Mode d'emploi | VMware Horizon View 5.2 Manuel utilisateur

Ajouter à Mes manuels
144 Des pages
Mode d'emploi | VMware Horizon View 5.2 Manuel utilisateur | Fixfr
Installation de VMware Horizon View
Présentation 5.2
Présentation Manager 5.2
Présentation Composer 5.2
Ce document prend en charge la version de chacun des produits
répertoriés, ainsi que toutes les versions publiées par la suite
jusqu'au remplacement dudit document par une nouvelle édition.
Pour rechercher des éditions plus récentes de ce document, rendezvous sur : http://www.vmware.com/fr/support/pubs.
FR-001020-00
Installation de VMware Horizon View
Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :
http://www.vmware.com/fr/support/
Le site Web de VMware propose également les dernières mises à jour des produits.
N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :
[email protected]
Copyright © 2010–2013 VMware, Inc. Tous droits réservés. Ce produit est protégé par les lois américaines et internationales
relatives au copyright et à la propriété intellectuelle. Les produits VMware sont protégés par un ou plusieurs brevets répertoriés
à l'adresse http://www.vmware.com/go/patents-fr.
VMware est une marque déposée ou une marque de VMware, Inc. aux États-Unis et/ou dans d'autres juridictions. Toutes les
autres marques et noms mentionnés sont des marques déposées par leurs propriétaires respectifs.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
2
VMware, Inc.
100-101 Quartier Boieldieu
92042 Paris La Défense
France
www.vmware.com/fr
VMware, Inc.
Table des matières
Installation de VMware Horizon View 5
1 Configuration requise pour les composants serveur 7
Exigences de View Connection Server 7
Exigences de View Administrator 9
Exigences de View Composer 10
Exigences de View Transfer Server 12
2 Configuration requise pour les systèmes d'exploitation client 15
Systèmes d'exploitation pris en charge pour View Agent 15
Systèmes d'exploitation pris en charge pour View Persona Management autonome 16
Prise en charge du protocole d'affichage à distance et logicielle 16
3 Préparation d'Active Directory 21
Configuration de domaines et de relations d'approbation 21
Création d'une UO pour des postes de travail View 22
Création d'UO et de groupes pour des comptes de client en mode kiosque 22
Création de groupes pour les utilisateurs de View 23
Création d'un compte d'utilisateur pour vCenter Server 23
Créer un compte d'utilisateur pour View Composer 23
Configurer la stratégie Groupes restreints 24
Utilisation de fichiers de modèle d'administration de stratégie de groupe de View 25
Préparer Active Directory pour l'authentification par carte à puce 25
4 Installation de View Composer 29
Préparer une base de données View Composer 29
Configuration d'un certificat SSL pour View Composer 36
Installer le service View Composer 36
Configuration de votre infrastructure pour View Composer
38
5 Installation de View Connection Server 41
Installation du logiciel View Connection Server 41
Conditions préalables d'installation pour Serveur de connexion View 42
Installer Serveur de connexion View avec une nouvelle configuration 42
Installer une instance répliquée de Serveur de connexion View 47
Configurer un mot de passe de couplage de serveur de sécurité 53
Installer un serveur de sécurité 54
Règles de pare-feu pour le serveur de connexion View 61
Réinstaller Serveur de connexion View avec une configuration de sauvegarde 63
Options de ligne de commande Microsoft Windows Installer 64
Désinstallation en silence de produits View à l'aide d'options de ligne de commande MSI 66
VMware, Inc.
3
Installation de VMware Horizon View
6 Installation de View Transfer Server 67
Installer Serveur de transfert View 68
Ajouter Serveur de transfert View à View Manager 69
Configurer le référentiel de Serveur de transfert 70
Règles de pare-feu pour Serveur de transfert View 72
Installation de View Transfer Server en silence 72
7 Configuration de certificats SSL pour des View Servers 75
Comprendre les certificats SSL pour des serveurs View Server 76
Présentation des tâches de configuration des certificats SSL 77
Obtention d'un certificat SSL signé auprès d'une autorité de certification 78
Configurer Serveur de connexion View, le serveur de sécurité ou View Composer pour utiliser un
nouveau certificat SSL 80
Configurer des View Client pour approuver des certificats racine et intermédiaires 85
Configuration de la vérification de la révocation des certificats sur des certificats de serveur 87
Configuration de la vérification de certificat dans View Client pour Windows 88
Configurer PCoIP Secure Gateway pour utiliser un nouveau certificat SSL 89
Serveur de transfert View et certificats SSL 93
Configuration de View Administrator pour approuver un certificat de vCenter Server ou View
Composer 94
Avantages des certificats SSL signés par une autorité de certification (CA) 94
8 Première configuration de View 95
Configuration de comptes d'utilisateur pour vCenter Server et View Composer 95
Première configuration de Serveur de connexion View 100
Configuration de connexions View Client 112
Remplacement des ports par défaut pour les services View 118
Dimensionnement de paramètres de Windows Server pour prendre en charge votre déploiement 122
9 Ajout du plug-in de postes de travail View à vSphere Web Client 125
Ajouter le plug-in View Desktops 125
Rechercher des utilisateurs View dans vSphere Web Client 130
Retirer le plug-in View Desktops 130
10 Configuration du reporting d'événements 133
Ajouter une base de données et un utilisateur de base de données pour des événements View 133
Préparer une base de données SQL Server pour le reporting d'événements 134
Configurer la base de données des événements 135
Configurer la journalisation des événements pour des serveurs Syslog 136
Index 139
4
VMware, Inc.
Installation de VMware Horizon View
Le document Installation de VMware Horizon View explique comment installer les composants serveur et client
®
VMware Horizon View™.
Public cible
Ces informations sont destinées à toute personne souhaitant installer VMware Horizon View. Les informations
sont destinées aux administrateurs système Windows ou Linux expérimentés qui connaissent bien le
fonctionnement des datacenters et de la technologie des machines virtuelles.
VMware, Inc.
5
Installation de VMware Horizon View
6
VMware, Inc.
Configuration requise pour les
composants serveur
1
Les hôtes exécutant des composants serveur VMware Horizon View doivent satisfaire des exigences
matérielles et logicielles spécifiques.
Ce chapitre aborde les rubriques suivantes :
n
« Exigences de View Connection Server », page 7
n
« Exigences de View Administrator », page 9
n
« Exigences de View Composer », page 10
n
« Exigences de View Transfer Server », page 12
Exigences de View Connection Server
View Connection Server agit comme un broker pour les connexions client en authentifiant et en dirigeant les
demandes entrantes d'utilisateur vers le poste de travail View approprié. View Connection Server a des
exigences matérielles, de système d'exploitation, d'installation et de logiciels pris en charge spécifiques.
n
Exigences matérielles de Serveur de connexion View page 8
Vous devez installer tous les types d'installations de Serveur de connexion View, notamment les
installations standard, de réplica et de serveur de sécurité, sur une machine physique ou virtuelle dédiée
ayant la configuration matérielle requise.
n
Systèmes d'exploitation pris en charge pour Serveur de connexion View page 8
Vous devez installer Serveur de connexion View sur un système d'exploitation Windows Server 2008 R2.
n
Exigences de logiciel de virtualisation pour le serveur de connexion View page 8
Serveur de connexion View requiert certaines versions du logiciel de virtualisation VMware.
n
Exigences de réseau pour des instances répliquées de Serveur de connexion View page 9
Si vous installez des instances répliquées de Serveur de connexion View, configurez les instances dans
le même emplacement et connectez-les sur un réseau LAN haute performance.
VMware, Inc.
7
Installation de VMware Horizon View
Exigences matérielles de Serveur de connexion View
Vous devez installer tous les types d'installations de Serveur de connexion View, notamment les installations
standard, de réplica et de serveur de sécurité, sur une machine physique ou virtuelle dédiée ayant la
configuration matérielle requise.
Tableau 1-1. Exigences matérielles de Serveur de connexion View
Composant matériel
Requis
Recommandé
Processeur
Processeur Pentium IV 2 GHz ou
plus
4 CPU
Réseau
Une ou plusieurs cartes réseau
de 10/100 Mbits/s
Des cartes réseau de 1 Gbit/s
Mémoire
Windows Server 2008 64 bits
RAM de 4 Go ou plus
Au moins RAM de 10 Go pour les déploiements de
50 postes de travail View ou plus
Ces exigences s'appliquent également à des instances de Serveur de connexion View de réplica et de serveur
de sécurité que vous installez pour une disponibilité élevée ou un accès externe.
IMPORTANT La machine physique ou virtuelle qui héberge Serveur de connexion View doit utiliser une adresse
IP statique.
Systèmes d'exploitation pris en charge pour Serveur de connexion View
Vous devez installer Serveur de connexion View sur un système d'exploitation Windows Server 2008 R2.
Les systèmes d'exploitation suivants prennent en charge tous les types d'installations de Serveur de connexion
View, y compris les installations standard, de réplica et de serveur de sécurité.
Tableau 1-2. Prise en charge de système d'exploitation pour Serveur de connexion View
Système d'exploitation
Version
Édition
Windows Server 2008 R2
64 bits
Standard
Enterprise
Windows Server 2008 R2 SP1
64 bits
Standard
Enterprise
Exigences de logiciel de virtualisation pour le serveur de connexion View
Serveur de connexion View requiert certaines versions du logiciel de virtualisation VMware.
Si vous utilisez vSphere, vous devez utiliser une version prise en charge des hôtes de vSphere ESX/ESXi et de
vCenter Server.
Pour plus d'informations sur les versions d'Horizon View compatibles avec les versions de vCenter Server et
ESX/ESXi, consultez la matrice d'interopérabilité des produits VMware à l'adresse
http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
8
VMware, Inc.
Chapitre 1 Configuration requise pour les composants serveur
Exigences de réseau pour des instances répliquées de Serveur de connexion
View
Si vous installez des instances répliquées de Serveur de connexion View, configurez les instances dans le même
emplacement et connectez-les sur un réseau LAN haute performance.
Lorsque vous installez des instances répliquées de Serveur de connexion View, vous devez configurer les
instances dans le même emplacement physique et les connecter sur un réseau LAN haute performance.
N'utilisez pas un réseau WAN, un réseau MAN (Metropolitan Area Network) ou autre réseau non LAN pour
connecter des instances répliquées de Serveur de connexion View.
Même un réseau WAN, MAN ou autre réseau non LAN haute performance avec une latence faible et un débit
élevé peut connaître des périodes pendant lesquelles le réseau ne peut pas fournir les caractéristiques de
performance nécessaires pour que des instances de Serveur de connexion View préservent la cohérence.
Si les configurations View LDAP sur des instances de Serveur de connexion View deviennent incohérentes,
les utilisateurs peuvent ne pas être capables d'accéder à leurs postes de travail. L'accès d'un utilisateur peut
être refusé lors de la connexion à une instance de Serveur de connexion View avec une configuration périmée.
Exigences de View Administrator
Des administrateurs utilisent View Administrator pour configurer Serveur de connexion View, déployer et
gérer des postes de travail, contrôler l'authentification utilisateur, initier et examiner des événements système
et effectuer des activités analytiques. Les systèmes client qui exécutent View Administrator doivent satisfaire
un certain nombre d'exigences.
View Administrator est une application Web installée lorsque vous installez Serveur de connexion View. Vous
pouvez accéder et utiliser View Administrator avec les navigateurs Web suivants :
n
Internet Explorer 8
n
Internet Explorer 9
n
Internet Explorer 10 (sur un système Windows 8 en mode Bureau)
n
Firefox 6 et versions supérieures
Pour utiliser View Administrator avec votre navigateur Web, vous devez installer Adobe Flash Player 10 ou
supérieur. Votre système client doit avoir un accès à Internet pour permettre l'installation d'Adobe Flash Player.
L'ordinateur sur lequel vous lancez View Administrator doit approuver les certificats racine et intermédiaires
du serveur qui héberge Serveur de connexion View. Les navigateurs pris en charge contiennent déjà des
certificats pour toutes les autorités de certification reconnues. Si vos certificats proviennent d'une autorité de
certification qui n'est pas reconnue, vous devez suivre les instructions du document Installation de
VMware Horizon View sur l'importation des certificats racine et intermédiaires.
Pour afficher le texte correctement, View Administrator requiert des polices spécifiques de Microsoft. Si votre
navigateur Web s'exécute sur un système d'exploitation autre que Windows, tel que Linux, UNIX ou Mac OS X,
assurez-vous que des polices Microsoft sont installées sur votre ordinateur.
Actuellement, le site Web Microsoft ne distribue pas de polices Microsoft, mais vous pouvez les télécharger
sur des sites Web indépendants.
VMware, Inc.
9
Installation de VMware Horizon View
Exigences de View Composer
View Manager utilise View Composer pour déployer plusieurs postes de travail de clone lié à partir d'une
image de base centrale unique. View Composer a des exigences d'installation et de stockage spécifiques.
n
Systèmes d'exploitation pris en charge pour View Composer page 10
View Composer prend en charge les systèmes d'exploitation 64 bits avec des exigences et des limites
spécifiques. Vous pouvez installer View Composer sur la même machine physique ou virtuelle que
vCenter Server ou sur un serveur distinct.
n
Exigences matérielles de View Composer autonome page 10
Avec View 5.1 et versions supérieures, View Composer n'a plus besoin d'être installé sur la même
machine physique ou virtuelle que vCenter Server. Si vous installez View Composer sur un serveur
séparé, vous devez utiliser une machine physique ou virtuelle dédiée qui satisfait des exigences
matérielles spécifiques.
n
Exigences de base de données pour View Composer page 11
View Composer requiert une base de données SQL pour stocker des données. La base de données View
Composer doit résider sur, ou être disponible pour, l'hôte du serveur View Composer.
Systèmes d'exploitation pris en charge pour View Composer
View Composer prend en charge les systèmes d'exploitation 64 bits avec des exigences et des limites
spécifiques. Vous pouvez installer View Composer sur la même machine physique ou virtuelle que vCenter
Server ou sur un serveur distinct.
Tableau 1-3. Support de système d'exploitation pour View Composer
Système d'exploitation
Version
Édition
Windows Server 2008 R2
64 bits
Standard
Enterprise
Windows Server 2008 R2 SP1
64 bits
Standard
Enterprise
Si vous envisagez d'installer View Composer sur une machine physique ou virtuelle différente de celle de
vCenter Server, voir « Exigences matérielles de View Composer autonome », page 10.
Exigences matérielles de View Composer autonome
Avec View 5.1 et versions supérieures, View Composer n'a plus besoin d'être installé sur la même machine
physique ou virtuelle que vCenter Server. Si vous installez View Composer sur un serveur séparé, vous devez
utiliser une machine physique ou virtuelle dédiée qui satisfait des exigences matérielles spécifiques.
Une installation de View Composer autonome fonctionne avec vCenter Server installé sur un ordinateur
Windows Server et avec vCenter Server Appliance basé sur Linux. VMware recommande d'avoir un mappage
un-à-un entre chaque service View Composer et instance de vCenter Server.
Tableau 1-4. Exigences matérielles de View Composer
10
Composant matériel
Requise
Recommandé
Processeur
Processeur Intel 64 ou AMD 64
1,4 GHz ou plus avec 2 CPU
2 GHz ou plus et 4 CPU
Réseau
Une ou plusieurs cartes réseau
de 10/100 Mbits/s
Des cartes réseau de 1 Gbit/s
VMware, Inc.
Chapitre 1 Configuration requise pour les composants serveur
Tableau 1-4. Exigences matérielles de View Composer (suite)
Composant matériel
Requise
Recommandé
Mémoire
RAM de 4 Go ou plus
RAM de 8 Go ou plus pour des déploiements de
50 postes de travail View ou plus
Espace disque
40 Go
60 Go
IMPORTANT La machine physique ou virtuelle qui héberge View Composer doit utiliser une adresse IP statique.
Exigences de base de données pour View Composer
View Composer requiert une base de données SQL pour stocker des données. La base de données View
Composer doit résider sur, ou être disponible pour, l'hôte du serveur View Composer.
Si un serveur de base de données existe déjà pour vCenter Server, View Composer peut utiliser ce serveur s'il
s'agit d'une version répertoriée dans le Tableau 1-5. Par exemple, View Composer peut utiliser l'instance de
Microsoft SQL Server 2005 ou 2008 Express fournie avec vCenter Server. Si aucun serveur de base de données
n'existe, vous devez en installer un.
View Composer prend en charge un sous-ensemble des serveurs de base de données que vCenter Server prend
en charge. Si vous utilisez déjà vCenter Server avec un serveur de base de données qui n'est pas pris en charge
par View Composer, continuez à utiliser ce serveur de base de données pour vCenter Server et installez un
serveur de base de données séparé à utiliser pour des événements de base de données View Composer et View
Manager.
IMPORTANT Si vous créez la base de données View Composer sur la même instance de SQL Server que vCenter
Server, ne remplacez pas la base de données vCenter Server.
Tableau 1-5 répertorie les serveurs de base de données pris en charge et leurs versions. Pour voir une liste
complète des versions de base de données prises en charge avec vCenter Server, consultez les matrices de
compatibilité de VMware vSphere sur le site Web de documentation de VMware vSphere.
Les versions de vCenter Server répertoriées dans les titres de colonne de tableau sont générales. Pour voir les
versions de mise à jour prises en charge spécifiques de chaque version de vCenter Server, consultez les Matrices
de compatibilité de VMware vSphere dans la documentation présente sur le site Web de VMware vSphere.
Tableau 1-5. Serveurs de base de données pris en charge pour View Composer
vCenter
Server 5.1
vCenter
Server 5,0
vCenter
Server 4.1
vCenter
Server 4,0
Microsoft SQL Server 2005 (SP4), Standard, Enterprise et
Datacenter
(32 et 64 bits)
Oui
Oui
Standard
uniquement
Standard
uniquement
Microsoft SQL Server 2008 Express (R2 SP1)
(64 bits)
Oui
Oui
Non
Non
Microsoft SQL Server 2008 (SP2), Standard, Enterprise et
Datacenter
(32 et 64 bits)
Oui
Oui
Oui
Oui
Microsoft SQL Server 2008 (R2), Standard et Enterprise
(32 et 64 bits)
Oui
Oui
Oui
Oui
Base de données
VMware, Inc.
11
Installation de VMware Horizon View
Tableau 1-5. Serveurs de base de données pris en charge pour View Composer (suite)
vCenter
Server 5.1
vCenter
Server 5,0
vCenter
Server 4.1
vCenter
Server 4,0
Oracle 10g Release 2, Standard, Standard ONE et Enterprise
[10.2.0.4]
(32 et 64 bits)
Oui
Oui
Oui
Oui
Oracle 11g Release 2, Standard, Standard ONE et Enterprise
[11.2.0.1]
avec Patch 5
(32 et 64 bits)
Oui
Oui
Oui
Oui
Base de données
REMARQUE Si vous utilisez une base de données Oracle 11g R2, vous devez installer Oracle 11.2.0.1 Patch 5.
Ce correctif s'applique aux versions 32 et 64 bits.
Exigences de View Transfer Server
View Transfer Server est un composant facultatif de View Manager qui prend en charge la restitution,
l'emprunt et la réplication de postes de travail exécutés en mode local. View Transfer Server a des exigences
d'installation, de système d'exploitation et de stockage spécifiques.
n
Exigences d'installation et de mise à niveau du serveur de transfert View page 12
Vous devez installer Serveur de transfert View comme application Windows dans une machine virtuelle
qui satisfait des exigences spécifiques.
n
Systèmes d'exploitation pris en charge pour Serveur de transfert View page 13
Vous devez installer Serveur de transfert View sur un système d'exploitation pris en charge avec au
moins la quantité minimale requise de RAM.
n
Exigences de stockage pour View Transfer Server page 13
View Transfer Server transfère du contenu statique vers et depuis le référentiel de Transfer Server et du
contenu dynamique entre des postes de travail locaux et des postes de travail distants dans le datacenter.
View Transfer Server a des exigences de stockage spécifiques.
Exigences d'installation et de mise à niveau du serveur de transfert View
Vous devez installer Serveur de transfert View comme application Windows dans une machine virtuelle qui
satisfait des exigences spécifiques.
IMPORTANT Si des utilisateurs vont emprunter des postes de travail locaux qui utilisent le format de disque
fragmenté à optimisation d'espace (SE-Flex), disponible à partir de vSphere 5.1, Serveur de transfert View doit
être hébergé sur une machine virtuelle vSphere 5.1 ou supérieur (version matérielle virtuelle 9). Le format de
disque fragmenté à optimisation d'espace permet de récupérer des données périmées ou supprimées dans un
système d'exploitation client avec un processus d'effacement et de réduction.
Pour utiliser la fonction de récupération d'espace, vous devez vérifier que vos hôtes de vCenter Server sont à
la version 5.1 avec le correctif de téléchargement ESXi 5.1 ESXi510-201212001 ou supérieur. Dans un cluster
ESXi, vérifiez que tous les hôtes sont à la version 5.1 avec le correctif de téléchargement ESXi510-201212001 ou
supérieur.
La machine virtuelle qui héberge Serveur de transfert View doit satisfaire plusieurs exigences concernant la
connectivité réseau :
12
n
Il doit être géré par la même instance de vCenter Server que les postes de travail locaux qu'il gérera.
n
Elle ne doit pas faire partie d'un domaine.
n
Elle doit utiliser une adresse IP statique.
VMware, Inc.
Chapitre 1 Configuration requise pour les composants serveur
Le logiciel Serveur de transfert View ne peut pas coexister sur la même machine virtuelle avec tout autre
composant logiciel View Manager, notamment Serveur de connexion View.
N'ajoutez ou ne supprimez pas manuellement des périphériques PCI sur la machine virtuelle qui héberge
Serveur de transfert View. Si vous ajoutez ou supprimez des périphériques PCI, View peut être incapable de
découvrir des périphériques ajoutés à chaud, ce qui peut entraîner l'échec des opérations de transfert des
données.
Vous pouvez installer plusieurs instances de Serveur de transfert View pour une haute disponibilité et une
évolutivité.
Systèmes d'exploitation pris en charge pour Serveur de transfert View
Vous devez installer Serveur de transfert View sur un système d'exploitation pris en charge avec au moins la
quantité minimale requise de RAM.
Tableau 1-6. Prise en charge de systèmes d'exploitation pour Serveur de transfert View
Système d'exploitation
Version
Édition
RAM minimale
Windows Server 2008 R2
64 bits
Standard
Enterprise
4 Go
Windows Server 2008 R2 SP1
64 bits
Standard
Enterprise
4 Go
IMPORTANT Configurez deux CPU virtuelles pour les machines virtuelles qui hébergent Serveur de transfert
View.
Exigences de stockage pour View Transfer Server
View Transfer Server transfère du contenu statique vers et depuis le référentiel de Transfer Server et du contenu
dynamique entre des postes de travail locaux et des postes de travail distants dans le datacenter. View Transfer
Server a des exigences de stockage spécifiques.
n
Le disque dur sur lequel vous configurez le référentiel de Transfer Server doit comporter suffisamment
d'espace pour stocker vos fichiers d'image statique. Les fichiers d'image sont des images de base View
Composer.
n
View Transfer Server doit avoir accès aux magasins de données qui stockent les disques de poste de travail
à transférer. Les magasins de données doivent être accessibles depuis l'hôte ESX/ESXi sur lequel la machine
virtuelle View Transfer Server est exécutée.
n
Le nombre maximum recommandé de transferts de disque simultanés que View Transfer Server peut
prendre en charge est 20.
Lors d'une opération de transfert, le disque virtuel d'un poste de travail local est monté sur View Transfer
Server. La machine virtuelle View Transfer Server a quatre contrôleurs SCSI. Cette configuration permet
de lier plusieurs disques à la machine virtuelle à la fois.
n
Comme les postes de travail locaux peuvent contenir des données utilisateur sensibles, assurez-vous que
les données sont cryptées lors de leur transfert sur le réseau.
Dans View Administrator, vous pouvez configurer des options de sécurité pour le transfert des données
sur chaque instance de View Connection Server. Pour configurer ces options dans View Administrator,
cliquez sur [View Configuration (Configuration de View)] > [Servers (Serveurs)] , sélectionnez une
instance de View Connection Server et cliquez sur [Edit (Modifier)] .
n
Lorsque View Transfer Server est ajouté à View Manager, sa stratégie d'automatisation DRS (Distributed
Resource Scheduler) est définie sur Manual (Manuel), ce qui désactive efficacement DRS.
VMware, Inc.
13
Installation de VMware Horizon View
Pour migrer une instance de View Transfer Server sur un autre hôte ESX ou magasin de données, vous
devez placer l'instance en mode de maintenance avant de commencer la migration.
Lorsque View Transfer Server est supprimé de View Manager, la règle d'automatisation DRS est
réinitialisée à la valeur qu'elle avait avant l'ajout de View Transfer Server à View Manager.
14
VMware, Inc.
2
Configuration requise pour les
systèmes d'exploitation client
Les systèmes exécutant View Agent ou View Persona Management autonome doivent satisfaire certaines
exigences matérielles et logicielles.
Ce chapitre aborde les rubriques suivantes :
n
« Systèmes d'exploitation pris en charge pour View Agent », page 15
n
« Systèmes d'exploitation pris en charge pour View Persona Management autonome », page 16
n
« Prise en charge du protocole d'affichage à distance et logicielle », page 16
Systèmes d'exploitation pris en charge pour View Agent
Le composant View Agent facilite la gestion des sessions, l'ouverture de session unique et la redirection de
périphérique. Vous devez installer View Agent sur l'ensemble des machines virtuelles, des systèmes physiques
et des serveurs Terminal Server qui seront gérés par View Manager.
Tableau 2-1. Prise en charge de systèmes d'exploitation pour View Agent
Système d'exploitation client
Version
Édition
Service Pack
Windows 8
64 bits et 32 bits
Enterprise et
Professional
S/O
Windows 7
64 bits et 32 bits
Enterprise et
Professional
Aucun et SP1
Windows Vista
32 bits
Business et Enterprise
SP1 et SP2
Windows XP
32 bits
Professional
SP3
Windows 2008 R2 Terminal Server
64 bits
Standard
SP1
Windows 2008 Terminal Server
64 bits
Standard
SP2
Pour utiliser l'option de configuration de View Persona Management avec View Agent, vous devez installer
View Agent sur des machines virtuelles Windows 8, Windows 7, Windows Vista ou Windows XP. Cette option
ne fonctionne pas sur des ordinateurs physiques ou sur des serveurs Microsoft Terminal Server.
Vous pouvez installer la version autonome de View Persona Management sur des ordinateurs physiques.
Reportez-vous à la section « Systèmes d'exploitation pris en charge pour View Persona Management
autonome », page 16.
VMware, Inc.
15
Installation de VMware Horizon View
Systèmes d'exploitation pris en charge pour View Persona Management
autonome
Le logiciel View Persona Management autonome fournit la gestion de persona pour les ordinateurs physiques
et les machines virtuelles autonomes sur lesquels View Agent 5.x n'est pas installé. Lorsque des utilisateurs se
connectent, leurs profils sont téléchargés dynamiquement depuis un référentiel de profils distant vers leurs
systèmes autonomes.
REMARQUE Pour configurer View Persona Management pour les postes de travail View, installez View Agent
avec l'option de configuration [View Persona Management] . Le logiciel View Persona Management autonome
est conçu uniquement pour les systèmes non View.
La section Tableau 2-2 répertorie les systèmes d'exploitation pris en charge pour le logiciel View Persona
Management autonome.
Tableau 2-2. Systèmes d'exploitation pris en charge pour View Persona Management autonome
Guest Operating System
Version
Édition
Service Pack
Windows 8
64 bits et 32 bits
Pro - Desktop et Enterprise - Desktop
S/O
Windows 7
64 bits et 32 bits
Enterprise et Professional
Aucun et SP1
Windows Vista
32 bits
Business et Enterprise
SP1 et SP2
Windows XP
32 bits
Professional
SP3
Le logiciel View Persona Management autonome n'est pas pris en charge sur les Services Terminal Server
Microsoft ou les Services Bureau à distance Microsoft.
Prise en charge du protocole d'affichage à distance et logicielle
Les protocoles d'affichage à distance et logicielles fournissent un accès aux postes de travail d'ordinateurs
distants sur une connexion réseau. View Client prend en charge le protocole RDP (Remote Desktop Protocol)
de Microsoft et PCoIP de VMware.
n
Horizon View avec PCoIP page 16
PCoIP offre une utilisation optimisée du poste de travail pour délivrer l'intégralité de l'environnement
de poste de travail, y compris des applications, des images, du contenu audio et vidéo, à un grand nombre
d'utilisateurs sur le réseau LAN ou sur le réseau WAN. PCoIP peut compenser une augmentation de la
latence ou une réduction de la bande passante, et garantir ainsi que les utilisateurs finaux peuvent rester
productifs quelles que soient les conditions du réseau.
n
Microsoft RDP page 18
Remote Desktop Protocol est le même protocole multicanal que de nombreuses personnes utilisent déjà
pour accéder à leur ordinateur professionnel depuis leur ordinateur à domicile. La Connexion Bureau à
distance Microsoft utilise RDP pour transmettre des données.
Horizon View avec PCoIP
PCoIP offre une utilisation optimisée du poste de travail pour délivrer l'intégralité de l'environnement de poste
de travail, y compris des applications, des images, du contenu audio et vidéo, à un grand nombre d'utilisateurs
sur le réseau LAN ou sur le réseau WAN. PCoIP peut compenser une augmentation de la latence ou une
réduction de la bande passante, et garantir ainsi que les utilisateurs finaux peuvent rester productifs quelles
que soient les conditions du réseau.
PCoIP est pris en charge comme protocole d'affichage pour les postes de travail View avec des machines
virtuelles et des machines physiques qui contiennent des cartes d'hôte Teradici.
16
VMware, Inc.
Chapitre 2 Configuration requise pour les systèmes d'exploitation client
Fonctions de PCoIP
Les fonctions clés de PCoIP incluent :
n
Les utilisateurs à l'extérieur du pare-feu d'entreprise peuvent utiliser ce protocole avec le réseau privé
virtuel (VPN) de votre entreprise, ou bien ils peuvent établir une connexion cryptée et sécurisée avec un
serveur de sécurité View dans la zone DMZ de l'entreprise.
n
Le cryptage AES (Advanced Encryption Standard) 128 bits est pris en charge et est activé par défaut.
Toutefois, vous pouvez modifier le chiffrement de clé de cryptage sur AES-192 ou AES-256.
n
Les connexions à des postes de travail Windows avec des versions de système d'exploitation View Agent
répertoriées dans la section « Systèmes d'exploitation pris en charge pour View Agent », page 15 sont
prises en charge.
n
Les connexions de tous les types de clients View.
n
La redirection MMR est prise en charge pour certains systèmes d'exploitation client Windows et certains
systèmes d'exploitation de poste de travail View (agent). Consultez la « Matrice de prise en charge des
fonctions » dans le document Planification de l'architecture de VMware Horizon View.
n
La redirection USB est prise en charge pour certains types de client.
n
La redirection audio avec le réglage dynamique de la qualité audio pour les réseaux LAN et WAN est
prise en charge.
n
Les contrôles d'optimisation pour la réduction de l'utilisation de bande passante sur les réseaux LAN et
WAN.
n
Plusieurs écrans sont pris en charge pour certains types de client. Par exemple, sur des clients Windows,
vous pouvez utiliser jusqu'à quatre écrans et régler la résolution de chaque écran séparément, avec une
résolution de 2560 x 1600 maximum par écran. La rotation d'affichage et l'ajustement automatique sont
également pris en charge.
Lorsque la fonction 3D est activée, jusqu'à 2 écrans sont pris en charge avec une résolution de 1920 x 1200
maximum.
n
Les couleurs 32 bits sont prises en charge pour les affichages virtuels.
n
Les polices ClearType sont prises en charge.
n
Les opérations copier et coller du texte et des images entre un système d'exploitation client Windows et
un poste de travail View sont prises en charge, jusqu'à 1 Mo maximum. Les formats de fichier pris en
charge incluent le texte, les images et RTF (Rich Text Format). Vous ne pouvez pas copier et coller des
objets système comme des dossiers et des fichiers entre des systèmes.
Pour plus d'informations sur les périphériques client prenant en charge des fonctions PCoIP spécifiques, allez
sur https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.
Paramètres de système d'exploitation client recommandés
Les paramètres de système d'exploitation client recommandés incluent :
n
Pour les postes de travail Windows XP : 768 Mo ou plus de RAM et un seul CPU.
n
Pour les postes de travail Windows 7 ou 8 : 1 Go ou plus de RAM et un CPU double sont recommandés
pour lire des vidéos haute définition, en mode plein écran ou formatées à 720p ou plus.
VMware, Inc.
17
Installation de VMware Horizon View
Exigences de qualité vidéo
Vidéo formatée à 480p
Vous pouvez lire une vidéo à 480p ou moins à des résolutions natives lorsque
le poste de travail View a une seule CPU virtuelle. Si le système d'exploitation
est Windows 7 ou supérieur et que vous voulez lire la vidéo en Flash haute
définition ou en mode plein écran, le poste de travail requiert une CPU virtuelle
double. Même avec un poste de travail de CPU virtuel double, les vidéos
formatées à 360p lues en mode plein écran peuvent être décalées par rapport
au son, en particulier sur les clients Windows.
Vidéo formatée à 720p
Vous pouvez lire une vidéo à 720p à des résolutions natives lorsque le poste
de travail View a une CPU virtuelle double. Les performances peuvent être
affectées si vous lisez des vidéos à 720p en haute définition ou en mode plein
écran.
Vidéo formatée à 1 080p
Si le poste de travail View a une CPU virtuelle double, vous pouvez lire une
vidéo formatée à 1 080p, bien que la taille d'écran du lecteur média puisse être
diminuée.
3D
Si vous utilisez VMware vSphere 5.1 ou supérieur, vous pouvez configurer des
postes de travail View afin qu'ils utilisent l'affichage graphique accéléré
logiciellement ou matériellement.
n
Avec vSGA (Virtual Shared Graphics Acceleration), une fonction de
vSphere 5.1 qui utilise des cartes graphiques physiques installées sur les
hôtes ESXi, vous pouvez utiliser des applications 3D pour la conception,
la modélisation et le multimédia.
n
Avec la fonction d'affichage graphique accéléré logiciellement, disponible
avec vSphere 5.0 et supérieur, vous pouvez utiliser des applications 3D
moins gourmandes, telles que les thèmes Windows Aero, Microsoft Office
2010 et Google Earth.
Cette fonction d'affichage graphique accéléré non matériel vous permet
d'exécuter des applications DirectX 9 et OpenGL 2.1 sans nécessiter de
GPU physique.
Pour les applications 3D, 2 écrans maximum sont pris en charge, et la résolution
d'écran maximale est 1920 x 1200. Le système d'exploitation client sur les postes
de travail View doit être Windows 7 ou supérieur.
Exigences matérielles des systèmes client
Pour plus d'informations sur les exigences de processeur et de mémoire, consultez le document « Utilisation
de VMware Horizon View Client » pour le type spécifique de poste de travail ou de périphérique client mobile.
Allez sur https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.
Microsoft RDP
Remote Desktop Protocol est le même protocole multicanal que de nombreuses personnes utilisent déjà pour
accéder à leur ordinateur professionnel depuis leur ordinateur à domicile. La Connexion Bureau à distance
Microsoft utilise RDP pour transmettre des données.
Microsoft RDP fournit les fonctions suivantes :
n
18
Avec RDP 6, vous pouvez utiliser plusieurs écrans en mode étendu. RDP 7 offre une prise en charge de
plusieurs écrans, pour 16 écrans maximum.
VMware, Inc.
Chapitre 2 Configuration requise pour les systèmes d'exploitation client
n
Vous pouvez copier et coller du texte et des objets système, tels que des dossiers et des fichiers, entre le
système local et le poste de travail View.
n
Les couleurs 32 bits sont prises en charge pour les affichages virtuels.
n
RDP prend en charge le cryptage 128 bits.
n
Les utilisateurs à l'extérieur du pare-feu d'entreprise peuvent utiliser ce protocole avec le réseau privé
virtuel (VPN) de votre entreprise, ou bien ils peuvent établir une connexion cryptée et sécurisée avec un
serveur de sécurité View dans la zone DMZ de l'entreprise.
REMARQUE Pour les machines virtuelles de poste de travail Windows XP, vous devez installer les correctifs
RDP répertoriés dans les articles 323497 et 884020 de la Base de connaissances de Microsoft. Si vous n'installez
pas les correctifs RDP, le message Échec des sockets Windows risque de s'afficher sur le client.
Exigences matérielles des systèmes client
Pour plus d'informations sur les exigences de processeur et de mémoire, consultez le document « Utilisation
de VMware Horizon View Client » pour le type spécifique de système client. Allez sur
https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.
REMARQUE Les périphériques client iOS et Android utilisent uniquement le protocole d'affichage PCoIP.
VMware, Inc.
19
Installation de VMware Horizon View
20
VMware, Inc.
Préparation d'Active Directory
3
View utilise votre infrastructure Microsoft Active Directory existante pour l'authentification et la gestion des
utilisateurs. Vous devez exécuter certaines tâches pour préparer Active Directory à l'utilisation avec View.
View prend en charge les versions suivantes d'Active Directory :
n
Windows 2003 Active Directory
n
Windows 2008 Active Directory
Ce chapitre aborde les rubriques suivantes :
n
« Configuration de domaines et de relations d'approbation », page 21
n
« Création d'une UO pour des postes de travail View », page 22
n
« Création d'UO et de groupes pour des comptes de client en mode kiosque », page 22
n
« Création de groupes pour les utilisateurs de View », page 23
n
« Création d'un compte d'utilisateur pour vCenter Server », page 23
n
« Créer un compte d'utilisateur pour View Composer », page 23
n
« Configurer la stratégie Groupes restreints », page 24
n
« Utilisation de fichiers de modèle d'administration de stratégie de groupe de View », page 25
n
« Préparer Active Directory pour l'authentification par carte à puce », page 25
Configuration de domaines et de relations d'approbation
Vous devez associer chaque hôte de View Connection Server à un domaine Active Directory. L'hôte ne doit
pas être un contrôleur de domaine. Vous placez des postes de travail View dans le même domaine que l'hôte
de View Connection Server ou dans un domaine qui a une relation d'approbation bidirectionnelle avec le
domaine de l'hôte de View Connection Server.
Vous pouvez autoriser des utilisateurs et des groupes dans le domaine de l'hôte de View Connection vers des
postes de travail et des pools View. Vous pouvez également sélectionner des utilisateurs et des groupes du
domaine de l'hôte de View Connection Server pour qu'ils soient des administrateurs dans View Administrator.
Pour autoriser ou sélectionner des utilisateurs et des groupes dans un domaine différent, vous devez établir
une relation d'approbation bidirectionnelle entre ce domaine et le domaine de l'hôte de View Connection
Server.
Les utilisateurs sont authentifiés par Active Directory pour le domaine de l'hôte de View Connection Server
et par des domaines d'utilisateurs supplémentaires avec lesquels un accord d'approbation existe.
REMARQUE Comme les serveurs de sécurité n'accèdent à aucun référentiel d'authentification, y compris Active
Directory, ils n'ont pas besoin de résider dans un domaine Active Directory.
VMware, Inc.
21
Installation de VMware Horizon View
Relations d'approbation et filtrage de domaine
Pour déterminer les domaines auxquels elle peut accéder, une instance de Serveur de connexion View traverse
des relations d'approbation en commençant par son propre domaine.
Pour un petit ensemble de domaines bien connectés, Serveur de connexion View peut déterminer rapidement
la liste complète de domaines, mais le temps que cela prend augmente car le nombre de domaines accroît ou
car la connectivité entre les domaines diminue. La liste peut également inclure des domaines que vous ne
souhaitez pas proposer aux utilisateurs lorsqu'ils ouvrent une session sur leurs postes de travail View.
Vous pouvez utiliser la commande vdmadmin pour configurer le filtrage de domaine pour limiter les domaines
qu'une instance de Serveur de connexion View recherche et qu'elle affiche aux utilisateurs. Pour plus
d'informations, consultez le document Administration de VMware Horizon View.
Création d'une UO pour des postes de travail View
Vous devez créer une unité d'organisation (UO) spécifiquement pour vos postes de travail View. Une UO est
une sous-division dans Active Directory contenant des utilisateurs, des groupes, des ordinateurs ou d'autres
UO.
Pour empêcher l'application de paramètres de stratégie de groupe sur d'autres serveurs ou stations de travail
Windows dans le même domaine que vos postes de travail, vous pouvez créer un GPO pour vos stratégies de
groupe de View et le lier à l'UO qui contient vos postes de travail View. Vous pouvez également déléguer le
contrôle de l'UO à des groupes subordonnés tels que des opérateurs de serveur ou des utilisateurs individuels.
Si vous utilisez View Composer, vous devez créer un conteneur Active Directory séparé pour des postes de
travail de clone lié basé sur l'UO pour vos postes de travail View. Les administrateurs de View qui ont des
privilèges d'administrateur d'UO dans Active Directory peuvent approvisionner des postes de travail de clone
lié sans privilèges d'administrateur de domaine. Si vous modifiez les informations d'identification
d'administrateur dans Active Directory, vous devez également mettre à jour les informations d'identification
dans View Composer.
Création d'UO et de groupes pour des comptes de client en mode
kiosque
Un client en mode kiosque est un client léger ou un PC verrouillé qui exécute View Client pour se connecter
à une instance de Serveur de connexion View et lancer une session de poste de travail à distance. Si vous
configurez des clients en mode kiosque, vous devez créer des UO et des groupes dédiés dans Active Directory
pour des comptes de client en mode kiosque.
La création d'UO et de groupes dédiés pour des comptes de client en mode kiosque protège les systèmes client
contre les intrusions injustifiées et simplifie la configuration et l'administration du client.
Pour plus d'informations, consultez le document Administration de VMware Horizon View.
22
VMware, Inc.
Chapitre 3 Préparation d'Active Directory
Création de groupes pour les utilisateurs de View
Vous devez créer des groupes pour différents types d'utilisateurs de View dans Active Directory. Par exemple,
vous pouvez créer un groupe nommé Utilisateurs de VMware Horizon View pour vos utilisateurs de postes
de travail View et un autre groupe nommé Administrateurs de VMware Horizon View pour les utilisateurs
qui administreront des postes de travail View.
Création d'un compte d'utilisateur pour vCenter Server
Vous devez créer un compte d'utilisateur dans Active Directory à utiliser avec vCenter Server. Vous spécifiez
ce compte d'utilisateur lorsque vous ajoutez une instance de vCenter Server dans View Administrator.
Le compte d'utilisateur doit se trouver dans le même domaine que votre hôte de View Connection Server ou
dans un domaine approuvé. Si vous utilisez View Composer, vous devez ajouter le compte d'utilisateur dans
le groupe d'administrateurs local sur l'ordinateur vCenter Server.
Vous devez accorder au compte d'utilisateur les privilèges pour effectuer certaines opérations dans vCenter
Server. Si vous utilisez View Composer, vous devez accorder au compte d'utilisateur des privilèges
supplémentaires. Reportez-vous à la section « Configuration de comptes d'utilisateur pour vCenter Server et
View Composer », page 95 pour plus d'informations sur la configuration de ces privilèges.
Créer un compte d'utilisateur pour View Composer
Si vous utilisez View Composer, vous devez créer un compte d'utilisateur dans Active Directory pour l'utiliser
avec View Composer. View Composer a besoin de ce compte pour associer des postes de travail de clone lié
à votre domaine Active Directory.
Pour garantir la sécurité, vous devez créer un compte d'utilisateur séparé à utiliser avec View Composer. En
créant un compte séparé, vous pouvez garantir qu'il n'a pas de privilèges supplémentaires définis pour une
autre raison. Vous pouvez donner au compte les privilèges minimum dont il a besoin pour créer et supprimer
des objets ordinateur dans un conteneur Active Directory spécifié. Par exemple, le compte View Composer ne
requiert pas de privilèges d'administrateur de domaine.
Procédure
1
Dans Active Directory, créez un compte d'utilisateur dans le même domaine que votre hôte de Serveur
de connexion View ou dans un domaine approuvé.
2
Ajoutez les autorisations [Créer des objets ordinateur] , [Supprimer des objets ordinateur] et [Écrire
toutes les propriétés] au compte dans le conteneur Active Directory dans lequel les comptes d'ordinateur
de clone lié sont créés ou vers lequel les comptes d'ordinateur de clone lié sont déplacés.
La liste suivante montre toutes les autorisations requises pour le compte d'utilisateur, y compris les
autorisations affectées par défaut :
VMware, Inc.
n
Contenu de la liste
n
Lire toutes les propriétés
n
Écrire toutes les propriétés
n
Lire les autorisations
n
Réinitialiser le mot de passe
n
Créer des objets ordinateur
23
Installation de VMware Horizon View
n
Supprimer des objets ordinateur
REMARQUE Si vous sélectionnez le paramètre [Autoriser la réutilisation de comptes d'ordinateur préexistants] pour un pool de postes de travail, vous avez seulement besoin d'ajouter les autorisations
suivantes :
3
n
Contenu de la liste
n
Lire toutes les propriétés
n
Lire les autorisations
n
Réinitialiser le mot de passe
Assurez-vous que les autorisations du compte d'utilisateur s'appliquent au conteneur Active Directory et
à tous les objets enfants du conteneur.
Suivant
Spécifiez le compte dans View Administrator lorsque vous configurez View Composer pour vCenter Server
et quand vous configurez et déployez des pools de postes de travail de clone lié.
Configurer la stratégie Groupes restreints
Pour ouvrir une session sur un poste de travail View, les utilisateurs doivent appartenir au groupe Utilisateurs
du Bureau à distance local du poste de travail View. Vous pouvez utiliser la stratégie Groupes restreints dans
Active Directory pour ajouter des utilisateurs ou des groupes au groupe Utilisateurs du Bureau à distance local
de chaque poste de travail View associé à votre domaine.
La stratégie Groupes restreints définit l'appartenance du groupe local d'ordinateurs dans le domaine pour
correspondre aux paramètres de la liste d'appartenance définie dans la stratégie Groupes restreints. Les
membres de votre groupe d'utilisateurs de poste de travail View sont toujours ajoutés au groupe Utilisateurs
du Bureau à distance local de chaque poste de travail View associé à votre domaine. Lors de l'ajout de nouveaux
utilisateurs, vous ne devez les ajouter qu'à votre groupe d'utilisateurs de poste de travail View.
Prérequis
Créez un groupe pour les utilisateurs de poste de travail View dans votre domaine dans Active Directory.
Procédure
1
Sur le serveur Active Directory, naviguez vers le plug-in de gestion de stratégie de groupe.
Version d'AD
Chemin de navigation
Windows 2003
a
b
c
d
Windows 2008
a
b
2
24
Sélectionnez [Démarrer] > [Tous les programmes] > [Outils
d'administration] > [Utilisateurs et ordinateurs Active Directory] .
Cliquez avec le bouton droit sur votre domaine et cliquez sur
[Propriétés] .
Sur l'onglet [Stratégie de groupe] , cliquez sur [Ouvrir] pour ouvrir le
plug-in de Gestion de stratégie de groupe.
Cliquez avec le bouton droit sur [Stratégie de domaine par défaut] et
cliquez sur [Modifier] .
Sélectionnez [Démarrer] > [Outils d'administration] > [Gestion de
stratégie de groupe] .
Développez votre domaine, cliquez avec le bouton droit sur [Stratégie
de domaine par défaut] et cliquez sur [Modifier] .
Développez la section [Computer Configuration (Configuration ordinateur)] et ouvrez [Windows
Settings (Paramètres Windows)\Security Settings (Paramètres de sécurité)] .
VMware, Inc.
Chapitre 3 Préparation d'Active Directory
3
Cliquez avec le bouton droit sur [Restricted Groups (Groupes restreints)] , sélectionnez [Add Group
(Ajouter un groupe)] , puis ajoutez le groupe Utilisateurs du Bureau à distance.
4
Cliquez avec le bouton droit sur le nouveau groupe Utilisateurs du Bureau à distance restreint et ajoutez
votre groupe d'utilisateurs de poste de travail View à la liste d'appartenance au groupe.
5
Cliquez sur [OK] pour enregistrer vos modifications.
Utilisation de fichiers de modèle d'administration de stratégie de
groupe de View
View comporte plusieurs fichiers de modèle d'administration de stratégie de groupe spécifiques à un
composant.
Lors de l'installation de Serveur de connexion View, les fichiers de modèle d'administration de View sont
installés dans le répertoire install_directory\VMware\VMware View\Server\Extras\GroupPolicyFiles sur
votre hôte de Serveur de connexion View. Vous devez copier ces fichiers vers un répertoire de votre serveur
Active Directory.
Vous pouvez optimiser et sécuriser des postes de travail View en ajoutant les paramètres de stratégie dans ces
fichiers à un nouveau GPO ou un GPO existant dans Active Directory puis en liant ce GPO à l'UO qui contient
vos postes de travail View.
Pour plus d'informations sur les paramètres de stratégie de groupe de View, consultez le document
Administration de VMware Horizon View.
Préparer Active Directory pour l'authentification par carte à puce
Vous devrez peut-être effectuer certaines tâches dans Active Directory lors de l'implémentation de
l'authentification par carte à puce.
n
Ajouter des UPN pour des utilisateurs de carte à puce page 26
Comme les ouvertures de session par carte à puce reposent sur des noms d'utilisateur principaux (UPN),
les comptes d'utilisateurs Active Directory qui utilisent des cartes à puce pour s'authentifier dans View
doivent avoir un UPN valide.
n
Ajouter le certificat racine à des autorités de certification racine de confiance page 27
Si vous utilisez une autorité de certification pour émettre des certificats d'ouverture de session par carte
à puce ou de contrôleur de domaine, vous devez ajouter le certificat racine à la stratégie de groupe Trusted
Root Certification Authorities (Autorités de certification racine de confiance) dans Active Directory. Vous
n'avez pas à effectuer cette procédure si le contrôleur de domaine Windows agit en tant qu'autorité de
certification racine.
n
Ajouter un certificat intermédiaire à des autorités de certification intermédiaires page 28
Si vous utilisez une autorité de certification intermédiaire pour émettre des certificats d'ouverture de
session par carte à puce ou de contrôleur de domaine, vous devez ajouter le certificat intermédiaire à la
stratégie de groupe Intermediate Certification Authorities (Autorités de certification intermédiaires)
dans Active Directory.
n
Ajouter le certificat racine au magasin Enterprise NTAuth page 28
Si vous utilisez une autorité de certification pour émettre des certificats d'ouverture de session par carte
à puce ou de contrôleur de domaine, vous devez ajouter le certificat racine au magasin Enterprise NTAuth
dans Active Directory. Vous n'avez pas à effectuer cette procédure si le contrôleur de domaine Windows
agit en tant qu'autorité de certification racine.
VMware, Inc.
25
Installation de VMware Horizon View
Ajouter des UPN pour des utilisateurs de carte à puce
Comme les ouvertures de session par carte à puce reposent sur des noms d'utilisateur principaux (UPN), les
comptes d'utilisateurs Active Directory qui utilisent des cartes à puce pour s'authentifier dans View doivent
avoir un UPN valide.
Si le domaine sur lequel réside un utilisateur de carte à puce est différent du domaine à partir duquel est émis
votre certificat racine, vous devez définir l'UPN de l'utilisateur sur l'autre nom de l'objet (SAN) contenu dans
le certificat racine de l'autorité de certification approuvée. Si votre certificat racine est émis à partir d'un serveur
dans le domaine actuel de l'utilisateur de carte à puce, vous n'avez pas à modifier l'UPN de l'utilisateur.
REMARQUE Vous devrez peut-être définir l'UPN pour les comptes Active Directory intégrés, même si le certificat
est émis à partir du même domaine. Aucun UPN n'est défini par défaut pour les comptes intégrés, y compris
Administrateur.
Prérequis
n
Obtenez le SAN contenu dans le certificat racine de l'autorité de certification approuvée en affichant les
propriétés du certificat.
n
Si l'utilitaire Éditeur ADSI n'est pas présent sur votre serveur Active Directory, téléchargez et installez les
outils de support Windows appropriés sur le site Web Microsoft.
Procédure
26
1
Sur votre serveur Active Directory, démarrez l'utilitaire Éditeur ADSI.
2
Dans le volet de gauche, développez le domaine dans lequel se trouve l'utilisateur et double-cliquez sur
CN=Users.
3
Dans le volet de droite, cliquez avec le bouton droit sur l'utilisateur et cliquez sur [Properties
(Propriétés)] .
4
Double-cliquez sur l'attribut userPrincipalName et saisissez la valeur SAN du certificat de l'autorité de
certification approuvée.
5
Cliquez sur [OK] pour enregistrer le paramètre d'attribut.
VMware, Inc.
Chapitre 3 Préparation d'Active Directory
Ajouter le certificat racine à des autorités de certification racine de confiance
Si vous utilisez une autorité de certification pour émettre des certificats d'ouverture de session par carte à puce
ou de contrôleur de domaine, vous devez ajouter le certificat racine à la stratégie de groupe Trusted Root
Certification Authorities (Autorités de certification racine de confiance) dans Active Directory. Vous n'avez
pas à effectuer cette procédure si le contrôleur de domaine Windows agit en tant qu'autorité de certification
racine.
Procédure
1
Sur le serveur Active Directory, naviguez vers le plug-in de gestion de stratégie de groupe.
Version d'AD
Chemin de navigation
Windows 2003
a
b
c
d
Windows 2008
a
b
Sélectionnez [Démarrer] > [Tous les programmes] > [Outils
d'administration] > [Utilisateurs et ordinateurs Active Directory] .
Cliquez avec le bouton droit sur votre domaine et cliquez sur
[Propriétés] .
Sur l'onglet [Stratégie de groupe] , cliquez sur [Ouvrir] pour ouvrir le
plug-in de Gestion de stratégie de groupe.
Cliquez avec le bouton droit sur [Stratégie de domaine par défaut] et
cliquez sur [Modifier] .
Sélectionnez [Démarrer] > [Outils d'administration] > [Gestion de
stratégie de groupe] .
Développez votre domaine, cliquez avec le bouton droit sur [Stratégie
de domaine par défaut] et cliquez sur [Modifier] .
2
Développez la section [Computer Configuration (Configuration ordinateur)] et ouvrez le dossier
[Windows Settings (Paramètres Windows)\Security Settings (Paramètres de sécurité)\Public Key (Clé
publique)] .
3
Cliquez avec le bouton droit sur [Trusted Root Certification Authorities (Autorités de certification
racine de confiance)] et sélectionnez [Import (Importer)] .
4
Suivez les invites de l'assistant pour importer le certificat racine (par exemple, rootCA.cer) et cliquez
sur [OK] .
5
Fermez la fenêtre Group Policy (Stratégie de groupe).
Tous les systèmes du domaine contiennent maintenant une copie du certificat racine dans leur magasin racine
approuvé.
Suivant
Si une autorité de certification intermédiaire émet vos certificats d'ouverture de session par carte à puce ou de
contrôleur de domaine, ajoutez le certificat intermédiaire à la stratégie de groupe Intermediate Certification
Authorities (Autorités de certification intermédiaires) dans Active Directory. Reportez-vous à la section
« Ajouter un certificat intermédiaire à des autorités de certification intermédiaires », page 28.
VMware, Inc.
27
Installation de VMware Horizon View
Ajouter un certificat intermédiaire à des autorités de certification intermédiaires
Si vous utilisez une autorité de certification intermédiaire pour émettre des certificats d'ouverture de session
par carte à puce ou de contrôleur de domaine, vous devez ajouter le certificat intermédiaire à la stratégie de
groupe Intermediate Certification Authorities (Autorités de certification intermédiaires) dans Active Directory.
Procédure
1
Sur le serveur Active Directory, naviguez vers le plug-in de gestion de stratégie de groupe.
Version d'AD
Chemin de navigation
Windows 2003
a
b
c
d
Windows 2008
a
b
Sélectionnez [Démarrer] > [Tous les programmes] > [Outils
d'administration] > [Utilisateurs et ordinateurs Active Directory] .
Cliquez avec le bouton droit sur votre domaine et cliquez sur
[Propriétés] .
Sur l'onglet [Stratégie de groupe] , cliquez sur [Ouvrir] pour ouvrir le
plug-in de Gestion de stratégie de groupe.
Cliquez avec le bouton droit sur [Stratégie de domaine par défaut] et
cliquez sur [Modifier] .
Sélectionnez [Démarrer] > [Outils d'administration] > [Gestion de
stratégie de groupe] .
Développez votre domaine, cliquez avec le bouton droit sur [Stratégie
de domaine par défaut] et cliquez sur [Modifier] .
2
Développez la section [Computer Configuration (Configuration ordinateur)] et ouvrez la stratégie de
[Windows Settings\Security Settings\Public Key (Paramètres Windows\Paramètres de sécurité\Clé
publique)] .
3
Cliquez avec le bouton droit sur [Intermediate Certification Authorities (Autorités de certification
intermédiaires)] et sélectionnez [Import (Importer)] .
4
Suivez les invites de l'assistant pour importer le certificat intermédiaire (par exemple,
intermediateCA.cer) et cliquez sur [OK] .
5
Fermez la fenêtre Groupe Policy (Stratégie de groupe).
Tous les systèmes du domaine contiennent maintenant une copie du certificat intermédiaire dans leur magasin
d'autorité de certification intermédiaire approuvé.
Ajouter le certificat racine au magasin Enterprise NTAuth
Si vous utilisez une autorité de certification pour émettre des certificats d'ouverture de session par carte à puce
ou de contrôleur de domaine, vous devez ajouter le certificat racine au magasin Enterprise NTAuth dans Active
Directory. Vous n'avez pas à effectuer cette procédure si le contrôleur de domaine Windows agit en tant
qu'autorité de certification racine.
Procédure
u
Sur votre serveur Active Directory, utilisez la commande certutil pour publier le certificat dans le
magasin Enterprise NTAuth.
Par exemple : certutil -dspublish -f path_to_root_CA_cert NTAuthCA
L'autorité de certification est désormais approuvée pour émettre des certificats de ce type.
28
VMware, Inc.
Installation de View Composer
4
Pour utiliser View Composer, vous créez une base de données View Composer, installez le service View
Composer et optimisez votre infrastructure View pour prendre en charge View Composer. Vous pouvez
installer le service View Composer sur le même hôte que vCenter Server ou sur un hôte distinct.
View Composer est une fonction facultative. Installez View Composer si vous prévoyez de déployer des pools
de postes de travail de clone lié.
Vous devez posséder une licence pour installer et utiliser la fonction View Composer.
Ce chapitre aborde les rubriques suivantes :
n
« Préparer une base de données View Composer », page 29
n
« Configuration d'un certificat SSL pour View Composer », page 36
n
« Installer le service View Composer », page 36
n
« Configuration de votre infrastructure pour View Composer », page 38
Préparer une base de données View Composer
Vous devez créer une base de données et un nom de source de données (DSN) pour stocker des données View
Composer.
Le service View Composer n'inclut pas de base de données. Si aucune instance de base de données n'existe
dans l'environnement réseau, vous devez en installer une. Après avoir installé une instance de base de données,
vous ajoutez la base de données View Composer à l'instance.
Vous pouvez ajouter la base de données View Composer à l'instance sur laquelle se trouve la base de données
vCenter Server. Vous pouvez configurer la base de données localement ou à distance sur un ordinateur Linux,
UNIX ou Windows Server connecté au réseau.
La base de données View Composer stocke des informations sur les connexions et les composants utilisés par
View Composer :
n
les connexions vCenter Server ;
n
les connexions Active Directory ;
n
les postes de travail de clone lié déployés par View Composer ;
n
les réplicas créés par View Composer.
Chaque instance du service View Composer doit posséder sa propre base de données View Composer.
Plusieurs services View Composer ne peuvent pas partager une base de données View Composer.
VMware, Inc.
29
Installation de VMware Horizon View
Pour voir une liste des versions de base de données prises en charge, reportez-vous à la section « Exigences de
base de données pour View Composer », page 11.
Pour ajouter une base de données View Composer à une instance de base de données installée, choisissez l'une
de ces procédures.
n
Créer une base de données SQL Server pour View Composer page 30
View Composer peut stocker des informations de poste de travail de clone lié dans une base de données
SQL Server. Vous créez une base de données View Composer en l'ajoutant à SQL Server et en configurant
une source de données ODBC pour elle.
n
Créer une base de données Oracle pour View Composer page 32
View Composer peut stocker des informations de poste de travail de clone lié dans une base de données
Oracle 11g ou 10g. Vous créez une base de données View Composer en l'ajoutant à une instance d'Oracle
existante et en configurant une source de données ODBC pour elle. Vous pouvez ajouter une nouvelle
base de données View Composer en utilisant l'assistant de configuration de base de données Oracle ou
en exécutant une instruction SQL.
Créer une base de données SQL Server pour View Composer
View Composer peut stocker des informations de poste de travail de clone lié dans une base de données SQL
Server. Vous créez une base de données View Composer en l'ajoutant à SQL Server et en configurant une source
de données ODBC pour elle.
Ajouter une base de données View Composer à SQL Server
Vous pouvez ajouter une nouvelle base de données View Composer à une instance de Microsoft SQL Server
existante pour stocker des données de clone lié pour View Composer.
Si la base de données réside localement, vous pouvez utiliser le modèle de sécurité Authentification Windows
intégrée sur le système sur lequel vous allez installer View Composer. Si la base de données réside sur un
système distant, vous ne pouvez pas utiliser cette méthode d'authentification.
Prérequis
n
Vérifiez qu'une version prise en charge de SQL Server est installée sur l'ordinateur où vous allez installer
View Composer ou dans votre environnement de réseau. Pour plus d'informations, reportez-vous à la
section « Exigences de base de données pour View Composer », page 11.
n
Vérifiez que vous utilisez SQL Server Management Studio ou SQL Server Management Studio Express
pour créer et administrer la source de données. Vous pouvez télécharger et installer SQL Server
Management Studio Express depuis le site Web suivant.
http://www.microsoft.com/downloadS/details.aspx?
familyid=C243A5AE-4BD1-4E3D-94B8-5A0F62BF7796
Procédure
1
Sur l'ordinateur View Composer, sélectionnez [Start (Démarrer)] > [All Programs (Tous les
programmes)] > [Microsoft SQL Server 2008] ou [Microsoft SQL Server 2005] .
2
Sélectionnez [SQL Server Management Studio Express] et connectez-vous à l'instance de SQL Server
existante pour vSphere Management.
3
Dans le volet Object Explorer (Explorateur d'objets), cliquez avec le bouton droit sur l'entrée Databases
(Bases de données) et sélectionnez [New Database (Nouvelle base de données)] .
4
Dans la boîte de dialogue New Database (Nouvelle base de données), saisissez un nom dans la zone de
texte Database name (Nom de base de données).
Par exemple : viewComposer
30
VMware, Inc.
Chapitre 4 Installation de View Composer
5
Cliquez sur [OK] .
SQL Server Management Studio Express ajoute votre base de données à l'entrée Databases (Bases de
données) dans le volet Object Explorer (Explorateur d'objets).
6
Quittez Microsoft SQL Server Management Studio Express.
Suivant
Suivez les instructions de la section « Ajouter une source de données ODBC à SQL Server », page 31.
Ajouter une source de données ODBC à SQL Server
Lorsque vous avez ajouté une base de données View Composer à SQL Server, vous devez configurer une
connexion ODBC à la nouvelle base de données pour que cette source de données soit visible pour le service
View Composer.
Lorsque vous configurez un nom de source de données (DSN) ODBC pour View Composer, définissez pour
la connexion de base de données sous-jacente un niveau de sécurité adapté à votre environnement. Pour plus
d'informations sur la sécurisation des connexions de base de données, voir la documentation SQL Server.
Si la connexion de base de données sous-jacente utilise le chiffrement SSL, il est recommandé de configurer les
serveurs de base de données avec des certificats SSL signés par une autorité de certification (CA) de confiance.
Si vous utilisez des certificats autosignés, les connexions de base de données peuvent être l'objet d'attaques
d'intercepteur. .
Prérequis
Effectuez les étapes décrites dans la section « Ajouter une base de données View Composer à SQL Server »,
page 30.
Procédure
1
Sur l'ordinateur sur lequel View Composer doit être installé, sélectionnez [Start (Démarrer)] >
[Administrative Tools (Outils d'administration)] > [Data Source (ODBC) (Source de données
(ODBC))] .
2
Sélectionnez l'onglet [System DSN (Nom DSN système)] .
3
Cliquez sur [Add (Ajouter)] et sélectionnez [SQL Native Client] dans la liste.
4
Cliquez sur [Finish (Terminer)] .
5
Dans l'assistant d'installation Create a New Data Source to SQL Server (Créer une nouvelle source de
données vers SQL Server), saisissez un nom et la description de la base de données View Composer.
Par exemple : ViewComposer
6
Dans la zone de texte Server (Serveur), saisissez le nom de la base de données SQL Server.
Utilisez la forme host_name\server_name, où host_name est le nom de l'ordinateur et server_name correspond
à l'instance de SQL Server.
Par exemple : VCHOST1\VIM_SQLEXP
7
VMware, Inc.
Cliquez sur [Next (Suivant)] .
31
Installation de VMware Horizon View
8
Assurez-vous que la case [Connect to SQL Server to obtain default settings for the additional
configuration options (Se connecter à SQL Server pour obtenir les paramètres par défaut pour les
options de configuration supplémentaires)] est cochée et sélectionnez une option d'authentification.
Option
Description
Windows NT authentication
(Authentification Windows NT)
Sélectionnez cette option si vous utilisez une instance locale de SQL Server.
Cette option est aussi connue sous le nom d'authentification approuvée.
L'authentification Windows NT est prise en charge uniquement si SQL
Server est exécuté sur l'ordinateur local.
SQL Server authentication
(Authentification SQL Server)
Sélectionnez cette option si vous utilisez une instance distante de SQL Server.
L'authentification Windows NT n'est pas prise en charge sur les SQL Server
distants.
9
Cliquez sur [Next (Suivant)] .
10
Cochez la case [Change the default database to (Changer la base de données par défaut par :)] et
sélectionnez le nom de la base de données View Composer dans la liste.
Par exemple : ViewComposer
11
Si la connexion SQL Server est configurée avec SSL, accédez à la page de configuration du nom de source
de données (DSN) Microsoft SQL Server et sélectionnez [Use strong encryption for data (Utiliser le
cryptage renforcé pour les données)] .
12
Effectuez et fermez l'assistant Microsoft ODBC Data Source Administrator (Administrateur de sources de
données ODBC de Microsoft).
Suivant
Installez le nouveau service View Composer. Reportez-vous à la section « Installer le service View
Composer », page 36.
Créer une base de données Oracle pour View Composer
View Composer peut stocker des informations de poste de travail de clone lié dans une base de données Oracle
11g ou 10g. Vous créez une base de données View Composer en l'ajoutant à une instance d'Oracle existante et
en configurant une source de données ODBC pour elle. Vous pouvez ajouter une nouvelle base de données
View Composer en utilisant l'assistant de configuration de base de données Oracle ou en exécutant une
instruction SQL.
n
Ajouter une base de données View Composer à Oracle 11g ou 10g page 33
Vous pouvez utiliser l'assistant de configuration de base de données Oracle pour ajouter une nouvelle
base de données View Composer sur une instance d'Oracle 11g ou 10g existante.
n
Utiliser une instruction SQL pour ajouter une base de données View Composer à une instance
d'Oracle page 34
La base de données View Composer doit posséder certains espaces et privilèges de table. Vous pouvez
utiliser une instruction SQL pour créer la base de données View Composer dans une instance de base de
données Oracle 11g ou 10g.
n
Configurer un utilisateur de base de données Oracle pour View Composer page 34
Par défaut, l'utilisateur de base de données qui exécute la base de données View Composer dispose
d'autorisations d'administrateur système Oracle. Pour limiter les autorisations de sécurité pour
l'utilisateur exécutant la base de données View Composer, vous devez configurer un utilisateur de base
de données Oracle avec des autorisations spécifiques.
32
VMware, Inc.
Chapitre 4 Installation de View Composer
n
Ajouter une source de données ODBC à Oracle 11g ou 10g page 35
Lorsque vous avez ajouté une base de données View Composer à une instance d'Oracle 11g ou 10g, vous
devez configurer une connexion ODBC à la nouvelle base de données pour rendre cette source de
données visible pour le service View Composer.
Ajouter une base de données View Composer à Oracle 11g ou 10g
Vous pouvez utiliser l'assistant de configuration de base de données Oracle pour ajouter une nouvelle base de
données View Composer sur une instance d'Oracle 11g ou 10g existante.
Prérequis
Vérifiez qu'une version prise en charge d'Oracle 11g ou 10g est installée sur l'ordinateur local ou distant.
Reportez-vous à la section « Exigences de base de données pour View Composer », page 11.
Procédure
1
Démarrez [Database Configuration Assistant (Assistant de configuration de base de données)] sur
l'ordinateur où vous ajoutez la base de données View Composer.
Version de base de données
Action
Oracle 11g
Sélectionnez [Start (Démarrer)] > [All Programs (Tous les programmes)]
> [Oracle-OraDb11g_home] > [Configuration and Migration Tools (Outils
de configuration et de migration)] > [Database Configuration Assistant
(Assistant de configuration de base de données)] .
Oracle 10g
Sélectionnez [Start (Démarrer)] > [All Programs (Tous les programmes)]
> [Oracle-OraDb10g_home] > [Configuration and Migration Tools (Outils
de configuration et de migration)] > [Database Configuration Assistant
(Assistant de configuration de base de données)] .
2
Sur la page Operations (Opérations), sélectionnez [Create a database (Créer une base de données)] .
3
Sur la page Database Templates (Modèles de base de données), sélectionnez le modèle [General Purpose
or Transaction Processing (Général ou traitement transactionnel)] .
4
Sur la page Database Identification (Identification de la base de données), saisissez un nom global de base
de données et un préfixe d'Identificateur système (SID) Oracle.
Pour des raisons de facilité, utilisez la même valeur pour les deux éléments.
5
Sur la page Management Options (Options de gestion), cliquez sur [Next (Suivant)] pour accepter les
réglages par défaut.
6
Sur la page Database Credentials (Informations d'identification de la base de données), sélectionnez [Use
the Same Administrative Passwords for All Accounts (Utiliser les mêmes mots de passe administratifs
pour tous les comptes)] et saisissez un mot de passe.
7
Sur les pages de configuration restantes, cliquez sur [Next (Suivant)] pour accepter les réglages par
défaut.
8
Sur la page Creation Options (Options de création), vérifiez que [Create Database (Créer une base de
données)] est sélectionné et cliquez sur [Finish (Terminer)] .
9
Sur la page Confirmation, examinez les options et cliquez sur [OK] .
L'outil de configuration crée la base de données.
10
Sur la page Database Creation Complete (Création de la base de données terminée), cliquez sur [OK] .
Suivant
Suivez les instructions de la section « Ajouter une source de données ODBC à Oracle 11g ou 10g », page 35.
VMware, Inc.
33
Installation de VMware Horizon View
Utiliser une instruction SQL pour ajouter une base de données View Composer à
une instance d'Oracle
La base de données View Composer doit posséder certains espaces et privilèges de table. Vous pouvez utiliser
une instruction SQL pour créer la base de données View Composer dans une instance de base de données
Oracle 11g ou 10g.
Lorsque vous créez la base de données, vous pouvez personnaliser l'emplacement des données et des fichiers
journaux.
Prérequis
Vérifiez qu'une version prise en charge d'Oracle 11g ou 10g est installée sur l'ordinateur local ou distant. Pour
plus d'informations, reportez-vous à la section « Exigences de base de données pour View Composer »,
page 11.
Procédure
1
Ouvrez une session SQL*Plus avec le compte système.
2
Exécutez l'instruction SQL suivante pour créer la base de données.
CREATE SMALLFILE TABLESPACE "VCMP" DATAFILE '/u01/app/oracle/oradata/vcdb/vcmp01.dbf'
SIZE 512M AUTOEXTEND ON NEXT 10M MAXSIZE UNLIMITED LOGGING EXTENT MANAGEMENT LOCAL SEGMENT
SPACE MANAGEMENT AUTO;
Dans cet exemple, VCMP est le nom d'exemple de la base de données View Composer et vcmp01.dbf est le
nom du fichier de base de données.
Pour une installation Windows, utilisez les conventions Windows dans le chemin du répertoire vers le
fichier vcmp01.dbf.
Suivant
Si vous voulez exécuter la base de données View Composer avec des autorisations de sécurité spécifiques,
suivez les instructions de la section « Configurer un utilisateur de base de données Oracle pour View
Composer », page 34.
Suivez les instructions de la section « Ajouter une source de données ODBC à Oracle 11g ou 10g », page 35
Configurer un utilisateur de base de données Oracle pour View Composer
Par défaut, l'utilisateur de base de données qui exécute la base de données View Composer dispose
d'autorisations d'administrateur système Oracle. Pour limiter les autorisations de sécurité pour l'utilisateur
exécutant la base de données View Composer, vous devez configurer un utilisateur de base de données Oracle
avec des autorisations spécifiques.
Prérequis
Vérifiez qu'une base de données View Composer a été créée dans une instance d'Oracle 11g ou 10g.
Procédure
1
Ouvrez une session SQL*Plus avec le compte système.
2
Exécutez la commande SQL suivante pour créer un utilisateur de base de données View Composer avec
les autorisations correctes.
CREATE USER "VCMPADMIN" PROFILE "DEFAULT" IDENTIFIED BY "oracle" DEFAULT TABLESPACE
"VCMP" ACCOUNT UNLOCK;
grant connect to VCMPADMIN;
34
VMware, Inc.
Chapitre 4 Installation de View Composer
grant
grant
grant
grant
grant
grant
grant
grant
resource to VCMPADMIN;
create view to VCMPADMIN;
create sequence to VCMPADMIN;
create table to VCMPADMIN;
create materialized view to VCMPADMIN;
execute on dbms_lock to VCMPADMIN;
execute on dbms_job to VCMPADMIN;
unlimited tablespace to VCMPADMIN;
Dans cet exemple, le nom d'utilisateur est VCMPADMIN et le nom de la base de données View Composer est
VCMP.
Par défaut, les privilèges create procedure, create table et create sequence sont affectés au rôle
resource. Si le rôle resource ne possède pas ces privilèges, accordez-les explicitement à l'utilisateur de
base de données View Composer.
Ajouter une source de données ODBC à Oracle 11g ou 10g
Lorsque vous avez ajouté une base de données View Composer à une instance d'Oracle 11g ou 10g, vous devez
configurer une connexion ODBC à la nouvelle base de données pour rendre cette source de données visible
pour le service View Composer.
Lorsque vous configurez un nom de source de données (DSN) ODBC pour View Composer, définissez pour
la connexion de base de données sous-jacente un niveau de sécurité adapté à votre environnement. Pour plus
d'informations sur la sécurisation des connexions de base de données, voir la documentation de la base de
données Oracle.
Si la connexion de base de données sous-jacente utilise le chiffrement SSL, il est recommandé de configurer les
serveurs de base de données avec des certificats SSL signés par une autorité de certification (CA) de confiance.
Si vous utilisez des certificats autosignés, les connexions de base de données peuvent être l'objet d'attaques
d'intercepteur. .
Prérequis
Vérifiez que vous avez effectué les étapes décrites dans la section « Ajouter une base de données View
Composer à Oracle 11g ou 10g », page 33 ou « Utiliser une instruction SQL pour ajouter une base de données
View Composer à une instance d'Oracle », page 34.
Procédure
1
Sur l'ordinateur de la base de données View Composer, sélectionnez [Start (Démarrer)] >
[Administrative Tools (Outils d'administration)] > [Data Source (ODBC) (Source de données
(ODBC))] .
2
Dans l'assistant Microsoft ODBC Data Source Administrator (Administrateur de sources de données
ODBC de Microsoft), sélectionnez l'onglet [System DSN (Nom DNS système)] .
3
Cliquez sur [Add (Ajouter)] et sélectionnez le pilote Oracle approprié dans la liste.
Par exemple : OraDb11g_home
4
Cliquez sur [Finish (Terminer)] .
5
Dans la boîte de dialogue Oracle ODBC Driver Configuration (Configuration du pilote Oracle ODBC),
saisissez un DSN à utiliser avec View Composer, une description de la source de données et un ID
d'utilisateur pour vous connecter à la base de données.
Si vous avez configuré un ID d'utilisateur de base de données Oracle avec des autorisations de sécurité
spécifiques, spécifiez cet ID d'utilisateur.
REMARQUE Vous utilisez le nom DNS lorsque vous installez le service View Composer.
VMware, Inc.
35
Installation de VMware Horizon View
6
Spécifiez un [TNS Service Name (Nom du service TNS)] en sélectionnant le nom global de base de
données dans le menu déroulant.
L'assistant de configuration de base de données Oracle spécifie le nom global de base de données.
7
Pour vérifier la source de données, cliquez sur [Test Connection (Tester la connexion)] et sur [OK] .
Suivant
Installez le nouveau service View Composer. Reportez-vous à la section « Installer le service View
Composer », page 36.
Configuration d'un certificat SSL pour View Composer
Par défaut, un certificat auto-signé est installé avec View Composer. Vous pouvez utiliser le certificat par défaut
à des fins de test. Mais, à des fins de production, vous devez le remplacer par un certificat signé par une autorité
de certification.
Vous pouvez configurer un certificat avant ou après avoir installé View Composer. Dans View 5.1 et versions
supérieures, vous configurez un certificat en l'important dans le magasin de certificats de l'ordinateur local
Windows sur l'ordinateur Windows Server sur lequel View Composer est, ou sera, installé.
n
Si vous importez un certificat signé par une autorité de certification avant d'installer View Composer,
vous pouvez sélectionner le certificat signé lors de l'installation de View Composer. Cette approche évite
d'avoir à remplacer manuellement le certificat par défaut après l'installation.
n
Si vous prévoyez de remplacer un certificat existant ou le certificat auto-signé par défaut par un nouveau
certificat après avoir installé View Composer, vous devez importer le nouveau certificat et exécuter
l'utilitaire SviConfig ReplaceCertificate pour lier votre nouveau certificat sur le port utilisé par View
Composer.
Pour plus d'informations sur la configuration des certificats SSL et l'utilisation de l'utilitaire SviConfig
ReplaceCertificate, reportez-vous à la section Chapitre 7, « Configuration de certificats SSL pour des View
Servers », page 75.
Si vous installez vCenter Server et View Composer sur le même ordinateur Windows Server, ils peuvent utiliser
le même certificat SSL, mais vous devez configurer le certificat séparément pour chaque composant.
Installer le service View Composer
Pour utiliser View Composer, vous devez installer le service View Composer. View Manager utilise View
Composer pour créer et déployer des postes de travail de clone lié dans vCenter Server.
Vous installez le service View Composer sur l'ordinateur Windows Server sur lequel vCenter Server est installé
ou sur un ordinateur Windows Server séparé. Une installation de View Composer autonome fonctionne avec
vCenter Server installé sur un ordinateur Windows Server et avec vCenter Server Appliance basé sur Linux.
Le logiciel View Composer ne peut pas coexister sur la même machine virtuelle ou physique avec d'autres
composants logiciels de View Manager, y compris un serveur réplica, un serveur de sécurité, Serveur de
connexion View, View Agent, View Client ou Serveur de transfert View.
Prérequis
36
n
Vérifiez que votre installation satisfait les exigences de View Composer décrites dans la section « Exigences
de View Composer », page 10.
n
Vérifiez que vous possédez une licence pour installer et utiliser View Composer.
n
Vérifiez que vous possédez le DSN, le nom d'utilisateur d'administrateur de domaine et le mot de passe
que vous avez fournis dans l'assistant Administrateur de sources de données ODBC. Vous saisissez ces
informations lorsque vous installez le service View Composer.
VMware, Inc.
Chapitre 4 Installation de View Composer
n
Si vous prévoyez de configurer un certificat SSL signé par une autorité de certification pour View
Composer lors de l'installation, vérifiez que votre certificat est importé dans le magasin de certificats de
l'ordinateur local Windows. Reportez-vous à la section Chapitre 7, « Configuration de certificats SSL pour
des View Servers », page 75.
n
Vérifiez qu'aucune application exécutée sur l'ordinateur View Composer n'utilise de bibliothèques
Windows SSL qui requièrent la version 2 de SSL (SSLv2) fournie via le package de sécurité Microsoft
Secure Channel (Schannel). Le programme d'installation de View Composer désactive SSLv2 sur Microsoft
Schannel. Des applications telles que Tomcat, qui utilise Java SSL, ou Apache, qui utilise OpenSSL, ne sont
pas affectées par cette contrainte.
n
Pour exécuter le programme d'installation de View Composer, vous devez être un utilisateur de domaine
avec des privilèges d'administrateur sur le système.
Procédure
1
Téléchargez le fichier du programme d'installation View Composer sur la page de produits VMware à
l'adresse http://www.vmware.com/fr/products/ sur l'ordinateur Windows Server.
Le nom de fichier du programme d'installation est VMware-viewcomposer-y.y.y-xxxxxx.exe, où xxxxxx est
le numéro de build et y.y.y est le numéro de version. Le fichier du programme d'installation installe le
service View Composer sur des systèmes d'exploitation Windows Server 64 bits.
2
Pour démarrer le programme d'installation de View Composer, cliquez avec le bouton droit sur le fichier
du programme d'installation et sélectionnez [Exécuter en tant qu'administrateur] .
3
Acceptez les termes de licence VMware.
4
Acceptez ou modifiez le dossier de destination.
5
Saisissez le DSN pour la base de données View Composer que vous avez fourni dans l'assistant
Administrateur de sources de données ODBC Microsoft ou Oracle.
Par exemple : VMware View Composer
REMARQUE Si vous n'avez pas configuré un DSN pour la base de données View Composer, cliquez sur
[Configurer un DSN ODBC] pour configurer un nom maintenant.
6
Saisissez le nom d'utilisateur et le mot de passe d'administrateur de domaine que vous avez fournis dans
l'assistant Administrateur de sources de données ODBC.
Si vous avez configuré un utilisateur de base de données Oracle avec des autorisations de sécurité
spécifiques, spécifiez ce nom d'utilisateur.
7
Saisissez un numéro de port ou acceptez la valeur par défaut.
Serveur de connexion View utilise ce port pour communiquer avec le service View Composer.
8
9
Fournissez un certificat SSL.
Option
Action
Créer un certificat SSL par défaut
Sélectionnez ce bouton radio pour créer un certificat SSL par défaut pour le
service View Composer.
Après l'installation, vous pouvez remplacer le certificat par défaut par un
certificat SSL signé par une autorité de certification.
Utiliser un certificat SSL existant
Sélectionnez ce bouton radio si vous avez installé un certificat SSL signé que
vous voulez utiliser pour le service View Composer. Sélectionnez un
certificat SSL dans la liste.
Cliquez sur [Installer] et [Terminer] pour terminer l'installation du service View Composer.
Le service VMware View Composer démarre.
VMware, Inc.
37
Installation de VMware Horizon View
View Composer utilise les suites de chiffrement qui sont fournies par le système d'exploitation Windows
Server. Vous devez suivre les recommandations de votre entreprise concernant la gestion des suites de
chiffrement sur les systèmes Windows Server. Si votre entreprise ne fournit aucune recommandation, VMware
vous conseille de désactiver les suites de chiffrement faible sur le serveur View Composer afin d'améliorer la
sécurité de votre environnement View. Pour plus d'informations sur la gestion des suites de chiffrement,
consultez votre documentation Microsoft.
Configuration de votre infrastructure pour View Composer
Vous pouvez profiter des fonctions de vSphere, vCenter Server, Active Directory et d'autres composants de
votre infrastructure afin d'optimiser les performances, la disponibilité et la fiabilité de View Composer.
Configuration de l'environnement vSphere pour View Composer
Pour prendre en charge View Composer, vous devez suivre certaines meilleures pratiques lorsque vous
installez et configurez vCenter Server, ESX/ESXi et d'autres composants vSphere.
Ces meilleures pratiques permettent à View Composer de fonctionner efficacement dans l'environnement
vSphere.
n
Lorsque vous avez créé les informations sur le chemin d'accès et le dossier pour les machines virtuelles
de clone lié, ne modifiez pas les informations dans vCenter Server. Utilisez plutôt View Administrator
pour modifier les informations de dossier.
Si vous modifiez ces informations dans vCenter Server, View Manager ne peut pas rechercher
correctement les machines virtuelles dans vCenter Server.
n
Assurez-vous que les paramètres de vSwitch sur l'hôte ESX/ESXi sont configurés avec suffisamment de
ports pour prendre en charge toutes les cartes réseau virtuelles qui sont configurées sur les machines
virtuelles de clone lié exécutées sur l'hôte ESX/ESXi.
n
Lorsque vous déployez des postes de travail de clone lié dans un pool de ressources, assurez-vous que
votre environnement vSphere contient assez de CPU et de mémoire pour héberger le nombre de postes
de travail dont vous avez besoin. Utilisez vSphere Client pour contrôler l'utilisation de CPU et de mémoire
dans les pools de ressources.
n
Dans vSphere 5.1 et supérieur, un cluster utilisé pour des clones liés View Composer peut contenir plus
de 8 hôtes ESX/ESXi si les disques de réplica sont stockés sur des magasins de données VMFS5 ou supérieur
ou sur des magasins de données NFS. Si vous stockez les réplicas sur une version VMFS antérieure à
VMFS5, un cluster peut contenir 8 hôtes au maximum.
Dans vSphere 5.0, vous pouvez sélectionner un cluster avec plus de 8 hôtes ESXi si les réplicas sont stockés
sur des magasins de données NFS. Si vous stockez les réplicas sur des magasins de données VMFS, un
cluster peut contenir au maximum 8 hôtes.
n
Utilisez vSphere DRS. DRS distribue efficacement des machines virtuelles de clone lié à vos hôtes.
REMARQUE Storage vMotion n'est pas pris en charge pour des postes de travail de clone lié.
Meilleures pratiques supplémentaires pour View Composer
Pour vous assurer que View Composer fonctionne efficacement, vérifiez que votre DNS (Dynamic Name
Service) fonctionne correctement et exécutez des analyses de logiciel antivirus à des heures décalées.
En vous assurant que la résolution DNS fonctionne correctement, vous pouvez résoudre des problèmes
intermittents causés par des erreurs DNS. Le service View Composer repose sur la résolution de nom
dynamique pour communiquer avec d'autres ordinateurs. Pour tester le fonctionnement de DNS, effectuez un
test Ping sur les ordinateurs Active Directory et View Connection Server par nom.
38
VMware, Inc.
Chapitre 4 Installation de View Composer
Si vous décalez les heures d'exécution de votre logiciel antivirus, les performances des postes de travail de
clone lié ne sont pas affectées. Si le logiciel antivirus s'exécute dans tous les clones liés à la même heure, des
opérations d'E/S par seconde (IOPS) excessives se produisent pour votre sous-système de stockage. Cette
activité excessive peut affecter les performances des postes de travail de clone lié.
VMware, Inc.
39
Installation de VMware Horizon View
40
VMware, Inc.
Installation de View Connection
Server
5
Pour utiliser View Connection Server, vous installez le logiciel sur des ordinateurs pris en charge, configurez
les composants requis et, de façon facultative, optimisez les composants.
Ce chapitre aborde les rubriques suivantes :
n
« Installation du logiciel View Connection Server », page 41
n
« Conditions préalables d'installation pour Serveur de connexion View », page 42
n
« Installer Serveur de connexion View avec une nouvelle configuration », page 42
n
« Installer une instance répliquée de Serveur de connexion View », page 47
n
« Configurer un mot de passe de couplage de serveur de sécurité », page 53
n
« Installer un serveur de sécurité », page 54
n
« Règles de pare-feu pour le serveur de connexion View », page 61
n
« Réinstaller Serveur de connexion View avec une configuration de sauvegarde », page 63
n
« Options de ligne de commande Microsoft Windows Installer », page 64
n
« Désinstallation en silence de produits View à l'aide d'options de ligne de commande MSI », page 66
Installation du logiciel View Connection Server
En fonction des besoins en termes de performances, de disponibilité et de sécurité de votre déploiement de
View, vous pouvez installer une instance unique de View Connection Server, des instances répliquées de View
Connection Server et des serveurs de sécurité. Vous devez installer au moins une instance de View Connection
Server.
Lorsque vous installez View Connection Server, vous sélectionnez un type d'installation.
Installation standard
Génère une instance de View Connection Server avec une nouvelle
configuration View LDAP.
Installation de réplica
Génère une instance de View Connection Server avec une configuration View
LDAP copiée depuis une instance existante.
Installation de serveur
de sécurité
Génère une instance de View Connection Server qui ajoute une couche
supplémentaire de sécurité entre Internet et votre réseau interne.
VMware, Inc.
41
Installation de VMware Horizon View
Conditions préalables d'installation pour Serveur de connexion View
Avant d'installer Serveur de connexion View, vous devez vérifier que votre environnement d'installation
satisfait des conditions préalables spécifiques.
n
n
Serveur de connexion View nécessite une clé de licence valide pour View Manager. Les clés de licence
suivantes sont disponibles :
n
View Manager
n
View Manager avec View Composer et mode local
Vous devez associer l'hôte de Serveur de connexion View à un domaine Active Directory. Serveur de
connexion View prend en charge les versions suivantes d'Active Directory :
n
Windows 2003 Active Directory
n
Windows 2008 Active Directory
L'hôte de Serveur de connexion View ne doit pas être un contrôleur de domaine.
REMARQUE Serveur de connexion View ne fait ni ne requiert de mises à jour de schéma ou de configuration
pour Active Directory.
n
N'installez pas Serveur de connexion View sur des systèmes sur lesquels le rôle Windows Terminal Server
est installé. Vous devez supprimer le rôle Windows Terminal Server du système sur lequel vous installez
Serveur de connexion View.
n
N'installez pas Serveur de connexion View sur un système qui effectue d'autres fonctions ou rôles. Par
exemple, n'utilisez pas le même système pour héberger vCenter Server.
n
Le système sur lequel vous installez Serveur de connexion View doit avoir une adresse IP statique.
n
Pour exécuter le programme d'installation de Serveur de connexion View, vous devez utiliser un compte
d'utilisateur de domaine avec des privilèges d'administrateur sur le système.
n
Lorsque vous installez Serveur de connexion View, vous autorisez un compte d'administrateur View.
Vous pouvez spécifier le groupe d'administrateurs local ou un compte d'utilisateur ou de groupe de
domaine. View affecte des droits d'administration de View complets, y compris le droit d'installer des
instances répliquées du serveur de connexion View, à ce compte uniquement. Si vous spécifiez un
utilisateur ou un groupe de domaine, vous devez créer le compte dans Active Directory avant d'exécuter
le programme d'installation.
Installer Serveur de connexion View avec une nouvelle configuration
Pour installer Serveur de connexion View en tant que serveur unique ou en tant que première instance d'un
groupe d'instances de Serveur de connexion View répliquées, vous utilisez l'option d'installation standard.
Lorsque vous sélectionnez l'option d'installation standard, l'installation crée une nouvelle configuration View
LDAP locale. L'installation charge les définitions de schémas, la définition de DIT (Directory Information Tree)
et des ACL et initialise les données.
Après l'installation, vous gérez la plupart des données de configuration View LDAP à l'aide de View
Administrator. Serveur de connexion View conserve automatiquement certaines entrées de View LDAP.
Le logiciel Serveur de connexion View ne peut pas coexister sur la même machine virtuelle ou physique avec
d'autres composants logiciels de View Manager, y compris un serveur réplica, un serveur de sécurité, View
Composer, View Agent, View Client ou Serveur de transfert View.
Lorsque vous installez Serveur de connexion View avec une nouvelle configuration, vous pouvez participer à
un programme d'amélioration de l'expérience utilisateur. VMware collecte des données anonymes sur votre
déploiement afin d'améliorer la réponse de VMware aux exigences des utilisateurs. Aucune donnée identifiant
votre entreprise n'est collectée. Vous pouvez choisir de ne pas participer en désélectionnant cette option lors
42
VMware, Inc.
Chapitre 5 Installation de View Connection Server
de l'installation. Si vous changez d'avis quant à la participation après l'installation, vous pouvez participer ou
vous retirer du programme en modifiant la page Licence produit et utilisation dans View Administrator. Pour
consulter la liste des champs dont les données sont collectées, y compris les champs qui restent anonymes,
consultez la section « Informations collectées par le programme d’amélioration de l’expérience utilisateur »
dans le document Administration de VMware Horizon View.
Prérequis
n
Vérifiez que vous pouvez ouvrir une session en tant qu'utilisateur de domaine avec des privilèges
d'administrateur sur l'ordinateur Windows Server sur lequel vous installez Serveur de connexion View.
n
Vérifiez que votre installation satisfait les exigences décrites dans la section « Exigences de View
Connection Server », page 7.
n
Préparez votre environnement pour l'installation. Reportez-vous à la section « Conditions préalables
d'installation pour Serveur de connexion View », page 42.
n
Si vous prévoyez d'autoriser un utilisateur ou un groupe de domaine en tant que compte de View
Administrators, vérifiez que vous avez créé le compte de domaine dans Active Directory.
n
Si vous utilisez l'authentification MIT Kerberos pour vous connecter à un ordinateur Windows Server
2008 R2 sur lequel vous installez Serveur de connexion View, installez le correctif Microsoft décrit dans
l'article 978116 de la base de connaissances à l'adresse http://support.microsoft.com/kb/978116.
n
Préparez un mot de passe de récupération de données. Lorsque vous sauvegardez Serveur de connexion
View, la configuration View LDAP est exportée sous forme de données LDIF cryptées. Pour restaurer la
configuration View de sauvegarde cryptée, vous devez fournir le mot de passe de récupération de
données. Le mot de passe doit contenir entre 1 et 128 caractères. Suivez les meilleures pratiques de votre
entreprise concernant la génération de mots de passe sécurisés.
IMPORTANT Vous aurez besoin du mot de passe de récupération de données pour laisser View en
fonctionnement et éviter les temps d'arrêt dans un scénario de continuité d'activité et de récupération
d'urgence (BC/DR). Vous pouvez fournir un rappel de mot de passe avec le mot de passe lorsque vous
installez Serveur de connexion View.
n
Familiarisez-vous avec les ports réseau qui doivent être ouverts sur le Pare-feu Windows pour les instances
de Serveur de connexion View. Reportez-vous à la section « Règles de pare-feu pour le serveur de
connexion View », page 61.
n
Si vous prévoyez de coupler un serveur de sécurité avec cette instance du serveur de connexion View,
vérifiez que le Pare-feu Windows avec sécurité avancée est défini sur [activé] dans les profils actifs. Il
vous est recommandé de régler ce paramètre sur [activé] pour tous les profils. Par défaut, des règles IPsec
régissent les connexions entre le serveur de sécurité et le serveur de connexion View et requièrent que le
Pare-feu Windows avec sécurité avancée soit activé.
n
Si votre topologie de réseau inclut un pare-feu principal entre un serveur de sécurité et l'instance de
Serveur de connexion View, vous devez configurer le pare-feu pour qu'il prenne en charge IPsec. Reportezvous à la section « Configuration d'un pare-feu principal pour prendre en charge IPsec », page 62.
Procédure
1
Téléchargez le fichier du programme d'installation de Serveur de connexion View sur la page de produits
VMware à l'adresse http://www.vmware.com/fr/products/ sur l'ordinateur Windows Server.
Le nom de fichier du programme d'installation est VMware-viewconnectionserver-x86_64-y.y.yxxxxxx.exe, où xxxxxx est le numéro de build et y.y.y le numéro de version.
2
Pour démarrer le programme d'installation de Serveur de connexion View, double-cliquez sur le fichier
du programme d'installation.
3
Acceptez les termes de licence VMware.
VMware, Inc.
43
Installation de VMware Horizon View
4
Acceptez ou modifiez le dossier de destination.
5
Sélectionnez l'option d'installation [Serveur standard View] .
6
Tapez un mot de passe de récupération de données et éventuellement un rappel de mot de passe.
7
Choisissez comment configurer le service Pare-feu Windows.
8
Option
Action
Configurer le Pare-feu Windows
automatiquement
Laissez le programme d'installation configurer le Pare-feu Windows pour
autoriser les connexions réseau requises.
Ne pas configurer le Pare-feu
Windows
Configurez les règles de pare-feu Windows manuellement.
Sélectionnez cette option uniquement si votre entreprise utilise ses propres
règles prédéfinies pour la configuration du pare-feu Windows.
Autorisez un compte de View Administrators.
Seuls les membres de ce compte peuvent ouvrir une session sur View Administrator, disposer de droits
d'administration View complets et installer des instances répliquées de Serveur de connexion View et
d'autres serveurs View.
9
Option
Description
Autoriser le groupe
d'administrateurs local
Permet aux utilisateurs dans le groupe d'administrateurs local d'administrer
View.
Autoriser un utilisateur ou un groupe
de domaine spécifique
Permet à l'utilisateur ou au groupe de domaine spécifié d'administrer View.
Si vous avez spécifié un compte de View Administrators de domaine, et que vous exécutez le programme
d'installation en tant qu'administrateur local ou un autre utilisateur sans accès au compte de domaine,
fournissez des informations d'identification pour ouvrir une session sur le domaine avec un nom
d'utilisateur et un mot de passe autorisés.
Utilisez le format domain name\user name ou le format d'utilisateur principal (UPN). Le format UPN peut
être comme suit [email protected].
10
Choisissez si vous voulez participer au programme d'amélioration de l'expérience utilisateur.
Si vous participez, vous pouvez éventuellement sélectionner le type, la taille et l'adresse de votre
entreprise.
11
Effectuez l'assistant d'installation pour terminer l'installation de Serveur de connexion View.
12
Recherchez les nouveaux correctifs sur l'ordinateur Windows Server et exécutez Windows Update, le cas
échéant.
Même si vous avez corrigé complètement l'ordinateur Windows Server avant l'installation de Serveur de
connexion View, l'installation peut avoir activé des fonctions du système d'exploitation pour la première
fois. Dans ce cas, des correctifs supplémentaires peuvent être nécessaires.
Les services View sont installés sur l'ordinateur Windows Server :
44
n
Serveur de connexion View VMware
n
Composant de l'infrastructure VMware View
n
Composant du bus de message VMware View
n
Hôte de script VMware View
n
Composant de la passerelle de sécurité VMware View
n
VMware View PCoIP Secure Gateway
VMware, Inc.
Chapitre 5 Installation de View Connection Server
n
VMware View Blast Secure Gateway
n
Composant Web VMware View
n
VMware VDMDS, qui fournit des services d'annuaire View LDAP
Pour plus d'informations sur ces services, consultez le document Administration de VMware Horizon View.
Suivant
Configurez des certificats de serveur SSL pour Serveur de connexion View. Reportez-vous à la section Chapitre
7, « Configuration de certificats SSL pour des View Servers », page 75.
Effectuez la configuration initiale sur Serveur de connexion View. Reportez-vous à la section Chapitre 8,
« Première configuration de View », page 95.
Si vous prévoyez d'inclure des instances de Serveur de connexion View répliquées et des serveurs de sécurité
dans votre déploiement, vous devez installer chaque instance de serveur en exécutant le fichier du programme
d'installation de Serveur de connexion View.
Si vous réinstallez Serveur de connexion View sur un système d'exploitation Windows Server 2008 et que vous
possédez un ensemble de collecteur de données pour analyser les données de performances, arrêtez l'ensemble
de collecteur de données et démarrez-le de nouveau.
Installer Serveur de connexion View en silence
Vous pouvez utiliser la fonction d'installation silencieuse de MSI (Microsoft Windows Installer) pour effectuer
une installation standard de Serveur de connexion View sur plusieurs ordinateurs Windows. Dans une
installation silencieuse, vous utilisez la ligne de commande et n'avez pas à répondre à des invites d'assistant.
Avec l'installation silencieuse, vous pouvez déployer efficacement des composants View dans une grande
entreprise.
Prérequis
n
Vérifiez que vous pouvez ouvrir une session en tant qu'utilisateur de domaine avec des privilèges
d'administrateur sur l'ordinateur Windows Server sur lequel vous installez Serveur de connexion View.
n
Vérifiez que votre installation satisfait les exigences décrites dans la section « Exigences de View
Connection Server », page 7.
n
Préparez votre environnement pour l'installation. Reportez-vous à la section « Conditions préalables
d'installation pour Serveur de connexion View », page 42.
n
Si vous prévoyez d'autoriser un utilisateur ou un groupe de domaine en tant que compte de View
Administrators, vérifiez que vous avez créé le compte de domaine dans Active Directory.
n
Si vous utilisez l'authentification MIT Kerberos pour vous connecter à un ordinateur Windows Server
2008 R2 sur lequel vous installez Serveur de connexion View, installez le correctif Microsoft décrit dans
l'article 978116 de la base de connaissances à l'adresse http://support.microsoft.com/kb/978116.
n
Familiarisez-vous avec les ports réseau qui doivent être ouverts sur le Pare-feu Windows pour les instances
de Serveur de connexion View. Reportez-vous à la section « Règles de pare-feu pour le serveur de
connexion View », page 61.
n
Si vous prévoyez de coupler un serveur de sécurité avec cette instance du serveur de connexion View,
vérifiez que le Pare-feu Windows avec sécurité avancée est défini sur [activé] dans les profils actifs. Il
vous est recommandé de régler ce paramètre sur [activé] pour tous les profils. Par défaut, des règles IPsec
régissent les connexions entre le serveur de sécurité et le serveur de connexion View et requièrent que le
Pare-feu Windows avec sécurité avancée soit activé.
n
Si votre topologie de réseau inclut un pare-feu principal entre un serveur de sécurité et l'instance de
Serveur de connexion View, vous devez configurer le pare-feu pour qu'il prenne en charge IPsec. Reportezvous à la section « Configuration d'un pare-feu principal pour prendre en charge IPsec », page 62.
VMware, Inc.
45
Installation de VMware Horizon View
n
Vérifiez que l'ordinateur Windows sur lequel vous installez Serveur de connexion View a la version 2.0
ou supérieure du moteur runtime MSI. Pour plus d'informations, consultez le site Web Microsoft.
n
Familiarisez-vous avec les options de ligne de commande du programme d'installation MSI. Reportezvous à la section « Options de ligne de commande Microsoft Windows Installer », page 64.
n
Familiarisez-vous avec les propriétés d'installation silencieuse disponibles avec une installation standard
de Serveur de connexion View. Reportez-vous à la section « Propriétés de l'installation silencieuse pour
une installation standard de Serveur de connexion View », page 47.
Procédure
1
Téléchargez le fichier du programme d'installation de Serveur de connexion View sur la page de produits
VMware à l'adresse http://www.vmware.com/fr/products/ sur l'ordinateur Windows Server.
Le nom de fichier du programme d'installation est VMware-viewconnectionserver-x86_64-y.y.yxxxxxx.exe, où xxxxxx est le numéro de build et y.y.y le numéro de version.
2
Ouvrez une invite de commande sur l'ordinateur Windows Server.
3
Saisissez la commande d'installation sur une ligne.
Par exemple : VMware-viewconnectionserver-y.y.y-xxxxxx.exe /s /v"/qn VDM_SERVER_INSTANCE_TYPE=1
VDM_INITIAL_ADMIN_SID=S-1-5-32-544 VDM_SERVER_RECOVERY_PWD=mini
VDM_SERVER_RECOVERY_PWD_REMINDER=""First car"""
IMPORTANT Lorsque vous exécutez une installation silencieuse, l'ensemble de la ligne de commande, y
compris le mot de passe de récupération de données, est journalisé dans le fichier vminst.log du
programme d'installation. À la fin de l'installation, supprimez ce fichier journal ou changez le mot de passe
de récupération de données en utilisant View Administrator.
4
Recherchez les nouveaux correctifs sur l'ordinateur Windows Server et exécutez Windows Update, le cas
échéant.
Même si vous avez corrigé complètement l'ordinateur Windows Server avant l'installation de Serveur de
connexion View, l'installation peut avoir activé des fonctions du système d'exploitation pour la première
fois. Dans ce cas, des correctifs supplémentaires peuvent être nécessaires.
Les services View sont installés sur l'ordinateur Windows Server. Pour plus d'informations, reportez-vous à
la section « Installer Serveur de connexion View avec une nouvelle configuration », page 42.
Suivant
Configurez des certificats de serveur SSL pour Serveur de connexion View. Reportez-vous à la section Chapitre
7, « Configuration de certificats SSL pour des View Servers », page 75.
Si vous configurez View pour la première fois, effectuez la configuration initiale sur Serveur de connexion
View. Reportez-vous à la section Chapitre 8, « Première configuration de View », page 95.
46
VMware, Inc.
Chapitre 5 Installation de View Connection Server
Propriétés de l'installation silencieuse pour une installation standard de Serveur
de connexion View
Vous pouvez inclure des propriétés de Serveur de connexion View spécifiques lorsque vous effectuez une
installation silencieuse depuis la ligne de commande. Vous devez utiliser un format PROPERTY=value pour que
Microsoft Windows Installer (MSI) puisse interpréter les propriétés et les valeurs.
Tableau 5-1. Propriétés MSI pour l'installation silencieuse de Serveur de connexion View dans une installation standard
Propriété MSI
Description
Valeur par défaut
INSTALLDIR
Chemin d'accès et dossier dans lequel le logiciel Serveur de connexion
View est installé.
Par exemple : INSTALLDIR=""D:\abc\my folder""
%ProgramFiles
%\VMware\VMware
View\Server
Les jeux de deux guillemets doubles entourant le chemin autorisent le
programme d'installation MSI à interpréter l'espace comme étant une
partie valide du chemin.
VDM_SERVER_
INSTANCE_TYPE
Type d'installation du serveur View :
n 1. Installation standard
n
2. Installation de réplica
n
3. Installation d'un serveur de sécurité
n
4. Installation de Serveur de transfert View
1
Par exemple, pour effectuer une installation standard, définissez
VDM_SERVER_INSTANCE_TYPE=1
FWCHOICE
Propriété MSI qui détermine de configurer un pare-feu pour l'instance
de Serveur de connexion View.
Une valeur de 1 configure un pare-feu. Une valeur de 2 ne configure pas
un pare-feu.
Par exemple : FWCHOICE=1
1
VDM_INITIAL_
ADMIN_SID
SID de l'utilisateur ou du groupe d'administrateurs View initial qui est
autorisé avec des droits d'administration complets dans View.
La valeur par défaut est le SID du groupe d'administrateurs local sur
l'ordinateur Serveur de connexion View. Vous pouvez spécifier un SID
d'un compte d'utilisateur ou de groupe de domaine.
S-1-5-32-544
VDM_SERVER_
RECOVERY_PWD
Mot de passe de récupération de données. Si aucun mot de passe de
récupération de données n'est défini dans View LDAP, cette propriété
est obligatoire.
Le mot de passe doit contenir entre 1 et 128 caractères. Suivez les
meilleures pratiques de votre entreprise concernant la génération de
mots de passe sécurisés.
Aucun
VDM_SERVER_RECOVERY_
PWD_REMINDER
Rappel du mot de passe de récupération de données. Cette propriété est
facultative.
Aucun
Installer une instance répliquée de Serveur de connexion View
Pour fournir une disponibilité élevée et un équilibrage de charge, vous pouvez installer une ou plusieurs
instances supplémentaires de Serveur de connexion View qui répliquent une instance de Serveur de connexion
View existante. Après l'installation de réplica, les instances existantes et les instances venant d'être installées
de Serveur de connexion View sont identiques.
Lorsque vous installez une instance répliquée, View Manager copie les données de configuration View LDAP
depuis l'instance de Serveur de connexion View existante.
Après l'installation, le logiciel View Manager conserve les données de configuration View LDAP identiques
sur toutes les instances de Serveur de connexion View dans le groupe répliqué. Lorsqu'une modification est
faite sur une instance, les informations mises à jour sont copiées sur les autres instances.
VMware, Inc.
47
Installation de VMware Horizon View
Si une instance répliquée échoue, les autres instances du groupe continuent de fonctionner. Lorsque l'instance
échouée reprend l'activité, sa configuration est mise à jour avec les modifications qui ont eu lieu au cours de
la panne.
REMARQUE La fonction de réplication est fournie par View LDAP, qui utilise la même technologie de réplication
qu'Active Directory.
Le logiciel du serveur réplica ne peut pas coexister sur la même machine virtuelle ou physique avec d'autres
composants logiciels de View Manager, y compris un serveur de sécurité, Serveur de connexion View, View
Composer, View Agent, View Client ou Serveur de transfert View.
Prérequis
48
n
Vérifiez qu'au moins une instance de Serveur de connexion View est installée et configurée sur le réseau.
n
Pour installer l'instance répliquée, vous devez ouvrir une session en tant qu'utilisateur avec le rôle View
Administrators. Vous spécifiez le compte ou le groupe avec le rôle View Administrators lorsque vous
installez la première instance de Serveur de connexion View. Le rôle peut être attribué au groupe
d'administrateurs local ou à un utilisateur ou un groupe de domaine. Reportez-vous à la section « Installer
Serveur de connexion View avec une nouvelle configuration », page 42.
n
Si l'instance de Serveur de connexion View existante se trouve dans un domaine différent de celui de
l'instance répliquée, l'utilisateur de domaine doit également disposer de privilèges View Administrator
sur l'ordinateur Windows Server sur lequel l'instance existante est installée.
n
Si vous utilisez l'authentification MIT Kerberos pour vous connecter à un ordinateur Windows Server
2008 R2 sur lequel vous installez Serveur de connexion View, installez le correctif Microsoft décrit dans
l'article 978116 de la base de connaissances à l'adresse http://support.microsoft.com/kb/978116.
n
Vérifiez que votre installation satisfait les exigences décrites dans la section « Exigences de View
Connection Server », page 7.
n
Vérifiez que les ordinateurs sur lesquels vous installez des instances répliquées de Serveur de connexion
View sont connectés sur un réseau LAN haute performance. Reportez-vous à la section « Exigences de
réseau pour des instances répliquées de Serveur de connexion View », page 9.
n
Préparez votre environnement pour l'installation. Reportez-vous à la section « Conditions préalables
d'installation pour Serveur de connexion View », page 42.
n
Si vous installez une instance de Serveur de connexion View répliquée correspondant à la version View 5.1
ou supérieure et que l'instance de Serveur de connexion View existante que vous répliquez correspond à
la version View 5.0.x ou antérieure, préparez un mot de passe de récupération de données. Reportez-vous
à la section « Installer Serveur de connexion View avec une nouvelle configuration », page 42.
n
Familiarisez-vous avec les ports réseau qui doivent être ouverts sur le Pare-feu Windows pour les instances
de Serveur de connexion View. Reportez-vous à la section « Règles de pare-feu pour le serveur de
connexion View », page 61.
n
Si vous prévoyez de coupler un serveur de sécurité avec cette instance du serveur de connexion View,
vérifiez que le Pare-feu Windows avec sécurité avancée est défini sur [activé] dans les profils actifs. Il
vous est recommandé de régler ce paramètre sur [activé] pour tous les profils. Par défaut, des règles IPsec
régissent les connexions entre le serveur de sécurité et le serveur de connexion View et requièrent que le
Pare-feu Windows avec sécurité avancée soit activé.
n
Si votre topologie de réseau inclut un pare-feu principal entre un serveur de sécurité et l'instance de
Serveur de connexion View, vous devez configurer le pare-feu pour qu'il prenne en charge IPsec. Reportezvous à la section « Configuration d'un pare-feu principal pour prendre en charge IPsec », page 62.
VMware, Inc.
Chapitre 5 Installation de View Connection Server
Procédure
1
Téléchargez le fichier du programme d'installation de Serveur de connexion View sur la page de produits
VMware à l'adresse http://www.vmware.com/fr/products/ sur l'ordinateur Windows Server.
Le nom de fichier du programme d'installation est VMware-viewconnectionserver-x86_64-y.y.yxxxxxx.exe, où xxxxxx est le numéro de build et y.y.y le numéro de version.
2
Pour démarrer le programme d'installation de Serveur de connexion View, double-cliquez sur le fichier
du programme d'installation.
3
Acceptez les termes de licence VMware.
4
Acceptez ou modifiez le dossier de destination.
5
Sélectionnez l'option d'installation [View Replica Server] .
6
Saisissez le nom d'hôte ou l'adresse IP de l'instance de Serveur de connexion View existante que vous
répliquez.
7
Tapez un mot de passe de récupération de données et éventuellement un rappel de mot de passe.
Vous êtes invité à fournir un mot de passe de récupération de données uniquement si l'instance de Serveur
de connexion View existante que vous répliquez correspond à la version View 5.0.x ou antérieure.
8
Choisissez comment configurer le service Pare-feu Windows.
Option
Action
Configurer le Pare-feu Windows
automatiquement
Laissez le programme d'installation configurer le Pare-feu Windows pour
autoriser les connexions réseau requises.
Ne pas configurer le Pare-feu
Windows
Configurez les règles de pare-feu Windows manuellement.
Sélectionnez cette option uniquement si votre entreprise utilise ses propres
règles prédéfinies pour la configuration du pare-feu Windows.
9
Effectuez l'assistant d'installation pour terminer l'installation de l'instance répliquée.
10
Recherchez les nouveaux correctifs sur l'ordinateur Windows Server et exécutez Windows Update, le cas
échéant.
Même si vous avez corrigé complètement l'ordinateur Windows Server avant l'installation de Serveur de
connexion View, l'installation peut avoir activé des fonctions du système d'exploitation pour la première
fois. Dans ce cas, des correctifs supplémentaires peuvent être nécessaires.
Les services View sont installés sur l'ordinateur Windows Server :
n
Serveur de connexion View VMware
n
Composant de l'infrastructure VMware View
n
Composant du bus de message VMware View
n
Hôte de script VMware View
n
Composant de la passerelle de sécurité VMware View
n
VMware View PCoIP Secure Gateway
n
VMware View Blast Secure Gateway
n
Composant Web VMware View
n
VMware VDMDS, qui fournit des services d'annuaire View LDAP
Pour plus d'informations sur ces services, consultez le document Administration de VMware Horizon View.
VMware, Inc.
49
Installation de VMware Horizon View
Suivant
Configurez un certificat de serveur SSL pour l'instance de Serveur de connexion View. Reportez-vous à la
section Chapitre 7, « Configuration de certificats SSL pour des View Servers », page 75.
Vous n'avez pas à effectuer une configuration View initiale sur une instance répliquée de Serveur de connexion
View. L'instance répliquée hérite de sa configuration depuis l'instance de Serveur de connexion View existante.
Toutefois, il peut être nécessaire de configurer des paramètres de connexion client pour cette instance de
Serveur de connexion View, et vous pouvez optimiser les paramètres Windows Server pour prendre en charge
un déploiement de grande envergure. Reportez-vous aux sections « Configuration de connexions View
Client », page 112 et « Dimensionnement de paramètres de Windows Server pour prendre en charge votre
déploiement », page 122.
Si vous réinstallez Serveur de connexion View sur un système d'exploitation Windows Server 2008 et que vous
possédez un ensemble de collecteur de données pour analyser les données de performances, arrêtez l'ensemble
de collecteur de données et démarrez-le de nouveau.
Installer une instance répliquée de Serveur de connexion View en silence
Vous pouvez utiliser la fonction d'installation silencieuse de MSI (Microsoft Windows Installer) pour installer
une instance répliquée de Serveur de connexion View sur plusieurs ordinateurs Windows. Dans une
installation silencieuse, vous utilisez la ligne de commande et n'avez pas à répondre à des invites d'assistant.
Avec l'installation silencieuse, vous pouvez déployer efficacement des composants View dans une grande
entreprise.
Prérequis
50
n
Vérifiez qu'au moins une instance de Serveur de connexion View est installée et configurée sur le réseau.
n
Pour installer l'instance répliquée, vous devez ouvrir une session en tant qu'utilisateur avec des
informations d'identification pour accéder au compte de View Administrators. Vous spécifiez le compte
de View Administrators lorsque vous installez la première instance de Serveur de connexion View. Le
compte peut être le groupe d'administrateurs local ou un compte d'utilisateur ou de groupe de domaine.
Reportez-vous à la section « Installer Serveur de connexion View avec une nouvelle configuration »,
page 42.
n
Si l'instance de Serveur de connexion View existante se trouve dans un domaine différent de celui de
l'instance répliquée, l'utilisateur de domaine doit également disposer de privilèges View Administrator
sur l'ordinateur Windows Server sur lequel l'instance existante est installée.
n
Si vous utilisez l'authentification MIT Kerberos pour vous connecter à un ordinateur Windows Server
2008 R2 sur lequel vous installez Serveur de connexion View, installez le correctif Microsoft décrit dans
l'article 978116 de la base de connaissances à l'adresse http://support.microsoft.com/kb/978116.
n
Vérifiez que votre installation satisfait les exigences décrites dans la section « Exigences de View
Connection Server », page 7.
n
Vérifiez que les ordinateurs sur lesquels vous installez des instances répliquées de Serveur de connexion
View sont connectés sur un réseau LAN haute performance. Reportez-vous à la section « Exigences de
réseau pour des instances répliquées de Serveur de connexion View », page 9.
n
Préparez votre environnement pour l'installation. Reportez-vous à la section « Conditions préalables
d'installation pour Serveur de connexion View », page 42.
n
Familiarisez-vous avec les ports réseau qui doivent être ouverts sur le Pare-feu Windows pour les instances
de Serveur de connexion View. Reportez-vous à la section « Règles de pare-feu pour le serveur de
connexion View », page 61.
VMware, Inc.
Chapitre 5 Installation de View Connection Server
n
Si vous prévoyez de coupler un serveur de sécurité avec cette instance du serveur de connexion View,
vérifiez que le Pare-feu Windows avec sécurité avancée est défini sur [on (activé)] dans les profils actifs.
Il vous est recommandé de régler ce paramètre sur [on (activé)] pour tous les profils. Par défaut, des
règles IPsec régissent les connexions entre le serveur de sécurité et le serveur de connexion View et
requièrent que le Pare-feu Windows avec sécurité avancée soit activé.
n
Si votre topologie de réseau inclut un pare-feu principal entre un serveur de sécurité et l'instance de
Serveur de connexion View, vous devez configurer le pare-feu pour qu'il prenne en charge IPsec. Reportezvous à la section « Configuration d'un pare-feu principal pour prendre en charge IPsec », page 62.
n
Familiarisez-vous avec les options de ligne de commande du programme d'installation MSI. Reportezvous à la section « Options de ligne de commande Microsoft Windows Installer », page 64.
n
Familiarisez-vous avec les propriétés d'installation silencieuse disponibles avec une installation de réplica
de Serveur de connexion View. Reportez-vous à la section « Propriétés de l'installation silencieuse pour
une instance répliquée de Serveur de connexion View », page 52.
Procédure
1
Téléchargez le fichier du programme d'installation de Serveur de connexion View sur la page de produits
VMware à l'adresse http://www.vmware.com/fr/products/ sur l'ordinateur Windows Server.
Le nom de fichier du programme d'installation est VMware-viewconnectionserver-x86_64-y.y.yxxxxxx.exe, où xxxxxx est le numéro de build et y.y.y le numéro de version.
2
Ouvrez une invite de commande sur l'ordinateur Windows Server.
3
Saisissez la commande d'installation sur une ligne.
Par exemple : VMware-viewconnectionserver-y.y.y-xxxxxx.exe /s /v"/qn VDM_SERVER_INSTANCE_TYPE=2
ADAM_PRIMARY_NAME=cs1.companydomain.com VDM_INITIAL_ADMIN_SID=S-1-5-32-544"
Si vous installez une instance de Serveur de connexion View répliquée correspondant à la version View 5.1
ou supérieure et que l'instance de Serveur de connexion View existante que vous répliquez correspond à
la version View 5.0.x ou antérieure, vous devez spécifier un mot de passe de récupération de données et
vous pouvez ajouter un rappel de mot de passe. Par exemple : VMware-viewconnectionserver-y.y.yxxxxxx.exe /s /v"/qn VDM_SERVER_INSTANCE_TYPE=2 ADAM_PRIMARY_NAME=cs1.companydomain.com
VDM_INITIAL_ADMIN_SID=S-1-5-32-544 VDM_SERVER_RECOVERY_PWD=mini
VDM_SERVER_RECOVERY_PWD_REMINDER=""First car"""
IMPORTANT Lorsque vous exécutez une installation silencieuse, l'ensemble de la ligne de commande, y
compris le mot de passe de récupération de données, est journalisé dans le fichier vminst.log du
programme d'installation. À la fin de l'installation, supprimez ce fichier journal ou changez le mot de passe
de récupération de données en utilisant View Administrator.
4
Recherchez les nouveaux correctifs sur l'ordinateur Windows Server et exécutez Windows Update, le cas
échéant.
Même si vous avez corrigé complètement l'ordinateur Windows Server avant l'installation de Serveur de
connexion View, l'installation peut avoir activé des fonctions du système d'exploitation pour la première
fois. Dans ce cas, des correctifs supplémentaires peuvent être nécessaires.
Les services View sont installés sur l'ordinateur Windows Server. Pour plus d'informations, reportez-vous à
la section « Installer une instance répliquée de Serveur de connexion View », page 47.
Suivant
Configurez un certificat de serveur SSL pour l'instance de Serveur de connexion View. Reportez-vous à la
section Chapitre 7, « Configuration de certificats SSL pour des View Servers », page 75.
Vous n'avez pas à effectuer une configuration View initiale sur une instance répliquée de Serveur de connexion
View. L'instance répliquée hérite de sa configuration depuis l'instance de Serveur de connexion View existante.
VMware, Inc.
51
Installation de VMware Horizon View
Toutefois, il peut être nécessaire de configurer des paramètres de connexion client pour cette instance de
Serveur de connexion View, et vous pouvez optimiser les paramètres Windows Server pour prendre en charge
un déploiement de grande envergure. Reportez-vous aux sections « Configuration de connexions View
Client », page 112 et « Dimensionnement de paramètres de Windows Server pour prendre en charge votre
déploiement », page 122.
Propriétés de l'installation silencieuse pour une instance répliquée de Serveur de
connexion View
Vous pouvez inclure des propriétés spécifiques lorsque vous installez en silence une instance de Serveur de
connexion View répliquée depuis la ligne de commande. Vous devez utiliser un format PROPERTY=value pour
que Microsoft Windows Installer (MSI) puisse interpréter les propriétés et les valeurs.
Tableau 5-2. Propriétés MSI pour l'installation silencieuse d'une instance répliquée de Serveur de connexion View
Propriété MSI
Description
Valeur par défaut
INSTALLDIR
Chemin d'accès et dossier dans lequel le logiciel Serveur de connexion
View est installé.
Par exemple : INSTALLDIR=""D:\abc\my folder""
%ProgramFiles
%\VMware\VMware
View\Server
Les jeux de deux guillemets doubles entourant le chemin autorisent le
programme d'installation MSI à interpréter l'espace comme étant une
partie valide du chemin.
Cette propriété MSI est facultative.
VDM_SERVER_INSTANCE_
TYPE
Type d'installation du serveur View :
n 1. Installation standard
n
2. Installation de réplica
n
3. Installation d'un serveur de sécurité
n
4. Installation de Serveur de transfert View
1
Pour installer une instance répliquée, définissez
VDM_SERVER_INSTANCE_TYPE=2
Cette propriété MSI est requise lors de l'installation d'un réplica.
ADAM_PRIMARY_NAME
Nom d'hôte ou adresse IP de l'instance de Serveur de connexion View
existante que vous répliquez.
Par exemple : ADAM_PRIMARY_NAME=cs1.companydomain.com
Aucun
Cette propriété MSI est requise.
ADAM_PRIMARY_PORT
Port View LDAP de l'instance de Serveur de connexion View existante que
vous répliquez.
Par exemple : ADAM_PRIMARY_PORT=cs1.companydomain.com
Aucun
Cette propriété MSI est facultative.
FWCHOICE
Propriété MSI qui détermine de configurer un pare-feu pour l'instance de
Serveur de connexion View.
Une valeur de 1 configure un pare-feu. Une valeur de 2 ne configure pas
un pare-feu.
Par exemple : FWCHOICE=1
1
Cette propriété MSI est facultative.
52
VMware, Inc.
Chapitre 5 Installation de View Connection Server
Tableau 5-2. Propriétés MSI pour l'installation silencieuse d'une instance répliquée de Serveur de connexion View
(suite)
Propriété MSI
Description
Valeur par défaut
VDM_SERVER_
RECOVERY_PWD
Mot de passe de récupération de données. Si aucun mot de passe de
récupération de données n'est défini dans View LDAP, cette propriété est
obligatoire.
REMARQUE Le mot de passe de récupération de données n'est pas défini
dans View LDAP si l'instance de Serveur de connexion View standard que
vous répliquez est View 5.0 ou antérieur. Si l'instance de Serveur de
connexion View que vous répliquez est View 5.1 ou supérieur, vous n'avez
pas à fournir cette propriété.
Le mot de passe doit contenir entre 1 et 128 caractères. Suivez les
meilleures pratiques de votre entreprise concernant la génération de mots
de passe sécurisés.
Aucun
VDM_SERVER_RECOVERY_
PWD_REMINDER
Rappel du mot de passe de récupération de données. Cette propriété est
facultative.
Aucun
Configurer un mot de passe de couplage de serveur de sécurité
Avant de pouvoir installer un serveur de sécurité, vous devez configurer un mot de passe de couplage de
serveur de sécurité. Lorsque vous installez un serveur de sécurité avec le programme d'installation de Serveur
de connexion View, le programme vous invite à fournir ce mot de passe lors du processus d'installation.
Le mot de passe de couplage de serveur de sécurité est un mot de passe à usage unique qui permet à un serveur
de sécurité d'être couplé avec une instance de Serveur de connexion View. Le mot de passe devient non valide
une fois que vous l'avez fourni au programme d'installation de Serveur de connexion View.
REMARQUE Vous ne pouvez pas coupler une version antérieure d'un serveur de sécurité avec la version actuelle
de Serveur de connexion View. Si vous configurez un mot de passe de couplage sur la version actuelle de
Serveur de connexion View et que vous essayez d'installer une version antérieure du serveur de sécurité, le
mot de passe de couplage ne sera pas valide.
Procédure
1
Dans View Administrator, sélectionnez [Configuration de View] > [Serveurs] .
2
Sous l'onglet Serveurs de connexion, sélectionnez l'instance de Serveur de connexion View à coupler avec
le serveur de sécurité.
3
Dans le menu déroulant [Plus de commandes] , sélectionnez [Spécifier un mot de passe de couplage
de serveur de sécurité] .
4
Saisissez le mot de passe dans les zones de texte Pairing password (Mot de passe de couplage) et Confirm
(Confirmer) et spécifiez une valeur d'expiration du mot de passe.
Vous devez utiliser le mot de passe dans la période d'expiration spécifiée.
5
Cliquez sur [OK] pour configurer le mot de passe.
Suivant
Installez un serveur de sécurité. Reportez-vous à la section « Installer un serveur de sécurité », page 54.
IMPORTANT Si vous ne fournissez pas le mot de passe de couplage de serveur de sécurité au programme
d'installation de Serveur de connexion View dans la période d'expiration du mot de passe, le mot de passe
devient non valide et vous devez configurer un nouveau mot de passe.
VMware, Inc.
53
Installation de VMware Horizon View
Installer un serveur de sécurité
Un serveur de sécurité est une instance de Serveur de connexion View qui ajoute une couche supplémentaire
de sécurité entre Internet et votre réseau interne. Vous pouvez installer un ou plusieurs serveurs de sécurité à
connecter à une instance de Serveur de connexion View.
Le logiciel du serveur de sécurité ne peut pas coexister sur la même machine virtuelle ou physique avec d'autres
composants logiciels de View Manager, y compris un serveur réplica, Serveur de connexion View, View
Composer, View Agent, View Client ou Serveur de transfert View.
Prérequis
n
Déterminez le type de topologie à utiliser. Par exemple, déterminez quelle solution d'équilibrage de charge
utiliser. Décidez si les instances du Serveur de connexion View appairées avec des serveurs de sécurité
seront dédiées aux utilisateurs du réseau externe. Pour plus d'informations, consultez le document
VMware Horizon View Architecture Planning.
IMPORTANT Si vous utilisez un équilibreur de charge, vous devez disposer d'adresses IP statiques pour
l'équilibreur de charge et pour chaque serveur de sécurité. Par exemple, si vous utilisez un équilibreur de
charge avec deux serveurs de sécurité, vous avez besoin de 3 adresses IP statiques.
54
n
Vérifiez que votre installation satisfait les exigences décrites dans la section « Exigences de View
Connection Server », page 7.
n
Préparez votre environnement pour l'installation. Reportez-vous à la section « Conditions préalables
d'installation pour Serveur de connexion View », page 42.
n
Vérifiez que l'instance de Serveur de connexion View à être appairée avec le serveur de sécurité est installée
et configurée et exécute une version du Serveur de connexion View qui est compatible avec la version du
serveur de sécurité. Reportez-vous à la section « Matrice de compatibilité de composants Horizon View »
dans le document Mises à niveau VMware Horizon View.
n
Vérifiez que l'instance du Serveur de connexion View devant être appairée avec le serveur de sécurité est
accessible à l'ordinateur sur lequel vous prévoyez d'installer le serveur de sécurité.
n
Configurez un mot de passe de couplage de serveur de sécurité. Reportez-vous à la section « Configurer
un mot de passe de couplage de serveur de sécurité », page 53.
n
Familiarisez-vous avec le format des URL externes. Reportez-vous à la section « Configuration d'URL
externes pour PCoIP Secure Gateway et les connexions par tunnel », page 115.
n
Vérifiez que le Pare-feu Windows avec sécurité avancée est défini sur [activé] dans les profils actifs. Il
vous est recommandé de régler ce paramètre sur [activé] pour tous les profils. Par défaut, des règles IPsec
régissent les connexions entre le serveur de sécurité et le serveur de connexion View et requièrent que le
Pare-feu Windows avec sécurité avancée soit activé.
n
Familiarisez-vous avec les ports réseau qui doivent être ouverts sur le Pare-feu Windows pour un serveur
de sécurité. Reportez-vous à la section « Règles de pare-feu pour le serveur de connexion View »,
page 61.
n
Si votre topologie de réseau inclut un pare-feu principal entre le serveur de sécurité et Serveur de
connexion View, vous devez configurer le pare-feu pour qu'il prenne en charge IPsec. Reportez-vous à la
section « Configuration d'un pare-feu principal pour prendre en charge IPsec », page 62.
n
Si vous mettez à niveau le serveur de sécurité ou le réinstallez, vérifiez que les règles IPsec existantes du
serveur de sécurité ont été supprimées. Reportez-vous à la section « Se préparer à mettre à niveau ou à
réinstaller un serveur de sécurité », page 60.
VMware, Inc.
Chapitre 5 Installation de View Connection Server
Procédure
1
Téléchargez le fichier du programme d'installation de Serveur de connexion View sur la page de produits
VMware à l'adresse http://www.vmware.com/fr/products/ sur l'ordinateur Windows Server.
Le nom de fichier du programme d'installation est VMware-viewconnectionserver-x86_64-y.y.yxxxxxx.exe, où xxxxxx est le numéro de build et y.y.y le numéro de version.
2
Pour démarrer le programme d'installation de Serveur de connexion View, double-cliquez sur le fichier
du programme d'installation.
3
Acceptez les termes de licence VMware.
4
Acceptez ou modifiez le dossier de destination.
5
Sélectionnez l'option d'installation [View Security Server] .
6
Saisissez le nom de domaine complet ou l'adresse IP de l'instance de Serveur de connexion View à coupler
avec le serveur de sécurité dans la zone de texte [Serveur] .
Le serveur de sécurité transmet le trafic réseau à cette instance de Serveur de connexion View.
7
Saisissez le mot de passe de couplage de serveur de sécurité dans la zone de texte Mot de passe.
Si le mot de passe a expiré, vous pouvez utiliser View Administrator pour configurer un nouveau mot de
passe et saisir le nouveau mot de passe dans le programme d'installation.
8
Dans la zone de texte [URL externe] , saisissez l'URL externe du serveur de sécurité pour les clients View
Client qui utilisent les protocoles d'affichage RDP ou PCoIP.
L'URL doit contenir le protocole, le nom de serveur de sécurité résolvable par le client et le numéro de
port. Les clients tunnel qui s'exécutent en dehors de votre réseau utilisent cette URL pour se connecter au
serveur de sécurité.
Par exemple : https://view.exemple.com:443
9
Dans la zone de texte [URL externe PCoIP] , saisissez l'URL externe du serveur de sécurité pour les clients
View Client qui utilisent le protocole d'affichage PCoIP.
Spécifiez l'URL externe PCoIP comme adresse IP avec le numéro de port 4172. N'incluez pas un nom de
protocole.
Par exemple : 10.20.30.40:4172
L'URL doit contenir l'adresse IP et le numéro de port qu'un système client peut utiliser pour atteindre le
serveur de sécurité. Vous ne pouvez saisir du texte dans la zone de texte que si PCoIP Secure Gateway est
installé sur le serveur de sécurité.
10
Dans la zone de texte [URL externe Blast] , tapez l'URL externe du serveur de sécurité pour les utilisateurs
qui utilisent l'accès HTML pour se connecter à des postes de travail View.
L'URL doit contenir le protocole HTTPS, le nom d'hôte résolvable par le client et le numéro de port.
Par exemple : https://myserver.example.com:8443
Par défaut, l'URL inclut le nom de domaine complet de l'URL externe du tunnel sécurisé et le numéro de
port par défaut, 8443. L'URL doit contenir le nom de domaine complet et le numéro de port qu'un système
client peut utiliser pour atteindre ce serveur de sécurité.
VMware, Inc.
55
Installation de VMware Horizon View
11
12
Choisissez comment configurer le service Pare-feu Windows.
Option
Action
Configurer le Pare-feu Windows
automatiquement
Laissez le programme d'installation configurer le Pare-feu Windows pour
autoriser les connexions réseau requises.
Ne pas configurer le Pare-feu
Windows
Configurez les règles de pare-feu Windows manuellement.
Sélectionnez cette option uniquement si votre entreprise utilise ses propres
règles prédéfinies pour la configuration du pare-feu Windows.
Effectuez l'assistant d'installation pour terminer l'installation du serveur de sécurité.
Les services du serveur de sécurité sont installés sur l'ordinateur Windows Server :
n
Serveur de sécurité VMware View
n
VMware View Framework Component
n
VMware View Security Gateway Component
n
VMware View PCoIP Secure Gateway
n
VMware Blast Secure Gateway
Pour plus d'informations sur ces services, consultez le document Administration de VMware Horizon View.
Le serveur de sécurité apparaît dans le volet Serveurs de sécurité dans View Administrator.
REMARQUE Si l'installation est annulée ou abandonnée, il peut être nécessaire de supprimer les règles IPsec du
serveur de sécurité avant d'effectuer l'installation de nouveau. Exécutez cette étape, même si vous avez déjà
supprimé les règles IPsec avant de réinstaller le serveur de sécurité ou de le mettre à niveau. Pour plus
d'instructions sur la suppression des règles IPsec, reportez-vous à la section « Se préparer à mettre à niveau
ou à réinstaller un serveur de sécurité », page 60.
Suivant
Configurez un certificat de serveur SSL pour le serveur de sécurité. Reportez-vous à la section Chapitre 7,
« Configuration de certificats SSL pour des View Servers », page 75.
Il peut être nécessaire de configurer des paramètres de connexion client pour le serveur de sécurité, et vous
pouvez optimiser les paramètres Windows Server pour prendre en charge un déploiement de grande
envergure. Reportez-vous aux sections « Configuration de connexions View Client », page 112 et
« Dimensionnement de paramètres de Windows Server pour prendre en charge votre déploiement »,
page 122.
Si vos utilisateurs se connectent au serveur de sécurité via HTML Access, vous devez activer une règle dans
le Pare-feu Windows pour ouvrir le port HTML Access. Reportez-vous à la section « Ouvrir le port utilisé par
HTML Access sur des serveurs de sécurité », page 114.
Si vous réinstallez le serveur de sécurité sur un système d'exploitation Windows Server 2008 et que vous
possédez un ensemble de collecteur de données pour analyser les données de performances, arrêtez l'ensemble
de collecteur de données et démarrez-le de nouveau.
Installer un serveur de sécurité en silence
Vous pouvez utiliser la fonction d'installation silencieuse de MSI (Microsoft Windows Installer) pour installer
un serveur de sécurité sur plusieurs ordinateurs Windows. Dans une installation silencieuse, vous utilisez la
ligne de commande et n'avez pas à répondre à des invites d'assistant.
Avec l'installation silencieuse, vous pouvez déployer efficacement des composants View dans une grande
entreprise.
56
VMware, Inc.
Chapitre 5 Installation de View Connection Server
Prérequis
n
Déterminez le type de topologie à utiliser. Par exemple, déterminez quelle solution d'équilibrage de charge
utiliser. Décidez si les instances du Serveur de connexion View appairées avec des serveurs de sécurité
seront dédiées aux utilisateurs du réseau externe. Pour plus d'informations, consultez le document
VMware Horizon View Architecture Planning.
IMPORTANT Si vous utilisez un équilibreur de charge, vous devez disposer d'adresses IP statiques pour
l'équilibreur de charge et pour chaque serveur de sécurité. Par exemple, si vous utilisez un équilibreur de
charge avec deux serveurs de sécurité, vous avez besoin de 3 adresses IP statiques.
n
Vérifiez que votre installation satisfait les exigences décrites dans la section « Exigences de View
Connection Server », page 7.
n
Préparez votre environnement pour l'installation. Reportez-vous à la section « Conditions préalables
d'installation pour Serveur de connexion View », page 42.
n
Vérifiez que l'instance de Serveur de connexion View à être appairée avec le serveur de sécurité est installée
et configurée et exécute une version du Serveur de connexion View qui est compatible avec la version du
serveur de sécurité. Reportez-vous à la section « Matrice de compatibilité de composants Horizon View »
dans le document Mises à niveau VMware Horizon View.
n
Vérifiez que l'instance du Serveur de connexion View devant être appairée avec le serveur de sécurité est
accessible à l'ordinateur sur lequel vous prévoyez d'installer le serveur de sécurité.
n
Configurez un mot de passe de couplage de serveur de sécurité. Reportez-vous à la section « Configurer
un mot de passe de couplage de serveur de sécurité », page 53.
n
Familiarisez-vous avec le format des URL externes. Reportez-vous à la section « Configuration d'URL
externes pour PCoIP Secure Gateway et les connexions par tunnel », page 115.
n
Vérifiez que le Pare-feu Windows avec sécurité avancée est défini sur [activé] dans les profils actifs. Il
vous est recommandé de régler ce paramètre sur [activé] pour tous les profils. Par défaut, des règles IPsec
régissent les connexions entre le serveur de sécurité et le serveur de connexion View et requièrent que le
Pare-feu Windows avec sécurité avancée soit activé.
n
Familiarisez-vous avec les ports réseau qui doivent être ouverts sur le Pare-feu Windows pour un serveur
de sécurité. Reportez-vous à la section « Règles de pare-feu pour le serveur de connexion View »,
page 61.
n
Si votre topologie de réseau inclut un pare-feu principal entre le serveur de sécurité et Serveur de
connexion View, vous devez configurer le pare-feu pour qu'il prenne en charge IPsec. Reportez-vous à la
section « Configuration d'un pare-feu principal pour prendre en charge IPsec », page 62.
n
Si vous mettez à niveau le serveur de sécurité ou le réinstallez, vérifiez que les règles IPsec existantes du
serveur de sécurité ont été supprimées. Reportez-vous à la section « Se préparer à mettre à niveau ou à
réinstaller un serveur de sécurité », page 60.
n
Familiarisez-vous avec les options de ligne de commande du programme d'installation MSI. Reportezvous à la section « Options de ligne de commande Microsoft Windows Installer », page 64.
n
Familiarisez-vous avec les propriétés d'installation silencieuse disponibles avec un serveur de sécurité.
Reportez-vous à la section « Propriétés de l'installation silencieuse pour un serveur de sécurité »,
page 59.
Procédure
1
Téléchargez le fichier du programme d'installation de Serveur de connexion View sur la page de produits
VMware à l'adresse http://www.vmware.com/fr/products/ sur l'ordinateur Windows Server.
Le nom de fichier du programme d'installation est VMware-viewconnectionserver-x86_64-y.y.yxxxxxx.exe, où xxxxxx est le numéro de build et y.y.y le numéro de version.
VMware, Inc.
57
Installation de VMware Horizon View
2
Ouvrez une invite de commande sur l'ordinateur Windows Server.
3
Saisissez la commande d'installation sur une ligne.
Par exemple : VMware-viewconnectionserver-y.y.y-xxxxxx.exe /s /v"/qn VDM_SERVER_INSTANCE_TYPE=3
VDM_SERVER_NAME=cs1.internaldomain.com VDM_SERVER_SS_EXTURL=https://view.companydomain.com:
443 VDM_SERVER_SS_PCOIP_IPADDR=10.20.30.40 VDM_SERVER_SS_PCOIP_TCPPORT=4172
VDM_SERVER_SS_PCOIP_UDPPORT=4172 VDM_SERVER_SS_BSG_EXTURL=https://view.companydomain.com:8443
VDM_SERVER_SS_PWD=secret"
Les services View sont installés sur l'ordinateur Windows Server. Pour plus d'informations, reportez-vous à
la section « Installer un serveur de sécurité », page 54.
REMARQUE Si l'installation est annulée ou abandonnée, il peut être nécessaire de supprimer les règles IPsec du
serveur de sécurité avant d'effectuer l'installation de nouveau. Exécutez cette étape, même si vous avez déjà
supprimé les règles IPsec avant de réinstaller le serveur de sécurité ou de le mettre à niveau. Pour plus
d'instructions sur la suppression des règles IPsec, reportez-vous à la section « Se préparer à mettre à niveau
ou à réinstaller un serveur de sécurité », page 60.
Suivant
Configurez un certificat de serveur SSL pour le serveur de sécurité. Reportez-vous à la section Chapitre 7,
« Configuration de certificats SSL pour des View Servers », page 75.
Il peut être nécessaire de configurer des paramètres de connexion client pour le serveur de sécurité, et vous
pouvez optimiser les paramètres Windows Server pour prendre en charge un déploiement de grande
envergure. Reportez-vous aux sections « Configuration de connexions View Client », page 112 et
« Dimensionnement de paramètres de Windows Server pour prendre en charge votre déploiement »,
page 122.
Si vos utilisateurs se connectent au serveur de sécurité via HTML Access, vous devez activer une règle dans
le Pare-feu Windows pour ouvrir le port HTML Access. Reportez-vous à la section « Ouvrir le port utilisé par
HTML Access sur des serveurs de sécurité », page 114.
58
VMware, Inc.
Chapitre 5 Installation de View Connection Server
Propriétés de l'installation silencieuse pour un serveur de sécurité
Vous pouvez inclure des propriétés spécifiques lorsque vous installez en silence un serveur de sécurité depuis
la ligne de commande. Vous devez utiliser un format PROPERTY=value pour que Microsoft Windows Installer
(MSI) puisse interpréter les propriétés et les valeurs.
Tableau 5-3. Propriétés MSI pour installer un serveur de sécurité en silence
Propriété MSI
Description
Valeur par défaut
INSTALLDIR
Chemin d'accès et dossier dans lequel le logiciel Serveur de connexion
View est installé.
Par exemple : INSTALLDIR=""D:\abc\my folder""
%ProgramFiles
%\VMware\VMware
View\Server
Les jeux de deux guillemets doubles entourant le chemin autorisent le
programme d'installation MSI à interpréter l'espace comme étant une
partie valide du chemin.
Cette propriété MSI est facultative.
VDM_SERVER_INSTANCE_
TYPE
Type d'installation du serveur View :
n 1. Installation standard
n
2. Installation de réplica
n
3. Installation d'un serveur de sécurité
n
4. Installation de Serveur de transfert View
1
Pour installer un serveur de sécurité, définissez
VDM_SERVER_INSTANCE_TYPE=3
Cette propriété MSI est requise lors de l'installation d'un serveur de
sécurité.
VDM_SERVER_NAME
Nom d'hôte ou adresse IP de l'instance de Serveur de connexion View
existante à coupler avec le serveur de sécurité.
Par exemple : VDM_SERVER_NAME=cs1.internaldomain.com
Aucun
Cette propriété MSI est requise.
VDM_SERVER_SS_EXTURL
URL externe du serveur de sécurité. L'URL doit contenir le protocole, le
nom de serveur de sécurité résolvable en externe et le numéro de port.
Par exemple :
VDM_SERVER_SS_EXTURL=https://view.companydomain.com:443
Aucun
Cette propriété MSI est requise.
VDM_SERVER_SS_PWD
Mot de passe de couplage de serveur de sécurité.
Par exemple : VDM_SERVER_SS_PWD=secret
Aucun
Cette propriété MSI est requise.
FWCHOICE
Propriété MSI qui détermine de configurer un pare-feu pour l'instance de
Serveur de connexion View.
Une valeur de 1 configure un pare-feu. Une valeur de 2 ne configure pas
un pare-feu.
Par exemple : FWCHOICE=1
1
Cette propriété MSI est facultative.
VDM_SERVER_SS_PCOIP_IP
ADDR
Adresse IP externe de PCoIP Secure Gateway. Cette propriété n'est prise
en charge que lorsque le serveur de sécurité est installé sur Windows
Server 2008 R2 ou supérieur.
Par exemple : VDM_SERVER_SS_PCOIP_IPADDR=10.20.30.40
Aucun
Cette propriété est requise si vous prévoyez d'utiliser le composant PCoIP
Secure Gateway.
VMware, Inc.
59
Installation de VMware Horizon View
Tableau 5-3. Propriétés MSI pour installer un serveur de sécurité en silence (suite)
Propriété MSI
Description
Valeur par défaut
VDM_SERVER_SS_PCOIP_T
CPPORT
Numéro de port TCP externe de PCoIP Secure Gateway. Cette propriété
n'est prise en charge que lorsque le serveur de sécurité est installé sur
Windows Server 2008 R2 ou supérieur.
Par exemple : VDM_SERVER_SS_PCOIP_TCPPORT=4172
Aucun
Cette propriété est requise si vous prévoyez d'utiliser le composant PCoIP
Secure Gateway.
VDM_SERVER_SS_PCOIP_U
DPPORT
Numéro de port UDP externe de PCoIP Secure Gateway. Cette propriété
n'est prise en charge que lorsque le serveur de sécurité est installé sur
Windows Server 2008 R2 ou supérieur.
Par exemple : VDM_SERVER_SS_PCOIP_UDPPORT=4172
Aucun
Cette propriété est requise si vous prévoyez d'utiliser le composant PCoIP
Secure Gateway.
VDM_SERVER_SS_BSG_EXT
URL
URL externe de Blast Secure Gateway. L'URL doit contenir le protocole
HTTPS, un nom de serveur de sécurité résolvable en externe et le numéro
de port.
Par exemple :
VDM_SERVER_SS_BSG_EXTURL=https://view.companydomain.com:
8443
Aucun
Le numéro de port par défaut est 8443. Blast Secure Gateway doit être
installé sur le serveur de sécurité pour permettre aux utilisateurs d'établir
des connexions Web avec des postes de travail View.
VDM_SERVER_SS_FORCE_I
PSEC
Force l'utilisation d'IPsec entre le serveur de sécurité et son instance de
Serveur de connexion View couplée.
Par défaut, l'installation et le couplage sans assistance du serveur de
sécurité sur une instance de Serveur de connexion View avec IPsec
désactivé entraînent l'échec du couplage.
La valeur par défaut de 1 force le couplage IPsec. Définissez cette valeur
sur 0 pour permettre le couplage sans IPsec.
1
Se préparer à mettre à niveau ou à réinstaller un serveur de sécurité
Avant de pouvoir mettre à niveau ou réinstaller une instance du serveur de sécurité, vous devez supprimer
les règles IPsec actuelles qui régissent la communication entre le serveur de sécurité et son instance de Serveur
de connexion View couplée. Si vous n'effectuez pas cette étape, la mise à niveau ou la réinstallation échoue.
IMPORTANT Cette tâche concerne les serveurs de sécurité View 5.1 et supérieur. Elle ne s'applique pas aux
serveurs de sécurité View 5.0.x et antérieur.
Par défaut, la communication entre un serveur de sécurité et son instance de Serveur de connexion View
couplée est régie par des règles IPsec. Lorsque vous mettez à niveau ou réinstallez le serveur de sécurité et le
couplez de nouveau avec l'instance de Serveur de connexion View, un nouveau jeu de règles IPsec doit être
établi. Si les règles IPsec existantes ne sont pas supprimées avant la mise à niveau ou la réinstallation, le
couplage échoue.
Vous devez effectuer cette étape lorsque vous mettez à niveau ou réinstallez un serveur de sécurité et que vous
utilisez IPsec pour protéger la communication entre le serveur de sécurité et Serveur de connexion View.
60
VMware, Inc.
Chapitre 5 Installation de View Connection Server
Vous pouvez configurer un couplage de serveur de sécurité initial sans utiliser de règles IPsec. Avant d'installer
le serveur de sécurité, vous pouvez ouvrir View Administrator et désélectionner le paramètre général [Utiliser
IPSec pour les connexions du serveur de sécurité] , qui est activé par défaut. Si les règles IPsec ne sont pas
effectives, vous n'avez pas à les supprimer avant la mise à niveau ou la réinstallation.
REMARQUE Vous n'avez pas à supprimer un serveur de sécurité de View Administrator avant de mettre à
niveau ou de réinstaller le serveur de sécurité. Supprimez un serveur de sécurité de View Administrator
uniquement si vous prévoyez de le supprimer définitivement de l'environnement Horizon View.
Avec View 5.0.x et versions antérieures, vous pouviez supprimer un serveur de sécurité depuis l'interface
utilisateur de View Administrator ou à l'aide de la commande vdmadmin -S. Dans View 5.1 et versions
supérieures, vous devez utiliser vdmadmin -S. Consultez la section « Suppression de l'entrée pour une instance
de Serveur de connexion View ou un serveur de sécurité à l'aide de l'option -S » dans le document Administration
de VMware Horizon View.
AVERTISSEMENT Si vous supprimez les règles IPsec pour un serveur de sécurité actif, la communication avec
le serveur de sécurité est perdue jusqu'à ce que vous mettiez à niveau ou réinstalliez le serveur de sécurité.
Procédure
1
Dans View Administrator, cliquez sur [Configuration de View] > [Serveurs] .
2
Sous l'onglet [Serveurs de sécurité] , sélectionnez un serveur de sécurité et cliquez sur [Plus de
commandes] > [Préparer la mise à niveau ou la réinstallation] .
Si vous avez désactivé les règles IPsec avant l'installation du serveur de sécurité, ce paramètre est inactif.
Dans ce cas, vous n'avez pas à supprimer les règles IPsec avant la réinstallation ou la mise à niveau.
3
Cliquez sur [OK] .
Les règles IPsec sont supprimées et le paramètre [Préparer la mise à niveau ou la réinstallation] devient
inactif, ce qui indique que vous pouvez réinstaller ou mettre à niveau le serveur de sécurité.
Suivant
Mettez à niveau ou réinstallez le serveur de sécurité.
Règles de pare-feu pour le serveur de connexion View
Certains ports doivent être ouverts sur le pare-feu pour les instances de Serveur de connexion View et les
serveurs de sécurité.
Lorsque vous installez Serveur de connexion View, le programme d'installation peut configurer de façon
facultative les règles de pare-feu Windows requises à votre place. Ces règles ouvrent les ports utilisés par
défaut. Si vous modifiez les ports par défaut après l'installation, vous devez configurer manuellement le parefeu Windows pour permettre à des périphériques View Client de se connecter à View via les ports mis à jour.
Tableau 5-4. Ports ouverts lors de l'installation de Serveur de connexion View
Protocole
Ports
Type d'instance de Serveur de connexion View
JMS
TCP 4001
entrant
Standard et réplica
JMSIR
TCP 4100
entrant
Standard et réplica
AJP13
TCP 8009
entrant
Standard et réplica
HTTP
TCP 80 entrant
Standard, réplica et serveur de sécurité
VMware, Inc.
61
Installation de VMware Horizon View
Tableau 5-4. Ports ouverts lors de l'installation de Serveur de connexion View (suite)
Protocole
Ports
Type d'instance de Serveur de connexion View
HTTPS
TCP 443 entrant
Standard, réplica et serveur de sécurité
PCoIP
TCP 4172
entrant ;
UDP 4172 dans
les deux
directions
Standard, réplica et serveur de sécurité
Configuration d'un pare-feu principal pour prendre en charge IPsec
Si la topologie du réseau contient un pare-feu principal entre les serveurs de sécurité et les instances de Serveur
de connexion View, vous devez configurer certains protocoles et ports sur le pare-feu pour prendre en charge
IPsec. Si vous ne disposez pas d'une configuration correcte, les données envoyées entre un serveur de sécurité
et une instance de Serveur de connexion View ne pourront pas traverser le pare-feu.
Par défaut, les règles IPsec régissent les connexions entre les serveurs de sécurité et les instances de Serveur
de connexion View. Pour prendre en charge IPsec, le programme d'installation Serveur de connexion View
peut définir les règles du pare-feu Windows sur les hôtes Windows Server où les View servers sont installés.
Pour un pare-feu principal, vous devez définir les règles vous-même.
REMARQUE Il est vivement recommandé d'utiliser IPsec. Vous pouvez également désactiver le paramètre global
View Administrator [Use IPsec for Security Server Connections (Utiliser IPsec pour les connexions du
Serveur de sécurité)] .
Les règles suivantes doivent permettre le trafic bidirectionnel. Il peut être nécessaire de définir des règles
distinctes pour le trafic entrant et le trafic sortant sur le pare-feu.
Différentes règles s'appliquent aux pare-feu qui utilisent NAT (Network Address Translation) et à ceux qui ne
n'utilisent pas.
Tableau 5-5. Conditions de pare-feu non-NAT pour la prise en charge des règles IPsec
Source
Protocole
Port
Destination
Remarques
Serveur de sécurité
ISAKMP
UDP 500
Serveur de connexion
View
Les serveurs de sécurité utilisent le port
UDP 500 pour négocier la sécurité IPsec.
Serveur de sécurité
ESP
S/O
Serveur de connexion
View
Le protocole ESP encapsule le trafic
crypté IPsec.
Il est inutile de définir un port pour ESP
dans le cadre de la règle. Si nécessaire,
vous pouvez définir des adresses IP
source et de destination pour réduire la
portée de la règle.
Les règles suivantes s'appliquent aux pare-feu qui utilisent NAT.
Tableau 5-6. Conditions de pare-feu NAT pour la prise en charge des règles IPsec
62
Source
Protocole
Port
Destination
Remarques
Serveur de sécurité
ISAKMP
UDP 500
Serveur de connexion
View
Les serveurs de sécurité utilisent le port
UDP 500 pour initier la négociation de
sécurité Psec.
Serveur de sécurité
NAT-T
ISAKMP
UDP 4500
Serveur de connexion
View
Les serveurs de sécurité utilisent le port
UDP 4 500 pour traverser les NAT et
négocier la sécurité IPsec.
VMware, Inc.
Chapitre 5 Installation de View Connection Server
Réinstaller Serveur de connexion View avec une configuration de
sauvegarde
Dans certaines situations, vous pouvez avoir à réinstaller la version actuelle d'une instance de Serveur de
connexion View et à restaurer la configuration View existante en important un fichier LDIF de sauvegarde
contenant les données de configuration View LDAP.
Par exemple, dans le cadre d'un plan de continuité d'activité et de reprise d'activité (BC/DR), vous voulez peutêtre avoir une procédure prête à mettre en place au cas où un datacenter cesse de fonctionner. La première
étape d'un tel plan est de s'assurer que la configuration View LDAP est sauvegardée dans un autre
emplacement. La deuxième étape consiste à installer Serveur de connexion View dans le nouvel emplacement
et à importer la configuration de sauvegarde, comme décrit dans cette procédure.
Vous pouvez également utiliser cette procédure lorsque vous configurez un deuxième datacenter avec la
configuration View existante. Ou vous pouvez l'utiliser si votre déploiement de View contient une seule
instance de Serveur de connexion View et qu'un problème se produit avec ce serveur.
Vous n'avez pas à suivre cette procédure si vous avez plusieurs instances de Serveur de connexion View dans
un groupe répliqué et qu'une seule instance tombe en panne. Vous pouvez simplement réinstaller Serveur de
connexion View en tant qu'instance répliquée. Lors de l'installation, vous fournissez des informations de
connexion à une autre instance de Serveur de connexion View et View restaure la configuration View LDAP
à partir de l'autre instance.
Prérequis
n
Vérifiez que la configuration View LDAP a été sauvegardée vers un fichier LDIF crypté.
n
Familiarisez-vous avec la restauration d'une configuration View LDAP à partir d'un fichier de sauvegarde
LDIF à l'aide de la commande vdmimport.
Consultez la section « Sauvegarde et restauration de données de configuration de View » dans le document
Administration de VMware Horizon View.
n
Familiarisez-vous avec les étapes d'installation d'une nouvelle instance de Serveur de connexion View.
Reportez-vous à la section « Installer Serveur de connexion View avec une nouvelle configuration »,
page 42.
Procédure
1
Installez Serveur de connexion View avec une nouvelle configuration.
2
Décryptez le fichier LDIF crypté.
Par exemple :
vdmimport -d -p mypassword
-f MyEncryptedexport.LDF > MyDecryptedexport.LDF
3
Importez le fichier LDIF décrypté pour restaurer la configuration View LDAP.
Par exemple :
vdmimport -f MyDecryptedexport.LDF
REMARQUE À ce stade, la configuration View n'est pas encore accessible. Les clients View ne peuvent pas
accéder à Serveur de connexion View ou se connecter à leurs postes de travail.
VMware, Inc.
63
Installation de VMware Horizon View
4
Désinstallez Serveur de connexion View de l'ordinateur en utilisant l'utilitaire [Ajout/Suppression de
programmes] de Windows.
Ne désinstallez pas la configuration View LDAP, appelée instance AD LDS Instance VMwareVDMDS.
Vous pouvez utiliser l'utilitaire [Ajout/Suppression de programmes] pour vérifier que l'instance AD
LDS Instance VMwareVDMDS n'a pas été supprimée de l'ordinateur Windows Server.
5
Réinstallez Serveur de connexion View.
À l'invite du programme d'installation, acceptez le répertoire View LDAP existant.
Suivant
Configurez Serveur de connexion View et votre environnement View comme vous le feriez après avoir installé
une instance de Serveur de connexion View avec une nouvelle configuration.
Options de ligne de commande Microsoft Windows Installer
Pour installer des composants View en silence, vous devez utiliser des options et des propriétés de ligne de
commande de MSI (Microsoft Windows Installer). Les programmes d'installation des composants View sont
des programmes MSI et utilisent des fonctions MSI standard. Vous pouvez également utiliser des options de
ligne de commande MSI pour désinstaller des composants View en silence.
Pour plus d'informations sur MSI, consultez le site Web Microsoft. Pour les options de ligne de commande
MSI, rendez-vous sur le site Web de la bibliothèque MSDN (Microsoft Developer Network) et recherchez ces
options. Pour voir comment utiliser la ligne de commande MSI, vous pouvez ouvrir une invite de commande
sur l'ordinateur de composant View et saisir msiexec /?.
Pour exécuter un programme d'installation de composant View en silence, commencez par désactiver le
programme de démarrage qui extrait le programme d'installation dans un répertoire temporaire et démarre
une installation interactive.
Tableau 5-7 montre des options de ligne de commande qui contrôlent le programme de démarrage du
programme d'installation.
Tableau 5-7. Options de ligne de commande du programme de démarrage d'un composant View
Option
Description
/s
Désactive l'écran de démarrage et la boîte de dialogue d'extraction, qui empêche l'affichage de
boîtes de dialogue interactives.
Par exemple : VMware-viewconnectionserver-y.y.y-xxxxxx.exe /s
L'option /s est requise pour exécuter une installation silencieuse. Dans les exemples, xxxxxx est
le numéro de build et y.y.y le numéro de version.
/v"
MSI_command_line_options"
Demande au programme d'installation de transmettre la chaîne comprise entre guillemets doubles
que vous saisissez sur la ligne de commande sous forme de jeu d'options que MSI doit interpréter.
Vous devez insérer des guillemets doubles avant et après vos entrées de ligne de commande.
Placez un guillemet double après /v et à la fin de la ligne de commande.
Par exemple : VMware-viewagent-y.y.y-xxxxxx.exe /s /v"command_line_options"
Pour demander au programme d'installation MSI d'interpréter une chaîne contenant des espaces,
insérez deux jeux de guillemets doubles avant et après la chaîne. Par exemple, vous voulez peutêtre installer le composant View dans un nom de chemin d'installation contenant des espaces.
Par exemple : VMware-viewconnectionserver-y.y.yxxxxxx.exe /s /v"command_line_options INSTALLDIR=""d:\abc\my folder"""
Dans cet exemple, le programme d'installation MSI transmet le chemin du répertoire d'installation
et n'essaie pas d'interpréter la chaîne comme deux options de ligne de commande. Notez le
guillemet double final entourant toute la ligne de commande.
L'option /v"command_line_options" est requise pour exécuter une installation silencieuse.
64
VMware, Inc.
Chapitre 5 Installation de View Connection Server
Vous contrôlez le reste de l'installation silencieuse en transmettant des options de ligne de commande et des
valeurs de propriété MSI au programme d'installation MSI, msiexec.exe. Le programme d'installation MSI
comporte le code d'installation du composant View. Le programme d'installation utilise les valeurs et les
options que vous saisissez dans la ligne de commande pour interpréter des choix d'installation et des options
de configuration spécifiques au composant View.
Tableau 5-8 montre les options de ligne de commande et les valeurs de propriété MSI transmises au programme
d'installation MSI.
Tableau 5-8. Options de ligne de commande MSI et propriétés MSI
Option ou propriété MSI
Description
/qn
Demande au programme d'installation MSI de ne pas afficher les pages de l'assistant
d'installation.
Par exemple, vous voulez peut-être installer View Agent en silence et n'utiliser que des
options et des fonctions d'installation par défaut :
VMware-viewagent-y.y.y-xxxxxx.exe /s /v"/qn"
Dans les exemples, xxxxxx est le numéro de build et y.y.y le numéro de version.
Vous pouvez également utiliser l'option /qb pour afficher les pages de l'assistant dans une
installation non interactive et automatisée. Lors de l'installation, les pages de l'assistant sont
affichées, mais vous ne pouvez pas y répondre.
L'option /qn ou /qb est requise pour exécuter une installation silencieuse.
INSTALLDIR
Spécifie un autre chemin d'installation pour le composant View.
Utilisez le format INSTALLDIR=path pour spécifier un chemin d'installation. Vous pouvez
ignorer cette propriété MSI si vous voulez installer le composant View dans le chemin par
défaut.
Cette propriété MSI est facultative.
ADDLOCAL
Détermine les fonctions spécifiques du composant à installer. Dans une installation
interactive, le programme d'installation View affiche des options d'installation
personnalisée à sélectionner. La propriété MSI, ADDLOCAL, vous permet de spécifier ces
options d'installation sur la ligne de commande.
Pour installer toutes les options d'installation personnalisée disponibles, saisissez
ADDLOCAL=ALL.
Par exemple : VMware-viewagent-y.y.y-xxxxxx.exe /s /v"/qn ADDLOCAL=ALL"
Si vous n'utilisez pas la propriété MSI, ADDLOCAL, les options d'installation par défaut sont
installées.
Pour spécifier des options d'installation individuelles, saisissez une liste séparée par des
virgules de noms d'option d'installation. N'utilisez pas d'espaces entre les noms. Utilisez le
format ADDLOCAL=value,value,value....
Par exemple, vous voulez peut-être installer View Agent dans un système d'exploitation
client avec les fonctions View Composer Agent et PCoIP :
VMware-viewagent-y.y.y-xxxxxx.exe /s /v"/qn
ADDLOCAL=Core,SVIAgent,PCoIP"
REMARQUE La fonction Core est requise dans View Agent.
Cette propriété MSI est facultative.
VMware, Inc.
65
Installation de VMware Horizon View
Tableau 5-8. Options de ligne de commande MSI et propriétés MSI (suite)
Option ou propriété MSI
Description
REBOOT
Vous pouvez utiliser l'option REBOOT=ReallySuppress pour permettre à des tâches de
configuration système de s'exécuter avant le redémarrage du système.
Cette propriété MSI est facultative.
/l*v log_file
Inscrit des informations de journalisation dans le fichier journal spécifié avec une sortie
détaillée.
Par exemple : /l*v ""%TEMP%\vmmsi.log""
Cet exemple génère un fichier journal détaillé semblable au journal généré lors d'une
installation interactive.
Vous pouvez utiliser cette option pour enregistrer des fonctions personnalisées qui peuvent
s'appliquer de façon unique à votre installation. Vous pouvez utiliser les informations
enregistrées pour spécifier des fonctions d'installation dans les installations silencieuses
futures.
L'option /l*v est facultative.
Désinstallation en silence de produits View à l'aide d'options de ligne
de commande MSI
Vous pouvez désinstaller des composants View à l'aide d'options de ligne de commande MSI (Microsoft
Windows Installer).
Syntaxe
msiexec.exe
/qb
/x
product_code
Options
L'option /qb affiche la barre de progression de la désinstallation. Pour ne plus afficher la barre de progression
de la désinstallation, remplacez l'option /qb par l'option /qn.
L'option /x désinstalle le composant View.
La chaîne product_code identifie les fichiers de produit du composant View pour le programme de
désinstallation MSI. Vous pouvez trouver la chaîne product_code en recherchant ProductCode dans le fichier
%TEMP%\vmmsi.log créé lors de l'installation.
Pour plus d'informations sur les options de ligne de commande MSI, reportez-vous à la section « Options de
ligne de commande Microsoft Windows Installer », page 64.
Exemples
Désinstallez une instance de View Connection Server.
msiexec.exe /qb /x {D6184123-57B7-26E2-809B-090435A8C16A}
66
VMware, Inc.
Installation de View Transfer Server
6
View Transfer Server transfère des données entre des postes de travail locaux et le datacenter au cours des
opérations de restitution, d'emprunt et de réplication. Pour installer View Transfer Server, vous installez le
logiciel sur une machine virtuelle Windows Server, ajoutez View Transfer Server à votre déploiement de View
Manager et configurez le référentiel de Transfer Server.
Vous devez installer et configurer View Transfer Server si vous déployez View Client with Local Mode sur
des ordinateurs client.
Vous devez posséder une licence pour installer View Transfer Server et utiliser des postes de travail locaux.
1
Installer Serveur de transfert View page 68
Serveur de transfert View télécharge des fichiers d'image système, synchronise des données entre des
postes de travail locaux et les postes de travail distants correspondants dans le datacenter, et transfère
des données lorsque des utilisateurs restituent et empruntent des postes de travail locaux. Vous installez
Serveur de transfert View dans une machine virtuelle qui exécute Windows Server.
2
Ajouter Serveur de transfert View à View Manager page 69
Serveur de transfert View fonctionne avec Serveur de connexion View pour transférer des fichiers et des
données entre des postes de travail locaux et le datacenter. Avant que Serveur de transfert View puisse
effectuer ces tâches, vous devez l'ajouter à votre déploiement de View Manager.
3
Configurer le référentiel de Serveur de transfert page 70
Le référentiel de Serveur de transfert stocke des images de base View Composer pour des postes de
travail de clone lié qui s'exécutent en mode local. Pour donner à Serveur de transfert View l'accès au
référentiel de Serveur de transfert, vous devez le configurer dans View Manager. Si vous n'utilisez pas
de clones liés View Composer en mode local, vous n'avez pas à configurer un référentiel de Serveur de
transfert.
4
Règles de pare-feu pour Serveur de transfert View page 72
Certains ports TCP entrants doivent être ouverts sur le pare-feu pour les instances de Serveur de transfert
View.
5
Installation de View Transfer Server en silence page 72
Vous pouvez installer View Transfer Server en silence en saisissant le nom de fichier du programme
d'installation et des options d'installation sur la ligne de commande. Avec l'installation silencieuse, vous
pouvez déployer efficacement des composants View dans une grande entreprise.
VMware, Inc.
67
Installation de VMware Horizon View
Installer Serveur de transfert View
Serveur de transfert View télécharge des fichiers d'image système, synchronise des données entre des postes
de travail locaux et les postes de travail distants correspondants dans le datacenter, et transfère des données
lorsque des utilisateurs restituent et empruntent des postes de travail locaux. Vous installez Serveur de transfert
View dans une machine virtuelle qui exécute Windows Server.
Au moment de l'exécution, Serveur de transfert View est déployé sur un serveur Web Apache. Lorsque vous
installez Serveur de transfert View, le programme d'installation configure le serveur Web Apache en tant que
service sur la machine virtuelle. Le service Apache utilise les ports 80 et 443.
Prérequis
n
Vérifiez que vous disposez des privilèges d'administrateur local pour le serveur Windows Server sur
lequel vous souhaitez installer le Serveur de transfert View.
n
Vérifiez que votre installation satisfait les exigences de Serveur de transfert View décrites dans la section
« Exigences de View Transfer Server », page 12.
n
Vérifiez que vous disposez d'une licence pour installer le Serveur de transfert View et pour utiliser les
postes de travail locaux.
n
Vérifiez que vous n'avez pas manuellement ajouté ou supprimé des périphériques PCI sur la machine
virtuelle sur laquelle vous prévoyez d'installer Serveur de transfert View. Si vous ajoutez ou supprimez
des périphériques PCI, View peut être incapable de découvrir des périphériques ajoutés à chaud, ce qui
peut entraîner l'échec des opérations de transfert des données.
n
Familiarisez-vous avec les ports réseau qui doivent être ouverts sur le Pare-feu Windows pour les instances
de Serveur de connexion View. Reportez-vous à la section « Règles de pare-feu pour Serveur de transfert
View », page 72.
Procédure
1
Téléchargez le fichier du programme d'installation de Serveur de connexion View sur la page de produits
VMware à l'adresse http://www.vmware.com/fr/products/ sur l'ordinateur Windows Server.
Le nom de fichier du programme d'installation est VMware-viewconnectionserver-x86_64-y.y.yxxxxxx.exe, où xxxxxx est le numéro de build et y.y.y le numéro de version.
2
Pour démarrer le programme d'installation, double-cliquez sur le fichier du programme d'installation.
3
Acceptez les termes de licence VMware.
4
Acceptez ou modifiez le dossier de destination.
5
Sélectionnez [Serveur de transfert View] .
6
Configurez le serveur Web Apache sur lequel Serveur de transfert View est déployé.
Vous pouvez accepter les valeurs par défaut pour le domaine de réseau, le nom du serveur Apache et
l'adresse e-mail de l'administrateur qui sont fournis par le programme d'installation.
7
8
68
Choisissez comment configurer le service Pare-feu Windows.
Option
Action
Configurer le Pare-feu Windows
automatiquement
Laissez le programme d'installation configurer le Pare-feu Windows pour
autoriser les connexions réseau requises.
Ne pas configurer le Pare-feu
Windows
Configurez les règles de pare-feu Windows manuellement.
Effectuez le programme d'installation pour installer Serveur de transfert View.
VMware, Inc.
Chapitre 6 Installation de View Transfer Server
Les services Serveur de transfert VMware View, View Transfer Server Control Service et VMware View
Framework Component sont installés et démarrés sur la machine virtuelle.
Suivant
Dans View Administrator, ajoutez Serveur de transfert View à votre déploiement de View Manager.
Ajouter Serveur de transfert View à View Manager
Serveur de transfert View fonctionne avec Serveur de connexion View pour transférer des fichiers et des
données entre des postes de travail locaux et le datacenter. Avant que Serveur de transfert View puisse effectuer
ces tâches, vous devez l'ajouter à votre déploiement de View Manager.
Vous pouvez ajouter plusieurs instances de Serveur de transfert View à View Manager. Les instances de
Serveur de transfert View accèdent à un référentiel de Serveur de transfert commun. Ils partagent la charge
de travail de transfert pour les postes de travail locaux gérés par une instance de Serveur de connexion View
ou par un groupe d'instances de Serveur de connexion View répliquées.
REMARQUE Quand Serveur de transfert View est ajouté à View Manager, sa règle d'automatisation DRS
(Distributed Resource Scheduler) est définie sur Manual (Manuel), ce qui désactive efficacement DRS.
Prérequis
n
Vérifiez que Serveur de transfert View est installé sur une machine virtuelle Windows Server.
n
Vérifiez que vCenter Server est ajouté à View Manager. La page [Configuration de View] > [Serveurs]
dans View Administrator affiche les instances de vCenter Server qui sont ajoutées à View Manager.
n
Si Serveur de transfert View est à la version 5.1 ou supérieure, et si vous prévoyez d'utiliser des postes de
travail de clone lié en mode local, vérifiez que toutes les instances de Serveur de connexion View répliquées
dans la configuration de View sont à la version 5.1 ou supérieure. Si une version antérieure de Serveur de
connexion View envoie une demande pour publier une image de base au référentiel de Serveur de
transfert, Serveur de transfert View ne peut pas effectuer l'opération de publication.
Procédure
1
Dans View Administrator, cliquez sur [Configuration de View] > [Serveurs] .
2
Cliquez sur l'onglet Transfer Servers (Serveurs de transfert) et cliquez sur [Ajouter] .
3
Dans l'assistant Add Serveur de transfert (Ajouter un serveur Serveur de transfert), sélectionnez l'instance
de vCenter Server qui gère la machine virtuelle Serveur de transfert View et cliquez sur [Suivant] .
4
Sélectionnez la machine virtuelle où Serveur de transfert View est installé et cliquez sur [Terminer] .
Serveur de connexion View reconfigure la machine virtuelle avec quatre contrôleurs SCSI. Plusieurs
contrôleurs SCSI augmentent le nombre de transferts de disque que Serveur de transfert View peut
effectuer simultanément.
Dans View Administrator, l'instance de Serveur de transfert View apparaît dans le volet Serveur de transferts
(Serveurs Serveur de transfert). Si aucun référentiel de Serveur de transfert n'est configuré, l'état de Serveur
de transfert View passe de [En attente] à [Aucun référentiel de Serveur de transfert configuré] . Si un
référentiel de Serveur de transfert est configuré, l'état passe de [En attente] à [Référentiel de Serveur de
transfert en cours d'initialisation] à [Prêt] .
Ce processus peut prendre plusieurs minutes. Vous pouvez cliquer sur le bouton d'actualisation dans View
Administrator pour vérifier l'état actuel.
VMware, Inc.
69
Installation de VMware Horizon View
Lorsque l'instance de Serveur de transfert View est ajoutée à View Manager, le service Apache est démarré sur
la machine virtuelle Serveur de transfert View.
AVERTISSEMENT Si votre machine virtuelle Serveur de transfert View est une version antérieure à la version
matérielle 7, vous devez configurer l'adresse IP statique sur la machine virtuelle Serveur de transfert View
après avoir ajouté Serveur de transfert View à View Manager.
Lorsque plusieurs contrôleurs SCSI sont ajoutés à la machine virtuelle Serveur de transfert View, Windows
supprime l'adresse IP statique et reconfigure la machine virtuelle pour utiliser DHCP. Une fois la machine
virtuelle redémarrée, vous devez saisir de nouveau l'adresse IP statique dans la machine virtuelle.
Configurer le référentiel de Serveur de transfert
Le référentiel de Serveur de transfert stocke des images de base View Composer pour des postes de travail de
clone lié qui s'exécutent en mode local. Pour donner à Serveur de transfert View l'accès au référentiel de Serveur
de transfert, vous devez le configurer dans View Manager. Si vous n'utilisez pas de clones liés View Composer
en mode local, vous n'avez pas à configurer un référentiel de Serveur de transfert.
Si Serveur de transfert View est configuré dans View Manager avant que vous ne configuriez le référentiel de
Serveur de transfert, Serveur de transfert View valide l'emplacement du référentiel de Serveur de transfert lors
de la configuration.
Si vous prévoyez d'ajouter plusieurs instances de Serveur de transfert View à ce déploiement de View Manager,
configurez le référentiel de Serveur de transfert sur un partage de réseau. Les autres instances de Serveur de
transfert View ne peuvent pas accéder à un référentiel de Serveur de transfert configuré sur un lecteur local
sur une instance de Serveur de transfert View.
Assurez-vous que le référentiel de Serveur de transfert est suffisamment volumineux pour stocker vos images
de base générées par View Composer. La taille d'une image de base peut atteindre plusieurs gigaoctets.
Si vous configurez un référentiel de Serveur de transfert distant sur un partage de réseau, vous devez fournir
un ID d'utilisateur avec des informations d'identification pour accéder au partage de réseau. Pour améliorer
la sécurité de l'accès au référentiel de Serveur de transfert, il est recommandé de limiter l'accès au réseau pour
le référentiel aux administrateurs de View.
Prérequis
n
Vérifiez que Serveur de transfert View est installé sur une machine virtuelle Windows Server.
n
Vérifiez que Serveur de transfert View est ajouté à View Manager. Reportez-vous à la section « Ajouter
Serveur de transfert View à View Manager », page 69.
REMARQUE L'ajout de Serveur de transfert View à View Manager avant de configurer le référentiel de
Serveur de transfert est conseillé, il ne s'agit pas d'une obligation.
70
VMware, Inc.
Chapitre 6 Installation de View Transfer Server
Procédure
1
Configurez un chemin et un dossier pour le référentiel de Serveur de transfert.
Le référentiel de Serveur de transfert peut se trouver sur un lecteur local ou un partage de réseau.
Option
Action
Local Transfer Server repository
(Référentiel de Serveur de transfert
local)
Sur la machine virtuelle sur laquelle Serveur de transfert View est installé,
créez un chemin et un dossier pour le référentiel de Serveur de transfert.
Par exemple : C:\TransferRepository\
Remote Transfer Server repository
(Référentiel de Serveur de transfert
distant)
Configurez un chemin d'accès UNC pour le partage de réseau.
Par exemple : \\server.domain.com\TransferRepository\
Toutes les instances de Serveur de transfert View que vous ajoutez à ce
déploiement de View Manager doivent avoir un accès réseau au lecteur
partagé.
2
Dans View Administrator, cliquez sur [View Configuration (Configuration de View)] > [Servers
(Serveurs)] .
3
Mettez toutes les instances de Serveur de transfert View en mode de maintenance.
a
Dans le panneau Transfer Servers (Serveurs de transfert), sélectionnez une instance de Serveur de
transfert View.
b
Cliquez sur [Enter Maintenance Mode (Passer en mode de maintenance)] et cliquez sur [OK] .
L'état de Serveur de transfert View passe sur [Maintenance mode (Mode de maintenance)] .
c
Répétez l'Étape 3a et Étape 3b pour chaque instance.
Lorsque toutes les instances de Serveur de transfert View sont en mode de maintenance, les opérations
de transfert actuelles sont arrêtées.
4
Dans le panneau General (Général) sur la page du référentiel de Serveur de transfert, cliquez sur [Edit
(Modifier)] .
5
Saisissez l'emplacement du référentiel de Serveur de transfert et d'autres informations.
Option
Description
Partage de réseau
n
n
n
n
Local filesystem (Système de
fichiers local)
6
[Path (Chemin d'accès)] . Saisissez le chemin d'accès UNC que vous avez
configuré.
[User Name (Nom d'utilisateur)] . Saisissez l'ID d'utilisateur d'un
administrateur avec des informations d'identification pour accéder au
partage de réseau.
[Password (Mot de passe)] . Saisissez le mot de passe d'administrateur.
[Domain (Domaine)] . Saisissez le nom de domaine du partage de réseau
au format NetBIOS. N'utilisez pas le suffixe .com.
Saisissez le chemin d'accès que vous avez configuré sur la machine virtuelle
Serveur de transfert View locale.
Cliquez sur [OK] .
Si le chemin de réseau ou le lecteur local du référentiel est incorrect, la boîte de dialogue Edit Transfer
Server Repository (Modifier le référentiel de Serveur de transfert) affiche un message d'erreur et ne vous
permet pas de configurer l'emplacement. Vous devez saisir un emplacement valide.
7
Sur la page [View Configuration (Configuration de View)] > [Servers (Serveurs)] , sélectionnez
l'instance de Serveur de transfert View et cliquez sur [Exit Maintenance Mode (Quitter le mode de
maintenance)] .
L'état de Serveur de transfert View passe sur [Ready (Prêt)] .
VMware, Inc.
71
Installation de VMware Horizon View
Règles de pare-feu pour Serveur de transfert View
Certains ports TCP entrants doivent être ouverts sur le pare-feu pour les instances de Serveur de transfert
View.
Le programme d'installation peut configurer facultativement les règles de pare-feu Windows requises pour
vous. Ces règles ouvrent les ports utilisés par défaut. Si vous modifiez les ports par défaut après l'installation,
vous devez configurer manuellement le pare-feu Windows pour permettre à des périphériques View Client
de se connecter à Serveur de transfert View via les ports mis à jour.
Tableau 6-1 répertorie les ports TCP entrants qui doivent être ouverts sur le pare-feu pour les instances de
Serveur de transfert View.
Tableau 6-1. Ports TCP pour des instances de Serveur de transfert View
Protocole
Ports
HTTP
80
trafic
443
Installation de View Transfer Server en silence
Vous pouvez installer View Transfer Server en silence en saisissant le nom de fichier du programme
d'installation et des options d'installation sur la ligne de commande. Avec l'installation silencieuse, vous
pouvez déployer efficacement des composants View dans une grande entreprise.
Définir des stratégies de groupe pour autoriser l'installation silencieuse de
Serveur de transfert View
Avant de pouvoir installer Serveur de transfert View en silence, vous devez configurer des stratégies de groupe
Microsoft Windows pour autoriser l'installation avec des privilèges élevés.
Vous devez définir des stratégies de groupe Windows Installer pour des ordinateurs et des utilisateurs sur
l'ordinateur local.
Prérequis
Vérifiez que vous disposez de privilèges d'administrateur local sur l'ordinateur Windows Server sur lequel
vous allez installer Serveur de transfert View.
Procédure
72
1
Ouvrez une session sur l'ordinateur Windows Server et cliquez sur [Start (Démarrer)] > [Run
(Exécuter)] .
2
Saisissez gpedit.msc et cliquez sur [OK] .
3
Dans l'Éditeur d'objets de stratégie de groupe, cliquez sur [Local Computer Policy (Stratégie Ordinateur
local)] > [Computer Configuration (Configuration d'ordinateur)] .
4
Développez [Administrative Templates (Modèles administratifs)] et [Windows Components
(Composants Window)] , ouvrez le dossier [Windows Installer] et double-cliquez sur [Always install
with elevated privileges (Toujours installer avec des droits élevés)] .
5
Dans la fenêtre [Always Install with Elevated Privileges Properties (Propriétés de Toujours installer
avec des droits élevés)] , cliquez sur [Enabled (Activé)] et sur [OK] .
6
Dans le volet de gauche, cliquez sur [User Configuration (Configuration utilisateur)] .
VMware, Inc.
Chapitre 6 Installation de View Transfer Server
7
Développez [Administrative Templates (Modèles administratifs)] et [Windows Components
(Composants Window)] , ouvrez le dossier [Windows Installer] et double-cliquez sur [Always install
with elevated privileges (Toujours installer avec des droits élevés)] .
8
Dans la fenêtre [Always Install with Elevated Privileges Properties (Propriétés de Toujours installer
avec des droits élevés)] , cliquez sur [Enabled (Activé)] et sur [OK] .
Suivant
Installez Serveur de transfert View en silence.
Installer Serveur de transfert View en silence
Vous pouvez utiliser la fonction d'installation silencieuse de MSI (Microsoft Windows Installer) pour installer
Serveur de transfert View sur plusieurs ordinateurs Windows. Dans une installation silencieuse, vous utilisez
la ligne de commande et n'avez pas à répondre à des invites d'assistant.
Prérequis
n
Vérifiez que vous disposez des privilèges d'administrateur local pour le serveur Windows Server sur
lequel vous souhaitez installer le Serveur de transfert View.
n
Vérifiez que votre installation satisfait les exigences de Serveur de transfert View décrites dans la section
« Exigences de View Transfer Server », page 12.
n
Vérifiez que vous disposez d'une licence pour installer le Serveur de transfert View et pour utiliser les
postes de travail locaux.
n
Vérifiez que la machine virtuelle sur laquelle vous installez Serveur de transfert View a la version 2.0 ou
supérieure du moteur runtime MSI. Pour plus d'informations, consultez le site Web Microsoft.
n
Familiarisez-vous avec les options de ligne de commande du programme d'installation MSI. Reportezvous à la section « Options de ligne de commande Microsoft Windows Installer », page 64.
n
Familiarisez-vous avec les propriétés d'installation silencieuse disponibles avec Serveur de transfert View.
Reportez-vous à la section « Propriétés de l'installation silencieuse pour View Transfer Server »,
page 74.
n
Vérifiez que les stratégies de groupe Windows Installer requises pour l'installation silencieuse sont
configurées sur l'ordinateur Windows Server. Reportez-vous à la section « Définir des stratégies de groupe
pour autoriser l'installation silencieuse de Serveur de transfert View », page 72.
Procédure
1
Téléchargez le fichier du programme d'installation de Serveur de connexion View sur la page de produits
VMware à l'adresse http://www.vmware.com/fr/products/ sur l'ordinateur Windows Server.
Le nom de fichier du programme d'installation est VMware-viewconnectionserver-x86_64-y.y.yxxxxxx.exe, où xxxxxx est le numéro de build et y.y.y le numéro de version.
2
Ouvrez une invite de commande sur l'ordinateur Windows Server.
3
Saisissez la commande d'installation sur une ligne.
Par exemple : VMware-viewconnectionserver-y.y.y-xxxxxx.exe /s /v"/qn
VDM_SERVER_INSTANCE_TYPE=4"
Les services Serveur de transfert VMware View, View Transfer Server Control Service et VMware View
Framework Component sont installés et démarrés sur la machine virtuelle.
Suivant
Dans View Administrator, ajoutez Serveur de transfert View à votre déploiement de View Manager.
VMware, Inc.
73
Installation de VMware Horizon View
Propriétés de l'installation silencieuse pour View Transfer Server
Vous pouvez inclure des propriétés spécifiques lorsque vous installez en silence un serveur View Transfer
Server depuis la ligne de commande. Vous devez utiliser un format PROPERTY=value pour que Microsoft
Windows Installer (MSI) puisse interpréter les propriétés et les valeurs.
Tableau 6-2. Propriétés MSI pour l'installation silencieuse de View Transfer Server
Propriété MSI
Description
Valeur par défaut
INSTALLDIR
Chemin d'accès et dossier dans lequel le logiciel View Connection Server
est installé.
Par exemple : INSTALLDIR=""D:\abc\my folder""
%ProgramFiles
%\VMware\VMware
View\Server
Les jeux de deux guillemets doubles entourant le chemin autorisent le
programme d'installation MSI à interpréter l'espace comme étant une
partie valide du chemin.
Cette propriété MSI est facultative.
VDM_SERVER_INSTANCE_
TYPE
Type d'installation du serveur View :
n 1. Installation standard
n
2. Installation de réplica
n
3. Installation d'un serveur de sécurité
n
4. Installation de View Transfer Server
1
Pour installer un serveur View Transfer Server, définissez
VDM_SERVER_INSTANCE_TYPE=4
Cette propriété MSI est facultative pour une installation standard. Elle est
requise pour tous les autres types d'installation.
SERVERDOMAIN
Domaine de réseau de la machine virtuelle sur laquelle vous installez
View Transfer Server. Cette valeur correspond au domaine de réseau du
serveur Web Apache configuré au cours d'une installation interactive.
Par exemple : SERVERDOMAIN=companydomain.com
Aucune
Si vous spécifiez un domaine de serveur Web Apache personnalisé avec
la propriété MSI, SERVERDOMAIN, vous devez également spécifier des
propriétés SERVERNAME et SERVERADMIN personnalisées.
Cette propriété MSI est facultative.
SERVERNAME
Nom d'hôte de la machine virtuelle sur laquelle vous installez View
Transfer Server. Cette valeur correspond au nom d'hôte du serveur Web
Apache configuré au cours d'une installation interactive.
Par exemple : SERVERNAME=ts1.companydomain.com
Aucune
Si vous spécifiez un nom d'hôte de serveur Web Apache personnalisé avec
la propriété MSI, SERVERNAME, vous devez également spécifier des
propriétés SERVERDOMAIN et SERVERADMIN personnalisées.
Cette propriété MSI est facultative.
SERVERADMIN
Adresse e-mail de l'administrateur du serveur Web Apache configurée
avec View Transfer Server.
Par exemple : [email protected]
Aucune
Si vous spécifiez un administrateur de serveur Web Apache personnalisé
avec la propriété MSI, SERVERADMIN, vous devez également spécifier des
propriétés SERVERDOMAIN et SERVERNAME personnalisées.
Cette propriété MSI est facultative.
FWCHOICE
Propriété MSI qui détermine de configurer un pare-feu pour l'instance de
View Connection Server.
Une valeur de 1 configure un pare-feu. Une valeur de 2 ne configure pas
un pare-feu.
Par exemple : FWCHOICE=1
1
Cette propriété MSI est facultative.
74
VMware, Inc.
Configuration de certificats SSL pour
des View Servers
7
VMware recommande vivement de configurer des certificats SSL pour l'authentification des instances de
Serveur de connexion View, des serveurs de sécurité et des instances de View Composer.
Un certificat de serveur SSL par défaut est généré lorsque vous installez des instances de Serveur de connexion
View, des serveurs de sécurité ou des instances de View Composer. Vous pouvez utiliser le certificat par défaut
à des fins de test.
IMPORTANT Remplacez le certificat par défaut dès que possible. Le certificat par défaut n'est pas signé par une
autorité de certification. L'utilisation de certificats non signés par une autorité de certification peut permettre
à des parties non approuvées d'intercepter le trafic en se faisant passer pour votre serveur.
Ce chapitre aborde les rubriques suivantes :
n
« Comprendre les certificats SSL pour des serveurs View Server », page 76
n
« Présentation des tâches de configuration des certificats SSL », page 77
n
« Obtention d'un certificat SSL signé auprès d'une autorité de certification », page 78
n
« Configurer Serveur de connexion View, le serveur de sécurité ou View Composer pour utiliser un
nouveau certificat SSL », page 80
n
« Configurer des View Client pour approuver des certificats racine et intermédiaires », page 85
n
« Configuration de la vérification de la révocation des certificats sur des certificats de serveur »,
page 87
n
« Configuration de la vérification de certificat dans View Client pour Windows », page 88
n
« Configurer PCoIP Secure Gateway pour utiliser un nouveau certificat SSL », page 89
n
« Serveur de transfert View et certificats SSL », page 93
n
« Configuration de View Administrator pour approuver un certificat de vCenter Server ou View
Composer », page 94
n
« Avantages des certificats SSL signés par une autorité de certification (CA) », page 94
VMware, Inc.
75
Installation de VMware Horizon View
Comprendre les certificats SSL pour des serveurs View Server
Vous devez suivre certaines recommandations pour la configuration de certificats SSL pour les serveurs View
Server et les composants associés.
Serveur de connexion View et serveur de sécurité
SSL est requis pour les connexions de View Client vers View. Les instances client de Serveur de connexion
View, les serveurs de sécurité et les serveurs intermédiaires qui terminent des connexions SSL requièrent des
certificats de serveur SSL.
Par défaut, lorsque vous installez Serveur de connexion View ou un serveur de sécurité, l'installation génère
un certificat auto-signé pour View Server. Toutefois, l'installation utilise un certificat existant dans les cas
suivants :
n
Si un certificat valide avec le nom convivial vdm existe déjà dans le magasin de certificats Windows.
n
Si vous effectuez la mise à niveau vers View 5.1 ou supérieur depuis une version antérieure, et qu'un
fichier de magasin de clés valide est configuré sur l'ordinateur Windows Server. L'installation extrait les
clés et les certificats et les importe dans le magasin de certificats Windows.
vCenter Server et View Composer
Avant d'ajouter vCenter Server et View Composer à View Manager dans un environnement de production,
vérifiez que vCenter Server et View Composer utilisent des certificats signés par une autorité de certification.
Pour plus d'informations sur le remplacement du certificat par défaut pour vCenter Server, consultez le
document « Remplacement des certificats vCenter Server » sur le site VMware Technical Papers à l'adresse
http://www.vmware.com/resources/techresources/.
Si vous installez vCenter Server et View Composer sur le même hôte Windows Server, ils peuvent utiliser le
même certificat SSL, mais vous devez configurer le certificat séparément pour chaque composant.
PCoIP Secure Gateway
Pour respecter les réglementations de sécurité du secteur ou de la juridiction, vous pouvez remplacer le
certificat SSL par défaut généré par le service PCoIP Secure Gateway (PSG) par un certificat signé par une
autorité de certification. La configuration du service PSG pour utiliser un certificat signé par une autorité de
certification est fortement recommandée, en particulier pour les déploiements qui nécessitent que vous utilisiez
des scanners de sécurité pour passer les tests de conformité. Reportez-vous à la section « Configurer PCoIP
Secure Gateway pour utiliser un nouveau certificat SSL », page 89.
Blast Secure Gateway
Par défaut, Blast Secure Gateway (BSG) utilise le certificat SSL configuré pour l'instance de Serveur de
connexion View ou le serveur de sécurité sur lequel est exécuté BSG. Si vous remplacez le certificat auto-signé
par défaut pour View Server par un certificat signé par une autorité de certification, BSG utilise également le
certificat signé par une autorité de certification.
Serveur de transfert View
Vous n'avez pas à configurer des certificats SSL pour Serveur de transfert View si vous installez View 5.1 ou
supérieur.
Un certificat auto-signé par défaut est installé avec Serveur de transfert View que Serveur de connexion View
utilise pour gérer les connexions secondaires à des View Client. Reportez-vous à la section « Serveur de transfert
View et certificats SSL », page 93.
76
VMware, Inc.
Chapitre 7 Configuration de certificats SSL pour des View Servers
Authentificateur SAML 2.0
VMware Horizon Suite utilise des authentificateurs SAML 2.0 pour fournir une authentification et une
autorisation basées sur le Web sur des domaines de sécurité. Si vous voulez que View délègue l'authentification
à Horizon Suite, vous pouvez configurer View pour accepter les sessions authentifiées de SAML 2.0 depuis
Horizon Suite. Lorsque Horizon Application Manager est configuré pour prendre en charge View, les
utilisateurs de Horizon peuvent se connecter à des postes de travail View en sélectionnant des icônes de poste
de travail sur Horizon User Portal.
Dans View Administrator, vous pouvez configurer des authentificateurs SAML 2.0 pour qu'ils utilisent des
instances de Serveur de connexion View.
Avant d'ajouter un authentificateur SAML 2.0 dans View Administrator, vérifiez que l'authentificateur
SAML 2.0 utilise un certificat signé par une autorité de certification.
Recommandations supplémentaires
Pour plus d'informations générales sur la demande et l'utilisation des certificats SSL signés par une autorité
de certification, reportez-vous à la section « Avantages des certificats SSL signés par une autorité de certification
(CA) », page 94.
Lorsque des View Client se connectent à une instance de Serveur de connexion View ou un serveur de sécurité,
ils se voient présenter le certificat de serveur SSL de View Server et des certificats intermédiaires dans la chaîne
d'approbation. Pour approuver le certificat de serveur, les systèmes client doivent avoir installé le certificat
racine de l'autorité de certification de signature.
Lorsque Serveur de connexion View communique avec vCenter Server et View Composer, Serveur de
connexion View se voit présenter des certificats de serveur SSL et des certificats intermédiaires de ces serveurs.
Pour approuver les serveurs vCenter Server et View Composer, l'ordinateur Serveur de connexion View doit
avoir installé le certificat racine de l'autorité de certification de signature.
De la même façon, si un authentificateur SAML 2.0 est configuré pour Serveur de connexion View, l'ordinateur
Serveur de connexion View doit avoir installé le certificat racine de l'autorité de certification de signature pour
le certificat du serveur SAML 2.0.
Présentation des tâches de configuration des certificats SSL
Pour configurer des certificats de serveur SSL pour des serveurs View Server, vous devez effectuer plusieurs
tâches de haut niveau.
Les procédures pour réaliser ces tâches sont décrites dans les rubriques qui suivent cette présentation.
1
Déterminez si vous avez besoin d'obtenir un nouveau certificat SSL signé auprès d'une autorité de
certification.
Si votre entreprise possède déjà un certificat de serveur SSL valide, vous pouvez l'utiliser pour remplacer
le certificat de serveur SSL par défaut fourni avec Serveur de connexion View, le serveur de sécurité ou
View Composer. Pour utiliser un certificat existant, vous avez également besoin de la clé privée qui
l'accompagne.
Point de départ
Action
Votre entreprise vous a fourni un certificat de serveur SSL
valide.
Passez directement à l'étape 2.
Vous n'avez pas de certificat de serveur SSL.
Obtenez un certificat de serveur SSL signé auprès
d'une autorité de certification.
2
Importez le certificat SSL dans le magasin de certificats de l'ordinateur local Windows sur l'hôte de View
Server.
VMware, Inc.
77
Installation de VMware Horizon View
3
Pour les instances de Serveur de connexion View et les serveurs de sécurité, modifiez le nom convivial du
certificat en le renommant vdm.
Attribuez le nom convivial vdm à un seul certificat sur chaque hôte de View Server.
4
Sur les ordinateurs Serveur de connexion View, si le certificat racine n'est pas approuvé par l'hôte Windows
Server, importez-le dans le magasin de certificats de l'ordinateur local Windows.
Effectuez cette étape uniquement pour les instances de Serveur de connexion View. Vous n'avez pas à
importer le certificat racine dans les hôtes de View Composer, de vCenter Server ou du serveur de sécurité.
5
Si votre certificat de serveur a été signé par une autorité de certification intermédiaire, importez les
certificats intermédiaires dans le magasin de certificats de l'ordinateur local Windows.
Pour simplifier la configuration client, importez la chaîne de certificats complète dans le magasin de
certificats de l'ordinateur local Windows. S'il manque des certificats intermédiaires sur View Server, ils
doivent être configurés pour les View Client et les ordinateurs qui lancent View Administrator.
6
7
Pour les instances de View Composer, effectuez l'une de ces étapes :
n
Si vous importez le certificat dans le magasin de certificats de l'ordinateur local Windows avant
d'installer View Composer, vous pouvez sélectionner votre certificat lors de l'installation de View
Composer.
n
Si vous prévoyez de remplacer un certificat existant ou le certificat auto-signé par défaut par un
nouveau certificat après avoir installé View Composer, exécutez l'utilitaire SviConfig
ReplaceCertificate pour lier le nouveau certificat au port utilisé par View Composer.
Si votre autorité de certification n'est pas reconnue, configurez les View Client pour qu'ils approuvent les
certificats racine et intermédiaires.
Vérifiez également que les ordinateurs sur lesquels vous lancez View Administrator approuvent les
certificats racine et intermédiaires.
8
Déterminez si vous voulez reconfigurer la vérification de la révocation des certificats.
Serveur de connexion View effectue la vérification de la révocation des certificats sur les serveurs View
Server, View Composer et vCenter Server. La plupart des certificats signés par une autorité de certification
incluent des informations de révocation des certificats. Si votre autorité de certification n'inclut pas ces
informations, vous pouvez configurer le serveur pour qu'il ne vérifie pas les certificats pour révocation.
Si un authentificateur SAML 2.0 est configuré pour être utilisé avec une instance de Serveur de connexion
View, Serveur de connexion View effectue également la vérification de la révocation des certificats sur le
certificat du serveur SAML 2.0.
Obtention d'un certificat SSL signé auprès d'une autorité de
certification
Si votre entreprise ne vous fournit pas de certificat de serveur SSL, vous devez demander un nouveau certificat
signé par une autorité de certification.
Vous pouvez utiliser plusieurs méthodes pour obtenir un nouveau certificat signé. Par exemple, vous pouvez
utiliser l'utilitaire certreq de Microsoft pour générer une demande de signature de certificat (CSR) et envoyer
une demande de certificat à une autorité de certification.
Consultez le document Obtention de certificats SSL pour les serveurs VMware Horizon View pour voir un exemple
indiquant comment utiliser certreq pour réaliser cette tâche.
À des fins de test, vous pouvez obtenir un certificat temporaire gratuit basé sur une racine non approuvée de
plusieurs autorités de certification.
78
VMware, Inc.
Chapitre 7 Configuration de certificats SSL pour des View Servers
Lorsque vous générez une demande de certificat sur un ordinateur, vérifiez qu'une clé privée est également
générée. Lorsque vous obtenez le certificat de serveur SSL et l'importez dans le magasin de certificats de
l'ordinateur local Windows, il doit y avoir une clé privée qui l'accompagne et qui correspond au certificat.
IMPORTANT Ne créez pas de certificats pour des serveurs View Server à l'aide d'un modèle de certificat
compatible uniquement avec une autorité de certification d'entreprise Windows Server 2008 ou supérieur.
IMPORTANT Ne générez pas de certificats pour des serveurs View Server à l'aide d'une valeur KeyLength
inférieure à 1 024. View Client pour Windows et View Client pour Windows with Local Mode ne valideront
pas le certificat sur un View Server qui a été généré avec une valeur KeyLength inférieure à 1 024 et les View
Client ne pourront pas se connecter à View. Les validations de certificat exécutées par Serveur de connexion
View échoueront également ; les serveurs View Server affectés apparaîtront alors en rouge dans le tableau de
bord de View Administrator.
Pour des informations générales sur l'obtention des certificats, consultez l'aide en ligne de Microsoft disponible
avec le composant logiciel Certificat dans MMC. Si le composant logiciel Certificat n'est pas encore installé sur
votre ordinateur, reportez-vous à la section « Ajouter le composant logiciel enfichable Certificat à MMC »,
page 81.
Obtenir un certificat signé d'une autorité de certification de domaine ou
d'entreprise Windows
Pour obtenir un certificat signé d'une autorité de certification de domaine ou d'entreprise Windows, vous
pouvez utiliser l'assistant d'inscription de certificats Windows dans le magasin des certificats Windows.
Cette méthode de demande de certificat est adaptée si les communications entre les ordinateurs se limitent à
votre domaine interne. Par exemple, l'obtention d'un certificat signé d'une autorité de certification Windows
peut être appropriée pour les communications entre les serveurs.
Si les clients View Client se connectent aux View servers depuis un réseau externe, demandez des certificats
de serveur SSL signés par une autorité de certification tierce de confiance.
Prérequis
n
Déterminez le nom de domaine complet (FQDN) que les ordinateurs client utilisent pour se connecter à
l'hôte.
n
Vérifiez que le composant logiciel enfichable Certificat a été ajouté à MMC. Reportez-vous à la section
« Ajouter le composant logiciel enfichable Certificat à MMC », page 81.
n
Vérifiez que vous disposez des données d'identification appropriées pour demander un certificat qui peut
être envoyé à un ordinateur ou un service.
Procédure
1
Dans la fenêtre MMC sur l'hôte de Windows Server, développez le noeud des [certificats (ordinateur
local)] et sélectionnez le dossier [Personal (Personnel)] .
2
Dans le menu [Action] , accédez à [All Tasks (Toutes les tâches)] > [Request New Certificate (Demander
un nouveau certificat)] pour afficher l'assistant d'inscription de certificats.
3
Sélectionnez une stratégie d'inscription de certificats.
4
Sélectionnez les types de certificats à demander et cliquez sur [Enroll (Inscrire)] .
5
Cliquez sur [Finish (Terminer)] .
Le nouveau certificat signé est ajouté au dossier [Personal (Personnel)] > [Certificates (Certificats)] dans le
magasin des certificats Windows.
VMware, Inc.
79
Installation de VMware Horizon View
Suivant
n
Vérifiez que certificat de serveur et la chaîne de certificats ont été importés dans le magasin de certificats
Windows.
n
Pour une instance de Serveur de connexion View ou le serveur de sécurité, modifiez le nom convivial du
certificat en le renommant vdm. Reportez-vous à la section « Modifier le nom convivial d'un certificat »,
page 82.
n
Pour un Serveur View Composer, liez le nouveau certificat au port utilisé par View Composer. Reportezvous à la section « Lier un nouveau certificat SSL au port utilisé par View Composer », page 84.
Configurer Serveur de connexion View, le serveur de sécurité ou View
Composer pour utiliser un nouveau certificat SSL
Pour configurer une instance de Serveur de connexion View, un serveur de sécurité ou une instance de View
Composer afin qu'ils utilisent un certificat SSL, vous devez importer le certificat de serveur et la chaîne de
certificats complète dans le magasin de certificats de l'ordinateur local Windows sur l'hôte de Serveur de
connexion View, du serveur de sécurité ou de View Composer.
Par défaut, Blast Secure Gateway (BSG) utilise le certificat SSL configuré pour l'instance de Serveur de
connexion View ou le serveur de sécurité sur lequel est exécuté BSG. Si vous remplacez le certificat auto-signé
par défaut pour View Server par un certificat signé par une autorité de certification, BSG utilise également le
certificat signé par une autorité de certification.
IMPORTANT Pour configurer Serveur de connexion View ou le serveur de sécurité pour qu'ils utilisent un
certificat, vous devez modifier le nom convivial du certificat par vdm. De plus, le certificat doit avoir une clé
privée qui l'accompagne.
Si vous prévoyez de remplacer un certificat existant ou le certificat auto-signé par défaut par un nouveau
certificat après avoir installé View Composer, vous devez exécuter l'utilitaire SviConfig ReplaceCertificate
pour lier le nouveau certificat au port utilisé par View Composer.
Procédure
1
Ajouter le composant logiciel enfichable Certificat à MMC page 81
Pour pouvoir ajouter des certificats au magasin des certificats Windows, vous devez ajouter le composant
logiciel enfichable Certificat à MMC (Microsoft Management Console) sur l'hôte Windows Server sur
lequel View server est installé.
2
Importer un certificat de serveur signé dans un magasin de certificats Windows page 81
Vous devez importer le certificat de serveur SSL dans le magasin de certificats de l'ordinateur local
Windows sur l'hôte Windows Server sur lequel l'instance de Serveur de connexion View, le serveur de
sécurité ou le service View Composer est installé.
3
Modifier le nom convivial d'un certificat page 82
Pour configurer une instance de Serveur de connexion View ou le serveur de sécurité pour qu'il
reconnaisse et utilise un certificat SSL, vous devez modifier le nom convivial du certificat en le
renommant vdm.
4
Importer un certificat racine et des certificats intermédiaires dans un magasin de certificats Windows
page 83
Si l'hôte Windows Server sur lequel Serveur de connexion View est installé n'approuve pas le certificat
racine pour le certificat de serveur SSL signé, vous devez importer le certificat racine dans le magasin de
certificats de l'ordinateur local Windows. En outre, si l'hôte de Serveur de connexion View n'approuve
pas les certificats racine des certificats de serveur SSL configurés pour les hôtes du serveur de sécurité,
de View Composer et de vCenter Server, vous devez également importer ces certificats racine.
80
VMware, Inc.
Chapitre 7 Configuration de certificats SSL pour des View Servers
5
Lier un nouveau certificat SSL au port utilisé par View Composer page 84
Si vous configurez un nouveau certificat SSL après l'installation de View Composer, vous devez exécuter
l'utilitaire SviConfig ReplaceCertificate pour remplacer le certificat qui est lié au port utilisé par View
Composer. Cet utilitaire délie le certificat existant et lie le nouveau certificat au port.
Ajouter le composant logiciel enfichable Certificat à MMC
Pour pouvoir ajouter des certificats au magasin des certificats Windows, vous devez ajouter le composant
logiciel enfichable Certificat à MMC (Microsoft Management Console) sur l'hôte Windows Server sur lequel
View server est installé.
Prérequis
Vérifiez que MMC et le composant logiciel enfichable Certificat sont disponibles sur l'ordinateur Windows
Server sur lequel View server est installé.
Procédure
1
Sur l'ordinateur Windows Server, cliquez sur [Start (Démarrer)] et tapez mmc.exe.
2
Dans la fenêtre MMC, accédez à [File (Fichier)] > [Add/Remove Snap-in (Ajouter/Supprimer un
composant logiciel enfichable)] .
3
Dans la fenêtre Add or Remove Snap-ins (Ajouter ou supprimer des composants logiciels enfichables,
sélectionnez [Certificates (Certificats)] et cliquez sur [Add (Ajouter)] .
4
Dans la fenêtre Certificates snap-in (Composant logiciel enfichable Certificats), sélectionnez [Computer
account (Compte d'ordinateur)] , cliquez sur [Next (Suivant)] , sélectionnez [Computer account
(Ordinateur local)] , puis cliquez sur [Finish (Terminer)] .
5
Dans la fenêtre Add or Remove snap-in (Ajouter ou supprimer des composants logiciels enfichables),
cliquez sur [OK] .
Suivant
Importez le certificat de serveur SSL dans le magasin des certificats Windows.
Importer un certificat de serveur signé dans un magasin de certificats Windows
Vous devez importer le certificat de serveur SSL dans le magasin de certificats de l'ordinateur local Windows
sur l'hôte Windows Server sur lequel l'instance de Serveur de connexion View, le serveur de sécurité ou le
service View Composer est installé.
En fonction du format de votre fichier de certificat, la chaîne de certificats complète contenue dans le fichier
de magasin de clés peut être importée dans le magasin de certificats de l'ordinateur local Windows. Par
exemple, le certificat de serveur, le certificat intermédiaire et le certificat racine peuvent être importés.
Pour les autres types de fichiers de certificat, seul le certificat de serveur est importé dans le magasin de
certificats de l'ordinateur local Windows. Dans ce cas, vous devez effectuer des étapes séparées pour importer
le certificat racine et des certificats intermédiaires dans la chaîne de certificats.
Pour plus d'informations sur les certificats, consultez l'aide en ligne de Microsoft disponible avec le composant
logiciel Certificat dans MMC.
REMARQUE Si vous déchargez des connexions SSL vers un serveur intermédiaire, vous devez importer le même
certificat de serveur SSL sur le serveur intermédiaire et View Server déchargé. Pour plus d'informations,
consultez la section « Décharger des connexions SSL sur des serveurs intermédiaires » dans le document
Administration de VMware Horizon View.
VMware, Inc.
81
Installation de VMware Horizon View
Prérequis
Vérifiez que le composant logiciel Certificat a été ajouté à MMC. Reportez-vous à la section « Ajouter le
composant logiciel enfichable Certificat à MMC », page 81.
Procédure
1
Dans la fenêtre MMC sur l'hôte Windows Server, développez le nœud [Certificats (ordinateur local)] et
le dossier [Personnel] .
2
Dans le volet Actions, allez dans [Autres actions] > [Toutes les tâches] > [Importer] .
3
Dans l'assistant Importation de certificat, cliquez sur [Suivant] et accédez à l'emplacement de stockage
du certificat.
4
Sélectionnez le fichier du certificat et cliquez sur [Ouvrir] .
Pour afficher votre type de fichier de certificat, vous pouvez sélectionner son format de fichier dans le
menu déroulant [Nom de fichier] .
5
Tapez le mot de passe de la clé privée incluse dans le fichier de certificat.
6
Sélectionnez [Marquer cette clé comme exportable] .
7
Sélectionnez [Inclure toutes les propriétés extensibles] .
8
Cliquez sur [Suivant] et sur [Terminer] .
Le nouveau certificat apparaît dans le dossier [Certificats (ordinateur local)] > [Personnel] >
[Certificats] .
9
Vérifiez que le nouveau certificat contient une clé privée.
a
Dans le dossier [Certificats (ordinateur local)] > [Personnel] > [Certificats] , double-cliquez sur le
nouveau certificat.
b
Sous l'onglet Général de la boîte de dialogue Informations sur le certificat, vérifiez que la déclaration
suivante existe : Vous avez une clé privée qui correspond à ce certificat.
Suivant
Modifiez le nom convivial du certificat en le renommant vdm.
Modifier le nom convivial d'un certificat
Pour configurer une instance de Serveur de connexion View ou le serveur de sécurité pour qu'il reconnaisse
et utilise un certificat SSL, vous devez modifier le nom convivial du certificat en le renommant vdm.
Il est inutile de modifier le nom convivial des certificats SSL qu'utilise View Composer.
Prérequis
Vérifiez que le certificat de serveur est importé dans le dossier [Certificates (Local Computer) (Certificats
(Ordinateur local))] > [Personal (Personnel)] > [Certificates (Certificats)] dans le magasin de certificats
Windows. Reportez-vous à la section « Importer un certificat de serveur signé dans un magasin de certificats
Windows », page 81.
Procédure
82
1
Dans la fenêtre MMC sur l'hôte Windows Server, développez le noeud des [certificats (ordinateur local)]
et sélectionnez le dossier [Personnal (Personnel)] > [Certificates (Certificats)] .
2
Cliquez avec le bouton droit de la souris sur le certificat envoyé à l'hôte View server et cliquez sur
[Properties (Propriétés)] .
3
Dans l'onglet General (Général), supprimez le texte [Friendly name (Nom convivial)] et tapez vdm.
VMware, Inc.
Chapitre 7 Configuration de certificats SSL pour des View Servers
4
Cliquez sur [Apply (Appliquer)] et sur [OK] .
Suivant
Importez le certificat racine et les certificats intermédiaires dans le magasin de certificats de l'ordinateur local
Windows.
Une fois tous les certificats de la chaîne importés, vous devez redémarrer le service Serveur de connexion View
ou le service Serveur de sécurité pour appliquer les modifications.
Importer un certificat racine et des certificats intermédiaires dans un magasin de
certificats Windows
Si l'hôte Windows Server sur lequel Serveur de connexion View est installé n'approuve pas le certificat racine
pour le certificat de serveur SSL signé, vous devez importer le certificat racine dans le magasin de certificats
de l'ordinateur local Windows. En outre, si l'hôte de Serveur de connexion View n'approuve pas les certificats
racine des certificats de serveur SSL configurés pour les hôtes du serveur de sécurité, de View Composer et de
vCenter Server, vous devez également importer ces certificats racine.
Si les certificats de Serveur de connexion View, du serveur de sécurité, de View Composer et de vCenter Server
sont signés par une autorité de certification racine qui est connue et approuvée par l'hôte de Serveur de
connexion View, et qu'il n'y a pas de certificat intermédiaire dans vos chaînes de certificats, vous pouvez ignorer
cette tâche. Les autorités de certification couramment utilisées sont susceptibles d'être approuvées par l'hôte.
REMARQUE Vous n'avez pas à importer le certificat racine dans les hôtes de View Composer, de vCenter Server
ou du serveur de sécurité.
Si un certificat de serveur est signé par une autorité de certification intermédiaire, vous devez également
importer chaque certificat intermédiaire dans la chaîne de certificats. Pour simplifier la configuration client,
importez la chaîne intermédiaire complète dans les hôtes du serveur de sécurité, de View Composer et de
vCenter Server ainsi que les hôtes de Serveur de connexion View. S'il manque des certificats intermédiaires
sur un hôte de Serveur de connexion View ou du serveur de sécurité, ils doivent être configurés pour les View
Client et les ordinateurs qui lancent View Administrator. S'il manque des certificats intermédiaires sur un hôte
de View Composer ou vCenter Server, ils doivent être configurés pour chaque instance de Serveur de
connexion View.
Si vous avez déjà vérifié que la chaîne de certificats complète est importée dans le magasin de certificats de
l'ordinateur local Windows, vous pouvez ignorer cette tâche.
REMARQUE Si un authentificateur SAML 2.0 est configuré pour être utilisé par une instance de Serveur de
connexion View, les mêmes recommandations s'appliquent à l'authentificateur SAML 2.0. Si l'hôte de Serveur
de connexion View n'approuve pas le certificat racine configuré pour un authentificateur SAML 2.0, ou si le
certificat de serveur SAML 2.0 est signé par une autorité de certification intermédiaire, vous devez vérifier que
la chaîne de certificats est importée dans le magasin de certificats de l'ordinateur local Windows.
Procédure
1
Dans la console MMC sur l'hôte Windows Server, développez le nœud [Certificats (ordinateur local)] et
allez dans le dossier [Autorités de certification racine de confiance] > [Certificats] .
n
Si votre certificat racine se trouve dans ce dossier, et qu'il n'y a pas de certificat intermédiaire dans
votre chaîne de certificats, passez à l'étape 7.
n
Si votre certificat racine ne se trouve pas dans ce dossier, passez à l'étape 2.
2
Cliquez avec le bouton droit sur le dossier [Autorités de certification racine de confiance] > [Certificats]
et cliquez sur [Toutes les tâches] > [Importer] .
3
Dans l'assistant Importation de certificat, cliquez sur [Suivant] et allez à l'emplacement de stockage du
certificat de l'autorité de certification racine.
VMware, Inc.
83
Installation de VMware Horizon View
4
Sélectionnez le fichier du certificat de l'autorité de certification racine et cliquez sur [Ouvrir] .
5
Cliquez sur [Suivant] , [Suivant] et [Terminer] .
6
Si votre certificat de serveur a été signé par une autorité de certification intermédiaire, importez tous les
certificats intermédiaires se trouvant dans la chaîne de certificats dans le magasin de certificats de
l'ordinateur local Windows.
7
a
Allez dans le dossier [Certificats (ordinateur local)] > [Autorités de certification intermédiaires]
> [Certificats] .
b
Répétez les étapes 3 à 6 pour chaque certificat intermédiaire devant être importé.
Redémarrez le service Serveur de connexion View, le service du serveur de sécurité, le service View
Composer ou le service vCenter Server pour que vos modifications prennent effet.
Lier un nouveau certificat SSL au port utilisé par View Composer
Si vous configurez un nouveau certificat SSL après l'installation de View Composer, vous devez exécuter
l'utilitaire SviConfig ReplaceCertificate pour remplacer le certificat qui est lié au port utilisé par View
Composer. Cet utilitaire délie le certificat existant et lie le nouveau certificat au port.
Si vous installez le nouveau certificat sur l'ordinateur Windows Server avant d'installer View Composer, il est
inutile d'exécuter l'utilitaire SviConfig ReplaceCertificate. Lorsque vous exécutez le programme
d'installation View Composer, vous pouvez sélectionner un certificat signé par une autorité de certification à
la place du certificat autosigné par défaut. Lors de l'installation, le certificat sélectionné est lié au port utilisé
par View Composer.
Si vous voulez remplacer un certificat existant ou le certificat autosigné par défaut par un nouveau certificat,
vous devez utiliser l'utilitaire SviConfig ReplaceCertificate.
Prérequis
Vérifiez que le nouveau certificat a été importé dans le magasin des certificats de l'ordinateur local Windows
sur l'ordinateur Windows Server où View Composer est installé.
Procédure
1
Redémarrez le service View Composer.
2
Ouvrez une invite de commande sur l'hôte Windows Server où se trouve View Composer.
3
Tapez la commande SviConfig ReplaceCertificate.
Par exemple :
sviconfig -operation=ReplaceCertificate
-delete=false
, où -delete est un paramètre obligatoire qui agit sur le certificat à remplacer. Vous devez définir delete=true pour supprimer l'ancien certificat du magasin de certificats de l'ordinateur local Windows
ou bien -delete=false pour conserver l'ancien certificat dans le magasin des certificats Windows.
L'utilitaire affiche la liste numérotée des certificats SSL disponibles dans le magasin des certificats de
l'ordinateur local Windows.
84
4
Pour sélectionner un certificat, tapez le numéro du certificat et appuyez sur Entrée.
5
Redémarrez le service View Composer pour appliquer les modifications.
VMware, Inc.
Chapitre 7 Configuration de certificats SSL pour des View Servers
Exemple : SviConfig ReplaceCertificate
L'exemple suivant remplace le certificat lié au port View Composer :
sviconfig -operation=ReplaceCertificate
-delete=false
Configurer des View Client pour approuver des certificats racine et
intermédiaires
Si un certificat de View Server est signé par une autorité de certification qui n'est pas approuvée par des
ordinateurs View Client et des ordinateurs client qui accèdent à View Administrator, vous pouvez configurer
tous les systèmes client Windows dans un domaine pour approuver les certificats racine et intermédiaires.
Pour cela, vous devez ajouter la clé publique du certificat racine à la stratégie de groupe Trusted Root
Certification Authorities (Autorités de certification racine de confiance) dans Active Directory et ajouter le
certificat racine au magasin Enterprise NTAuth.
Par exemple, vous pouvez avoir à effectuer ces étapes si votre entreprise utilise un service de certificat interne.
Vous n'avez pas à suivre ces étapes si le contrôleur de domaine Windows agit en tant qu'autorité de certification
racine ou si vos certificats sont signés par une autorité de certification reconnue. Pour les autorités de
certification reconnues, les fournisseurs de système d'exploitation préinstallent le certificat racine sur les
systèmes clients.
Si vos certificats de View Server sont signés par une autorité de certification intermédiaire peu connue, vous
devez ajouter le certificat intermédiaire à la stratégie de groupe Intermediate Certification Authorities
(Autorités de certification intermédiaires) dans Active Directory.
Pour les View Client exécutés sur d'autres systèmes d'exploitation et périphériques, lisez les instructions
suivantes sur la distribution des certificats racine et intermédiaires que les utilisateurs peuvent installer :
n
Pour View Client pour Mac OS X, reportez-vous à la section « Configurer View Client pour Mac OS X
pour autoriser les certificats racine et intermédiaires », page 86.
n
Pour View Client pour iPad, reportez-vous à la section « Configurer View Client pour iPad pour autoriser
les certificats racine et intermédiaires », page 87.
n
Pour View Client pour Android, consultez la documentation sur le site Web de Google, comme Android
3.0 User's Guide (Guide utilisateur Android 3.0).
n
Pour View Client pour Linux, consultez la documentation Ubuntu.
Prérequis
Vérifiez que le certificat de View Server a été généré avec une valeur KeyLength de 1 024 ou plus. View Client
pour Windows et View Client pour Windows with Local Mode ne valideront pas le certificat sur un View
Server qui a été généré avec une valeur KeyLength inférieure à 1 024 et les View Client ne pourront pas se
connecter à View.
Procédure
1
Sur votre serveur Active Directory, utilisez la commande certutil pour publier le certificat dans le
magasin Enterprise NTAuth.
Par exemple : certutil -dspublish -f path_to_root_CA_cert NTAuthCA
VMware, Inc.
85
Installation de VMware Horizon View
2
Sur le serveur Active Directory, naviguez vers le plug-in de gestion de stratégie de groupe.
Version d'AD
Chemin de navigation
Windows 2003
a
b
c
d
Windows 2008
a
b
Sélectionnez [Démarrer] > [Tous les programmes] > [Outils
d'administration] > [Utilisateurs et ordinateurs Active Directory] .
Cliquez avec le bouton droit sur votre domaine et cliquez sur
[Propriétés] .
Sur l'onglet [Stratégie de groupe] , cliquez sur [Ouvrir] pour ouvrir le
plug-in de Gestion de stratégie de groupe.
Cliquez avec le bouton droit sur [Stratégie de domaine par défaut] et
cliquez sur [Modifier] .
Sélectionnez [Démarrer] > [Outils d'administration] > [Gestion de
stratégie de groupe] .
Développez votre domaine, cliquez avec le bouton droit sur [Stratégie
de domaine par défaut] et cliquez sur [Modifier] .
3
Développez la section [Configuration ordinateur] et allez à [Paramètres Windows] > [Paramètres de
sécurité] > [Stratégies de clé publique] .
4
Importez le certificat.
Option
Description
Certificat racine
a
b
Certificat intermédiaire
a
b
5
Cliquez avec le bouton droit sur [Autorités de certification racine de
confiance] et sélectionnez [Importer] .
Suivez les invites de l'assistant pour importer le certificat racine (par
exemple, rootCA.cer) et cliquez sur [OK] .
Cliquez avec le bouton droit sur [Autorités de certification
intermédiaires] et sélectionnez [Importer] .
Suivez les invites de l'assistant pour importer le certificat intermédiaire
(par exemple, intermediateCA.cer) et cliquez sur [OK] .
Fermez la fenêtre Group Policy (Stratégie de groupe).
Tous les systèmes dans le domaine disposent maintenant d'informations de certificat dans leurs magasins de
certificats racine approuvés et leurs magasins de certificats intermédiaires ce qui leur permet d'approuver les
certificats racine et intermédiaires.
Configurer View Client pour Mac OS X pour autoriser les certificats racine et
intermédiaires
Si un certificat View server est signé par une autorité de certification (CA) non autorisée par les ordinateurs
qui exécutent View Client pour Mac OS X, vous pouvez configurer les ordinateurs pour qu'ils autorisent les
certificats racine et intermédiaires. Vous devez distribuer le certificat racine et tous les certificats intermédiaires
de la chaîne d'approbation vers les ordinateurs clients.
Procédure
1
Distribuez le certificat racine et les certificats intermédiaires vers l'ordinateur qui exécute View Client pour
Mac OS X.
2
Ouvrez le certificat racine sur l'ordinateur Mac OS X.
Le certificat affiche le message suivant : Voulez-vous que votre ordinateur autorise les certificats
signés par CA name à partir de maintenant ?
86
3
Cliquez sur [Always Trust (Toujours faire confiance)]
4
Tapez le mot de passe de l'utilisateur.
VMware, Inc.
Chapitre 7 Configuration de certificats SSL pour des View Servers
5
Répétez les étapes 2 à 4 pour tous les certificats intermédiaires de la chaîne d'approbation.
Configurer View Client pour iPad pour autoriser les certificats racine et
intermédiaires
Si un certificat View server est signé par une autorité de certification (CA) non autorisée par les iPads qui
exécutent View Client pour iPad, vous pouvez configurer les iPads pour qu'ils autorisent les certificats racine
et intermédiaires. Vous devez distribuer le certificat racine et tous les certificats intermédiaires de la chaîne
d'approbation vers les iPads.
Procédure
1
Envoyez le certificat racine et les certificats intermédiaires dans des pièces jointes aux iPads.
2
Ouvrez la pièce jointe du courrier électronique du certificat racine et sélectionnez [Install (Installer)] .
Le certificat affiche le message suivant :
Profil invérifiable. L'authenticité de Certificate name ne peut pas être vérifiée.
L'installation de ce profil va modifier les paramètres de l'iPad.
Certificat racine : L'installation du certificat Certificate name va l'ajouter à la liste des
certificats de confiance sur l'iPad.
3
Sélectionnez de nouveau [Install (Installer)] .
4
Répétez les étapes 2 et 3 pour tous les certificats intermédiaires de la chaîne d'approbation.
Configuration de la vérification de la révocation des certificats sur des
certificats de serveur
Chaque instance de Serveur de connexion View effectue la vérification de la révocation des certificats sur son
propre certificat et sur ceux des serveurs de sécurité couplés avec elle. Chaque instance vérifie également les
certificats des serveurs vCenter View Composer dès qu'elle établit une connexion avec eux. Par défaut, tous
les certificats dans la chaîne sont vérifiés, sauf le certificat racine. Toutefois, vous pouvez modifier cette valeur
par défaut.
Si un authentificateur SAML 2.0 est configuré pour être utilisé par une instance de Serveur de connexion View,
Serveur de connexion View effectue également la vérification de la révocation des certificats sur le certificat
du serveur SAML 2.0.
View prend en charge plusieurs méthodes de vérification de la révocation des certificats, telles que des listes
de révocation de certificat (CRL) et le protocole OCSP (Online Certificate Status Protocol). Une CRL est une
liste de certificats révoqués publiée par l'autorité de certification qui a émis les certificats. OCSP est un protocole
de validation de certificat utilisé pour obtenir l'état de révocation d'un certificat X.509.
Avec des listes de révocation de certificat, la liste de certificats révoqués est téléchargée à partir d'un point de
distribution de certificat qui est souvent spécifié dans le certificat. View Server va périodiquement à l'URL du
point de distribution de la liste de révocation de certificat spécifiée dans le certificat, télécharge la liste et la
vérifie pour déterminer si le certificat de serveur a été révoqué. Avec OCSP, View Server envoie une demande
à un répondeur OCSP afin de déterminer l'état de révocation du certificat.
Lorsque vous obtenez un certificat de serveur auprès d'une autorité de certification tierce, le certificat inclut
une ou plusieurs méthodes grâce auxquelles son état de révocation peut être déterminé, y compris, par
exemple, une URL du point de distribution de la liste de révocation de certificat ou l'URL d'un répondeur
OCSP. Si vous avez votre propre autorité de certification et que vous générez un certificat mais n'incluez pas
d'informations de révocation dans le certificat, la vérification de la révocation des certificats échoue. Un
exemple d'informations de révocation pour un tel certificat peut inclure, par exemple, une URL vers un point
de distribution de la liste de révocation de certificat basé sur le Web sur un serveur sur lequel vous hébergez
une liste de révocation de certificat.
VMware, Inc.
87
Installation de VMware Horizon View
Si vous avez votre propre autorité de certification mais que vous n'incluez ou ne pouvez pas inclure
d'informations de révocation dans votre certificat, vous pouvez choisir de ne pas vérifier les certificats pour
révocation ou de vérifier uniquement certains certificats dans une chaîne. Sur View Server, avec l'éditeur de
Registre Windows, vous pouvez créer la valeur de chaîne (REG_SZ) [CertificateRevocationCheckType] , sous
HKLM\Software\VMware, Inc.\VMware VDM\Security, et définir cette valeur sur l'une des valeurs de données
suivantes.
Valeur
Description
1
Ne pas effectuer la vérification de la révocation des certificats.
2
Vérifier uniquement le certificat de serveur. Ne pas vérifier les autres certificats dans la chaîne.
3
Vérifier tous les certificats dans la chaîne.
4
(Valeur par défaut) Vérifier tous les certificats sauf le certificat racine.
Si cette valeur de Registre n'est pas définie, ou si la valeur définie n'est pas valide (c'est-à-dire si la valeur n'est
pas 1, 2, 3 ou 4), tous les certificats sont vérifiés sauf le certificat racine. Définissez cette valeur de Registre sur
chaque View Server sur lequel vous prévoyez de modifier la vérification de la révocation. Vous n'avez pas à
redémarrer le système après avoir défini cette valeur.
REMARQUE Si votre entreprise utilise des paramètres proxy pour l'accès Internet, vous devez peut-être
configurer vos ordinateurs Serveur de connexion View pour qu'ils utilisent les paramètres proxy afin de vérifier
que la vérification de la révocation des certificats peut être exécutée pour des serveurs de sécurité ou des
instances de Serveur de connexion View qui sont utilisés pour des connexions View Client sécurisées. Si une
instance de Serveur de connexion View ne peut pas accéder à Internet, la vérification de la révocation des
certificats peut échouer et l'instance de Serveur de connexion View ou les serveurs de sécurité couplés peuvent
apparaître en rouge sur le tableau de bord de View Administrator. Pour résoudre ce problème, consultez la
section « Résolution de la vérification de la révocation des certificats du serveur de sécurité » dans le document
Administration de VMware Horizon View.
Configuration de la vérification de certificat dans View Client pour
Windows
Vous pouvez utiliser un paramètre de stratégie de groupe lié à la sécurité dans le fichier de modèle
d'administration de configuration de View Client (vdm_client.adm) pour configurer la vérification de certificat
de serveur SSL dans View Client pour Windows.
La vérification des certificats se produit pour les connexions SSL entre Serveur de connexion View et View
Client. La vérification des certificats inclut toutes les vérifications suivantes :
n
Le certificat a-t-il été révoqué ? Est-il possible de déterminer si le certificat a été révoqué ?
n
Le certificat a-t-il un autre but que de vérifier l'identité de l'expéditeur et de chiffrer les communications
du serveur ? Ceci étant, s'agit-il du bon type de certificat ?
n
Le certificat a-t-il expiré, ou est-il valide uniquement dans le futur ? Ceci étant, le certificat est-il valide en
fonction de l'horloge de l'ordinateur ?
n
Le nom commun sur le certificat correspond-il au nom d'hôte du serveur qui l'envoie ? Une incompatibilité
peut se produire si un équilibreur de charge redirige View Client vers un serveur avec un certificat qui ne
correspond pas au nom d'hôte que l'utilisateur a entré. Une incompatibilité peut également se produire
si l'utilisateur entre une adresse IP plutôt qu'un nom d'hôte dans le client.
n
Le certificat est-il signé par une autorité de certification inconnue ou non approuvée ? Les certificats autosignés sont un type d'autorité de certification non approuvée.
Pour passer cette vérification, la chaîne d'approbation du certificat doit être associée à une racine dans le
magasin de certificats local du périphérique.
88
VMware, Inc.
Chapitre 7 Configuration de certificats SSL pour des View Servers
Lorsque vous configurez pour la première fois un environnement View, un certificat auto-signé par défaut est
utilisé. Par défaut, [Avertir, mais autoriser] est le mode de vérification de certificat. Dans ce mode, lorsque
l'un des problèmes de certificat de serveur suivants se produit, un avertissement s'affiche, mais l'utilisateur
peut choisir de continuer et d'ignorer l'avertissement :
n
Un certificat auto-signé est fourni par le serveur View. Dans ce cas, il est acceptable si le nom de certificat
ne correspond pas au nom de Serveur de connexion View fourni par l'utilisateur dans View Client.
n
Un certificat vérifiable qui a été configuré dans votre déploiement a expiré ou n'est pas encore valide.
Vous pouvez modifier le mode de vérification de certificat par défaut. Vous pouvez définir le mode sur [Pas
de sécurité] , pour qu'aucune vérification de certificat ne soit effectuée, ou vous pouvez définir le mode sur
[Sécurité totale] , pour que les utilisateurs ne soient pas autorisés à se connecter au serveur si l'une des
vérifications échoue. Vous pouvez également autoriser les utilisateurs à définir le mode eux-mêmes.
Utilisez le paramètre de stratégie de groupe Certificate verification mode (Mode de vérification du
certificat) dans le fichier de modèle d'administration de configuration de View Client pour modifier le mode
de vérification. Lorsque ce paramètre de stratégie de groupe est configuré, le paramètre est verrouillé dans
View Client. Les utilisateurs peuvent afficher le mode de vérification sélectionné dans View Client, mais ils ne
peuvent pas configurer le paramètre. Lorsque ce paramètre de stratégie de groupe n'est pas configuré ou est
désactivé, les utilisateurs de View Client peuvent sélectionner un mode de vérification.
Des fichiers de modèle d'administration pour composants View sont installés dans le répertoire
install_directory\VMware\VMware View\Server\Extras\GroupPolicyFiles sur votre hôte de Serveur de
connexion View. Pour plus d'informations sur l'utilisation de ces modèles afin de contrôler les paramètres de
GPO, consultez le document Administration de VMware Horizon View.
Configurer PCoIP Secure Gateway pour utiliser un nouveau certificat
SSL
Pour respecter les réglementations de sécurité du secteur ou de la juridiction, vous pouvez remplacer le
certificat SSL par défaut généré par le service PCoIP Secure Gateway (PSG) par un certificat signé par une
autorité de certification.
Dans View 5.2 ou versions supérieures, le service PSG crée un certificat SSL auto-signé par défaut lors de son
démarrage. Le service PSG présente le certificat auto-signé aux clients exécutant View Client 2.0 (ou View
Client 5.2 pour Windows) ou versions supérieures qui se connectent à PSG.
PSG fournit également un certificat SSL hérité par défaut qui est présenté aux clients exécutant View Client 1.7
(ou View Client 5.1 pour Windows) ou versions antérieures qui se connectent à PSG.
Les certificats par défaut fournissent des connexions sécurisées entre View Client et PSG et ne requièrent pas
de configuration supplémentaire dans View Administrator. Toutefois, la configuration du service PSG pour
utiliser un certificat signé par une autorité de certification est fortement recommandée, en particulier pour les
déploiements qui nécessitent que vous utilisiez des scanners de sécurité pour passer les tests de conformité.
Même si cela n'est pas requis, il vous est conseillé de configurer les nouveaux certificats SSL signés par une
autorité de certification pour vos View Server avant de remplacer le certificat PSG par défaut par un certificat
signé par une autorité de certification. Les procédures qui suivent supposent que vous avez déjà importé un
certificat signé par une autorité de certification dans le magasin de certificats Windows pour View Server sur
lequel est exécuté PSG.
REMARQUE Si vous utilisez un scanner de sécurité pour les tests de conformité, vous pouvez commencer en
réglant PSG afin qu'il utilise le même certificat que View Server et scanne le port View avant le port PSG. Vous
pouvez résoudre les problèmes d'approbation ou de validation se produisant lors du scan du port View pour
garantir qu'ils n'invalident pas vos tests du port et du certificat PSG. Ensuite, vous pouvez configurer un
certificat unique pour PSG et réaliser un autre scan.
VMware, Inc.
89
Installation de VMware Horizon View
Procédure
1
Vérifier que le nom du serveur correspond au nom de sujet du certificat PSG page 90
Lorsqu'une instance de Serveur de connexion View ou un serveur de sécurité est installé, le programme
d'installation crée un paramètre de registre avec une valeur contenant le nom de domaine complet de
l'ordinateur. Vous devez vérifier que cette valeur correspond à la partie du nom de serveur de l'URL que
les scanners de sécurité utilisent pour atteindre le port PSG. Le nom de serveur doit également
correspondre au nom de sujet ou un autre nom de sujet du certificat SSL que vous prévoyez d'utiliser
pour PSG.
2
Configurer un certificat PSG dans le magasin de certificats Windows page 91
Pour remplacer le certificat PSG par défaut par un certificat signé par une autorité de certification, vous
devez configurer le certificat et sa clé privée dans le magasin de certificats de l'ordinateur local Windows
sur l'ordinateur Serveur de connexion View ou du serveur de sécurité sur lequel est exécuté PSG.
3
Définir le nom convivial du certificat PSG dans le registre Windows page 92
PSG identifie le certificat SSL à utiliser au moyen du nom de serveur et du nom convivial du certificat.
Vous devez définir la valeur Nom convivial dans le registre Windows sur l'ordinateur Serveur de
connexion View ou du serveur de sécurité sur lequel est exécuté PSG.
4
(Facultatif) Forcer l'utilisation d'un certificat signé par une autorité de certification pour les connexions
à PSG page 93
Vous pouvez garantir que toutes les connexions View Client à PSG utilisent le certificat signé par une
autorité de certification pour PSG au lieu du certificat hérité par défaut. Cette procédure n'est pas requise
pour configurer un certificat signé par une autorité de certification pour PSG. Effectuez ces étapes
uniquement s'il est utile de forcer l'utilisation d'un certificat signé par une autorité de certification dans
votre déploiement de View.
Vérifier que le nom du serveur correspond au nom de sujet du certificat PSG
Lorsqu'une instance de Serveur de connexion View ou un serveur de sécurité est installé, le programme
d'installation crée un paramètre de registre avec une valeur contenant le nom de domaine complet de
l'ordinateur. Vous devez vérifier que cette valeur correspond à la partie du nom de serveur de l'URL que les
scanners de sécurité utilisent pour atteindre le port PSG. Le nom de serveur doit également correspondre au
nom de sujet ou un autre nom de sujet du certificat SSL que vous prévoyez d'utiliser pour PSG.
Par exemple, si un scanner se connecte à PSG avec l'URL https://view.customer.com:4172, le paramètre de
registre doit avoir la valeur view.customer.com. Notez que le nom de domaine complet de l'ordinateur Serveur
de connexion View ou du serveur de sécurité défini lors de l'installation peut être différent du nom du serveur
externe.
Procédure
1
Démarrez l'éditeur de Registre Windows sur l'ordinateur Serveur de connexion View ou du serveur de
sécurité sur lequel est exécuté PCoIP Secure Gateway.
2
Allez au paramètre de Registre
3
Vérifiez que la valeur du paramètre SSLCertPsgSni correspond au nom de serveur dans l'URL que les
scanners utiliseront pour se connecter à PSG et correspond au nom de sujet ou un autre nom de sujet du
certificat SSL que vous prévoyez d'installer pour PSG.
HKEY_LOCAL_MACHINE\SOFTWARE\Teradici\SecurityGateway\SSLCertPsgSni.
Si la valeur ne correspond pas, remplacez-la par la valeur correcte.
4
90
Redémarrez le service VMware View PCoIP Secure Gateway pour que vos modifications prennent effet.
VMware, Inc.
Chapitre 7 Configuration de certificats SSL pour des View Servers
Suivant
Importez le certificat signé par une autorité de certification dans le magasin de certificats de l'ordinateur local
Windows et configurez le nom convivial du certificat.
Configurer un certificat PSG dans le magasin de certificats Windows
Pour remplacer le certificat PSG par défaut par un certificat signé par une autorité de certification, vous devez
configurer le certificat et sa clé privée dans le magasin de certificats de l'ordinateur local Windows sur
l'ordinateur Serveur de connexion View ou du serveur de sécurité sur lequel est exécuté PSG.
Si vous voulez que PSG utilise un certificat unique, vous devez importer le certificat dans le magasin de
certificats de l'ordinateur local Windows avec une clé privée exportable et définir le nom convivial approprié.
Si vous voulez que PSG utilise le même certificat que View Server, vous n'avez pas à suivre cette procédure.
Toutefois, dans le registre Windows, vous devez définir le nom de serveur afin qu'il corresponde au nom de
sujet du certificat de View Server et définir le nom convivial sur [vdm] .
Prérequis
n
Vérifiez que la longueur de clé est d'au moins 1 024 bits.
n
Vérifiez que le certificat SSL est valide. L'heure actuelle sur l'ordinateur View Server doit être comprise
entre les dates de début et de fin du certificat.
n
Vérifiez que le nom de sujet du certificat ou un autre nom de sujet correspond au paramètre
SSLCertPsgSni dans le registre Windows. Reportez-vous à la section « Vérifier que le nom du serveur
correspond au nom de sujet du certificat PSG », page 90.
n
Vérifiez que le composant logiciel Certificat a été ajouté à MMC. Reportez-vous à la section « Ajouter le
composant logiciel enfichable Certificat à MMC », page 81.
n
Familiarisez-vous avec l'importation d'un certificat dans le magasin de certificats Windows. Reportezvous à la section « Importer un certificat de serveur signé dans un magasin de certificats Windows »,
page 81.
n
Familiarisez-vous avec la modification du nom convivial du certificat. Reportez-vous à la section
« Modifier le nom convivial d'un certificat », page 82.
Procédure
1
Dans la fenêtre MMC sur l'hôte Windows Server, ouvrez le dossier [Certificats (ordinateur local)] >
[Personnel] .
2
Importez le certificat SSL émis pour PSG en sélectionnant [Autres actions] > [Toutes les tâches] >
[Importer] .
Sélectionnez les paramètres suivants dans l'assistant Importation de certificat :
a
[Marquer cette clé comme exportable]
b
[Inclure toutes les propriétés extensibles]
Exécutez l'assistant pour terminer l'importation du certificat dans le dossier [Personnel] .
3
4
VMware, Inc.
Vérifiez que le nouveau certificat contient une clé privée en effectuant l'une de ces étapes :
n
Vérifiez qu'une clé jaune apparaît sur l'icône du certificat.
n
Double-cliquez sur le certificat et vérifiez que la déclaration suivante apparaît dans la boîte de
dialogue Informations sur le certificat : Vous avez une clé privée qui correspond à ce
certificat.
Cliquez avec le bouton droit sur le nouveau certificat et cliquez sur [Propriétés] .
91
Installation de VMware Horizon View
5
Sous l'onglet Général, supprimez le texte [Nom convivial] et entrez le nom convivial de votre choix.
Assurez-vous d'entrer exactement le même nom dans le paramètre SSLCertWinCertFriendlyName dans le
registre Windows, comme décrit dans la procédure suivante.
6
Cliquez sur [Appliquer] puis sur [OK] .
PSG présente le certificat signé par l'autorité de certification aux périphériques View Client qui se connectent
à View Server via PCoIP.
REMARQUE Cette procédure n'affecte pas les périphériques View Client hérités. PSG continue de présenter le
certificat hérité par défaut aux périphériques View Client hérités qui se connectent à View Server via PCoIP.
Suivant
Configurez le nom convivial du certificat dans le registre Windows.
Définir le nom convivial du certificat PSG dans le registre Windows
PSG identifie le certificat SSL à utiliser au moyen du nom de serveur et du nom convivial du certificat. Vous
devez définir la valeur Nom convivial dans le registre Windows sur l'ordinateur Serveur de connexion View
ou du serveur de sécurité sur lequel est exécuté PSG.
Le nom convivial du certificat [vdm] est utilisé pour toutes les instances de Serveur de connexion View et par
tous les serveurs de sécurité. A contrario, vous pouvez configurer votre propre nom convivial de certificat
pour le certificat PSG. Vous devez configurer un paramètre de registre Windows pour permettre à PSG de
correspondre au nom correct avec le nom convivial que vous allez définir dans le magasin de certificats
Windows.
PSG peut utiliser le même certificat SSL que View Server sur lequel est exécuté PSG. Si vous configurez PSG
pour qu'il utilise le même certificat que View Server, le nom convivial doit être [vdm] .
La valeur Nom convivial, dans le registre et dans le magasin de certificats Windows, est sensible à la casse.
Prérequis
n
Vérifiez que le registre Windows contient le nom de sujet correct utilisé pour atteindre le port PSG et qu'il
correspond au nom de sujet du certificat PSG ou un autre nom de sujet. Reportez-vous à la section « Vérifier
que le nom du serveur correspond au nom de sujet du certificat PSG », page 90.
n
Vérifiez que le nom convivial du certificat est configuré dans le magasin de certificats de l'ordinateur local
Windows. Reportez-vous à la section « Configurer un certificat PSG dans le magasin de certificats
Windows », page 91.
Procédure
1
Démarrez l'éditeur de Registre Windows sur l'ordinateur Serveur de connexion View ou du serveur de
sécurité sur lequel est exécuté PCoIP Secure Gateway.
2
Allez à la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Teradici\SecurityGateway.
3
Ajoutez une nouvelle valeur de chaîne (REG_SZ), SSLCertWinCertFriendlyName, à cette clé de registre.
4
Modifiez la valeur SSLCertWinCertFriendlyName et entrez le nom convivial du certificat que PSG doit
utiliser.
Par exemple : [pcoip]
Si vous utilisez le même certificat que View Server, la valeur doit être [vdm] .
5
92
Redémarrez le service VMware View PCoIP Secure Gateway pour que vos modifications prennent effet.
VMware, Inc.
Chapitre 7 Configuration de certificats SSL pour des View Servers
Suivant
Vérifiez que les périphériques View Client continuent à se connecter à PSG.
Si vous utilisez un scanner de sécurité pour les tests de conformité, scannez le port PSG.
(Facultatif) Forcer l'utilisation d'un certificat signé par une autorité de certification
pour les connexions à PSG
Vous pouvez garantir que toutes les connexions View Client à PSG utilisent le certificat signé par une autorité
de certification pour PSG au lieu du certificat hérité par défaut. Cette procédure n'est pas requise pour
configurer un certificat signé par une autorité de certification pour PSG. Effectuez ces étapes uniquement s'il
est utile de forcer l'utilisation d'un certificat signé par une autorité de certification dans votre déploiement de
View.
Dans certains cas, PSG peut présenter le certificat hérité par défaut au lieu du certificat signé par une autorité
de certification à un scanner de sécurité, ce qui invalide le test de conformité sur le port PSG. Pour résoudre
ce problème, vous pouvez configurer PSG afin qu'il ne présente le certificat hérité par défaut à aucun
périphérique qui tente de se connecter.
IMPORTANT L'exécution de cette procédure empêche tous les clients hérités de se connecter à ce View Server
via PCoIP.
Prérequis
Vérifiez que tous les périphériques client qui se connectent à ce View Server, y compris les clients légers,
exécutent View Client 5.2 pour Windows ou View Client 2.0 ou versions supérieures. Vous devez mettre à
niveau les clients hérités.
Procédure
1
Démarrez l'éditeur de Registre Windows sur l'ordinateur Serveur de connexion View ou du serveur de
sécurité sur lequel est exécuté PCoIP Secure Gateway.
2
Allez à la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Teradici\SecurityGateway.
3
Ajoutez une nouvelle valeur de chaîne (REG_SZ), SSLCertPresentLegacyCertificate, à cette clé de
registre.
4
Définissez la valeur SSLCertPresentLegacyCertificate sur [0] .
5
Redémarrez le service VMware View PCoIP Secure Gateway pour que vos modifications prennent effet.
Serveur de transfert View et certificats SSL
Vous n'avez pas à configurer des certificats SSL pour Serveur de transfert View si vous installez View 5.1 ou
supérieur.
Un certificat auto-signé par défaut est installé avec Serveur de transfert View que Serveur de connexion View
utilise pour gérer les connexions secondaires à des View Client.
Lorsque vous ajoutez Serveur de transfert View à View, Serveur de connexion View établit une relation
d'approbation avec Serveur de transfert View. Les communications entre Serveur de connexion View et
Serveur de transfert View utilisent JMS (Java Message Service). Les messages contenant des données sensibles
sont cryptés.
Lorsqu'un client View demande une opération de transfert des données, qui requiert une connexion à Serveur
de transfert View, Serveur de connexion View envoie l'empreinte numérique du certificat de Serveur de
transfert View au client. Lorsque le client se connecte au serveur Apache associé à Serveur de transfert View,
View Client vérifie que l'empreinte numérique transmise à Serveur de connexion View correspond à
l'empreinte numérique de certificat sur le serveur Apache.
VMware, Inc.
93
Installation de VMware Horizon View
Le remplacement du certificat par défaut pour Serveur de transfert View par un certificat signé par une autorité
de certification n'affecterait pas significativement les communications sécurisées entre Serveur de transfert
View, Serveur de connexion View et les clients View.
Dans View 5.0.x et versions antérieures, vous deviez configurer un certificat SSL pour Serveur de transfert
View.
Si vous effectuez la mise à niveau de View 5.0.x ou antérieur vers View 5.1 ou supérieur, et que vous voulez
toujours utiliser un certificat signé par une autorité de certification sur la version mise à niveau de Serveur de
transfert View, vous devez sauvegarder le certificat, mettre à niveau Serveur de transfert View et configurer
le certificat signé pour la nouvelle version de Serveur de transfert View.
Si vous avez configuré un certificat auto-signé pour l'ancien Serveur de transfert View, ou si vous ne prévoyez
pas d'utiliser un certificat signé par une autorité de certification existant sur le serveur mis à niveau, vous
n'avez pas à configurer de nouveau un certificat. Lors de la mise à niveau, un certificat auto-signé valide est
installé avec Serveur de transfert View.
Pour plus d'informations, consultez le document Mises à niveau de VMware Horizon View.
Configuration de View Administrator pour approuver un certificat de
vCenter Server ou View Composer
Dans le tableau de bord de View Administrator, vous pouvez configurer View pour approuver un certificat
de vCenter Server ou View Composer qui n'est pas approuvé.
VMware vous recommande vivement de configurer vCenter Server et View Composer afin qu'ils utilisent des
certificats SSL signés par une autorité de certification. Vous pouvez également accepter l'empreinte numérique
du certificat par défaut pour vCenter Server ou View Composer.
De la même façon, VMware vous conseille de configurer des authentificateurs SAML 2.0 afin qu'ils utilisent
des certificats SSL signés par une autorité de certification. Dans le tableau de bord de View Administrator,
vous pouvez également configurer View pour qu'il approuve un certificat de serveur SAML 2.0 non approuvé
en acceptant l'empreinte numérique du certificat par défaut.
Avantages des certificats SSL signés par une autorité de certification
(CA)
Une autorité de certification est une entité approuvée qui garantit l'identité du certificat et de son créateur.
Lorsque le certificat est signé par une autorité de certification approuvée, les utilisateurs ne reçoivent plus de
messages leur demandant de vérifier le certificat, et les périphériques de client léger peuvent se connecter sans
demander de configuration supplémentaire.
Vous pouvez demander un certificat de serveur SSL spécifique d'un domaine Web, tel que www.mycorp.com,
ou un certificat de serveur SSL avec caractères génériques pouvant être utilisé dans un domaine, tel que
*.mycorp.com. Pour simplifier l'administration, vous pouvez choisir de demander un certificat de
remplacement si vous avez besoin d'installer le certificat sur plusieurs serveurs ou dans différents sousdomaines. Généralement, des certificats de domaine sont utilisés dans les installations sécurisées et les autorités
de certification offrent normalement une meilleure protection contre les pertes pour les certificats de domaine
que pour les certificats avec caractères génériques. Si vous utilisez un certificat avec caractères génériques,
vous devez vérifier que la clé privée est transférable entre les serveurs.
Lorsque vous remplacez le certificat par défaut par votre propre certificat, les clients utilisent votre certificat
pour authentifier le serveur. Si votre certificat est signé par une autorité de certification, le certificat pour
l'autorité de certification elle-même est généralement incorporé dans le navigateur ou situé dans une base de
données approuvée à laquelle le client peut accéder. Lorsqu'un client accepte le certificat, il répond en envoyant
une clé secrète, qui est cryptée avec la clé publique contenue dans le certificat. La clé secrète est utilisée pour
crypter le trafic entre le client et le serveur.
94
VMware, Inc.
Première configuration de View
8
Après avoir installé le logiciel View server et configuré des certificats SSL pour les serveurs, vous devez
exécuter quelques opérations supplémentaires pour configurer l'environnement View.
Vous pouvez configurer des comptes d'utilisateur pour vCenter Server et View Composer, installer une clé de
licence View, ajouter vCenter Server et View Composer à l'environnement View, configurer la passerelle
sécurisée PCoIP, sécuriser un tunnel et définir éventuellement les paramètres Windows Server pour prendre
en charge l'environnement View.
Ce chapitre aborde les rubriques suivantes :
n
« Configuration de comptes d'utilisateur pour vCenter Server et View Composer », page 95
n
« Première configuration de Serveur de connexion View », page 100
n
« Configuration de connexions View Client », page 112
n
« Remplacement des ports par défaut pour les services View », page 118
n
« Dimensionnement de paramètres de Windows Server pour prendre en charge votre déploiement »,
page 122
Configuration de comptes d'utilisateur pour vCenter Server et View
Composer
Pour utiliser vCenter Server avec View Manager, vous devez configurer un compte d'utilisateur avec
l'autorisation d'effectuer des opérations dans vCenter Server. Pour utiliser View Composer, vous devez
accorder à l'utilisateur de vCenter Server ces privilèges supplémentaires. Pour gérer des postes de travail
utilisés en mode local, vous devez accorder à cet utilisateur des privilèges en plus de ceux requis pour View
Manager et View Composer.
Vous devez également créer un utilisateur de domainr pour View Composer dans Active Directory. Reportezvous à la section « Créer un compte d'utilisateur pour View Composer », page 23.
Où utiliser l'utilisateur de vCenter Server et l'utilisateur de domaine pour View
Composer
Lorsque vous avez créé et configuré ces deux comptes d'utilisateur, vous spécifiez les noms d'utilisateur dans
View Administrator.
n
Vous spécifiez un utilisateur de vCenter Server lorsque vous ajoutez vCenter Server à View Manager.
n
Vous spécifiez un utilisateur de domaine pour View Composer lorsque vous configurez View Composer
pour vCenter Server.
n
Vous spécifiez l'utilisateur de domaine pour View Composer lorsque vous créez des pools de clone lié.
VMware, Inc.
95
Installation de VMware Horizon View
Configurer un utilisateur de vCenter Server pour View Manager, View Composer
et le mode local
Pour configurer un compte d'utilisateur qui donne à View Manager l'autorisation de fonctionner sur vCenter
Server, vous devez affecter un rôle avec des privilèges appropriés à cet utilisateur. Pour utiliser le service View
Composer dans vCenter Server, vous devez accorder au compte d'utilisateur des privilèges supplémentaires.
Pour gérer des postes de travail utilisés en mode local, vous devez accorder au compte d'utilisateur des
privilèges qui comportent des privilèges de View Manager, de View Composer et de mode local.
Pour prendre en charge View Composer, vous devez également faire de cet utilisateur un administrateur
système local sur l'ordinateur vCenter Server.
Prérequis
n
Dans Active Directory, créez un utilisateur dans le domaine de View Connection Server ou un domaine
approuvé. Reportez-vous à la section « Création d'un compte d'utilisateur pour vCenter Server »,
page 23.
n
Familiarisez-vous avec les privilèges requis pour le compte d'utilisateur. Reportez-vous à la section
« Privilèges de View Manager requis pour l'utilisateur de vCenter Server », page 98.
n
Si vous utilisez View Composer, familiarisez-vous avec les privilèges requis supplémentaires. Reportezvous à la section « Privilèges de View Composer requis pour l'utilisateur de vCenter Server », page 99.
n
Si vous gérez des postes de travail locaux, familiarisez-vous avec les privilèges requis supplémentaires.
Reportez-vous à la section « Privilèges de mode local requis pour l'utilisateur de vCenter Server »,
page 99.
Procédure
1
Dans vCenter Server, préparez un rôle avec les privilèges requis pour l'utilisateur.
n
Vous pouvez utiliser le rôle Administrateur prédéfini dans vCenter Server. Ce rôle peut effectuer
toutes les opérations dans vCenter Server.
n
Si vous utilisez View Composer, vous pouvez créer un rôle limité avec les privilèges minimum dont
View Manager et View Composer ont besoin pour effectuer des opérations vCenter Server.
Dans vSphere Client, cliquez sur [Home (Accueil)] > [Roles (Rôles)] > [Add Role (Ajouter un
rôle)] , saisissez un nom de rôle comme View Composer Administrator et sélectionnez des privilèges
pour le rôle.
Ce rôle possède tous les privilèges dont View Manager et View Composer ont besoin pour fonctionner
dans vCenter Server.
n
96
Si vous gérez des postes de travail locaux, vous pouvez créer un rôle limité avec les privilèges
minimum dont View Manager, View Composer et la fonction de mode local ont besoin pour effectuer
des opérations vCenter Server.
VMware, Inc.
Chapitre 8 Première configuration de View
Dans vSphere Client, cliquez sur [Home (Accueil)] > [Roles (Rôles)] > [Add Role (Ajouter un
rôle)] , saisissez un nom de rôle comme Local Mode Administrator et sélectionnez des privilèges pour
le rôle.
Ce rôle possède tous les privilèges dont View Manager, View Composer et la fonction de mode local
ont besoin pour fonctionner dans vCenter Server.
n
Si vous utilisez View Manager sans View Composer et que vous ne gérez pas de postes de travail
locaux, vous pouvez créer un rôle encore plus limité avec les privilèges minimum dont View Manager
a besoin pour effectuer des opérations vCenter Server.
Dans vSphere Client, cliquez sur [Home (Accueil)] > [Roles (Rôles)] > [Add Role (Ajouter un
rôle)] , saisissez un nom de rôle comme View Manager Administrator et sélectionnez des privilèges
pour le rôle.
2
Dans vSphere Client, cliquez avec le bouton droit sur le serveur vCenter Server dans le niveau supérieur
de l'inventaire, cliquez sur [Add Permission (Ajouter une autorisation)] et ajoutez l'utilisateur de vCenter
Server.
REMARQUE Vous devez définir l'utilisateur de vCenter Server au niveau de vCenter Server.
3
Dans le menu déroulant, sélectionnez le rôle Administrateur, ou le rôle View Composer ou View Manager
que vous avez créé, et affectez-le à l'utilisateur de vCenter Server.
4
Si vous utilisez View Composer, sur l'ordinateur vCenter Server, ajoutez le compte d'utilisateur de vCenter
Server en tant que membre du groupe d'administrateurs système local.
View Composer requiert que l'utilisateur de vCenter Server soit un administrateur système sur
l'ordinateur vCenter Server.
Suivant
Dans View Administrator, lorsque vous ajouter vCenter Server à View Manager, spécifiez l'utilisateur de
vCenter Server. Reportez-vous à la section « Ajouter des instances de vCenter Server à View Manager »,
page 102.
VMware, Inc.
97
Installation de VMware Horizon View
Privilèges de View Manager requis pour l'utilisateur de vCenter Server
L'utilisateur de vCenter Server doit disposer de privilèges suffisants pour activer View Manager afin qu'il
fonctionne dans vCenter Server. Créez un rôle View Manager pour l'utilisateur de vCenter Server avec les
privilèges requis.
Tableau 8-1. Privilèges de View Manager
Groupe de privilèges
Privilèges à activer
[Dossier]
[Créer un dossier]
[Supprimer un dossier]
[Machine virtuelle]
Dans [Configuration] :
n [Ajouter ou supprimer un périphérique]
n [Avancé]
n [Modifier des paramètres de périphérique]
Dans [Interaction] :
n [Désactiver]
n [Activer]
n [Réinitialiser]
n [Interrompre]
Dans [Inventaire] :
n [Créer un nouveau]
n [Supprimer]
Dans [Approvisionnement] :
n [Personnaliser]
n [Déployer un modèle]
n [Lire des spécifications de personnalisation]
[Ressource]
[Attribuer une machine virtuelle au pool de ressources]
[Global]
[Agir comme vCenter Server]
Le privilège [Hôte] suivant est requis pour mettre en œuvre
View Storage Accelerator, qui active la mise en cache de
l'hôte ESXi. Si vous n'utilisez pas View Storage Accelerator,
l'utilisateur de vCenter Server n'a pas besoin de ce privilège.
[Hôte]
98
Dans [Configuration] :
n [Paramètres avancés]
VMware, Inc.
Chapitre 8 Première configuration de View
Privilèges de View Composer requis pour l'utilisateur de vCenter Server
Pour prendre en charge View Composer, l'utilisateur de vCenter Server doit disposer de privilèges en plus de
ceux requis pour prendre en charge View Manager. Créez un rôle View Composer pour l'utilisateur de vCenter
Server avec les privilèges de View Manager et ces privilèges supplémentaires.
Tableau 8-2. Privilèges de View Composer
Groupe de privilèges
Privilèges à activer
[Magasin de données]
[Allouer de l'espace]
[Parcourir le magasin de données]
[Opérations de fichier de niveau faible]
[Machine virtuelle]
[Inventaire] (tous)
[Configuration] (tous)
[État] (tous)
Dans [Approvisionnement] :
n [Cloner la machine virtuelle]
n [Autoriser l'accès au disque]
[Ressource]
[Attribuer une machine virtuelle au pool de ressources]
Le privilège suivant est requis pour exécuter des opérations
de rééquilibrage de View Composer.
[Migrer une machine virtuelle désactivée]
[Global]
[Activer des méthodes]
[Désactiver des méthodes]
[Balise système]
Le privilège suivant est requis pour mettre en œuvre View
Storage Accelerator, qui active la mise en cache de l'hôte
ESXi. Si vous n'utilisez pas View Storage Accelerator,
l'utilisateur de vCenter Server n'a pas besoin de ce privilège.
[Agir comme vCenter Server]
[Réseau]
(tous)
Privilèges de mode local requis pour l'utilisateur de vCenter Server
Pour gérer des postes de travail utilisés en mode local, l'utilisateur de vCenter Server doit posséder des
privilèges en plus de ceux requis pour prendre en charge View Manager et View Composer. Créez un rôle
d'administrateur en mode local pour l'utilisateur de vCenter Server qui combine les privilèges de View
Manager, les privilèges de View Composer et les privilèges de mode local.
Tableau 8-3. Privilèges de mode local
Groupe de privilèges
Privilèges à activer
[Global]
[Gérer des attributs personnalisés]
[Définir un attribut personnalisé]
[Hôte]
Dans [Configuration] :
[Gestion de système]
VMware, Inc.
99
Installation de VMware Horizon View
Première configuration de Serveur de connexion View
Lorsque vous avez installé Serveur de connexion View, vous devez installer une licence produit, ajouter des
serveurs vCenter Server et des services View Composer à View Manager. Vous pouvez également autoriser
les hôtes ESXi à récupérer l'espace disque sur des machines virtuelles de clone lié et configurer des hôtes ESXi
afin de mettre en cache des données de disque de machine virtuelle.
Si vous installez des serveurs de sécurité, ils sont ajoutés à View Manager et apparaissent automatiquement
dans View Administrator.
View Administrator et View Connection Server
View Administrator fournit une interface de gestion pour View Manager.
En fonction de votre déploiement View, vous utilisez une ou plusieurs interfaces de View Administrator.
n
Utilisez une interface de View Administrator pour gérer les composants View associés à une instance de
View Connection Server autonome ou à un groupe d'instances de View Connection Server répliquées.
Vous pouvez utiliser l'adresse IP de n'importe quelle instance répliquée pour ouvrir une session sur View
Administrator.
n
Vous devez utiliser une interface de View Administrator séparée pour gérer les composants View pour
chaque instance de View Connection Server autonome ou chaque groupe d'instances de View Connection
Server répliquées.
Vous pouvez également utiliser View Administrator pour gérer des serveurs de sécurité et des instances de
View Transfer Server associés à View Connection Server.
n
Chaque serveur de sécurité est associé à une instance de View Connection Server.
n
Chaque instance de View Transfer Server peut communiquer avec n'importe quelle instance de View
Connection Server dans un groupe d'instances répliquées.
Ouvrir une session sur View Administrator
Pour effectuer des tâches de configuration initiale, vous devez ouvrir une session sur View Administrator.
Prérequis
Vérifiez que vous utilisez un navigateur Web pris en charge par View Administrator. Reportez-vous à la section
« Exigences de View Administrator », page 9.
100
VMware, Inc.
Chapitre 8 Première configuration de View
Procédure
1
Ouvrez votre navigateur Web et saisissez l'URL suivante, où server est le nom d'hôte de l'instance de
Serveur de connexion View.
https://server/admin
REMARQUE Vous pouvez utiliser l'adresse IP si vous devez accéder à une instance de Serveur de connexion
View lorsque le nom d'hôte n'est pas résolvable. Toutefois, l'hôte que vous contactez ne correspondra pas
au certificat SSL configuré pour l'instance de Serveur de connexion View, ce qui se traduit par un accès
bloqué ou un accès avec une sécurité réduite.
Votre accès à View Administrator dépend du type de certificat configuré sur l'ordinateur Serveur de
connexion View.
2
Option
Description
Vous avez configuré un certificat
signé par une autorité de
certification pour Serveur de
connexion View.
Lorsque vous vous connectez pour la première fois, votre navigateur Web
affiche View Administrator.
Le certificat auto-signé par défaut
fourni avec Serveur de connexion
View est configuré.
À votre première connexion, votre navigateur Web peut afficher une page
vous avertissant que le certificat de sécurité associé à l'adresse n'est pas émis
par une autorité de certification approuvée.
Cliquez sur [Ignorer] pour continuer à utiliser le certificat SSL actuel.
Ouvrez une session en tant qu'utilisateur actuel avec des informations d'identification pour accéder au
compte View Administrators.
Vous spécifiez le compte View Administrators lorsque vous installez une instance autonome de Serveur
de connexion View ou la première instance de Serveur de connexion View dans un groupe répliqué. Le
compte View Administrators peut être le groupe Administrators local (BUILTIN\Administrators) sur
l'ordinateur Serveur de connexion View ou un compte d'utilisateur ou de groupe de domaine.
Après avoir ouvert une session sur View Administrator, vous pouvez utiliser [View Configuration
(Configuration de View)] > [Administrators (Administrateurs)] pour modifier la liste d'utilisateurs et de
groupes avec le rôle Administrateurs View.
Installer la clé de licence de Serveur de connexion View
Avant de pouvoir utiliser Serveur de connexion View, vous devez saisir la clé de licence produit.
Lors de votre première ouverture de session, View Administrator affiche la page Licence produit et utilisation.
Une fois la clé de licence installée, View Administrator affiche la page du tableau de bord lors de l'ouverture
de la session.
Vous n'avez pas à configurer une clé de licence lorsque vous installez une instance de Serveur de connexion
View répliquée ou un serveur de sécurité. Les instances répliquées et les serveurs de sécurité utilisent la clé de
licence commune stockée dans la configuration View LDAP.
REMARQUE Le serveur de connexion View nécessite une clé de licence valide pour View 5.0. À partir de la
version de View 4.0, la clé de licence de View est composée de 25 caractères.
Procédure
1
Si la vue de View Configuration n'est pas affichée, cliquez sur [Configuration de View] dans le volet de
navigation gauche.
2
Cliquez sur [Licence produit et utilisation] .
VMware, Inc.
101
Installation de VMware Horizon View
3
Dans le tableau Licence produit, cliquez sur [Modifier la licence] et saisissez le numéro de série de licence
de View Manager.
4
Cliquez sur [OK] .
5
Vérifiez la date d'expiration de la licence.
Ajouter des instances de vCenter Server à View Manager
Vous devez configurer View Manager pour vous connecter aux instances de vCenter Server dans votre
déploiement de View. vCenter Server crée et gère les machines virtuelles que View Manager utilise en tant
que sources de postes de travail.
Si vous exécutez des instances de vCenter Server sur un groupe Mode lié, vous devez ajouter chaque instance
de vCenter Server sur View Manager séparément.
View Manager se connecte à l'instance de vCenter Server via un canal sécurisé (SSL).
Prérequis
n
Installez la clé de licence produit de Serveur de connexion View.
n
Préparez un utilisateur de vCenter Server avec une autorisation d'effectuer les opérations dans vCenter
Server qui sont nécessaires pour prendre en charge View Manager. Pour utiliser View Composer, vous
devez accorder à l'utilisateur des privilèges supplémentaires. Pour gérer des postes de travail utilisés en
mode local, vous devez accorder à l'utilisateur des privilèges en plus de ceux requis pour View Manager
et View Composer.
Reportez-vous à la section « Configurer un utilisateur de vCenter Server pour View Manager, View
Composer et le mode local », page 96.
n
Vérifiez qu'un certificat de serveur SSL est installé sur l'hôte de vCenter Server. Dans un environnement
de production, installez un certificat SSL valide signé par une autorité de certification approuvée.
Dans un environnement de test, vous pouvez utiliser le certificat par défaut qui est installé avec vCenter
Server, mais vous devez accepter l'empreinte numérique de certificat lorsque vous ajoutez vCenter Server
à View.
n
Vérifiez que toutes les instances de Serveur de connexion View dans le groupe répliqué approuvent le
certificat de l'autorité de certification racine pour le certificat de serveur qui est installé sur l'hôte de vCenter
Server. Vérifiez si le certificat de l'autorité de certification racine se trouve dans le dossier [Autorités de
certification racine de confiance] > [Certificats] dans les magasins de certificats de l'ordinateur local
Windows sur les hôtes de Serveur de connexion View. Si ce n'est pas le cas, importez le certificat de
l'autorité de certification racine dans les magasins de certificats de l'ordinateur local Windows.
Consultez la section « Importer un certificat racine et des certificats intermédiaires dans un magasin de
certificats Windows » dans le document Installation de VMware Horizon View.
n
Vérifiez que l'instance de vCenter Server contient des hôtes ESXi. Si aucun hôte n'est configuré dans
l'instance de vCenter Server, vous ne pouvez pas ajouter l'instance à View.
n
Familiarisez-vous avec les paramètres qui déterminent les limites d'opérations maximales pour vCenter
Server et View Composer. Reportez-vous aux sections « Nombre maximal d'opérations simultanées pour
vCenter Server et View Composer », page 108 et « Définition d'un taux d'opérations d'alimentation
simultanées pour prendre en charge les tempêtes d'ouverture de session des postes de travail View »,
page 109.
Procédure
102
1
Dans View Administrator, cliquez sur [Configuration de View] > [Serveurs] .
2
Sous l'onglet vCenter Servers, cliquez sur [Ajouter] .
VMware, Inc.
Chapitre 8 Première configuration de View
3
Dans la zone de texte de l'adresse du serveur vCenter Server Settings (Paramètres de vCenter Server),
saisissez le nom de domaine complet (FQDN) de l'instance de vCenter Server.
Le FQDN inclut le nom d'hôte et le nom de domaine. Par exemple, dans le FQDN
myserverhost.companydomain.com, myserverhost est le nom d'hôte et companydomain.com le domaine.
REMARQUE Si vous saisissez un serveur à l'aide d'un nom DNS ou d'une URL, View Manager n'effectue
pas de recherche DNS pour vérifier si un administrateur a précédemment ajouté ce serveur à View
Manager à l'aide de son adresse IP. Un conflit se produit si vous ajoutez un serveur vCenter Server avec
son nom DNS et son adresse IP.
4
Saisissez le nom de l'utilisateur de vCenter Server.
Par exemple : domain\user ou [email protected]
5
Saisissez le mot de passe de l'utilisateur de vCenter Server.
6
(Facultatif) Saisissez une description de cette instance de vCenter Server.
7
Saisissez le numéro du port TCP.
Le port par défaut est 443.
8
Sous Paramètres avancés, définissez les limites d'opérations simultanées pour les opérations de vCenter
Server et View Composer.
9
Cliquez sur [Suivant] pour afficher la page Paramètres de View Composer.
Suivant
Configurez les paramètres de View Composer.
n
Si l'instance de vCenter Server est configurée avec un certificat SSL signé et si Serveur de connexion View
approuve le certificat racine, l'assistant Ajouter un serveur vCenter Server affiche la page Paramètres de
View Composer.
n
Si l'instance de vCenter Server est configurée avec un certificat par défaut, vous devez d'abord déterminer
si vous acceptez l'empreinte numérique du certificat existant. Reportez-vous à la section « Accepter
l'empreinte numérique d'un certificat SSL par défaut », page 110.
Si View Manager utilise plusieurs instances de vCenter Server, répétez cette procédure pour ajouter les autres
instances de vCenter Server.
Configurer les paramètres de View Composer
Pour utiliser View Composer, vous devez configurer des paramètres qui permettent à View Manager de se
connecter au service View Composer. View Composer peut être installé sur son propre hôte séparé ou sur le
même hôte que vCenter Server.
Il doit exister un mappage un-à-un entre chaque service View Composer et instance de vCenter Server. Un
service View Composer peut fonctionner avec une seule instance de vCenter Server. Une instance de vCenter
Server peut être associée à un seul service View Composer.
Prérequis
n
Votre administrateur Active Directory doit créer un utilisateur de domaine avec une autorisation d'ajouter
et de supprimer des machines virtuelles du domaine Active Directory contenant vos clones liés. Pour gérer
les comptes de machine de clone lié dans Active Directory, l'utilisateur de domaine doit avoir les
autorisations Créer des objets ordinateur, Supprimer des objets ordinateur et Écrire toutes les
propriétés .
Reportez-vous à la section « Créer un compte d'utilisateur pour View Composer », page 23.
VMware, Inc.
103
Installation de VMware Horizon View
n
Vérifiez que vous avez configuré View Manager pour vous connecter à vCenter Server. Pour cela, vous
devez compléter la page Informations sur vCenter Server de l'assistant Ajouter un serveur vCenter Server.
Reportez-vous à la section « Ajouter des instances de vCenter Server à View Manager », page 102.
n
Vérifiez que ce service View Composer n'est pas déjà configuré pour se connecter à une instance de vCenter
Server différente.
Procédure
1
2
Dans View Administrator, complétez la page Informations sur vCenter Server de l'assistant Ajouter un
serveur vCenter Server.
a
Cliquez sur [Configuration de View] > [Serveurs] .
b
Sous l'onglet vCenter Server, cliquez sur [Ajouter] et fournissez les paramètres de vCenter Server.
Sur la page Paramètres de View Composer, si vous n'utilisez pas View Composer, sélectionnez [Ne pas
utiliser View Composer] .
Si vous sélectionnez [Ne pas utiliser View Composer] , les autres paramètres de View Composer
deviennent inactifs. Lorsque vous cliquez sur [Suivant] , l'assistant Ajouter un serveur vCenter Server
affiche la page Paramètres de stockage. La page Domaines View Composer ne s'affiche pas.
3
Si vous utilisez View Composer, sélectionnez l'emplacement de l'hôte de View Composer.
Option
Description
View Composer est installé sur le
même hôte que vCenter Server.
a
b
Sélectionnez [View Composer est co-installé avec vCenter Server] .
Vérifiez que le numéro de port est le même que le port spécifié lors de
l'installation du service View Composer sur vCenter Server. Le numéro
de port par défaut est 18443.
View Composer est installé sur son
propre hôte séparé.
a
b
Sélectionnez [Serveur View Composer Server autonome] .
Dans la zone de texte de l'adresse du serveur View Composer, saisissez
le nom de domaine complet (FQDN) de l'hôte de View Composer.
Saisissez le nom de l'utilisateur de View Composer.
c
Par exemple : domain.com\user ou [email protected]
d
e
4
Saisissez le mot de passe de l'utilisateur de View Composer.
Vérifiez que le numéro de port est le même que le port spécifié lors de
l'installation du service View Composer. Le numéro de port par défaut
est 18443.
Cliquez sur [Suivant] pour afficher la page Domaines View Composer.
Suivant
Configurez les domaines de View Composer.
104
n
Si l'instance de View Composer est configurée avec un certificat SSL signé et si Serveur de connexion View
approuve le certificat racine, l'assistant Ajouter un serveur vCenter Server affiche la page Domaines View
Composer.
n
Si l'instance de View Composer est configurée avec un certificat par défaut, vous devez d'abord déterminer
si vous acceptez l'empreinte numérique du certificat existant. Reportez-vous à la section « Accepter
l'empreinte numérique d'un certificat SSL par défaut », page 110.
VMware, Inc.
Chapitre 8 Première configuration de View
Configurer les domaines de View Composer
Vous devez configurer un domaine Active Directory dans lequel View Composer déploie des postes de travail
de clone lié. Vous pouvez configurer plusieurs domaines pour View Composer. Après avoir ajouté des
paramètres de vCenter Server et View Composer à View, vous pouvez ajouter plus de domaines View
Composer en modifiant l'instance de vCenter Server dans View Administrator.
Prérequis
Dans View Administrator, vérifiez que vous avez rempli les pages vCenter Server Information (Informations
sur vCenter Server) et View Composer Settings (Paramètres de View Composer) dans l'assistant Add vCenter
Server (Ajouter un serveur vCenter Server).
Procédure
1
Sur la page View Composer Domains (Domaines View Composer), cliquez sur [Ajouter] pour ajouter
l'utilisateur de domaine aux informations du compte View Composer.
2
Saisissez le nom de domaine du domaine Active Directory.
Par exemple : domain.com
3
Saisissez le nom de l'utilisateur de domaine, y compris le nom de domaine.
Par exemple : domain.com\admin
4
Saisissez le mot de passe du compte.
5
Cliquez sur [OK] .
6
Pour ajouter des comptes d'utilisateur de domaine avec des privilèges dans d'autres domaines Active
Directory dans lesquels vous déployez des pools de clone lié, répétez les étapes précédentes.
7
Cliquez sur [Suivant] pour afficher la page Paramètres de stockage.
Suivant
Activez la récupération d'espace disque de machine virtuelle et configurez View Storage Accelerator pour
View.
Autoriser vSphere à récupérer de l'espace disque dans des machines virtuelles
de clone lié
Dans vSphere 5.1 et supérieur, vous pouvez activer la fonction de récupération d'espace disque pour View. À
partir de vSphere 5.1, View crée des machines virtuelles de clone lié dans un format de disque efficace qui
permet à des hôtes ESXi de récupérer l'espace disque inutilisé dans les clones liés, ce qui réduit l'espace de
stockage total requis pour les clones liés.
Comme les utilisateurs interagissent avec des postes de travail de clone lié, les disques du système
d'exploitation des clones croissent et peuvent finir par utiliser presque autant d'espace disque que les postes
de travail de clone complet. La récupération d'espace disque réduit la taille des disques du système
d'exploitation sans que vous ayez à actualiser ou recomposer les clones liés. L'espace peut être récupéré lorsque
les machines virtuelles sont activées et que les utilisateurs interagissent avec leurs postes de travail.
La récupération d'espace disque est particulièrement utile pour les déploiements qui ne peuvent pas bénéficier
de stratégies d'économie de stockage, telles que l'actualisation à la fermeture de session. Par exemple, les
travailleurs du savoir qui installent des applications utilisateur sur des postes de travail dédiés peuvent perdre
leurs applications personnelles si les postes de travail ont été actualisés ou recomposés. Avec la récupération
d'espace disque, View peut conserver les clones liés proches de la taille réduite avec laquelle ils démarrent lors
de leur premier approvisionnement.
VMware, Inc.
105
Installation de VMware Horizon View
Cette fonction comporte deux composants : format de disque à optimisation d'espace et opérations de
récupération d'espace.
Dans un environnement vSphere 5.1 ou supérieur, lorsqu'une machine virtuelle parente est la version
matérielle virtuelle 9 ou supérieure, View crée des clones liés avec des disques du système d'exploitation à
optimisation d'espace, que les opérations de récupération d'espace soient activées ou non.
Pour activer les opérations de récupération d'espace, vous devez utiliser View Administrator afin d'activer la
récupération d'espace pour vCenter Server et récupérer l'espace de disque de machine virtuelle pour des pools
de postes de travail individuels. Le paramètre de récupération d'espace de vCenter Server vous permet de
désactiver cette fonction sur tous les pools de postes de travail qui sont gérés par l'instance de vCenter Server.
La désactivation de la fonction pour vCenter Server remplace le paramètre au niveau du pool de postes de
travail.
Les recommandations suivantes s'appliquent à la fonction de récupération d'espace :
n
Elle fonctionne uniquement sur les disques du système d'exploitation à optimisation d'espace dans des
clones liés.
n
Il n'affecte pas les disques persistants de View Composer.
n
Elle fonctionne uniquement avec vSphere 5.1 ou supérieur et uniquement sur des postes de travail avec
la version matérielle virtuelle 9 ou supérieure.
n
Elle ne fonctionne pas sur les postes de travail de clone complet.
n
Elle fonctionne sur les machines virtuelles avec des contrôleurs SCSI. Les contrôleurs IDE ne sont pas pris
en charge.
n
Elle fonctionne uniquement sur les postes de travail Windows XP et Windows 7. Elle ne fonctionne pas
sur les postes de travail Windows 8.
View Composer Array Integration n'est pas pris en charge dans les pools contenant des machines virtuelles
avec des disques à optimisation d'espace. View Composer Array Integration utilise la technologie de snapshot
NFS natif VAAI (vStorage APIs for Array Integration) pour cloner des machines virtuelles.
Prérequis
n
Vérifiez que vos hôtes de vCenter Server et ESXi sont à la version 5.1 avec le correctif de téléchargement
ESXi 5.1 ESXi510-201212001 ou supérieur.
Dans un cluster ESXi, vérifiez que tous les hôtes sont à la version 5.1 avec le correctif de téléchargement
ESXi510-201212001 ou supérieur.
Procédure
1
2
Dans View Administrator, complétez les pages de l'assistant Ajouter un serveur vCenter Server qui
précèdent la page Paramètres de stockage.
a
Sélectionnez [Configuration de View] > [Serveurs] .
b
Sous l'onglet Serveurs vCenter Server, cliquez sur [Ajouter] .
c
Complétez les pages Informations sur vCenter Server, Paramètres de View Composer et Domaines
View Composer.
Sur la page Paramètres de stockage, vérifiez que [Activer la récupération d'espace] est sélectionné.
La récupération d'espace est sélectionnée par défaut si vous effectuez une nouvelle installation de View 5.2
ou supérieur. Vous devez sélectionner [Activer la récupération d'espace] si vous effectuez une mise à
niveau vers View 5.2 ou supérieur depuis View 5.1 ou une version antérieure.
106
VMware, Inc.
Chapitre 8 Première configuration de View
Suivant
Sur la page Paramètres de stockage, configurez View Storage Accelerator.
Pour terminer la configuration de la récupération d'espace disque dans View, configurez la récupération
d'espace pour les pools de postes de travail.
Configurer View Storage Accelerator pour vCenter Server
Dans vSphere 5.0 et supérieur, vous pouvez configurer des hôtes ESXi pour mettre en cache des données de
disque de machine virtuelle. Cette fonction, appelée View Storage Accelerator, utilise la fonction CBRC
(Content Based Read Cache) dans les hôtes ESXi. View Storage Accelerator améliore les performances de View
lors des tempêtes d'E/S, qui peuvent se produire lorsque de nombreux postes de travail démarrent ou exécutent
des analyses antivirus simultanément. La fonction est également utile lorsque des administrateurs ou des
utilisateurs chargent des applications ou des données fréquemment. Au lieu de lire tout le système
d'exploitation ou l'application depuis le système de stockage encore et encore, un hôte peut lire des blocs de
données communes depuis le cache.
En réduisant le nombre d'IOPS au cours des tempêtes de démarrage, View Storage Accelerator diminue la
demande sur la baie de stockage. Vous pouvez ainsi utiliser moins de bande passante d'E/S de stockage pour
prendre en charge votre déploiement de View.
Vous activez la mise en cache sur vos hôtes ESXi en sélectionnant le paramètre View Storage Accelerator dans
l'assistant vCenter Server dans View Administrator, comme décrit dans cette procédure.
Vérifiez que View Storage Accelerator est également configuré pour des pools de postes de travail individuels.
View Storage Accelerator est activé pour les pools par défaut, mais cette fonction peut être désactivée ou activée
lorsque vous créez ou modifiez un pool. Pour fonctionner sur un pool, View Storage Accelerator doit être activé
pour vCenter Server et pour le pool individuel.
Vous pouvez activer View Storage Accelerator sur des pools contenant des clones liés et sur des pools contenant
des machines virtuelles complètes.
View Storage Accelerator est également pris en charge avec le mode local. Les utilisateurs peuvent emprunter
des postes de travail dans des pools activés pour View Storage Accelerator. View Storage Accelerator est
désactivé lorsqu'un poste de travail est emprunté et réactivé lorsque le poste de travail est restitué.
View Composer Array Integration n'est pas pris en charge dans les pools qui sont activés pour View Storage
Accelerator. View Composer Array Integration utilise la technologie de snapshot NFS natif VAAI (vStorage
APIs for Array Integration) pour cloner des machines virtuelles.
View Storage Accelerator est maintenant conçu pour fonctionner dans des configurations qui utilisent la
hiérarchisation de réplica View, dans lesquelles des réplicas sont stockés dans un magasin de données séparé
des clones liés. Bien que les avantages de performance de l'utilisation de View Storage Accelerator avec la
hiérarchisation de réplica View ne soient pas matériellement importants, certains avantages liés à la capacité
peuvent être atteints en stockant les réplicas sur un magasin de données séparé. Par conséquent, cette
combinaison est testée et prise en charge.
Prérequis
n
Vérifiez que vos hôtes vCenter Server et ESXi sont les versions 5.0 ou supérieures.
Dans un cluster ESXi, vérifiez que la version de tous les hôtes est la version 5.0 ou supérieure.
n
Vérifiez que l'utilisateur de vCenter Server s'est vu affecté le privilège Général > Agir comme vCenter
Server dans vCenter Server. Consultez les rubriques dans la documentation Installation de VMware Horizon
View qui décrivent les privilèges de View Manager et de View Composer requis pour l'utilisateur de
vCenter Server.
VMware, Inc.
107
Installation de VMware Horizon View
Procédure
1
2
Dans View Administrator, complétez les pages de l'assistant Ajouter un serveur vCenter Server qui
précèdent la page Paramètres de stockage.
a
Sélectionnez [Configuration de View] > [Serveurs] .
b
Sous l'onglet Serveurs vCenter Server, cliquez sur [Ajouter] .
c
Complétez les pages Informations sur vCenter Server, Paramètres de View Composer et Domaines
View Composer
Sur la page Paramètres de stockage, vérifiez que la case [Activer View Storage Accelerator] est cochée.
Cette case est cochée par défaut.
3
Spécifiez une taille par défaut pour le cache de l'hôte.
La taille de cache par défaut s'applique à tous les hôtes ESXi gérés par cette instance de vCenter Server.
La valeur par défaut est 1 024 Mo. La taille de cache doit être comprise entre 100 Mo et 2 048 Mo.
4
Pour spécifier une taille de cache différente pour un hôte ESXi en particulier, sélectionnez un hôte ESXi
et cliquez sur [Modifier la taille de cache] .
a
Dans la boîte de dialogue Cache de l'hôte, cochez la case [Remplacer la taille de cache de l'hôte par
défaut] .
b
Saisissez une valeur [Taille de cache de l'hôte] comprise entre 100 Mo et 2 048 Mo et cliquez sur
[OK] .
5
Sur la page Paramètres de stockage, cliquez sur [Suivant] .
6
Cliquez sur [Terminer] pour ajouter vCenter Server, View Composer et Paramètres de stockage à View.
Suivant
Pour configurer PCoIP Secure Gateway, le tunnel sécurisé et des URL externes pour les connexions client,
reportez-vous à la section « Configuration de connexions View Client », page 112.
Pour régler les paramètres de View Storage Accelerator dans View, configurez View Storage Accelerator pour
des pools de postes de travail. Consultez la section « Configurer View Storage Accelerator pour des pools de
postes de travail » dans le document Administration de VMware Horizon View.
Nombre maximal d'opérations simultanées pour vCenter Server et View
Composer
Lorsque vous ajoutez vCenter Server à View ou modifiez les paramètres vCenter Server, vous pouvez
configurer plusieurs options qui définissent le nombre maximal d'opérations simultanées exécutées par
vCenter Server et View Composer.
Vous définissez ces options dans le panneau des paramètres avancés de la page des informations vCenter
Server.
108
VMware, Inc.
Chapitre 8 Première configuration de View
Tableau 8-4. Nombre maximal d'opérations simultanées pour vCenter Server et View Composer
Paramètre
Description
[Max concurrent vCenter provisioning operations
(Opérations d'approvisionnement de vCenter simultanées
max.)]
Ce paramètre détermine le nombre maximal de demandes
simultanées que View Manager peut créer pour
approvisionner et supprimer des machines virtuelles
complètes dans cette instance de vCenter Server.
La valeur par défaut est 20.
Le paramètre s'applique uniquement aux machines
virtuelles complètes.
[Opérations d'alimentation simultanées max.]
Ce paramètre détermine le nombre maximal d'opérations
d'alimentation (démarrage, arrêt, interruption, etc.) pouvant
se dérouler simultanément sur les machines virtuelles gérées
par View Manager dans l'instance de vCenter Server.
La valeur par défaut est 50.
Pour les instructions de calcul d'une valeur pour ce
paramètre, voir « Définition d'un taux d'opérations
d'alimentation simultanées pour prendre en charge les
tempêtes d'ouverture de session des postes de travail
View », page 109.
Le paramètre s'applique uniquement aux machines
virtuelles complètes et aux clones liés.
[Max concurrent View Composer maintenance operations
(Nombre max. d'opérations de maintenance View
Composer simultanées)]
Détermine le nombre maximal d'opérations d'actualisation,
de recomposition et de rééquilibrage View Composer
pouvant se dérouler simultanément sur les clones liés gérés
par l'instance de View Composer.
La valeur par défaut est 12.
Si des sessions sont actives sur des postes de travail, elles
doivent être fermées pour qu'une opération de maintenance
puisse commencer. Si vous forcez les utilisateurs à fermer les
sessions dès qu'une opération de maintenance commence, le
nombre maximal d'opérations simultanées sur les postes de
travail dont les sessions doivent être fermées est égal à la
moitié de la valeur définie. Par exemple, si vous affectez à ce
paramètre la valeur 24 et que vous forciez les utilisateurs à
fermer leur session, le nombre maximal d'opérations
simultanées sur les postes de travail dont les sessions doivent
être fermées est égal à 12.
Le paramètre ne s'applique qu'aux clones liés.
[Max concurrent View Composer provisioning operations
(Nombre max. d'opérations d'approvisionnement View
Composer simultanées)]
Détermine le nombre maximal d'opérations de création et de
suppression pouvant se dérouler simultanément sur les
clones liés gérés par l'instance de View Composer.
La valeur par défaut est 8.
Le paramètre ne s'applique qu'aux clones liés.
Définition d'un taux d'opérations d'alimentation simultanées pour prendre en
charge les tempêtes d'ouverture de session des postes de travail View
Le paramètre [Opérations d'alimentation simultanées max] régit le nombre maximal d'opérations
d'alimentation simultanées qui se produisent sur des machines virtuelles de poste de travail View dans une
instance de vCenter Server. À partir de View 5.0, cette limite est définie sur 50 par défaut. Vous pouvez modifier
cette valeur pour prendre en charge les taux maximaux d'activation lorsque de nombreux utilisateurs se
connectent à leurs postes de travail en même temps.
Il est recommandé de réaliser une phase pilote afin de déterminer la valeur correcte de ce paramètre. Pour voir
des recommandations sur la planification, consultez la section « Recommandations sur la planification et les
éléments de conception d'architecture » dans le document Planification de l'architecture de VMware Horizon
View.
VMware, Inc.
109
Installation de VMware Horizon View
Le nombre requis d'opérations d'alimentation simultanées se base sur le taux maximal auquel les postes de
travail sont activés et sur la durée nécessaire au poste de travail pour s'activer, démarrer et devenir disponible
pour la connexion. En général, la limite d'opérations d'alimentation recommandée est la durée totale nécessaire
au poste de travail pour démarrer multipliée par le taux d'activation maximal.
Par exemple, un poste de travail moyen prend entre deux et trois minutes pour démarrer. Par conséquent, la
limite d'opérations d'alimentation simultanées doit être 3 fois le taux d'activation maximal. Le paramètre par
défaut de 50 devrait prendre en charge un taux d'activation maximal de 16 postes de travail par minute.
View attend cinq minutes au maximum qu'un poste de travail démarre. Si la durée de démarrage est plus
longue, d'autres erreurs peuvent se produire. Pour être classique, vous pouvez définir une limite d'opérations
d'alimentation simultanées de 5 fois le taux d'activation maximal. Avec une approche classique, le paramètre
par défaut de 50 prend en charge un taux d'activation maximal de 10 postes de travail par minute.
Les ouvertures de session, et donc les opérations d'activation de poste de travail, se produisent en général
d'une façon normalement distribuée sur une certaine fenêtre de temps. Vous pouvez estimer le taux
d'activation maximal en supposant qu'il se produise au milieu de la fenêtre de temps, quand environ 40 % des
opérations d'activation se produisent dans 1/6ème de la fenêtre de temps. Par exemple, si des utilisateurs
ouvrent une session entre 8h00 et 9h00, la fenêtre de temps est d'une heure et 40 % des ouvertures de session
se produisent dans les 10 minutes entre 8h25 et 8h35. S'il y a 2 000 utilisateurs, dont 20 % ont leurs postes de
travail désactivés, alors 40 % des 400 opérations d'activation de poste de travail se produisent dans ces
10 minutes. Le taux d'activation maximal est de 16 postes de travail par minute.
Accepter l'empreinte numérique d'un certificat SSL par défaut
Lorsque vous ajoutez des instances de vCenter Server et View Composer à Horizon View, vous devez vérifier
que les certificats SSL qui sont utilisés pour les instances de vCenter Server et View Composer sont valides et
approuvées par Serveur de connexion View. Si les certificats par défaut qui sont installés avec
vCenter Server et View Composer sont toujours en place, vous devez choisir d'accepter ou non les empreintes
numériques de ces certificats.
Si une instance de vCenter Server ou View Composer est configurée avec un certificat signé par une autorité
de certification, et si le certificat racine est approuvé par Serveur de connexion View, vous n'avez pas à accepter
l'empreinte numérique de certificat. Aucune action n'est requise.
Si vous remplacez un certificat par défaut par un certificat signé par une autorité de certification, mais que
Serveur de connexion View n'approuve pas le certificat racine, vous devez déterminer si vous acceptez
l'empreinte numérique de certificat. Une empreinte numérique est un hachage cryptographique d'un certificat.
L'empreinte numérique est utilisée pour déterminer rapidement si un certificat présenté est le même qu'un
autre certificat, tel que le certificat qui a été accepté précédemment.
REMARQUE Si vous installez vCenter Server et View Composer sur le même hôte Windows Server, ils peuvent
utiliser le même certificat SSL, mais vous devez configurer le certificat séparément pour chaque composant.
Pour des détails sur la configuration des certificats SSL, reportez-vous à la section Chapitre 7, « Configuration
de certificats SSL pour des View Servers », page 75.
Vous ajoutez d'abord vCenter Server et View Composer dans View Administrator à l'aide de l'assistant Ajouter
un serveur vCenter Server. Si un certificat n'est pas approuvé et si vous n'acceptez pas l'empreinte numérique,
vous ne pouvez pas ajouter vCenter Server et View Composer.
110
VMware, Inc.
Chapitre 8 Première configuration de View
Une fois que ces serveurs sont ajoutés, vous pouvez les reconfigurer dans la boîte de dialogue Modifier
vCenter Server.
REMARQUE Vous devez également accepter une empreinte numérique de certificat lorsque vous effectuez une
mise à niveau depuis une version antérieure à Horizon View 5.1 ou supérieur, et lorsqu'un certificat de
vCenter Server ou View Composer n'est pas approuvé, ou si vous remplacez un certificat approuvé par un
certificat non approuvé.
Sur le tableau de bord de View Administrator, l'icône de vCenter Server ou View Composer devient rouge et
la boîte de dialogue Certificat non valide détecté s'affiche. Vous devez cliquer sur [Vérifier] et suivre la
procédure indiquée ici.
De la même façon, dans View Administrator, vous pouvez configurer un authentificateur SAML 2.0 qu'utilisera
une instance de Serveur de connexion View. Si le certificat de serveur SAML 2.0 n'est pas approuvé par Serveur
de connexion View, vous devez déterminer si vous acceptez l'empreinte numérique de certificat. Si vous
n'acceptez pas l'empreinte numérique, vous ne pouvez pas configurer l'authentificateur SAML 2.0 dans
Horizon View. Une fois que l'authentificateur SAML 2.0 est configuré, vous pouvez le reconfigurer dans la
boîte de dialogue Modifier Serveur de connexion View.
Procédure
1
Lorsque View Administrator affiche la boîte de dialogue Certificat non valide détecté, cliquez sur
[Afficher le certificat] .
2
Examinez l'empreinte numérique de certificat dans la fenêtre Informations sur le certificat.
3
Examinez l'empreinte numérique de certificat qui a été configurée pour l'instance de vCenter Server ou
View Composer.
a
Sur l'hôte de vCenter Server ou View Composer, démarrez le composant logiciel MMC et ouvrez le
magasin de certificats Windows.
b
Allez au certificat de vCenter Server ou View Composer.
c
Cliquez sur l'onglet Détails du certificat pour afficher l'empreinte numérique de certificat.
De la même façon, examinez l'empreinte numérique de certificat pour un authentificateur SAML 2.0. Le
cas échéant, réalisez les étapes précédentes sur l'hôte d'authentificateur SAML 2.0.
4
Vérifiez que l'empreinte numérique dans la fenêtre Informations sur le certificat correspond à l'empreinte
numérique de l'instance de vCenter Server ou View Composer.
De la même façon, vérifiez que les empreintes numériques correspondent pour un authentificateur
SAML 2.0.
5
VMware, Inc.
Déterminez si vous acceptez l'empreinte numérique de certificat.
Option
Description
Les empreintes numériques
correspondent.
Cliquez sur [Accepter] pour utiliser le certificat par défaut.
Les empreintes numériques ne
correspondent pas.
Cliquez sur [Refuser] .
Corrigez les certificats incompatibles. Par exemple, vous avez peut-être
fourni une adresse IP incorrecte pour vCenter Server ou View Composer.
111
Installation de VMware Horizon View
Configuration de connexions View Client
Les clients View communiquent avec un hôte de Serveur de connexion View ou du serveur de sécurité sur des
connexions sécurisées.
La connexion View Client initiale, utilisée pour l'authentification utilisateur et la sélection de poste de travail
View, est créée sur HTTPS lorsqu'un utilisateur fournit un nom de domaine à View Client. Si les logiciels de
pare-feu et d'équilibrage de charge ont été configurés correctement dans votre environnement réseau, cette
demande atteint l'hôte de Serveur de connexion View ou du serveur de sécurité. Avec cette connexion, les
utilisateurs sont authentifiés et un poste de travail est sélectionné, mais les utilisateurs ne sont pas encore
connectés à des postes de travail View.
Lorsque des utilisateurs se connectent à des postes de travail View, View Client établit par défaut une deuxième
connexion à l'hôte de Serveur de connexion View ou du serveur de sécurité. Cette connexion est appelée
connexion par tunnel car elle fournit un tunnel sécurisé pour le transport des données RDP et d'autres données
sur HTTPS.
Lorsque des utilisateurs se connectent à des postes de travail View avec le protocole d'affichage PCoIP, View
Client peut réaliser une autre connexion à PCoIP Secure Gateway sur l'hôte de Serveur de connexion View ou
du serveur de sécurité. Le composant PCoIP Secure Gateway vérifie que seuls des utilisateurs authentifiés
peuvent communiquer avec des postes de travail View sur PCoIP.
Lorsque le tunnel sécurisé ou PCoIP Secure Gateway est désactivé, des sessions de postes de travail View sont
établies directement entre le système client et la machine virtuelle de poste de travail View, en outrepassant
l'hôte de Serveur de connexion View ou du serveur de sécurité. Ce type de connexion est appelé connexion
directe.
Les sessions de postes de travail qui utilisent des connexions directes restent connectées même si Serveur de
connexion View n'est plus en cours d'exécution.
En général, pour fournir des connexions sécurisées à des clients externes qui se connectent à un hôte du serveur
de sécurité ou de Serveur de connexion View sur un réseau WAN, vous activez à la fois le tunnel sécurisé et
PCoIP Secure Gateway. Vous pouvez désactiver le tunnel sécurisé et PCoIP Secure Gateway pour autoriser
des clients internes connectés sur un réseau LAN à établir des connexions directes sur des postes de travail
View.
Certains points de terminaison de View Client, tels que des clients légers, ne prennent pas en charge la
connexion par tunnel et utilisent des connexions directes pour les données RDP, mais ils prennent en charge
PCoIP Secure Gateway pour les données PCoIP.
Vous pouvez également fournir des connexions sécurisées aux utilisateurs externes qui utilisent
HTML Access pour se connecter à des postes de travail View. Blast Secure Gateway, activé par défaut sur les
hôtes de Serveur de connexion View et du serveur de sécurité, garantit que seuls les utilisateurs authentifiés
peuvent communiquer avec des postes de travail View. Avec HTML Access, le logiciel View Client n'a pas à
être installé sur les périphériques de point de terminaison des utilisateurs.
SSL est requis pour toutes les connexions client aux hôtes de Serveur de connexion View et du serveur de
sécurité.
112
VMware, Inc.
Chapitre 8 Première configuration de View
Configurer les connexions via PCoIP Secure Gateway et par tunnel sécurisé
Vous utilisez View Administrator pour configurer l'utilisation du tunnel sécurisé et de PCoIP Secure Gateway.
Ces composants garantissent que seuls les utilisateurs authentifiés peuvent communiquer avec des postes de
travail View.
Les clients qui utilisent le protocole d'affichage PCoIP peuvent utiliser le composant PCoIP Secure Gateway.
Les clients qui utilisent le protocole d'affichage RDP peuvent utiliser le tunnel sécurisé.
IMPORTANT Une configuration de réseau classique pouvant fournir des connexions sécurisées à des clients
externes inclut un serveur de sécurité. Pour activer ou désactiver le tunnel sécurisé et PCoIP Secure Gateway
sur un serveur de sécurité, vous devez modifier l'instance de Serveur de connexion View couplée avec le
serveur de sécurité.
Dans une configuration de réseau dans laquelle des clients externes se connectent directement à un hôte de
Serveur de connexion View, vous activez ou désactivez le tunnel sécurisé et PCoIP Secure Gateway en
modifiant cette instance de Serveur de connexion View dans View Administrator.
Prérequis
n
Si vous prévoyez d'activer le composant PCoIP Secure Gateway, vérifiez que l'instance de Serveur de
connexion View et que le serveur de sécurité couplé sont View 4.6 ou supérieur.
n
Si vous couplez un serveur de sécurité avec une instance de Serveur de connexion View sur laquelle vous
avez déjà activé le composant PCoIP Secure Gateway, vérifiez que le serveur de sécurité est View 4.6 ou
supérieur.
Procédure
1
Dans View Administrator, sélectionnez [Configuration de View] > [Serveurs] .
2
Dans le volet Serveur de connexions View, sélectionnez l'instance de Serveur de connexion View et cliquez
sur [Modifier] .
3
Configurez l'utilisation du tunnel sécurisé.
Option
Description
Désactiver le tunnel sécurisé
Décochez la case [Utiliser une connexion par tunnel sécurisé vers le poste
de travail] .
Activer le tunnel sécurisé
Cochez la case [Utiliser une connexion par tunnel sécurisé vers le poste de
travail] .
Le tunnel sécurisé est activé par défaut.
4
Configurez l'utilisation de PCoIP Secure Gateway.
Option
Description
Activer PCoIP Secure Gateway
Cochez la case [Utiliser des connexions PCoIP Secure Gateway pour PCoIP
vers le poste de travail] .
Désactiver PCoIP Secure Gateway
Décochez la case [Utiliser des connexions PCoIP Secure Gateway pour
PCoIP vers le poste de travail] .
PCoIP Secure Gateway est désactivé par défaut.
5
VMware, Inc.
Cliquez sur [OK] pour enregistrer vos modifications.
113
Installation de VMware Horizon View
Configurer un accès HTML sécurisé
Dans View Administrator, vous pouvez configurer l'utilisation de Blast Secure Gateway afin de fournir un
accès HTML sécurisé à des postes de travail View.
Blast Secure Gateway vérifie que seuls des utilisateurs authentifiés peuvent communiquer avec des postes de
travail View à l'aide d'HTML Access. View Client n'a pas à être installé sur les périphériques de point de
terminaison des utilisateurs.
Lorsque Blast Secure Gateway n'est pas activé, les navigateurs Web clients utilisent HTML Access pour établir
des connexions directes avec des machines virtuelles de poste de travail View, en outrepassant Blast Secure
Gateway.
IMPORTANT Une configuration de réseau classique pouvant fournir des connexions sécurisées à des utilisateurs
externes inclut un serveur de sécurité. Pour activer ou désactiver Blast Secure Gateway sur un serveur de
sécurité, vous devez modifier l'instance de Serveur de connexion View couplée avec le serveur de sécurité. Si
des utilisateurs externes se connectent directement à un hôte de Serveur de connexion View, vous activez ou
désactivez Blast Secure Gateway en modifiant cette instance de Serveur de connexion View.
Prérequis
n
Si des utilisateurs sélectionnent des postes de travail View à l'aide d'Horizon User Portal, vérifiez
qu'Horizon Workspace est installé et configuré pour être utilisé avec Serveur de connexion View et que
Serveur de connexion View est couplé avec un serveur d'authentification SAML 2.0.
n
Vérifiez que le tunnel sécurisé est activé. S'il est désactivé, Blast Secure Gateway ne peut pas être activé.
Procédure
1
Dans View Administrator, sélectionnez [Configuration de View] > [Serveurs] .
2
Dans le volet Serveur de connexions View, sélectionnez l'instance de Serveur de connexion View et cliquez
sur [Modifier] .
3
Configurez l'utilisation de Blast Secure Gateway.
Option
Description
Activer Blast Secure Gateway
Cochez la case [Utiliser Blast Secure Gateway pour un accès HTML au
poste de travail]
Désactiver Blast Secure Gateway
Décochez la case [Utiliser Blast Secure Gateway pour un accès HTML au
poste de travail]
Blast Secure Gateway est activé par défaut.
4
Cliquez sur [OK] pour enregistrer vos modifications.
Ouvrir le port utilisé par HTML Access sur des serveurs de sécurité
Lorsque vous installez Serveur de connexion View ou un serveur de sécurité, le programme d'installation de
View Server crée la règle de Pare-feu Windows pour le port utilisé par HTML Access pour les connexions
client, mais il laisse la règle désactivée tant qu'elle n'est pas réellement nécessaire. Lorsque vous installez
ultérieurement HTML Access sur une instance de Serveur de connexion View, le programme d'installation
HTML Access active automatiquement la règle pour autoriser la communication avec ce port. Toutefois, sur
les serveurs de sécurité, vous devez activer manuellement la règle dans le Pare-feu Windows pour autoriser
la communication avec le port.
Par défaut, HTML Access utilise le port TCP 8443 pour les connexions client avec Blast Secure Gateway.
114
VMware, Inc.
Chapitre 8 Première configuration de View
Procédure
n
Pour ouvrir le port utilisé par HTML Access sur un ordinateur Serveur de connexion View, installez HTML
Access sur cet ordinateur.
Le programme d'installation HTML Access active la règle [Serveur de connexion VMware View (BlastIn)] dans le Pare-feu Windows.
n
Pour ouvrir le port pour HTML Access sur un serveur de sécurité, activez manuellement la règle [Serveur
de connexion VMware View (Blast-In)] dans le Pare-feu Windows.
Configuration d'URL externes pour PCoIP Secure Gateway et les connexions par
tunnel
Pour utiliser le tunnel sécurisé, un système client doit avoir accès à une adresse IP (ou à un nom de domaine
complet (FQDN) qu'il peut résoudre en adresse IP) qui permet au client d'atteindre un hôte de Serveur de
connexion View ou du serveur de sécurité.
Pour utiliser PCoIP Secure Gateway, un système client doit avoir accès à une adresse IP qui permet au client
d'atteindre un hôte de Serveur de connexion View ou du serveur de sécurité.
Pour utiliser Blast Secure Gateway, le périphérique de point de terminaison d'un utilisateur doit avoir accès à
un nom de domaine complet qu'il peut résoudre en adresse IP qui permet au navigateur Web de l'utilisateur
d'atteindre un hôte de Serveur de connexion View ou du serveur de sécurité.
Utilisation de connexions par tunnel à partir de sites externes
Par défaut, un hôte de Serveur de connexion View ou d'un serveur de sécurité ne peut être contacté que par
des clients tunnel qui résident sur le même réseau et qui peuvent donc localiser l'hôte demandé.
De nombreuses entreprises veulent que les utilisateurs puissent se connecter à partir d'un site externe en
utilisant une adresse IP ou un nom de domaine résolvable par le client spécifique, et un port spécifique. Ces
informations peuvent ou pas ressembler à l'adresse et au numéro de port réels de l'hôte de Serveur de connexion
View ou du serveur de sécurité. Les informations sont fournies à un système client sous forme d'URL. Par
exemple :
n
https://view-exemple.com:443
n
https://view.exemple.com:443
n
https://exemple.com:1234
n
https://10.20.30.40:443
Pour utiliser des adresses comme celles-ci dans View Manager, vous devez configurer l'hôte de Serveur de
connexion View ou du serveur de sécurité pour renvoyer une URL externe au lieu d'un FQDN de l'hôte.
Configuration d'URL externes
Vous configurez plusieurs URL externes. La première URL permet aux systèmes client de faire des connexions
par tunnel. Une deuxième URL permet aux systèmes client qui utilisent PCoIP de réaliser des connexions
sécurisées via PCoIP Secure Gateway. Vous devez spécifier l'URL externe PCoIP comme adresse IP, ce qui
permet aux systèmes client de se connecter à partir d'un site externe.
Une troisième URL permet aux utilisateurs de faire des connexions sécurisées depuis leurs navigateurs Web
via Blast Secure Gateway.
Si votre configuration de réseau inclut des serveurs de sécurité, fournissez des URL externes aux serveurs de
sécurité. Les URL externes ne sont pas requises sur les instances de Serveur de connexion View couplées avec
les serveurs de sécurité.
VMware, Inc.
115
Installation de VMware Horizon View
Le processus de configuration des URL externes est différent pour des instances de Serveur de connexion View
et des serveurs de sécurité.
n
Pour une instance de Serveur de connexion View, vous définissez les URL externes en modifiant des
paramètres de Serveur de connexion View dans View Administrator.
n
Pour un serveur de sécurité, vous définissez les URL externes lorsque vous exécutez le programme
d'installation de Serveur de connexion View. Vous pouvez utiliser View Administrator pour modifier une
URL externe d'un serveur de sécurité.
Définir les URL externes d'une instance de Serveur de connexion View
Vous utilisez View Administrator pour configurer les URL externes d'une instance de Serveur de connexion
View.
L'URL externe de tunnel sécurisé et l'URL externe PCoIP doivent être les adresses que les systèmes client
utilisent pour atteindre cette instance de Serveur de connexion View. Par exemple, ne spécifiez pas l'URL
externe de tunnel sécurisé pour cette instance et l'URL externe PCoIP pour un serveur de sécurité couplé.
De la même façon, l'URL externe de tunnel sécurisé et l'URL externe Blast doivent être les adresses que les
connexions HTML utilisent pour atteindre cette instance de Serveur de connexion View. Par exemple, ne
spécifiez pas l'URL externe de tunnel sécurisé pour cette instance et l'URL externe Blast pour un serveur de
sécurité couplé.
Prérequis
n
Vérifiez que les connexions par tunnel sécurisé et PCoIP Secure Gateway sont activés sur l'instance de
Serveur de connexion View. Reportez-vous à la section « Configurer les connexions via PCoIP Secure
Gateway et par tunnel sécurisé », page 113.
n
Pour définir l'URL externe Blast, vérifiez que Blast Secure Gateway est activé sur l'instance de Serveur de
connexion View. Reportez-vous à la section « Configurer un accès HTML sécurisé », page 114.
Procédure
1
Dans View Administrator, cliquez sur [Configuration de View] > [Serveurs] .
2
Sous l'onglet Serveurs de connexion, sélectionnez une instance de Serveur de connexion View et cliquez
sur [Modifier] .
3
Saisissez l'URL externe du tunnel sécurisé dans la zone de texte [URL externe] .
L'URL doit contenir le protocole, le nom d'hôte résolvable par le client et le numéro de port.
Par exemple : https://myserver.example.com:443
REMARQUE Vous pouvez utiliser l'adresse IP si vous devez accéder à une instance de Serveur de connexion
View lorsque le nom d'hôte n'est pas résolvable. Toutefois, l'hôte que vous contactez ne correspondra pas
au certificat SSL configuré pour l'instance de Serveur de connexion View, ce qui se traduit par un accès
bloqué ou un accès avec une sécurité réduite.
4
Saisissez l'URL externe de PCoIP Secure Gateway dans la zone de texte [URL externe PCoIP] .
Spécifiez l'URL externe PCoIP comme adresse IP avec le numéro de port 4172. N'incluez pas un nom de
protocole.
Par exemple : 10.20.30.40:4172
L'URL doit contenir l'adresse IP et le numéro de port qu'un système client peut utiliser pour atteindre cet
hôte de Serveur de connexion View. Vous ne pouvez saisir du texte dans la zone de texte que si PCoIP
Secure Gateway est installé sur l'instance de Serveur de connexion View.
116
VMware, Inc.
Chapitre 8 Première configuration de View
5
Saisissez l'URL externe Blast Secure Gateway dans la zone de texte [URL externe Blast] .
L'URL doit contenir le protocole HTTPS, le nom d'hôte résolvable par le client et le numéro de port.
Par exemple : https://myserver.example.com:8443
Par défaut, l'URL inclut le nom de domaine complet de l'URL externe du tunnel sécurisé et le numéro de
port par défaut, 8443. L'URL doit contenir le nom de domaine complet et le numéro de port qu'un système
client peut utiliser pour atteindre cet hôte de Serveur de connexion View. Vous ne pouvez saisir du texte
dans la zone de texte que si Blast Secure Gateway est installé sur l'instance de Serveur de connexion View.
6
Cliquez sur [OK] .
Modifier les URL externes d'un serveur de sécurité
Vous utilisez View Administrator pour modifier les URL externes d'un serveur de sécurité.
Vous configurez pour la première fois ces URL externes lorsque vous installez un serveur de sécurité dans le
programme d'installation de Serveur de connexion View.
L'URL externe de tunnel sécurisé, l'URL externe PCoIP et l'URL externe Blast doivent être les adresses que les
systèmes client utilisent pour atteindre ce serveur de sécurité. Par exemple, ne spécifiez pas l'URL externe de
tunnel sécurisé pour ce serveur de sécurité et l'URL externe PCoIP pour une instance couplée de Serveur de
connexion View.
Prérequis
n
Pour un accès sécurisé à des postes de travail View sur PCoIP, vérifiez que la version du serveur de sécurité
est View 4.6 ou supérieur.
n
Pour un accès HTML sécurisé à des postes de travail View, vérifiez que la version du serveur de sécurité
est View 5.2 ou supérieur.
n
Vérifiez que les connexions par tunnel sécurisé et PCoIP Secure Gateway sont activés sur l'instance de
Serveur de connexion View qui est couplée avec ce serveur de sécurité. Reportez-vous à la section
« Configurer les connexions via PCoIP Secure Gateway et par tunnel sécurisé », page 113.
n
Pour définir l'URL externe Blast, vérifiez que Blast Secure Gateway est activé sur l'instance de Serveur de
connexion View qui est couplée avec ce serveur de sécurité. Reportez-vous à la section « Configurer un
accès HTML sécurisé », page 114.
Procédure
1
Dans View Administrator, sélectionnez [Configuration de View] > [Serveurs] .
2
Sélectionnez l'onglet Serveurs de sécurité, sélectionnez le serveur de sécurité et cliquez sur [Modifier] .
Le bouton [Modifier] est indisponible si le serveur de sécurité n'est pas mis à niveau vers Serveur de
connexion View 4.6 ou supérieur.
3
Saisissez l'URL externe du tunnel sécurisé dans la zone de texte [URL externe] .
L'URL doit contenir le protocole, le nom d'hôte de serveur de sécurité résolvable par le client et le numéro
de port.
Par exemple : https://view.exemple.com:443
REMARQUE Vous pouvez utiliser l'adresse IP si vous devez accéder à un serveur de sécurité lorsque le nom
d'hôte n'est pas résolvable. Toutefois, l'hôte que vous contactez ne correspondra pas au certificat SSL
configuré pour le serveur de sécurité, ce qui se traduit par un accès bloqué ou un accès avec une sécurité
réduite.
VMware, Inc.
117
Installation de VMware Horizon View
4
Saisissez l'URL externe de PCoIP Secure Gateway dans la zone de texte [URL externe PCoIP] .
Spécifiez l'URL externe PCoIP comme adresse IP avec le numéro de port 4172. N'incluez pas un nom de
protocole.
Par exemple : 10.20.30.40:4172
L'URL doit contenir l'adresse IP et le numéro de port qu'un système client peut utiliser pour atteindre ce
serveur de sécurité. Vous ne pouvez saisir du texte dans la zone de texte que si PCoIP Secure Gateway est
installé sur le serveur de sécurité.
5
Saisissez l'URL externe Blast Secure Gateway dans la zone de texte [URL externe Blast] .
L'URL doit contenir le protocole HTTPS, le nom d'hôte résolvable par le client et le numéro de port.
Par exemple : https://myserver.example.com:8443
Par défaut, l'URL inclut le nom de domaine complet de l'URL externe du tunnel sécurisé et le numéro de
port par défaut, 8443. L'URL doit contenir le nom de domaine complet et le numéro de port qu'un système
client peut utiliser pour atteindre ce serveur de sécurité. Vous ne pouvez saisir du texte dans la zone de
texte que si Blast Secure Gateway est installé sur le serveur de sécurité.
6
Cliquez sur [OK] pour enregistrer vos modifications.
View Administrator envoie les URL externes mises à jour au serveur de sécurité. Vous n'avez pas à redémarrer
le service du serveur de sécurité pour que les modifications prennent effet.
Remplacement des ports par défaut pour les services View
Lors de l'installation, les services View sont configurés pour écouter sur certains ports réseau par défaut. Dans
certaines entreprises, ces ports doivent être modifiés pour respecter les stratégies d'entreprise ou pour éviter
la contention. Vous pouvez modifier les ports par défaut qui sont utilisés par les services Serveur de connexion
View, le serveur de sécurité, PCoIP Secure Gateway, View Composer et Serveur de transfert View.
La modification des ports est une tâche de configuration facultative. Utilisez les ports par défaut si votre
déploiement ne requiert pas que vous les modifiiez.
Pour voir une liste des ports TCP et UDP par défaut utilisés par des serveurs View Server, consultez la section
« Ports TCP et UDP de View » dans le document Sécurité de VMware Horizon View.
Remplacer les ports HTTP ou les cartes réseau par défaut pour des instances de
Serveur de connexion View et des serveurs de sécurité
Vous pouvez remplacer les ports HTTP ou les cartes réseau par défaut pour une instance de Serveur de
connexion View ou un serveur de sécurité en modifiant le fichier locked.properties sur l'ordinateur de View
Server. Votre entreprise peut vous demander d'effectuer ces étapes pour respecter les stratégies d'entreprise
ou pour éviter la contention.
Le port SSL par défaut est 443. Le port non-SSL par défaut est 80.
Le port spécifié dans l'URL externe de tunnel sécurisé ne change pas suite aux modifications que vous apportez
aux ports dans cette procédure. En fonction de votre configuration de réseau, vous devrez peut-être changer
le port de l'URL externe de tunnel sécurisé également.
Si l'ordinateur de View Server contient plusieurs cartes réseau, il écoute sur toutes les cartes réseau par défaut.
Vous pouvez sélectionner une carte réseau pour écouter sur le port configuré en spécifiant l'adresse IP qui est
liée à cette carte réseau.
Lors de l'installation, View configure le pare-feu Windows pour qu'il ouvre les ports par défaut requis. Si vous
modifiez un numéro de port ou la carte réseau sur lequel il écoute, vous devez reconfigurer manuellement
votre pare-feu Windows pour ouvrir les ports mis à jour afin que les périphériques View Client puissent se
connecter à View Server.
118
VMware, Inc.
Chapitre 8 Première configuration de View
Prérequis
Vérifiez que le port spécifié dans l'URL externe pour cette instance de Serveur de connexion View ou ce serveur
de sécurité sera toujours valide une fois que vous aurez changé les ports dans cette procédure.
Procédure
1
Créez ou modifiez le fichier locked.properties dans le dossier de configuration de la passerelle SSL sur
l'ordinateur Serveur de connexion View ou du serveur de sécurité.
Par exemple : install_directory\VMware\VMware View\Server\sslgateway\conf\locked.properties
Les propriétés dans le fichier locked.properties sont sensibles à la casse.
2
Ajoutez la propriété serverPort ou serverPortNonSsl, ou les deux, au fichier locked.properties.
Par exemple :
serverPort=4443
serverPortNonSsl=8080
3
(Facultatif) Si l'ordinateur de View Server contient plusieurs cartes réseau, sélectionnez une carte réseau
pour écouter sur les ports configurés.
Ajoutez les propriétés serverHost et serverHostNonSsl pour spécifier l'adresse IP qui est liée à la carte
réseau désignée.
Par exemple :
serverHost=10.20.30.40
serverHostNonSsl=10.20.30.40
En général, les écouteurs SSL et non-SSL sont configurés pour utiliser la même carte réseau. Toutefois, si
vous utilisez la propriété serverProtocol=http pour décharger SSL pour des connexions client, vous
pouvez définir la propriété serverHost sur une carte réseau séparée afin de fournir des connexions SSL à
des systèmes utilisés pour lancer View Administrator.
Si vous configurez des connexions SSL et non-SSL pour qu'elles utilisent la même carte réseau, les ports
SSL et non-SSL doivent être différents.
4
Redémarrez le service Serveur de connexion View ou le service du serveur de sécurité pour que vos
modifications prennent effet.
Suivant
Si nécessaire, configurez manuellement votre pare-feu Windows pour ouvrir les ports mis à jour.
Remplacer les ports ou les cartes réseau par défaut pour PCoIP Secure Gateway
sur des instances de Serveur de connexion View et des serveurs de sécurité
Vous pouvez remplacer les ports ou les cartes réseau par défaut utilisés par un service PCoIP Secure Gateway
exécuté sur une instance de Serveur de connexion View ou un serveur de sécurité. Votre entreprise peut vous
demander d'effectuer ces étapes pour respecter les stratégies d'entreprise ou pour éviter la contention.
Pour les connexions TCP et UDP client, PCoIP Secure Gateway écoute sur le port 4172 par défaut. Pour les
connexions UDP vers des postes de travail View, PCoIP Secure Gateway écoute sur le port 55000 par défaut.
Le port spécifié dans l'URL externe PCoIP ne change pas suite aux modifications que vous apportez aux ports
dans cette procédure. En fonction de votre configuration de réseau, vous devrez peut-être changer le port de
l'URL externe PCoIP également.
Si l'ordinateur sur lequel PCoIP Secure Gateway est exécuté contient plusieurs cartes réseau, il écoute sur toutes
les cartes réseau par défaut. Vous pouvez sélectionner une carte réseau pour écouter sur les ports configurés
en spécifiant l'adresse IP qui est liée à cette carte réseau.
VMware, Inc.
119
Installation de VMware Horizon View
Prérequis
Vérifiez que le port spécifié dans l'URL externe PCoIP sur l'instance de Serveur de connexion View ou le serveur
de sécurité sera toujours valide une fois que vous aurez changé les ports dans cette procédure.
Procédure
1
Démarrez l'éditeur de Registre Windows sur l'ordinateur Serveur de connexion View ou du serveur de
sécurité sur lequel est exécuté PCoIP Secure Gateway.
2
Allez à la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Teradici\SecurityGateway.
3
Sous cette clé de Registre, ajoutez une ou plusieurs des valeurs de chaîne suivantes (REG_SZ) avec vos
numéros de port mis à jour.
Par exemple :
ExternalTCPPort "44172"
ExternalUDPPort "44172"
InternalUDPPort "55111"
4
(Facultatif) Si l'ordinateur sur lequel PCoIP Secure Gateway est exécuté contient plusieurs cartes réseau,
sélectionnez une carte réseau pour écouter sur les ports configurés.
Sous la même clé de Registre, ajoutez les valeurs de chaîne suivantes (REG_SZ) pour spécifier l'adresse IP
qui est liée à la carte réseau désignée.
Par exemple :
ExternalBindIP "10.20.30.40"
InternalBindIP "172.16.17.18"
Si vous configurez des connexions externes et internes pour qu'elles utilisent la même carte réseau, les
ports UDP externes et internes doivent être différents.
5
Redémarrez le service VMware View PCoIP Secure Gateway pour que vos modifications prennent effet.
Remplacer le port par défaut pour View Composer
Le certificat SSL utilisé par le service View Composer est lié à un certain port par défaut. Vous pouvez remplacer
le port par défaut à l'aide de l'utilitaire SviConfig ChangeCertificateBindingPort.
Lorsque vous spécifiez un nouveau port avec l'utilitaire SviConfig ChangeCertificateBindingPort, l'utilitaire
annule la liaison entre le certificat View Composer et le port actuel et le lie au nouveau port.
Lors de l'installation, View Composer configure le pare-feu Windows pour qu'il ouvre le port par défaut requis.
Si vous modifiez le port, vous devez reconfigurer manuellement votre pare-feu Windows pour ouvrir le port
mis à jour et assurer la connectivité avec le service View Composer.
Prérequis
Vérifiez que le port que vous spécifiez est disponible.
Procédure
120
1
Arrêtez le service View Composer.
2
Ouvrez une invite de commande sur l'hôte Windows Server sur lequel est installé View Composer.
VMware, Inc.
Chapitre 8 Première configuration de View
3
Tapez la commande SviConfig ChangeCertificateBindingPort.
Par exemple :
sviconfig -operation=ChangeCertificateBindingPort
-Port=port number
où -port=port number est le nouveau port auquel View Composer lie le certificat. Le paramètre -port=port
number est requis.
4
Redémarrez le service View Composer pour que vos modifications prennent effet.
Suivant
Si nécessaire, reconfigurez manuellement le pare-feu Windows sur le serveur View Composer pour ouvrir le
port mis à jour.
Remplacer les ports par défaut pour Serveur de transfert View
Par défaut, le serveur Web Apache installé avec Serveur de transfert View écoute sur le port 80 ou, si SSL est
utilisé, le port 443. Vous pouvez modifier les ports par défaut en modifiant les fichiers de configuration du
serveur Web Apache.
Le port HTTP par défaut est 80. Vous modifiez le port HTTP en modifiant le fichier httpd.conf sur l'ordinateur
Serveur de transfert View.
Le port HTTPS par défaut est 443. Vous modifiez le port HTTPS en modifiant le fichier mod_vprov.conf sur
l'ordinateur Serveur de transfert View.
Lors de l'installation, View configure le Pare-feu Windows pour ouvrir les ports utilisés par Serveur de transfert
View par défaut. Si vous modifiez les ports, vous devez reconfigurer manuellement votre Pare-feu Windows
pour qu'il ouvre les ports mis à jour afin que les périphériques View Client puissent se connecter à l'instance
de Serveur de transfert View.
Procédure
1
Arrêtez le service Serveur de transfert VMware View.
2
Sur l'ordinateur Serveur de transfert View, accédez au répertoire install_directory\VMware\VMware
View\Server\httpd\conf.
Les fichiers httpd.conf et mod_vprov.conf se trouvent dans ce répertoire.
3
Modifiez le port HTTP.
a
Ouvrez le fichier httpd.conf.
b
Mettez à jour la valeur Listen.
Par exemple : [Listen 4080]
c
4
Enregistrez le fichier httpd.conf.
Modifiez le port HTTPS.
a
Ouvrez le fichier mod_vprov.conf.
b
Mettez à jour la valeur Listen.
Par exemple : [Listen 4443]
VMware, Inc.
121
Installation de VMware Horizon View
c
Mettez à jour l'entrée Virtual Host.
Par exemple, mettez à jour l'entrée comme suit :
# Configure SSL
<VirtualHost_default_:4443>
SSLEngine on
SSLCertificateFile ./conf/server.crt
SSLCertificateKeyFile ./conf/server.key
<Location /vprov>
SetHandler vprov
</Location>
</VirtualHost>
d
5
Enregistrez le fichier mod_vprov.conf.
Redémarrez le service Serveur de transfert VMware View pour que vos modifications prennent effet.
Suivant
Si nécessaire, configurez manuellement votre pare-feu Windows pour ouvrir les ports mis à jour.
Dimensionnement de paramètres de Windows Server pour prendre en
charge votre déploiement
Pour prendre en charge un déploiement important de postes de travail View Manager, vous pouvez configurer
les ordinateurs Windows Server sur lesquels vous installez Serveur de connexion View. Sur chaque ordinateur,
vous pouvez dimensionner le fichier d'échange Windows.
Sur les ordinateurs Windows Server 2008 64 bits, les ports éphémères, la table de hachage TCB et les paramètres
de la machine virtuelle Java sont dimensionnés par défaut. Ces réglages garantissent que les ordinateurs ont
des ressources adéquates pour s'exécuter correctement avec la charge utilisateur prévue.
Par défaut, le système peut créer un maximum de 16 000 ports éphémères environ qui s'exécutent
simultanément sur Windows Server 2008. 16 000 ports éphémères peuvent prendre en charge plus de 2 000
connexions client simultanées, le maximum pris en charge pour une instance de Serveur de connexion View.
Sur des ordinateurs Windows Server 2008, vous n'avez pas à augmenter la taille maximale de la table de
hachage TCB. Windows Server 2008 ajuste totalement cette valeur par défaut.
Pour les exigences matérielles et de mémoire pour Serveur de connexion View, reportez-vous à la section
« Exigences matérielles de Serveur de connexion View », page 8.
Pour des recommandations matérielles et de mémoire pour utiliser Serveur de connexion View dans un
déploiement important de View, consultez la section « Configuration de machine virtuelle et nombre maximum
dans Serveur de connexion View » dans le document Planification de l'architecture de VMware Horizon View.
122
VMware, Inc.
Chapitre 8 Première configuration de View
Dimensionnement de la machine virtuelle Java
Le programme d'installation de View Connection Server dimensionne la mémoire du segment de la machine
virtuelle Java (JVM) sur des ordinateurs View Connection Server pour prendre en charge un nombre important
de sessions de poste de travail View simultanées.
Sur un ordinateur Windows Server 64 bits avec au moins 10 Go de mémoire, le programme d'installation
configure une taille de segment JVM de 2 Go pour le composant View Secure Gateway Server. Cette
configuration prend en charge environ 2 000 sessions par tunnel simultanées, le nombre maximum que View
Connection Server peut prendre en charge. Augmenter la taille de segment JVM sur un ordinateur 64 bits avec
10 Go de mémoire n'a aucun avantage.
REMARQUE Sur un ordinateur View Connection Server 64 bits, 10 Go de mémoire sont recommandés pour le
déploiement de 50 postes de travail View ou plus. Configurez moins de 10 Go de mémoire uniquement pour
les petits déploiements de test de concept.
Si un ordinateur 64 bits possède moins de 10 Go de mémoire, le programme d'installation configure une taille
de segment JVM de 512 Mo pour le composant View Secure Gateway Server. Si l'ordinateur possède le
minimum requis de 4 Go de mémoire, cette configuration prend en charge environ 500 sessions par tunnel
simultanées. Cette configuration est plus qu'adéquate pour prendre en charge les petits déploiements de test
de concept.
Si vous augmentez la mémoire d'un ordinateur 64 bits à 10 Go pour prendre en charge un déploiement plus
important, View Connection Server n'augmente pas la taille de segment JVM. Pour ajuster la taille de segment
JVM à la valeur recommandée, réinstallez View Connection Server.
IMPORTANT Ne modifiez pas la taille de segment JVM sur des ordinateurs Windows Server 64 bits. Modifier
cette valeur peut rendre le comportement de View Connection Server instable. Sur des ordinateurs 64 bits, le
programme d'installation de View Connection Server définit la taille de segment JVM pour concorder avec la
mémoire physique. Si vous modifiez la mémoire physique sur un ordinateur View Connection Server 64 bits,
réinstallez View Connection Server pour réinitialiser la taille de segment JVM.
Configurer les paramètres du fichier d'échange du système
Vous pouvez optimiser la mémoire virtuelle sur les ordinateurs Windows Server sur lesquels vos instances de
View Connection Server sont installées en modifiant les paramètres du fichier d'échange du système.
Lors de l'installation de Windows Server, Windows calcule une taille de fichier d'échange initiale et maximale
sur la mémoire physique installée sur l'ordinateur. Ces paramètres par défaut restent fixes lorsque vous
redémarrez l'ordinateur.
Si l'ordinateur Windows Server est une machine virtuelle, vous pouvez modifier la taille de la mémoire via
vCenter Server. Toutefois, si Windows utilise le paramètre par défaut, la taille du fichier d'échange du système
ne s'ajuste pas à la nouvelle taille de mémoire.
Procédure
1
Sur l'ordinateur Windows Server sur lequel View Connection Server est installé, naviguez vers la boîte
de dialogue Virtual Memory (Mémoire virtuelle).
Par défaut, [Custom size (Taille personnalisée)] est sélectionné. Une taille de fichier d'échange initiale
et maximale apparaît.
2
Cliquez sur [System managed size (Taille gérée par le système)] .
Windows recalcule en continu la taille du fichier d'échange du système par rapport à l'utilisation de la mémoire
actuelle et de la mémoire disponible.
VMware, Inc.
123
Installation de VMware Horizon View
124
VMware, Inc.
Ajout du plug-in de postes de travail
View à vSphere Web Client
9
Le plug-in de postes de travail View vous permet d'utiliser vSphere Web Client pour rechercher des
informations sur les déploiements de View exécutés dans votre environnement vSphere. Vous ajoutez le plugin de postes de travail View à vSphere Web Client en l'enregistrant avec vCenter Lookup Service.
Dans View 5.2, le plug-in de postes de travail View est une fonction de la présentation technique qui vous
permet de naviguer rapidement entre les utilisateurs de postes de travail virtuels dans View et les machines
virtuelles sous-jacentes sur lesquelles ces postes de travail virtuels sont basés.
Utilisez le plug-in de postes de travail View pour dépanner le poste de travail d'un utilisateur. Si un utilisateur
appelle avec un problème tel qu'un poste de travail qui s'exécute lentement, vous pouvez immédiatement
accéder à la machine virtuelle de l'utilisateur sur la page Machines virtuelles de vSphere Web Client et résoudre
le problème.
Ce chapitre aborde les rubriques suivantes :
n
« Ajouter le plug-in View Desktops », page 125
n
« Rechercher des utilisateurs View dans vSphere Web Client », page 130
n
« Retirer le plug-in View Desktops », page 130
Ajouter le plug-in View Desktops
Pour ajouter le plug-in View Desktops à vSphere Web Client, vous devez configurer vCenter Lookup Service
et enregistrer le plug-in. Pour effectuer ces tâches, vous exécutez l'utilitaire regtool.cmd installé avec Serveur
de connexion View.
Procédure
1
Prise en charge de View Desktops pour les groupes View et les services vCenter Server page 126
Le plug-in View Desktops prend en charge un seul groupe d'instances répliquées de Serveur de
connexion View. Vous ne pouvez pas utiliser le plug-in View Desktops pour rechercher des postes de
travail gérés par différents groupes d'instances répliquées de Serveur de connexion View.
2
Conditions préalables pour l'inscription de View Desktops page 126
Avant d'ajouter le plug-in View Desktops à vSphere Web Client, vous devez vérifier que vos
environnements vSphere et View sont préparés pour l'inscription. Vous devez également identifier les
comptes d'utilisateur avec les privilèges d'administrateur requis pour enregistrer le plug-in.
3
Configurer View pour reconnaître vCenter Lookup Service page 127
Vous devez configurer View pour reconnaître vCenter Lookup Service. Vous réalisez cette tâche de
configuration une fois pour toutes les instances de Serveur de connexion View dans un groupe répliqué.
VMware, Inc.
125
Installation de VMware Horizon View
4
Enregistrer le plug-in View Desktops page 128
Vous devez enregistrer le plug-in View Desktops avec vCenter Single-Sign On Service et vCenter Lookup
Service.
Prise en charge de View Desktops pour les groupes View et les services vCenter
Server
Le plug-in View Desktops prend en charge un seul groupe d'instances répliquées de Serveur de connexion
View. Vous ne pouvez pas utiliser le plug-in View Desktops pour rechercher des postes de travail gérés par
différents groupes d'instances répliquées de Serveur de connexion View.
Même si plusieurs groupes View utilisent les mêmes vCenter Single Sign-On Service et vCenter Lookup
Service, le plug-in View Desktops ne peut prendre en charge qu'un seul groupe à la fois.
Pour utiliser le plug-in View Desktops pour un groupe View différent, vous devez désinscrire le plug-in View
Desktops sur toutes les instances de Serveur de connexion View dans le premier groupe et enregistrer le plugin sur les instances de Serveur de connexion View dans le deuxième groupe.
À l'inverse, si un groupe View est configuré avec plusieurs instances de vCenter Server, chacune utilisant ses
propres vCenter Single Sign-On Service et vCenter Lookup Service, vous pouvez configurer le plug-in View
Desktops pour un seul vCenter Lookup Service. Pour utiliser le plug-in View Desktops pour un vCenter
Lookup Service différent, vous devez désinscrire le plug-in View Desktops sur toutes les instances de Serveur
de connexion View et supprimer vCenter Lookup Service de Serveur de connexion View (le groupe View).
Vous pouvez ensuite configurer et enregistrer le groupe View pour utiliser le nouveau vCenter Lookup Service.
Pour plus d'informations sur la désinscription et la suppression du plug-in, reportez-vous à la section « Retirer
le plug-in View Desktops », page 130.
Conditions préalables pour l'inscription de View Desktops
Avant d'ajouter le plug-in View Desktops à vSphere Web Client, vous devez vérifier que vos environnements
vSphere et View sont préparés pour l'inscription. Vous devez également identifier les comptes d'utilisateur
avec les privilèges d'administrateur requis pour enregistrer le plug-in.
Procédure
n
Vérifiez que les produits suivants sont installés :
n
VMware vSphere 5.1 ou une mise à jour ou une version supérieure
n
VMware Horizon View 5.2 ou une mise à jour ou une version supérieure
n
Vérifiez que vSphere Web Client est configuré et accessible.
n
Vérifiez que les horloges du système sur vos systèmes vSphere et View sont synchronisées.
n
Vérifiez que des certificats SSL valides sont configurés sur vos serveurs vSphere et View.
Si le certificat SSL émis pour vCenter Lookup Service n'est pas approuvé par l'ordinateur Serveur de
connexion View sur lequel vous configurez le plug-in View Desktops, vous devez accepter l'empreinte
numérique du certificat vCenter Lookup Service lors de l'étape de configuration.
n
Vérifiez que des snapshots ont été pris des machines virtuelles sur lesquelles les services vCenter Server
sont installés :
n
vCenter Single Sign-On
n
vSphere Web Client
Ces services peuvent être configurés sur des systèmes séparés ou sur le même système.
126
VMware, Inc.
Chapitre 9 Ajout du plug-in de postes de travail View à vSphere Web Client
n
Vérifiez que vous avez un utilisateur avec des privilèges d'administrateur vCenter Single Sign-On (SSO).
Vous devez fournir ce compte lorsque vous enregistrez le plug-in View Desktops.
a
Connectez-vous à vSphere Web Client avec un compte d'utilisateur disposant de privilèges
d'administrateur vCenter SSO.
Par exemple, sur un vCenter Server exécuté sur Windows Server, l'utilisateur administrateur vCenter
SSO par défaut est Admin@System-Domain. Sur vCenter Server Virtual Appliance, l'utilisateur par
défaut est root@localos.
b
Allez à [Administration] > [Accès] > [Utilisateurs et groupes SSO] .
L'onglet Utilisateurs sur la page Utilisateurs et groupes vCenter Single Sign-On affiche les utilisateurs
avec des privilèges d'administrateur vCenter SSO. Vous pouvez utiliser n'importe quel utilisateur
affiché.
n
Vérifiez que vous avez un utilisateur avec le rôle Administrateurs View ou Administrateurs de
configuration et règles générales. Vous pouvez également utiliser un utilisateur avec le rôle
Administrateurs View sur un dossier individuel.
Vous devez fournir ce compte lorsque vous configurez vCenter Lookup Service et enregistrez le plug-in
View Desktops.
Vous autorisez un compte View Administrators lorsque vous installez Serveur de connexion View.
Reportez-vous à la section « Installer Serveur de connexion View avec une nouvelle configuration »,
page 42.
Dans l'interface utilisateur de View Administrator, vous pouvez autoriser des utilisateurs
supplémentaires avec le rôle Administrateurs View ou Administrateurs de configuration et règles
générales. En outre, vous pouvez autoriser un utilisateur à avoir le rôle Administrateurs View sur un
dossier individuel. Consultez la section « Gérer des administrateurs » dans le document Administration de
VMware Horizon View.
Suivant
Configurez vCenter Lookup Service.
Configurer View pour reconnaître vCenter Lookup Service
Vous devez configurer View pour reconnaître vCenter Lookup Service. Vous réalisez cette tâche de
configuration une fois pour toutes les instances de Serveur de connexion View dans un groupe répliqué.
Prérequis
n
Vérifiez que vos environnements vCenter Server et View sont préparés pour l'inscription. Reportez-vous
à la section « Conditions préalables pour l'inscription de View Desktops », page 126.
Procédure
1
Sur l'ordinateur Serveur de connexion View, allez à l'utilitaire regtool.cmd, situé dans le répertoire
suivant :
install_directory\VMware\VMware View\Server\TechPreview\ViewAdminPlugin
2
(Facultatif) Réglez la variable d'environnement JAVA_HOME sur le dossier jre.
Par exemple : set JAVA_HOME=c:\Program Files\VMware\VMware View\Server\jre
VMware, Inc.
127
Installation de VMware Horizon View
3
Configurez vCenter Lookup Service.
Par exemple :
regtool.cmd configureLookupService -u view-admin@domain -ld https://lookup-server:
7444/lookupservice/sdk
view-admin@domain est le nom d'utilisateur et le domaine d'un utilisateur avec le rôle Administrateurs
View.
lookup-server@domain est le nom d'hôte ou l'adresse IP et le domaine de l'ordinateur sur lequel vCenter
Lookup Service est installé.
4
Si le certificat SSL émis pour vCenter Lookup Service n'est pas approuvé par l'ordinateur Serveur de
connexion View, acceptez l'empreinte numérique de certificat.
Le message d'erreur suivant s'affiche :
Error: The security certificate presented by this Lookup Service was not
issued by a trusted certificate authority. The thumbprint of the certificate is
thumbprint.
Return code: -1
Acceptez l'empreinte numérique en utilisant l'option -lt et en copiant l'empreinte numérique. Vous
pouvez copier l'empreinte numérique affichée dans le message d'erreur et la coller dans la ligne de
commande.
Par exemple :
regtool.cmd configureLookupService -u view-admin@domain -ld https://lookup-server:
7444/lookupservice/sdk -lt thumbprint
L'empreinte numérique thumbprint peut ressembler à ce qui suit : 31:2A:32:50:1A:0B:
34:B1:65:46:13:A8:0A:5E:F7:43:6E:A9:2C:3E
5
À l'invite, tapez le mot de passe de l'utilisateur View Administrators.
Le code de retour 0 indique que la configuration a réussi.
REMARQUE Lorsque vous tapez le mot de passe, le message d'avertissement suivant peut apparaître. Vous
pouvez ignorer ce message :
log4j: WARN No appenders could be found for logger
<com.vmware.vim.vmomi.core.types.impl.VmodlContextImpl>.
log4j: WARN Please initialize the log4j system properly.
Suivant
Enregistrez le plug-in View Desktops.
Enregistrer le plug-in View Desktops
Vous devez enregistrer le plug-in View Desktops avec vCenter Single-Sign On Service et vCenter Lookup
Service.
Vous devez enregistrer le plug-in View Desktops sur chaque instance de Serveur de connexion View dans un
groupe répliqué. Répétez cette procédure sur chaque ordinateur Serveur de connexion View.
REMARQUE Les commandes regtool.cmd register dans cette procédure supposent que votre service Serveur
de connexion View utilise le port par défaut, 443. Si vous modifiez le port par défaut de Serveur de connexion
View, utilisez l'option -p port-number avec la commande regtool.cmd register pour spécifier le numéro de
port personnalisé.
128
VMware, Inc.
Chapitre 9 Ajout du plug-in de postes de travail View à vSphere Web Client
Prérequis
Vérifiez que vCenter Lookup Service est configuré pour le plug-in View Desktops. Reportez-vous à la section
« Configurer View pour reconnaître vCenter Lookup Service », page 127.
Procédure
1
Sur l'ordinateur Serveur de connexion View, allez à l'utilitaire regtool.cmd, situé dans le répertoire
suivant :
install_directory\VMware\VMware View\Server\TechPreview\ViewAdminPlugin
2
Enregistrez le plug-in View Desktops.
Par exemple : regtool.cmd register -u view-admin@domain -lu sso-admin@domain
view-admin@domain est le nom d'utilisateur et le domaine d'un utilisateur avec le rôle Administrateurs
View.
sso-admin@domain est le nom d'utilisateur et le domaine d'un utilisateur avec les privilèges
d'administrateur vCenter SSO. Sur un vCenter Server exécuté sur Windows Server, l'utilisateur
administrateur vCenter SSO par défaut est Admin@System-Domain. Sur vCenter Server Virtual Appliance,
l'utilisateur par défaut est root@localos.
3
À l'invite, tapez le mot de passe de l'utilisateur View Administrators.
4
À l'invite, tapez le mot de passe de l'utilisateur administrateur vCenter SSO.
Le code de retour 0 indique que la configuration a réussi.
REMARQUE Lorsque vous tapez le mot de passe, le message d'avertissement suivant peut apparaître. Vous
pouvez ignorer ce message :
log4j: WARN No appenders could be found for logger
<com.vmware.vim.vmomi.core.types.impl.VmodlContextImpl>.
log4j: WARN Please initialize the log4j system properly.
5
Si nécessaire, redémarrez le service VMware vSphere Web Client.
Dans certains cas, ce service doit être redémarré pour que l'enregistrement prenne effet.
Le service réside sur l'ordinateur vCenter Server ou un autre ordinateur, pas sur l'ordinateur Serveur de
connexion View.
6
(Facultatif) Vérifiez que le groupe Serveur de connexion View, le plug-in View Desktops et l'instance de
Serveur de connexion View ont été enregistrés à l'aide de la commande regtool.cmd showDetails.
Par exemple : regtool.cmd showDetails -u view-admin@domain
Suivant
Connectez-vous à vSphere Web Client pour vérifier que le plug-in View Desktops a été ajouté. Reportez-vous
à la section « Rechercher des utilisateurs View dans vSphere Web Client », page 130.
VMware, Inc.
129
Installation de VMware Horizon View
Rechercher des utilisateurs View dans vSphere Web Client
Dans [View Desktops] dans vSphere Web Client, vous pouvez effectuer une recherche rapide ou simple d'un
utilisateur View, afficher les postes de travail associés à cet utilisateur et examiner les machines virtuelles sousjacentes. Après avoir configuré le plug-in View Desktops, effectuez cette tâche pour vérifier que le plug-in a
été ajouté à vSphere Web Client.
Lorsque vous recherchez un utilisateur View dans vSphere Web Client, [View Desktops] affiche des postes
de travail flottants sur lesquels l'utilisateur a ouvert une session et des postes de travail dédiés affectés à
l'utilisateur. Notez qu'un poste de travail flottant est affiché même lorsque la session est dans un état
déconnecté. Si un utilisateur est autorisé sur un pool de postes de travail flottants mais qu'il n'a pas de session
ouverte, aucun poste de travail flottant dans ce pool n'est affiché.
Cette procédure utilise la recherche rapide. Vous pouvez également utiliser une recherche simple pour
rechercher des utilisateurs View. Dans cette présentation technique, vous ne pouvez pas utiliser la recherche
avancée pour rechercher des utilisateurs View.
Prérequis
n
Vérifiez que le plug-in View Desktops a été configuré avec vCenter Lookup Service et enregistré avec
vSphere Web Client. Reportez-vous aux sections « Configurer View pour reconnaître vCenter Lookup
Service », page 127 et « Enregistrer le plug-in View Desktops », page 128.
n
Vérifiez que vous pouvez ouvrir une session sur vSphere Web Client en tant qu'utilisateur avec le rôle
Administrateurs View ou Administrateurs View (lecture seule) et avec le privilège Administrateur
vSphere pour les machines virtuelles de poste de travail View et les dossiers vCenter Server qui stockent
les machines virtuelles.
Si vous recherchez des postes de travail sans disposer du privilège Administrateur vSphere, les noms de
machine virtuelle sont affichés sous forme de liens désactivés et vous ne pouvez pas accéder aux
informations de machine virtuelle.
Procédure
1
Ouvrez une session sur vSphere Web Client en tant qu'utilisateur avec le rôle Administrateurs View ou
Administrateurs View (lecture seule) et les privilèges Administrateur vSphere appropriés.
Par exemple : https://vSphere_Web_Client_IP_address_or_FQDN:9443/vsphere-client/
2
Dans la zone Rechercher, tapez le nom d'un utilisateur de View.
3
Sélectionnez le nom d'utilisateur dans les résultats de la recherche.
4
Sélectionnez un poste de travail associé à l'utilisateur dans la liste de postes de travail.
5
Allez à la page Machines virtuelles pour voir des détails sur la machine virtuelle de poste de travail sousjacente.
Retirer le plug-in View Desktops
Pour retirer le plug-in View Desktops de vSphere Web Client, vous devez désinscrire le plug-in sur chaque
instance de Serveur de connexion View dans un groupe répliqué. Ensuite, vous retirez la configuration vCenter
Lookup Service.
Dans un groupe répliqué d'instances de Serveur de connexion View, vous ne pouvez pas désinscrire l'instance
sur laquelle vous avez enregistré le plug-in View Desktops en premier tant que toutes les autres instances ne
sont pas désinscrites.
130
VMware, Inc.
Chapitre 9 Ajout du plug-in de postes de travail View à vSphere Web Client
Si vous prévoyez de réaliser des opérations de maintenance sur les instances de Serveur de connexion View
dans un groupe répliqué, vous pouvez utiliser l'option -f avec la commande regtool.cmd
removeLookUpService pour désinscrire toutes les instances de Serveur de connexion View et retirer la
configuration vCenter Lookup Service en une seule étape.
Si vous prévoyez d'interrompre une instance de Serveur de connexion View pour une maintenance planifiée,
vous devez désinscrire l'instance de vCenter Lookup Service avant de démarrer la procédure de maintenance.
Procédure
1
Sur l'ordinateur Serveur de connexion View, allez à l'utilitaire regtool.cmd, situé dans le répertoire
suivant :
install_directory\VMware\VMware View\Server\TechPreview\ViewAdminPlugin
2
Désinscrivez le plug-in View Desktops.
Par exemple : regtool.cmd unregister -u view-admin@domain
view-admin@domain est le nom d'utilisateur et le domaine d'un utilisateur avec le rôle Administrateurs
View.
3
À l'invite, tapez le mot de passe de l'utilisateur View Administrators.
Le code de retour 0 indique que la configuration a réussi.
4
Répétez les étapes précédentes pour désinscrire le plug-in sur toutes les instances de Serveur de connexion
View dans un groupe répliqué.
Lorsque toutes les autres instances sont désinscrites, désinscrivez le plug-in sur l'instance sur laquelle
vous avez effectué l'inscription en premier.
5
Retirez la configuration vCenter Lookup Service de Serveur de connexion View.
Par exemple : regtool.cmd removeLookUpService -u view-admin@domain
Vous pouvez exécuter cette commande sur n'importe quelle instance de Serveur de connexion View dans
un groupe répliqué. La commande échoue si le plug-in View Desktops est toujours enregistré sur une
instance de Serveur de connexion View.
6
À l'invite, tapez le mot de passe de l'utilisateur View Administrators.
Le code de retour 0 indique que la configuration a réussi.
VMware, Inc.
131
Installation de VMware Horizon View
132
VMware, Inc.
Configuration du reporting
d'événements
10
Vous pouvez créer une base de données des événements pour enregistrer des informations sur des événements
de View Manager. En outre, si vous utilisez un serveur Syslog, vous pouvez configurer Serveur de connexion
View pour qu'il envoie des événements à un serveur Syslog ou créer un fichier plat d'événements écrit au
format Syslog.
Ce chapitre aborde les rubriques suivantes :
n
« Ajouter une base de données et un utilisateur de base de données pour des événements View »,
page 133
n
« Préparer une base de données SQL Server pour le reporting d'événements », page 134
n
« Configurer la base de données des événements », page 135
n
« Configurer la journalisation des événements pour des serveurs Syslog », page 136
Ajouter une base de données et un utilisateur de base de données pour
des événements View
Vous créez une base de données des événements en l'ajoutant à un serveur de base de données existant. Vous
pouvez alors utiliser un logiciel de reporting d'entreprise pour analyser les événements dans la base de
données.
Le serveur de base de données pour la base de données des événements peut résider sur un hôte de View
Connection Server lui-même ou sur un serveur dédié. Vous pouvez également utiliser un serveur de base de
données existant approprié, tel qu'un serveur hébergeant une base de données View Composer.
REMARQUE Vous n'avez pas à créer une source de données ODBC pour cette base de données.
Prérequis
n
Vérifiez que vous possédez un serveur de base de données Microsoft SQL Server ou Oracle pris en charge
sur un système auquel une instance de View Connection Server a accès. Pour voir une liste des versions
de base de données prises en charge, reportez-vous à la section « Exigences de base de données pour View
Composer », page 11.
n
Vérifiez que vous disposez des privilèges de base de données requis pour créer une base de données et
un utilisateur sur le serveur de base de données.
n
Si vous ne connaissez pas bien la procédure pour créer des bases de données sur des serveurs de base de
données Microsoft SQL Server, reportez-vous aux étapes dans la section « Ajouter une base de données
View Composer à SQL Server », page 30.
VMware, Inc.
133
Installation de VMware Horizon View
n
Si vous ne connaissez pas bien la procédure pour créer des bases de données sur des serveurs de base de
données Oracle, reportez-vous aux étapes dans la section « Ajouter une base de données View Composer
à Oracle 11g ou 10g », page 33.
Procédure
1
Ajoutez une nouvelle base de données au serveur et donnez-lui un nom descriptif tel que ViewEvents.
2
Ajoutez un utilisateur à cette base de données qui a l'autorisation de créer des tableaux, des vues et, dans
le cas d'Oracle, des déclenchements et des séquences, ainsi que l'autorisation de lire ces objets et d'incrire
sur ces objets.
Pour une base de données Microsoft SQL Server, n'utilisez pas la méthode du modèle de sécurité
d'authentification Windows intégrée. Assurez-vous d'utiliser la méthode d'authentification SQL Server.
La base de données est créée, mais le schéma n'est pas installé tant que vous n'avez pas configuré la base de
données dans View Administrator.
Suivant
Suivez les instructions de la section « Configurer la base de données des événements », page 135.
Préparer une base de données SQL Server pour le reporting
d'événements
Avant de pouvoir utiliser View Administrator pour configurer une base de données des événements sur
Microsoft SQL Server, vous devez configurer les propriétés TCP/IP correctes et vérifier que le serveur utilise
l'authentification SQL Server.
Prérequis
n
Créez une base de données SQL Server pour le reporting d'événements. Reportez-vous à la section
« Ajouter une base de données et un utilisateur de base de données pour des événements View »,
page 133.
n
Vérifiez que vous disposez des privilèges de base de données requis pour configurer la base de données.
n
Vérifiez que le serveur de base de données utilise la méthode d'authentification SQL Server. N'utilisez pas
l'authentification Windows.
Procédure
1
Ouvrez le Gestionnaire de configuration SQL Server et développez [SQL ServerYYYYNetwork
Configuration (Configuration du réseau SQL ServerYYYY)] .
2
Sélectionnez [Protocols forserver_name(Protocoles pourserver_name)] .
3
Dans la liste de protocoles, cliquez avec le bouton droit sur [TCP/IP] et sélectionnez [Properties
(Propriétés)] .
4
Définissez la propriété [Enabled (Activé)] sur [Yes (Oui)] .
5
Vérifiez qu'un port est affecté ou, si nécessaire, affectez-en un.
Pour plus d'informations sur les ports statiques et dynamiques et comment les affecter, consultez l'aide
en ligne du Gestionnaire de configuration SQL Server.
6
Vérifiez que ce port n'est pas bloqué par un pare-feu.
Suivant
Utilisez View Administrator pour connecter la base de données à View Connection Server. Suivez les
instructions de la section « Configurer la base de données des événements », page 135.
134
VMware, Inc.
Chapitre 10 Configuration du reporting d'événements
Configurer la base de données des événements
La base de données des événements stocke des informations sur des événements View sous forme
d'enregistrements dans une base de données plutôt que dans un fichier journal.
Vous configurez une base de données des événements après l'installation d'une instance de Serveur de
connexion View. Vous devez configurer uniquement un hôte dans un groupe Serveur de connexion View. Les
hôtes restant dans le groupe sont configurés automatiquement.
REMARQUE La sécurité de la connexion de la base de données entre l'instance de Serveur de connexion View
et une base de données externe est de la responsabilité de l'administrateur, même si le trafic des événements
est limité à des informations sur l'intégrité de l'environnement View. Si vous voulez prendre des précautions
supplémentaires, vous pouvez sécuriser ce canal via IPSec ou d'autres moyens ou vous pouvez déployer la
base de données localement sur l'ordinateur Serveur de connexion View.
Vous pouvez utiliser des outils de rapport de base de données de Microsoft SQL Server ou d'Oracle pour
examiner des événements dans les tableaux de base de données. Pour plus d'informations, consultez le
document Intégration de VMware Horizon View.
Vous pouvez également générer des événements View au format Syslog pour qu'un logiciel d'analyse tiers
puisse accéder aux données d'événement. Vous utilisez la commande vdmadmin avec l'option -I pour
enregistrer des messages d'événement View au format Syslog dans des fichiers de journal des événements.
Consultez la section « Génération de messages de journal des événements View au format Syslog à l'aide de
l'option -I » dans le document Administration de VMware Horizon View.
Prérequis
Vous avez besoin des informations suivantes pour configurer une base de données des événements :
n
Le nom DNS ou l'adresse IP du serveur de base de données.
n
Le type de serveur de base de données : Microsoft SQL Server ou Oracle.
n
Le numéro de port utilisé pour accéder au serveur de base de données. Le port par défaut est 1521 pour
Oracle et 1433 pour SQL Server. Pour SQL Server, si le serveur de base de données est une instance
nommée, ou si vous utilisez SQL Server Express, vous devez déterminer le numéro de port. Pour plus
d'informations sur la connexion à une instance nommée de SQL Server, consultez l'article de la Base de
connaissances Microsoft à l'adresse http://support.microsoft.com/kb/265808.
n
Le nom de la base de données des événements que vous avez créé sur le serveur de base de données.
Reportez-vous à la section « Ajouter une base de données et un utilisateur de base de données pour des
événements View », page 133.
n
Le nom d'utilisateur et le mot de passe de l'utilisateur que vous avez créés pour cette base de données.
Reportez-vous à la section « Ajouter une base de données et un utilisateur de base de données pour des
événements View », page 133.
Utilisez l'authentification SQL Server pour cet utilisateur. N'utilisez pas la méthode du modèle de sécurité
d'authentification Windows intégrée.
n
Un préfixe pour les tableaux dans la base de données des événements, par exemple, VE_. Le préfixe permet
de partager la base de données sur plusieurs installations de View.
REMARQUE Vous devez saisir des caractères valides pour le logiciel de base de données que vous utilisez.
La syntaxe du préfixe n'est pas vérifiée lorsque vous remplissez la boîte de dialogue. Si vous saisissez des
caractères qui ne sont pas valides pour le logiciel de base de données que vous utilisez, une erreur se
produit lorsque Serveur de connexion View tente de se connecter au serveur de base de données. Le fichier
journal indique toutes les erreurs, y compris cette erreur et les autres renvoyées à partir du serveur de
base de données si le nom de la base de données n'est pas valide.
VMware, Inc.
135
Installation de VMware Horizon View
Procédure
1
Dans View Administrator, sélectionnez [Configuration de View] > [Configuration d'événements] .
2
Dans la fenêtre [Base de données des événements] , cliquez sur [Modifier] , saisissez les informations
dans les champs fournis et cliquez sur [OK] .
3
(Facultatif) Dans la fenêtre Paramètres des événements, cliquez sur [Modifier] , modifiez le délai
d'affichage des événements et le nombre de jours pour classer des événements comme nouveaux et cliquez
sur [OK] .
Ces paramètres concernent la durée pendant laquelle les événements sont répertoriés dans l'interface de
View Administrator. Après cette durée, les événements ne sont disponibles que dans les tableaux de base
de données historiques.
La fenêtre Database Configuration (Configuration de base de données) affiche la configuration actuelle
de la base de données des événements.
4
Sélectionnez [Contrôle] > [Événements] pour vérifier que la connexion à la base de données des
événements fonctionne correctement.
Si la connexion échoue, un message d'erreur apparaît. Si vous utilisez SQL Express ou une instance
nommée de SQL Server, vous devez déterminer le numéro de port correct, comme indiqué dans les
conditions préalables.
Dans le tableau de bord de View Administrator, l'état du composant système affiche le serveur de base de
données des événements sous le titre Reporting Database (Base de données de rapports).
Configurer la journalisation des événements pour des serveurs Syslog
Vous pouvez générer des événements View au format Syslog pour qu'un logiciel d'analyse puisse accéder aux
données d'événement.
Vous devez configurer uniquement un hôte dans un groupe Serveur de connexion View. Les hôtes restant
dans le groupe sont configurés automatiquement.
Si vous activez la journalisation d'événements basée sur des fichiers, les événements sont accumulés dans un
fichier journal local. Si vous spécifiez un partage de fichiers, ces fichiers journaux sont déplacés dans ce partage.
n
Utilisez un fichier local uniquement pour un dépannage rapide lors de la configuration, peut-être avant
que la base de données des événements soit configurée, pour que vous puissiez voir les événements.
La taille maximale du répertoire local pour les journaux des événements, y compris les fichiers journaux
fermés, avant que les fichiers les plus anciens soient supprimés, est de 300 Mo. La destination par défaut
de la sortie Syslog est %PROGRAMDATA%\VMware\VDM\events\.
n
Utilisez un chemin d'accès UNC pour enregistrer les fichiers journaux afin de conserver longtemps les
événements, ou si vous ne possédez pas de serveur Syslog ou si votre serveur Syslog actuel ne répond pas
à vos besoins.
Vous pouvez également utiliser une commande vdmadmin pour configurer la journalisation d'événements basée
sur des fichiers au format Syslog. Consultez la rubrique sur la génération de messages de journal des
événements View au format Syslog à l'aide de l'option -I de la commande vdmadmin, dans le document
Administration de VMware Horizon View.
IMPORTANT Des données Syslog sont envoyées sur le réseau sans chiffrement logiciel et elles peuvent contenir
des données sensibles, telles que des noms d'utilisateur. VMware recommande d'utiliser une sécurité de couche
de liaison, telle qu'IPSEC, pour éviter que ces données soient surveillées sur le réseau.
136
VMware, Inc.
Chapitre 10 Configuration du reporting d'événements
Prérequis
Vous avez besoin des informations suivantes pour configurer Serveur de connexion View pour que les
événements puissent être enregistrés au format Syslog ou envoyés à un serveur Syslog, ou les deux :
n
Si vous prévoyez d'utiliser un serveur Syslog pour écouter les événements View sur un port UDP, vous
devez posséder le nom DNS ou l'adresse IP du serveur Syslog et le numéro de port UDP. Le numéro de
port UDP par défaut est 514.
n
Si vous prévoyez de collecter des journaux dans un format de fichier plat, vous devez posséder le chemin
d'accès UNC vers le partage de fichiers et le dossier dans lequel seront stockés les fichiers journaux, et
vous devez posséder le nom d'utilisateur, le nom de domaine et le mot de passe d'un compte avec
l'autorisation d'écrire sur le partage de fichiers.
Procédure
1
Dans View Administrator, sélectionnez [Configuration de View] > [Configuration d'événements] .
2
(Facultatif) Dans la zone [Syslog] , pour configurer Serveur de connexion View afin qu'il envoie des
événements à un serveur Syslog, cliquez sur [Ajouter] à côté de [Envoyer à des serveurs syslog] et
indiquez le nom de serveur ou l'adresse IP et le numéro de port UDP.
3
(Facultatif) Pour permettre à des messages de journal des événements View d'être générés et stockés au
format Syslog, dans des fichiers journaux, cochez la case [Enregistrer dans un fichier : Activer] .
Les fichiers journaux sont conservés localement, sauf si vous spécifiez un chemin d'accès UNC vers un
partage de fichiers.
4
(Facultatif) Pour stocker les messages de journal des événements View sur un partage de fichiers, cliquez
sur [Ajouter] à côté de [Copier vers l'emplacement] et indiquez le chemin d'accès UNC vers le partage
de fichiers et le dossier dans lequel seront stockés les fichiers journaux, avec le nom d'utilisateur, le nom
de domaine et le mot de passe d'un compte avec l'autorisation d'écrire sur le partage de fichiers.
Voici un exemple de chemin d'accès UNC :
\\syslog-server\folder\file
VMware, Inc.
137
Installation de VMware Horizon View
138
VMware, Inc.
Index
A
C
accès HTML, configuration 114
Active Directory
configuration de domaines et de relations
d'approbation 21
préparation pour l'authentification par carte à
puce 25
préparation pour l'utilisation avec View 21
attribut userPrincipalName 26
authentification par carte à puce
préparation d'Active Directory 25
UPN pour utilisateurs de carte à puce 26
CBRC, configuration pour vCenter Server 107
certificat par défaut, remplacement 75
certificat racine, importation dans le magasin de
certificats Windows 83
certificats
accepter l'empreinte numérique 110
approbation des certificats de vCenter Server
dans View Administrator 94
approbation des certificats de View Composer
dans View Administrator 94
avantages de l'utilisation 94
configuration 75
configuration des clients pour approuver la
racine 85
création d'un nouveau 78
déterminer quand configurer pour View
Composer 36
importation dans un magasin de certificats
Windows 80
nom convivial 82
obtention auprès d'une autorité de
certification 78
obtention de signatures du magasin de
certificats Windows 79
présentation de la configuration 77
recommandations et concepts 76
remplacement du certificat par défaut 75
Serveur de transfert View 93
vérification dans View Client 88
View Client pour iPad 87
View Client pour Mac OS X 86
certificats intermédiaires, ajout à des autorités de
certification intermédiaires 28
certificats racine
ajout à des racines approuvées 27, 85
ajout au magasin Enterprise NTAuth 28
clé de licence, Serveur de connexion View 101
clients View, configuration de connexions 112
commande certutil 28
commentaires sur la documentation, comment
fournir 5
composants View, options de ligne de commande
pour l'installation silencieuse 64
comptes d'utilisateur
exigences 95
B
base de données des événements
configuration de SQL Server 134
création pour View 133, 135
base de données Oracle 10g
ajout d'une source de données ODBC 35
ajout pour View Composer 32, 33
configuration d'un utilisateur de base de
données 34
base de données Oracle 11g
ajout d'une source de données ODBC 35
ajout pour View Composer 32, 33
configuration d'un utilisateur de base de
données 34
base de données SQL Server
ajout d'une source de données ODBC 31
ajout pour View Composer 30
préparation pour la base de données des
événements 134
base de données View Composer
configuration 11, 29
Oracle 11g et 10g 32, 33
source de données ODBC pour Oracle 11g ou
10g 35
source de données ODBC pour SQL
Server 31
SQL Server 30
bases de données
création pour View Composer 29
événements View 133, 135
bases de données Microsoft SQL Server 11
bases de données Oracle 11
bases de données SQL Server 11
VMware, Inc.
139
Installation de VMware Horizon View
vCenter Server 23, 95, 96
View Composer 23, 95
configuration de poste de travail local
ajout d'une instance de View Transfer
Server 67
création d'un utilisateur de vCenter Server 96
configuration de Serveur de connexion View,
remplacement du certificat par
défaut 75
configuration de Serveur de transfert View
ajout d'une instance 69
référentiel de Serveur de transfert 70
configuration de View Composer
certificats SSL 36
création d'un compte d'utilisateur 23
création d'un utilisateur de vCenter Server 23,
95, 96
domaines 105
nombre maximal d'opérations
simultanées 108
paramètres dans View Administrator 103
privilèges pour l'utilisateur de vCenter
Server 99
configuration de View Connection Server
base de données des événements 133
présentation 41
relations d'approbation 21
taille du fichier d'échange du système 123
configuration du poste de travail local
ajout d'une instance de Serveur de transfert
View 68, 69
privilèges pour l'utilisateur vCenter Server 99
configuration initiale, Présentation 95
configuration matérielle requise
PCoIP 16
View Composer, autonome 10
connexions directes, configuration 113
CRL (liste de révocation de certificat) 87
CSR, création via l'inscription de certificats
Windows 79
D
demandes de signature de certificat, , voir CSR
désinstallation de composants View 66
dimensionnement de paramètres de Windows
Server, augmentation de la taille de
segment JVM 123
disques fragmentés, configuration pour vCenter
Server 105
E
empreinte numérique, accepter un certificat par
défaut 110
erveurs de sécurité, installation en silence 56
événements, envoyé à des serveurs Syslog 136
exigences de navigateur Web 9
140
exigences logicielles, composants de serveur 7
exigences logicielles du système d'exploitation
client 15
exigences matérielles, Serveur de connexion
View 8
exigences navigateur 9
F
fichier httpd.conf, modification du port de Serveur
de transfert View 121
fichiers de modèle d'administration 25
filtrage de domaine 22
Firefox, versions prises en charge 9
G
Gestion de persona, configuration requise pour
l'installation autonome 16
glossaire, emplacement 5
GPO, liaison à une UO de poste de travail
View 25
groupes Active Directory
création pour des comptes de client en mode
kiosque 22
création pour des utilisateurs et des
administrateurs de View 23
H
hôtes ESX/ESXi, View Composer 38
HTML Access, ouverture du port 114
I
infrastructure View Composer
configuration de vSphere 38
optimisation 38
test de la résolution DNS 38
installation de Serveur de connexion View
clé de licence produit 101
conditions préalables 42
configuration de réseau 9
exigences du logiciel de virtualisation 8
instances répliquées 47
propriétés de l'installation silencieuse 47
réinstallation avec une configuration de
sauvegarde 63
serveur unique 42
serveurs de sécurité 54
silence 45
systèmes d'exploitation pris en charge 8
installation de Serveur de transfert View
exigences de machine virtuelle 12
fichier du programme d'installation 68
silence 73
stratégies de groupe pour l'installation
silencieuse 72
systèmes d'exploitation pris en charge 13
VMware, Inc.
Index
installation de View Composer
fichier du programme d'installation 36
présentation des exigences 10
vue d'ensemble 29
installation de View Connection Server
présentation 41
présentation des exigences 7
types d'installation 41
installation de View Transfer Server
exigences de stockage 13
présentation 67
présentation des exigences 12
propriétés de l'installation silencieuse 74
silence 72
installation silencieuse
instances répliquées 50
Serveur de connexion View 45
Serveur de transfert View 73
serveurs de sécurité 56
stratégies de groupe pour autoriser
l'installation 72
View Transfer Server 72
instances de vCenter Server, ajout dans View
Administrator 102
instances répliquées
exigences de réseau 9
installation 47
installation en silence 50
propriétés de l'installation silencieuse 52
Internet Explorer, versions prises en charge 9
IPsec, configuration d'un pare-feu principal 62
L
La configuration de Serveur de connexion View
base de données des événements 133, 135
connexions client 112
dimensionnement de paramètres de Windows
Server 122
événements pour des serveurs syslog 136
première fois 100
URL externe 115, 116
logiciel antivirus, View Composer 38
M
magasin de certificats Windows
configuration de certificats 80
importation d'un certificat 81
importation d'un certificat racine 83
Magasin de certificats Windows, obtention d'un
certificat signé 79
magasin Enterprise NTAuth, ajout de certificats
racine 28
Microsoft Windows Installer
désinstallation de composants View en
silence 66
VMware, Inc.
options de ligne de commande pour l'installation
silencieuse 64
propriétés MSI pour View Transfer Server 74
propriétés pour le serveur de sécurité 59
propriétés pour Serveur de connexion
View 47
propriétés pour Serveur de connexion View
répliqué 52
mise à niveau de View Composer
compatibilité avec des versions de vCenter
Server 10
exigences de système d'exploitation 10
présentation des exigences 10
mise en cache de l'hôte, pour vCenter
Server 107
MMC, ajout du composant logiciel enfichable 81
mod_vprov.conf, modification du port de Serveur
de transfert View 121
mode kiosque, préparation d'Active Directory 22
N
nom convivial
modification des certificats SSL 82
paramètre de registre pour PSG 92
O
objets de stratégie de groupe, , voir GPO
ODBC
connexion à Oracle 11g ou 10g 35
connexion à SQL Server 31
opérations d'alimentation, définition de limites de
simultanéité 109
opérations d'alimentation simultanées max.,
recommandations sur la
configuration 109
option ReplaceCertificate, utilitaire sviconfig 84
Oracle 10g, création d'une base de données View
Composer avec un script 34
Oracle 11g, création d'une base de données View
Composer avec un script 34
P
pare-feu, configuration 42
PCoIP, configuration matérielle requise 16
PCoIP Secure Gateway
configuration d'un certificat SSL 89
empêcher l'accès des clients hérités 93
importation d'un certificat 91
nom de sujet de certificat 90
URL externe 115
port
changement pour le serveur de sécurité 118
changement pour PCoIP Secure
Gateway 119
changement pour Serveur de connexion
View 118
141
Installation de VMware Horizon View
changement pour Serveur de transfert
View 121
changement pour View Composer 120
ports, remplacement des ports par défaut 118
ports TCP
Serveur de connexion View 61
Serveur de transfert View 72
postes de travail View
ajout du plug-in à vSphere Web Client 125
configuration de connexions directes 113
enregistrement du plug-in View Desktops 128
retrait du plug-in de vSphere Web Client 130
tâches préalables pour le plug-in View
Desktops 126
protocoles d'affichage à distance
PCoIP 16
RDP 18
R
RDP 18
référentiel de Serveur de transfert,
configuration 70
règles
Groupes restreints 24
Intermediate Certification Authorities (Autorités
de certification intermédiaires) 28
Trusted Root Certification Authorities (Autorités
de certification racine de
confiance) 27
règles de pare-feu
pare-feu principal 62
Serveur de connexion View 61
Serveur de transfert View 72
réinstallation, Serveur de connexion View 63
relations d'approbation, configuration pour View
Connection Server 21
répertoire GroupPolicyFiles 25
répondeur OCSP, pour la vérification de la
révocation des certificats 87
résolution DNS, View Composer 38
S
security servers (serveurs de sécurité)
configuration d'un mot de passe de
couplage 53
configuration d'une URL externe 115
Serveur de connexion View, exigences
matérielles 8
Serveur de transfert View, certificats SSL 93
serveurs de sécurité
exigences de système d'exploitation 8
fichier du programme d'installation 54
modification d'une URL externe 117
ouverture du port pour HTML Access 114
préparer la mise à niveau ou la
réinstallation 60
142
propriétés de l'installation silencieuse 59
supprimer des règles IPsec 60
serveurs Syslog, configuration d'événements
View à envoyer 136
services professionnels 5
SQL Server Management Studio Express,
installation 30
SSL, accepter une empreinte numérique de
certificat 110
storage, récupération d'espace disque 105
stratégie Groupes restreints, configuration 24
stratégie Intermediate Certification Authorities
(Autorités de certification
intermédiaires) 28
stratégie Trusted Root Certification Authorities
(Autorités de certification racine de
confiance) 27, 85
support, en ligne et téléphonique 5
support technique et formation 5
T
taille de segment JVM, valeur par défaut 123
taille du fichier d'échange, View Connection
Server 123
taille du fichier d'échange du système, Windows
Server 123
tunnel sécurisé, URL externe 115
U
unités d'organisation, , voir UO
UO
création pour des comptes de client en mode
kiosque 22
création pour des postes de travail View 22
UPN, utilisateurs de carte à puce 26
URL externes
configuration pour une instance de Serveur de
connexion View 116
modification pour un serveur de sécurité 117
objectif et format 115
utilisateur de vCenter Server
privilèges de mode local 99
privilèges de vCenter Server 98
privilèges de View Composer 99
utilitaire sviconfig
configuration des certificats 84
option ReplaceCertificate 84
V
vCenter Lookup Service
configuration pour View Desktops 127
enregistrement du plug-in View Desktops 128
prise en charge du plug-in View Desktops 126
vCenter Server
comptes d'utilisateur 23, 95
configuration de disques fragmentés 105
VMware, Inc.
Index
configuration de la mise en cache de
l'hôte 107
configuration du nombre maximal d'opérations
simultanées 108
configuration pour View Composer 38
création d'un utilisateur pour le mode local 96
installation du service View Composer 36
vCenter Single Sign-On Service, prise en charge
du plug-in View Desktops 126
vérification de la révocation des certificats,
activation 87
View Administrator
configuration 9
ouverture de session 100
présentation 100
View Agent, exigences d'installation 15
View Client pour iPad, approbation du certificat
racine 87
View Client pour Mac OS X, approbation du
certificat racine 86
View Composer, exigences matérielles de View
Composer autonome 10
View Storage Accelerator, configuration pour
vCenter Server 107
vSphere, configuration pour View Composer 38
vSphere Web Client
ajout du plug-in de postes de travail View 125
configurer le plug-in View Desktops 125
recherche d'utilisateurs View 130
retrait du plug-in View Desktops 130
W
Windows Server, taille du fichier d'échange du
système 123
VMware, Inc.
143
Installation de VMware Horizon View
144
VMware, Inc.

Manuels associés