |
| ExternalBlastPort | 傳送給 Horizon Client 的連接埠號碼,會作為透過連接埠對應裝置來進行 Blast 連線的目的地 TCP 連接埠號碼。數字前的 + 字元表示用於 NAT HTTPS 之連接埠號碼中的相對數字。如果在外部公開的連接埠號碼與服務正在接聽的連接埠不相符,則只會設定此值。一般來說,此連接埠號碼會用於 NAT 環境。預設沒有設定任何值。 |
| ExternalIPAddress | 傳送給 Horizon Client 的 IPv4 位址,會作為透過連接埠對應裝置來進行 Blast 連線的目的地 IP 位址。如果在外部公開的位址與桌面平台機器的位址不相符,則只會設定此值。一般來說,此位址會用於 NAT 環境。預設沒有設定任何值。 |
| HTTPSPortNumber | 外掛程式接聽來自 Horizon Client 的傳入 HTTPS 要求的 TCP 連接埠。預設值為 8443。 |
| MaxSessions | Horizon Agent 支援的已發佈桌面平台或已發佈應用程式工作階段數目上限。只有在 Linux 機器設定為多重工作階段主機時,此原則才會生效。預設值為 50。 |
| ResetEnabled | 可將值設為 TRUE 或 FALSE。設定為 TRUE 時,已驗證的 Horizon Client 可以執行作業系統層級的重新開機作業。如果未進行此設定,則預設值為 FALSE,並且會停用重新開機功能。 |
| SessionTimeout | 使用 Horizon Client 登入後,使用者可保持工作階段為開啟狀態的時段。此值以分鐘為單位設定,值為 -1 表示永久。預設值是 600 分鐘 (10 小時)。達到此逾時後,會中斷連線所有的使用者桌面平台和應用程式工作階段。 |
| USBAutoConnect | 可將值設為 TRUE 或 FALSE。如果設定為 TRUE,Horizon Client 會在有 USB 裝置插入時,自動將其連線到桌面平台。如果設定此原則,則會覆寫所有已儲存的用戶端喜好設定。預設沒有設定任何值。 |
| UserIdleTimeout | 如果此時段的 Horizon Client 上不存在任何使用者活動,則會中斷連線使用者的桌面平台和應用程式工作階段。此值以秒為單位設定。值為 -1 表示工作階段永遠不會中斷連線。預設值為 900 秒 (15 分鐘)。 |
| X509CertAuth | 智慧卡 X.509 憑證驗證的支援層級。此值可以設定為 0 (停用)、1 (允許) 或 2 (必要)。預設值為 0。 |
