让WYSE终端连接View桌面
2017-11-07
故障现象
WYSE D200终端在登录连 接Horizon View 7.0的虚拟桌面时,提示“会话协商失败。零客户端可能与主机会话协商密码设置不兼容”,不能登录。
故障原因
这个问题的原因是,WYSE D200终端使用PCoIP协议连接View桌面时,使用的是TLS 1.0,而Horizon View 7.0连接服务器与View桌面,默认使用的是TLS 1.1与1.2,不使用 TLS 1.0。要想让WYSE D200终端使用Horizon 7的虚拟桌面,必须修改View连接服务器、View桌面以启动TLS 1.0协议。
要修改View桌面,有两种办法,一种是在配置View桌面时,直接在“父虚拟机”中修改,另一种是使用ADM模板文件pcoip.adm,使用组策略修改替换View桌面。通常情况下我们是修改组策略来解决。
图1 为View桌面创建OU
图2 配置SSL协议
修改操作
以域管理员身份登录到域控制器,在域控制器为View桌面加载并修改pcoip.adm文件。为了避免组策略覆盖非View桌面的计算机,在配置View桌面池时,要为View桌面单独指定一个“组织单位”。本示例在“Active Directory用户和计算机”中,为所有的View桌面创建了一个名为“Win7X-PC”的组织单位(如图1)。
当前配置的View桌面版本是7.1.0,下载的ADM模板文件名是“VMware-Horizon-Extras-Bundle-4.4.0-5171611.zip”,大小为 2.73MB,将其解压缩到一个文件夹,例如D盘TEMP文件夹。
1.打开“组策略管理”,为“Win7X-PC”组织单位创建组策略,然后右击,选择“编辑”。打开Win7X-PC的组策略编辑顺,在“计算机配置→策略”中右击“管理模板”,选择“添加/删除模板”,在打开的“添加/删除模板”对话框中,单击“添加”按钮,浏览选择解压缩展开的ADM文件,从中选择pcoip.adm,然后单击“关闭”按钮。
2.展开“管理模板→管理模板→PCoIP Session Variables→ Overridable Administrator Default”,双击右侧的“Configure SSL protocols”(如图 2)。
3.在“Configure SSL protocols”对话框中单击“己启用”,在“Configure SSL protocols”文本框中输入“TLS1.0:TLS1.1:TLS1.2”,然后单击“确定”按钮(如图3)。
4.关闭组策略编辑器,执行gpupdate /force更新组策略。
说明:View PCoIP 会话变量 ADM 模板文件(pcoip.adm)包含与PCoIP显示协议有关的策略设置。可以将设置配置为可被管理员覆盖的默认值,或配置为不可覆盖的值。
此ADM文件在一个名为 VMware-Horizon-View-Extras-Bundle-x.x.xyyyyyyy.zip 的 .zip 捆绑包文件中提供,您可以从 VMware Horizon(包 含View)下载站点下载,网址为http://www.vmware.com/go/downloadview。
View PCoIP会话变量ADM模板文件包含两个子类别:
图3 配置SSL协议
图4 添加字符串值
(1)管理员可覆盖的默认值。指定 PCoIP 会话变量的默认值。这些设置可被管理员覆盖。这些设置将注册表项值写入HKLMSoftwarePoliciesTeradiciPCoIPpcoip_admin_defaults 中。
(2)管理员不可覆盖的设置。包含与“管理员可覆盖的默认值”相同的设置,但这些设置不能被管理员覆盖。这些设置将注册表项值写入 HKLMSoftwarePoliciesTeradiciPCoIPpcoip_admin 中。
如果不修改组策略,也可以修改View父虚拟机(包括Windows VDI桌面计算机、RDS桌面或远程应用程序的Windows RDS主机等)。
打开注册组编辑器,定位到HKLMSoftwareTeradiciPCoIP,新 建字符串值,名称是 pcoip.ssl_protocol,数据是TLS1.0:TLS1.1:TLS1.2。
最后,登录到View连接服务器,执行regedit,定位到HKLMSOFTWARETeradiciSecurityGateway,在右侧右击,选择新建“字符串值”,名称为SSLProtocol,数据为tls1.2:tls1.1:tls1.0(如图 4)。
经过上述修改后,WYSE终端即可以登录View桌面。如果不能登录,请将所有的View桌面虚拟机重新启动并应用组策略即可。