2024年3月10日发(作者:)
VMWare Horizon 7 管理指南
VMware Horizon 7 7.5
目录
Horizon 7 管理指南6
1
使用 Horizon Administrator7
Horizon Administrator 和 Horizon 连接服务器7
登录到 Horizon Administrator7
有关使用 Horizon Administrator 界面的提示8
排除 Horizon Administrator 中的文本显示故障10
2
配置 Horizon 连接服务器11
配置 vCenter Server 和 View Composer11
备份 Horizon 连接服务器23
配置客户端会话设置23
禁用或启用 Horizon 连接服务器35
编辑外部 URL35
加入或退出客户体验计划36
View LDAP 目录37
3
设置智能卡身份验证39
使用智能卡登录39
在 Horizon 连接服务器上配置智能卡身份验证40
在第三方解决方案上配置智能卡身份验证45
为智能卡身份验证准备 Active Directory46
验证智能卡身份验证配置48
使用智能卡证书撤消检查49
4
设置其他类型的用户身份验证53
使用双因素身份验证53
使用 SAML 身份验证57
配置生物身份验证62
5
在不需要凭据的情况下对用户进行身份验证64
为已发布的应用程序提供未验证访问64
使用基于 Windows 的 Horizon Client 所提供的“以当前用户身份登录”功能69
在移动和 Mac Horizon Client 中保存凭据69
设置 True SSO70
6
配置基于角色的委托管理95
了解角色和特权95
VMware, Inc.
3
Horizon 7 管理指南
使用访问组委派池和场的管理权96
了解权限97
对管理员进行管理98
管理和查看权限99
管理和查看访问组101
管理自定义角色103
预定义的角色和特权105
执行常见任务所需的特权108
针对管理员用户和组的最佳实践111
7
在 Horizon Administrator 和 Active Directory 中配置策略112
在 Horizon Administrator 中设置策略112
使用 Horizon 7 组策略管理模板文件114
8
维护 Horizon 7 组件120
备份和还原 Horizon 7 配置数据120
监控 Horizon 7 组件128
监视计算机状态129
了解 Horizon 7 服务130
更改产品许可证密钥131
监视产品许可证使用情况132
从 Active Directory 更新常规用户信息133
将 View Composer 迁移至另一台计算机134
更新连接服务器实例、安全服务器或 View Composer 上的证书139
客户体验改进计划140
9
在 Horizon Administrator 中管理 ThinApp 应用程序141
Horizon 7 对 ThinApp 应用程序的要求141
捕获和存储应用程序包142
将 ThinApp 应用程序分配到计算机和桌面池145
在 Horizon Administrator 中维护 ThinApp 应用程序152
在 Horizon Administrator 中监视 ThinApp 应用程序并进行故障排除155
ThinApp 配置示例158
10
设置 Kiosk 模式的客户端160
配置 Kiosk 模式的客户端160
11
对 Horizon 7 进行故障排除170
使用 Horizon Help Desk Tool170
使用 VMware 登录监视器180
使用 VMware Horizon 性能跟踪器184
VMware, Inc.
4
Horizon 7 管理指南
监视系统运行状况187
在 Horizon 7 中监视事件188
收集 Horizon 7 的诊断信息189
更新支持请求193
排除安全服务器与 Horizon 连接服务器配对失败的故障193
排除 Horizon 7 Server 证书撤消检查中的故障194
排除智能卡证书撤消检查中的故障195
更多故障排除信息195
12
使用 vdmadmin 命令197
vdmadmin 命令用法198
使用 -A 选项在 Horizon Agent 中配置日志200
使用 -A 选项覆盖 IP 地址202
使用 -F 选项更新外部安全主体204
使用 -H 选项列出并显示运行状况监视器204
使用 ‑I 选项列出并显示 Horizon 7 运行报告206
使用 ‑I 选项以 Syslog 格式生成 Horizon 7 事件日志消息207
使用 ‑L 选项分配专用计算机208
使用 -M 选项显示有关计算机的信息209
使用 -M 选项回收虚拟机上的磁盘空间211
使用 -N 选项配置域过滤器212
配置域过滤器214
使用 ‑O 和 ‑P 选项显示未授权用户的计算机和策略218
使用 -Q 选项在 Kiosk 模式下配置客户端219
使用 -R 选项显示计算机的首个用户224
使用 -S 选项移除连接服务器实例或安全服务器条目224
使用 -T 选项为管理员提供辅助凭据225
使用 -U 选项显示用户信息227
使用 -V 选项解锁或锁定虚拟机227
使用 -X 选项检测和解决 LDAP 条目和模式冲突229
VMware, Inc.
5
Horizon 7 管理指南
《
Horizon 7
管理指南》
介绍了如何配置和管理 VMware Horizon
7,其中包括如何在 Horizon Administrator
®
中配置 Horizon 连接服务器、创建管理员、设置用户身份验证、配置策略以及管理 VMware ThinApp
应用
程序。本文档还介绍了如何对 Horizon 7 组件进行维护和故障排除。
®
目标读者
本文档中的信息面向任何需要配置和管理 VMware Horizon 7 的人员。本文档中的信息专门为已熟练掌握虚
拟机技术和数据中心操作、并具有丰富经验的 Windows 或 Linux 系统管理员编写。
VMware, Inc. 6
使用 Horizon Administrator
用程序。
1
Horizon Administrator 是一个 Web 界面,您可以通过此界面配置 Horizon 连接服务器并管理远程桌面和应
有关您使用 Horizon Administrator、cmdlet 和 vdmadmin 所能执行操作的对比,请参阅
《
Horizon 7
集成指
南》
文档。
本章讨论了以下主题:
n
n
n
n
Horizon Administrator 和 Horizon 连接服务器
登录到 Horizon Administrator
有关使用 Horizon Administrator 界面的提示
排除 Horizon Administrator 中的文本显示故障
Horizon Administrator 和 Horizon 连接服务器
Horizon Administrator 为 Horizon 7 提供了基于 Web 的管理界面。
Horizon 连接服务器可以具有多个实例以作为副本服务器或安全服务器。根据您的 Horizon 7 部署,您可以
对每个连接服务器实例获取一个 Horizon Administrator 界面。
可以使用以下最佳做法将 Horizon Administrator 与连接服务器配合使用:
n
使用连接服务器的主机名和 IP 地址登录到 Horizon Administrator。使用 Horizon Administrator 界面管
理连接服务器以及任何关联的安全服务器或副本服务器。
n
在容器环境中,确认所有管理员使用同一连接服务器的主机名和 IP 地址登录到 Horizon Administrator。
不要使用负载平衡器的主机名和 IP 地址访问 Horizon Administrator 网页。
注意 如果使用 Unified Access Gateway 设备而不是安全服务器,您必须使用 Unified Access Gateway
REST API 管理 Unified Access Gateway 设备。早期版本的 Unified Access Gateway 称为 Access Point。
有关更多信息,请参阅
《部署和配置
Unified Access Gateway
》
。
登录到 Horizon Administrator
要执行初始配置任务,必须登录到 Horizon Administrator。您可以通过安全 (TLS) 连接访问 Horizon
Administrator。
VMware, Inc. 7
Horizon 7 管理指南
前提条件
n
n
确认已在专用计算机上安装 Horizon 连接服务器。
确认您使用的是 Horizon Administrator 支持的 Web 浏览器。有关 Horizon Administrator 的要求,请参
阅
《
Horizon 7
安装指南》
文档。
步骤
1
打开 Web 浏览器并输入以下 URL,其中 server 是连接服务器实例的主机名。
server/admin
注意 当主机名不可解析时,如果您需要访问连接服务器实例,则可以使用 IP 地址。但是,您连接的主
机将与为连接服务器实例配置的 TLS 证书不匹配,从而导致访问被阻止或访问的安全性降低。
对 Horizon Administrator 的访问取决于连接服务器计算机上配置的证书类型。
如果在连接服务器主机上打开 Web 浏览器,请使用 127.0.0.1(而非 localhost)
进行连接。该方法可以避免在解析 localhost 时遭受潜在 DNS 攻击,从而提高安全性。
选项
为 View 连接服务器配置一个由 CA 签发的
证书。
配置了 View 连接服务器提供的默认自签名
证书。
第一次连接时,Web 浏览器可能会显示一个页面,警告与该地址相关联的安全证书
不是由受信任的证书颁发机构颁发的。
单击忽略可继续使用当前的 TLS 证书。
说明
首次连接时,您的 Web 浏览器会显示 Horizon Administrator。
2
使用具有管理员角色的帐户登录。
当您在副本组中安装独立的连接服务器实例或第一个连接服务器实例时,可以为管理员角色指定首个分
配。默认情况下,会选择安装连接服务器时使用的帐户,但您也可以将此帐户更改为管理员本地组或域
的全局组。
如果您选择管理员本地组,那么您可以使用直接添加到此组或通过全局组成员资格添加到此组的任何域
用户。您不能使用添加到此组的本地用户。
登录到 Horizon Administrator 后,您可以使用 View 配置 > 管理员来更改具有管理员角色的用户和组列表。
有关使用 Horizon Administrator 界面的提示
您可以使用 Horizon Administrator 用户界面的功能在 Horizon 页面中导航以及对 Horizon 对象进行查找、筛
选和排序。
Horizon Administrator 中包含许多常见用户界面功能。例如,每个页面左侧的导航窗格都可将您引导至其他
Horizon Administrator 页面。使用搜索过滤器可以选择与搜索对象相关的过滤条件。
下表介绍了其他一些可帮助您使用 Horizon Administrator 的功能。
VMware, Inc. 8
Horizon 7 管理指南
表 1‑1 Horizon Administrator 导航和显示功能
Horizon Administrator 功能
在 Horizon Administrator 页面中前后导航
说明
单击浏览器的后退按钮,转到之前显示的 Horizon Administrator 页面。单击前进按钮
返回当前页面。
如果您在使用 Horizon Administrator 向导或对话框时单击浏览器的后退按钮,则会返
回到 Horizon Administrator 主页面。您在向导或对话框中输入的信息将丢失。
在低于 View 5.1 的版本中,无法使用浏览器的后退和前进按钮在 Horizon Administrator
内导航。Horizon Administrator 窗口提供单独的后退和前进按钮进行导航。这些按钮
在 View 5.1 版本中已删除。
将 Horizon Administrator 页面加入书签
多列排序
您可以在浏览器中将 Horizon Administrator 页面加入书签。
通过使用多列排序功能,您可以按多种方式对 Horizon 对象进行排序。
单击 Horizon Administrator 表第一行中的标题,可根据该标题按字母顺序对 Horizon
对象进行排序。
例如,在资源 > 计算机页面中,您可以单击桌面池以按桌面所在的池对桌面进行排序。
数字 1 将显示在标题旁边,表示它是主要排序列。您可以再次单击该标题,以便反转
排序顺序。排序顺序由向上或向下箭头表示。
要使用辅助项对 Horizon 对象进行排序,请按住 Ctrl 键并单击另一个标题。
例如,在“计算机”表中,您可以单击用户,根据桌面专属的用户执行辅助排序。数
字 2 将显示在辅助标题旁边。在此示例中,桌面将按池以及每个池中的用户进行排序。
您可以继续按住 Ctrl 键按重要性对表中的所有列进行降序排序。
按下 Ctrl+Shift 组合键同时单击某个排序项可将该项取消。
例如,您可能希望显示池中处于特定状态且存储在特定数据存储中的桌面。您可以选
择资源 > 计算机,单击数据存储标题,然后按住 Ctrl 键并单击状态标题。
自定义表列您可以通过隐藏选定列并锁定第一列来自定义 Horizon Administrator 表列的显示。利
用此功能,您可以控制包含许多列的大型表(如目录 > 桌面池)的显示。
右键单击任意列标题,显示用于执行以下操作的上下文菜单:
n
n
n
隐藏选定列。
自定义各列。对话框显示表中的所有列。您可以选择要显示或隐藏的列。
锁定第一列。此选项强制最左侧的列在您水平滚动包含多列的表时一直显示。例
如,在目录 > 桌面池页面中,桌面 ID 会在您水平滚动以查看其他桌面特征时一直
显示。
选择 Horizon 对象和显示 Horizon 对象的详
细信息
在列出 Horizon 对象的 Horizon Administrator 表中,可以选择对象或显示对象详细信
息。
n
要选择一个对象,请在表中单击该对象行的任意位置。在页面顶端,用来管理该
对象的菜单和命令将会激活。
要显示对象详细信息,请双击对象行中的左侧单元格。此时将出现一个新的页面,
其中会显示该对象的详细信息。
n
例如,在目录 > 桌面池页面中,单击某个池的行中的任意位置可激活影响该池的命令。
双击左侧列中的 ID 单元格将显示一个新的页面,其中包含了该池的详细信息。
展开对话框以查看详细信息您可以展开 Horizon Administrator 对话框以查看详细信息,如表列中的桌面名称和用
户名。
要展开对话框,请将鼠标放在对话框右下角的点上并拖动该角。
显示 Horizon 对象的上下文菜单您可以右键单击 Horizon Administrator 表中的 Horizon 对象以显示上下文菜单。通过
上下文菜单,您可以访问对选定 Horizon 对象执行操作的命令。
例如,在目录 > 桌面池页面中,您可以右键单击桌面池以显示添加、编辑、删除、禁
用 (或启用) 置备等命令。
VMware, Inc. 9
Horizon 7 管理指南
排除 Horizon Administrator 中的文本显示故障
如果您的 Web 浏览器在非 Windows 操作系统(如 Linux、UNIX 或 Mac OS)上运行,Horizon Administrator
中的文本会无法正常显示。
问题
Horizon Administrator 界面中的文本显示为乱码。例如,单词中间出现空格。
原因
Horizon Administrator 需要使用 Microsoft 专用字体。
解决方案
在计算机上安装 Microsoft 专用字体。
目前,Microsoft 网站不提供 Microsoft 字体,但您可以从其他独立网站进行下载。
VMware, Inc. 10
配置 Horizon 连接服务器
View Composer 服务,设置可委托管理员职责的角色,以及计划配置数据的备份。
本章讨论了以下主题:
n
n
n
n
n
n
n
2
当您安装 Horizon 连接服务器并对其执行初始配置后,可以向 Horizon 7 部署中添加 vCenter Server 实例和
配置 vCenter Server 和 View Composer
备份 Horizon 连接服务器
配置客户端会话设置
禁用或启用 Horizon 连接服务器
编辑外部 URL
加入或退出客户体验计划
View LDAP 目录
配置 vCenter Server 和 View Composer
要将虚拟机用作远程桌面,必须配置 View,使其与 vCenter Server 通信。要创建和管理链接克隆桌面池,
必须在 Horizon Administrator 中配置 View Composer 设置。
也可为 Horizon 7 配置存储设置。您可允许 ESXi 主机回收链接克隆虚拟机上的磁盘空间。为了允许 ESXi
主机缓存虚拟机数据,您必须为 vCenter Server 启用 View Storage Accelerator。
为 View Composer AD 操作创建用户帐户
如果使用 View Composer,则必须在 Active Directory 中创建一个用户帐户,以允许 View Composer 在
Active Directory 中执行特定操作。View Composer 需要使用该帐户将链接克隆虚拟机加入到您的 Active
Directory 域中。
为确保安全性,您应当创建一个单独的用户帐户,以供 View Composer 使用。通过创建单独的帐户,可以
确保该帐户不具有针对其他目的定义的额外特权。您可以为该帐户授予在指定的 Active Directory 容器中创
建和移除计算机对象所需的最低特权。例如,View Composer 帐户不需要域管理员特权。
步骤
1
在 Active Directory 中,在您的连接服务器主机所在的域或某个受信任的域中创建一个用户帐户。
VMware, Inc. 11
Horizon 7 管理指南
2
在用于创建和接收链接克隆计算机帐户的 Active Directory 容器中,授予该帐户创建计算机对象、删除
计算机对象和写入全部属性权限。
以下列表显示了该用户帐户需要的所有权限,包括默认分配的权限:
n
n
n
n
n
n
n
列出内容
读取全部属性
写入全部属性
读取权限
重置密码
创建计算机对象
删除计算机对象
注意 如果为桌面池选择允许重用预先存在的计算机帐户设置,则所需的权限较少。确保已将以下权限
分配给用户帐户:
n
n
n
n
列出内容
读取全部属性
读取权限
重置密码
3
确保该用户帐户的权限可应用于 Active Directory 容器及其所有子对象。
下一步
在 Horizon Administrator 中执行以下操作时指定该帐户:在“添加 vCenter Server”向导中配置 View
Composer 域,以及配置和部署链接克隆桌面池。
将 vCenter Server 实例添加到 Horizon 7
您必须将 Horizon 7 配置为连接到 Horizon 7 部署中的 vCenter Server 实例。vCenter Server 可创建并管理
Horizon 7 在桌面池中使用的虚拟机。
如果是在链接模式组中运行 vCenter Server 实例,就必须将每个 Horizon 7 实例分别添加到 View Manager。
Horizon 7 使用安全通道 (SSL) 连接至 vCenter Server 实例。
前提条件
n
n
安装连接服务器产品许可证密钥。
准备一个有权在 vCenter Server 中执行支持 Horizon 7 所需操作的 vCenter Server 用户。要使用 View
Composer,您必须为该用户授予额外的特权。
有关为 Horizon 7 配置 vCenter Server 用户的详细信息,请参阅
《
Horizon 7
安装指南》
文档。
VMware, Inc. 12
Horizon 7 管理指南
n
确认 vCenter Server 主机上安装了 TLS/SSL 服务器证书。在生产环境中,安装由受信任证书颁发机构
(Certificate Authority, CA) 签名的有效证书。
在测试环境中,您可以使用随 vCenter Server 一起安装的默认证书,但在 Horizon 7 中添加 vCenter
Server 时必须接受证书指纹。
n
确认副本组中的所有连接服务器实例都信任 vCenter Server 主机上安装的服务器证书的根 CA 证书。检
查根 CA 证书是否位于连接服务器主机上 Windows 本地计算机证书存储区中的受信任的根证书颁发机
构 > 证书文件夹中。如果没有,请将根 CA 证书导入 Windows 本机证书存储区。
请参阅
《
Horizon 7
安装指南》
文档中的“将根证书和中间证书导入 Windows 证书存储区”。
n
确认 vCenter Server 实例包含 ESXi 主机。如果 vCenter Server 实例中未配置主机,则无法在 Horizon 7
中添加实例。
n
如果您要升级到 vSphere 5.5 或更高版本,请确认您用作 vCenter Server 用户的域管理员帐户已由
vCenter Server 本地用户明确分配了登录 vCenter Server 的权限。
n
如果您计划以 FIPS 模式使用 Horizon 7,请确认您具有 vCenter Server 6.0 或更高版本以及 ESXi 6.0
或更高版本的主机。
有关更多信息,请参阅
《
Horizon 7
安装指南》
文档中的“以 FIPS 模式安装 Horizon 7”。
n
熟悉用于确定 vCenter Server 和 View Composer 最大操作数限制的设置。请参阅vCenter Server 和
View Composer 的并发操作数限制和设置并发电源操作率来支持远程桌面登录风暴。
步骤
1
2
3
在 Horizon Administrator 中,选择 View 配置 > 服务器。
在 vCenter Server 选项卡上,单击添加。
在 vCenter Server 设置服务器地址文本框中,键入 vCenter Server 实例的完全限定域名 (FQDN)。
FQDN 包含主机名和域名。例如,在 FQDN 中,myserverhost
是主机名, 是域名。
注意 如果通过 DNS 名称或 URL 来输入服务器,则 Horizon 7 不会执行 DNS 查找来确认管理员之前
是否是使用 IP 地址将该服务器添加到 Horizon 7 中的。如果同时使用 DNS 名称和 IP 地址添加 vCenter
Server,则会发生冲突。
4
键入 vCenter Server 用户的名称。
例如:domainuser 或 user@
5
6
7
键入 vCenter Server 用户密码。
(可选) 键入该 vCenter Server 实例的描述。
键入 TCP 端口号。
默认端口为 443。
8
9
在“高级设置”下,设置 vCenter Server 和 View Composer 操作的并发操作数限制。
单击下一步显示 View Composer 设置页面。
VMware, Inc. 13
Horizon 7 管理指南
下一步
配置 View Composer 设置。
n
如果为 vCenter Server 实例配置了 SSL 签名证书,且连接服务器信任根证书,则“添加 vCenter
Server”向导会显示“View Composer 设置”页面。
n
如果为 vCenter Server 实例配置了默认证书,则必须先确定是否接受现有证书的指纹。请参阅接受默认
TLS 证书的指纹。
如果 Horizon 7 使用多个 vCenter Server 实例,请重复执行此步骤添加其他 vCenter Server 实例。
配置 View Composer 设置
要使用 View Composer,必须配置允许 Horizon 7 连接到 VMware Horizon View Composer 服务的设置。
View Composer 可安装在独立的主机上,也可与 vCenter Server 安装在同一主机上。
在每个 VMware Horizon View Composer 服务和 vCenter Server 实例之间必须存在一对一的映射关系。每
个 View Composer 服务仅适用于一个 vCenter Server 实例。每个 vCenter Server 实例仅能与一个 VMware
Horizon View Composer 服务相关联。
完成 Horizon 7 的初始部署后,您可将 VMware Horizon View Composer 服务迁移到一个新的主机以支持不
断增长和变化的 Horizon 7 部署。您可编辑 Horizon Administrator 中的初始 View Composer 设置,但是必
须执行附加步骤来确保迁移成功。请参阅将 View Composer 迁移至另一台计算机。
前提条件
n
确认您在 Active Directory 中创建了一个有权从您的链接克隆所在 Active Directory 域添加和删除虚拟机
的用户。请参阅为 View Composer AD 操作创建用户帐户。
n
确认您已将 Horizon 7 配置为连接到 vCenter Server。为此,您必须完成“添加 vCenter Server”向导
中的“vCenter Server 信息”页面。请参阅将 vCenter Server 实例添加到 Horizon 7。
n
确认该 VMware Horizon View Composer 服务尚未配置为连接到不同的 vCenter Server 实例。
步骤
1
在 Horizon Administrator 中,完成“添加 vCenter Server”向导中的“vCenter Server 信息”页面。
a
b
选择 View 配置 > 服务器。
在 vCenter Server 选项卡上,单击添加并提供 vCenter Server 设置。
2
在“View Composer 设置”页面上,如果您未使用 View Composer,则请选择不使用 View Composer。
如果选择不使用 View Composer,则其他的 View Composer 设置将无效。单击下一步后,“添加
vCenter Server”向导会显示“存储设置”页面,但不会显示“View Composer 域”页面。
VMware, Inc. 14
Horizon 7 管理指南
3
如果使用 View Composer,请选择 View Composer 主机的位置。
选项
View Composer 与 vCenter Server 安装
在同一主机上。
说明
a
b
选择 View Composer 与 vCenter Server 一同安装。
确保端口号与您在 vCenter Server 上安装 VMware Horizon View Composer 服
务时指定的端口号相一致。默认端口号为 18443。
View Composer 安装在独立的主机上。
a
b
c
选择独立的 View Composer Server。
在 View Composer Server 地址文本框中,键入 View Composer 主机的完全限
定域名 (FQDN)。
键入 View Composer 用户的名称。
例如:r 或 user@
d
e
键入 View Composer 用户的密码。
确保端口号与您安装 VMware Horizon View Composer 服务时指定的端口号相
一致。默认端口号为 18443。
4
单击下一步显示“View Composer 域”页面。
下一步
配置 View Composer 域。
n
如果为 View Composer 实例配置了 TLS 签名证书,且连接服务器信任根证书,则“添加 vCenter
Server”向导会显示“View Composer 域”页面。
n
如果为 View Composer 实例配置了默认证书,则必须先确定是否接受现有证书的指纹。请参阅接受默
认 TLS 证书的指纹。
配置 View Composer 域
您必须配置一个 Active Directory 域,以便 View Composer 在其中部署链接克隆桌面。可以为 View Composer
配置多个域。先将 vCenter Server 和 View Composer 设置添加到 View 后,即可通过在 Horizon Administrator
中编辑 vCenter Server 实例来添加更多 View Composer 域。
前提条件
n
您的 Active Directory 管理员必须为 AD 操作创建 View Composer 用户。此域用户必须具有在包含链接
克隆的 Active Directory 域中添加和移除虚拟机的权限。有关此用户所需权限的信息,请参阅为 View
Composer AD 操作创建用户帐户。
n
在 Horizon Administrator 中,确认您已完成“添加 vCenter Server”向导中的“vCenter Server 信息”
和“View Composer 设置”页面。
步骤
1
2
在“View Composer 域”页面中,单击添加为 AD 操作帐户信息添加 View Composer 用户。
键入 Active Directry 域的域名。
例如:
VMware, Inc. 15
Horizon 7 管理指南
3
键入 View Composer 用户的域用户名,包括域名。
例如:in
4
5
6
7
键入帐户密码。
单击确定。
要添加在部署链接克隆池的其他 Active Directory 域中具有特权的域用户帐户,请重复以上的步骤。
单击下一步显示“存储设置”页面。
下一步
启用虚拟机磁盘空间回收,并为 Horizon 7 配置 View Storage Accelerator。
允许 vSphere 回收链接克隆虚拟机中的磁盘空间
在 vSphere 5.1 及更高版本中,可以启用 Horizon 7 的磁盘空间回收功能。从 vSphere 5.1 开始,Horizon 7
能够以高效的磁盘格式创建链接克隆虚拟机,这种磁盘格式允许 ESXi 主机回收链接克隆中未使用的磁盘空
间,从而减少链接克隆所需的总存储空间。
随着用户与链接克隆桌面的交互,克隆的操作系统磁盘会逐渐增大,最终会使用几乎与完整克隆桌面相同的
磁盘空间。磁盘空间回收有助于减少操作系统磁盘的大小,无需刷新或重构链接克隆。在虚拟机处于开启状
态时以及用户与远程桌面交互时,都可以回收空间。
对于无法利用存储空间节省策略(例如,注销时刷新)的部署来说,磁盘空间回收功能尤其有用。例如,在
专用远程桌面上安装用户应用程序的知识型员工在远程桌面刷新或重构时,可能会丢失自己的个人应用程
序。通过磁盘空间回收,Horizon 7 可以将链接克隆的大小保持在接近于这些克隆初次置备后启动时的较小
大小。
此功能由两部分组成:节省空间的磁盘格式和空间回收操作。
在 vSphere 5.1 或更高版本环境中,如果父虚拟机的虚拟硬件版本为 9 或更高版本,无论是否启用空间回收
操作,Horizon 7 都会创建具有能节省空间的操作系统磁盘的链接克隆。
要启用空间回收操作,您必须使用 Horizon Administrator 启用 vCenter Server 的空间回收,并回收各桌面
池的虚拟机磁盘空间。vCenter Server 的空间回收设置支持您在所有受 vCenter Server 实例管理的桌面池上
禁用此功能。禁用 vCenter Server 的该功能会覆盖桌面池级别的设置。
以下指导原则适用于空间回收功能:
n
n
n
n
n
仅对链接克隆上能节省空间的操作系统磁盘有效。
这不会影响 View Composer 永久磁盘。
仅适用于 vSphere 5.1 或更高版本且虚拟硬件版本为 9 或更高版本的虚拟机。
不适用于完整克隆桌面。
适用于具有 SCSI 控制器的虚拟机。不支持 IDE 控制器。
如果池中包含具有能节省空间的磁盘的虚拟机,则不支持本地 NFS 快照技术 (VAAI)。
VMware, Inc. 16
Horizon 7 管理指南
前提条件
n
确认 vCenter Server 和 ESXi 主机(包括群集中的所有 ESXi 主机)版本为 5.1,且具有 ESXi 5.1 下载
补丁程序 ESXi510-201212001 或更高版本。
步骤
1
在 Horizon Administrator 中,完成“添加 vCenter Server”向导中“存储设置”页面之前的各页面。
a
b
c
选择 View 配置 > 服务器。
在 vCenter Server 选项卡上,单击添加。
完成“vCenter Server 信息”、“View Composer 设置”和“View Composer 域”三个页面。
2
在“存储设置”页面中,确保选中启用空间回收。
如果是全新安装 Horizon 7 5.2 或更高版本,默认已选中空间回收功能。如果是从 Horizon 7 5.1 或更早
版本升级到 Horizon 7 5.2 或更高版本,则必须选中启用空间回收。
下一步
在?存储设置?页面中配置 View Storage Accelerator。
要完成 Horizon 7 中的磁盘空间回收配置,需要为桌面池设置空间回收。
为 vCenter Server 配置 View Storage Accelerator
在 vSphere 5.1 及更高版本中,可以将 ESXi 主机配置为缓存虚拟机磁盘数据。这项称为 View Storage
Accelerator 的功能可以使用 ESXi 主机中的 Content Based Read Cache (CBRC) 功能。View Storage
Accelerator 可以在发生 I/O 风暴(大量虚拟机同时启动或同时运行多个防病毒扫描时可能会发生)时提高
Horizon 7 性能。对于需要频繁加载应用程序或数据的管理员或用户来说,这项功能同样有益。主机不再从
存储系统中一遍遍地读取整个操作系统或应用程序,而是从缓存中读取常规数据块。
通过在引导风暴时减少 IOPS 数量,View Storage Accelerator 降低了对存储阵列的需求,使您可以用更少
的存储 I/O 带宽支持 Horizon 7 部署。
按照此过程中所述,在 Horizon Administrator 中选择 vCenter Server 向导中的 View Storage Accelerator 设
置,启用 ESXi 主机上的缓存功能。
确保也为单独的桌面池配置了 View Storage Accelerator。要对某个桌面池进行操作,必须针对 vCenter
Server 和该桌面池启用 View Storage Accelerator。
默认情况下,已为桌面池启用 View Storage Accelerator。可以在创建或编辑池时禁用或启用此功能。最佳
方法是在首次创建桌面池时启用此功能。如果通过编辑现有池来启用此功能,您必须确保先创建新副本及其
摘要磁盘,再置备链接克隆。可以通过将池重构为新的快照或者将池重新平衡为新的数据存储来创建新副
本。仅当桌面池中的虚拟机处于关闭状态时,才能为它们配置摘要文件。
您可以在包含链接克隆的桌面池和包含完整虚拟机的桌面池中启用 View Storage Accelerator。
启用了 View Storage Accelerator 的池不支持本地 NFS 快照技术 (VAAI)。
VMware, Inc. 17
Horizon 7 管理指南
View Storage Accelerator 现在可在使用 Horizon 7 副本分层的配置下运行,在此配置中,副本存储于单独
的数据存储中,而不是链接克隆中。虽然将 Horizon 7 副本分层与 View Storage Accelerator 搭配使用在性
能方面并没有太大的实质性提升,但是通过将副本存储到单独的数据存储,还是能够带来一些容量方面的好
处。因此,我们对这种组合方式进行了测试,并提供支持。
重要事项 如果您计划使用此功能,并且正在使用多个共享某些 ESXi 主机的 View 容器,则必须为共享的
ESXi 主机上的所有池启用 View Storage Accelerator 功能。如果多个容器中的设置不一致,可能会导致共
享 ESXi 主机上的虚拟机出现不稳定。
前提条件
n
确认 vCenter Server 和 ESXi 主机版本为 5.1 或更高。
在 ESXi 群集中,确认所有主机的版本均为 5.1 或更高。
n
确认在 vCenter Server 中为 vCenter Server 用户分配了主机 > 配置 > 高级设置特权。
请参阅
《
Horizon 7
安装指南》
文档中的主题,其中对 vCenter Server 用户所需的 Horizon 7 和 View
Composer 特权进行了说明。
步骤
1
在 Horizon Administrator 中,完成“添加 vCenter Server”向导中“存储设置”页面之前的各页面。
a
b
c
选择 View 配置 > 服务器。
在 vCenter Server 选项卡上,单击添加。
完成“vCenter Server 信息”、“View Composer 设置”和“View Composer 域”三个页面。
2
在“存储设置”页面上,确保选中启用 View Storage Accelerator复选框。
该复选框默认为选中。
3
指定默认的主机缓存大小。
默认的缓存大小适用于此 vCenter Server 实例管理的所有 ESXi 主机。
默认值为 1,024 MB。缓存大小必须在 100 MB 和 2,048 MB 之间。
4
要为单个 ESXi 主机指定不同的缓存大小,请选择 ESXi 主机并单击编辑缓存大小。
a
b
在“主机缓存”对话框中,选中 覆盖默认主机缓存大小。
键入一个介于 100 MB 和 2,048 MB 之间的主机缓存大小值,并单击确定。
5
6
在“存储设置”页面上,单击下一步。
单击完成在 Horizon 7 中添加 vCenter Server、View Composer 和存储设置。
下一步
配置客户端会话和连接设置。请参阅配置客户端会话设置。
要完成 Horizon 7 中的 View Storage Accelerator 设置,请为桌面池配置 View Storage Accelerator。请参阅
《在
Horizon 7
中设置虚拟桌面》
文档中的“为桌面池配置 View Storage Accelerator”。
VMware, Inc. 18
Horizon 7 管理指南
vCenter Server 和 View Composer 的并发操作数限制
在将 vCenter Server 添加到 Horizon 7 或编辑 vCenter Server 设置时,您可以配置多个选项,这些选项用
来设置由 vCenter Server 和 View Composer 所执行的并发操作的最大数量。
您可以在 vCenter Server 信息页上的“高级设置”面板中配置这些选项。
表 2‑1 vCenter Server 和 View Composer 的并发操作数限制
设置
最大并发 vCenter 置备操作数量
说明
确定连接服务器在此 vCenter Server 实例中置备和删除完整虚拟机时可以发出的最大并发请
求数。
默认值为 20。
此设置仅适用于完整的虚拟机。
最大并发电源操作数量确定此 vCenter Server 实例中的连接服务器所管理的虚拟机上可以发生的最大并发电源操作
数(启动、关闭、挂起等)。
默认值为 50。
有关计算该设置的值的指导原则,请参阅设置并发电源操作率来支持远程桌面登录风暴。
此设置适用于完整的虚拟机和链接克隆。
最大并发 View Composer 维护操
作数量
确定在此 View Composer 实例所管理的链接克隆上可以发生的最大并发 View Composer 刷
新、重构和重新平衡操作数。
默认值为 12。
必须先注销包含活动会话的远程桌面,然后才能开始维护操作。如果强制用户在维护操作开始
时立即注销,则需要注销的远程桌面上的最大并发操作数将只达到所配置的值的一半。例如,
如果将此设置配置为 24,并强制用户注销,则需要注销的远程桌面上的最大并发操作数为 12。
此设置仅适用于链接克隆。
最大并发 View Composer 置备操
作数量
确定在此 View Composer 实例所管理的链接克隆上可以发生的最大并发创建和删除操作数。
默认值为 8。
此设置仅适用于链接克隆。
设置并发电源操作率来支持远程桌面登录风暴
最大并发电源操作数量设置用于控制可在 vCenter Server 实例的远程桌面虚拟机上发生的最大并发电源操作
数量。这一限制默认设置为 50。当大量用户同时登录其桌面时,可更改此值以支持开机峰值速率。
作为最佳实践,您可通过试运行来确定此设置的正确值。有关规划指导原则,请参阅
《
Horizon 7
架构规划
指南》
文档中的“体系结构设计元素与规划指导原则”。
所需并发电源操作数量基于桌面开启的峰值速率,以及桌面开启、引导到可供连接所花费的时间。总之,建
议的电源操作限制值就是桌面启动所花费的总时间乘以开机峰值速率。
例如,桌面的平均启动时间在二到三分钟之间。因此,并发电源操作限制值应是开机峰值速率的 3 倍。默认
设置 50 应该可支持每分钟 16 个桌面的开机峰值速率。
系统等待桌面启动的最长时间为五分钟。如果启动时间更长的话,有可能会出现其他错误。为了保守起见,
您可将并发电源操作限制值设为开机峰值速率的 5 倍。采用这种谨慎方法,默认设置 50 可以支持每分钟 10
个桌面的开机峰值速率。
VMware, Inc. 19
Horizon 7 管理指南
登录操作以及桌面开启操作,通常会平均分布在特定时段内。您可以估算开机峰值速率,方法是:假设开机
峰值发生在时段中间,在此期间大约 40% 的开机操作发生在该时段的 1/6 时间内。例如,如果用户在上午
8:00 到 9:00 之间登录,时段为一小时,40% 的登录操作会发生在上午 8:25 到 8:35 这 10 分钟之内。如果
有 2000 名用户,其中 20% 的用户关闭了桌面,那么这 400 个桌面开启操作中会有 40% 发生在这 10 分钟
之内。开机峰值速率为每分钟 16 个桌面。
接受默认 TLS 证书的指纹
在向 Horizon 7 添加 vCenter Server 和 View Composer 实例时,必须确保用于 vCenter Server 和 View
Composer 实例的 TLS 证书有效且受连接服务器信任。如果随 vCenter Server 和 View Composer 一起安装
的默认证书仍然存在,则必须确定是否接受这些证书的指纹。
如果为 vCenter Server 或 View Composer 实例配置了 CA 签发的证书,且根证书受连接服务器信任,则无
需接受证书指纹。无需采取任何操作。
如果使用 CA 签发的证书替换默认证书,但连接服务器不信任根证书,则必须确定是否接受证书指纹。指纹
是证书的加密哈希值。通过指纹可以快速确定提供的证书是否与另一个证书(例如之前接受的证书)相同。
注意 如果您在同一 Windows Server 主机上安装 vCenter Server 和 View Composer,它们可以使用相同的
TLS 证书,但必须单独为每个组件配置证书。
有关配置 TLS 证书的详细信息,请参阅
《
Horizon 7
安装指南》
文档中的“为 View Server 配置 TLS 证书”。
您首先需要使用“添加 vCenter Server”向导在 Horizon Administrator 中添加 vCenter Server 和 View
Composer。如果证书不受信任而您也未接受指纹,则无法添加 vCenter Server 和 View Composer。
添加这些服务器后,您可以在“编辑 vCenter Server”对话框中重新配置它们。
注意 从较早的版本进行升级时,如果 vCenter Server 或 View Composer 证书不受信任,或者您使用不受
信任的证书替换了受信任证书,您也必须接受证书指纹。
在 Horizon Administrator 控制板上,vCenter Server 或 View Composer 图标会变为红色,并会显示“检测
到无效的证书”对话框。在 Horizon Administrator 中,单击 View 配置 > 服务器,并编辑与 View Composer
服务关联的 vCenter Server 条目。然后,单击 vCenter Server 设置中的编辑,按照提示确认并接受自签名
的证书。
同样,在 Horizon Administrator 中,您可以配置 SAML 身份验证器供连接服务器实例使用。如果 SAML 服
务器证书不受连接服务器信任,您必须确定是否接受证书指纹。如果不接受指纹,就无法在 Horizon 7 中配
置 SAML 身份验证器。配置 SAML 身份验证器后,您可以在“编辑连接服务器”对话框中重新配置它。
步骤
1
2
当 Horizon Administrator 显示“检测到无效的证书”对话框时,单击查看证书。
检查“证书信息”窗口中的证书指纹。
VMware, Inc. 20
Horizon 7 管理指南
3
检查为 vCenter Server 或 View Composer 实例配置的证书指纹。
a
b
c
在 vCenter Server 或 View Composer 主机上,启动 MMC 插件并打开 Windows 证书存储区。
导航至 vCenter Server 或 View Composer 证书。
单击“证书详细信息”选项卡显示证书指纹。
同样还需要检查 SAML 身份验证器的证书指纹。如果可以,请针对 SAML 身份验证器主机执行之前的
步骤。
4
验证“证书信息”窗口中的指纹是否与 vCenter Server 或 View Composer 实例的指纹相匹配。
同样还需要验证这些指纹是否与 SAML 身份验证器相匹配。
5
确定是否接受证书指纹。
选项
指纹匹配。
指纹不匹配。
说明
单击接受以使用默认证书。
单击拒绝。
对不匹配的证书进行故障排除。例如,您可能为 vCenter Server 或 View Composer
提供了错误的 IP 地址。
从 Horizon 7 中移除 vCenter Server 实例
您可以移除 Horizon 7 与 vCenter Server 实例之间的连接。移除后,Horizon 7 将不再管理在该 vCenter
Server 实例中创建的虚拟机。
前提条件
删除所有与 vCenter Server 实例关联的虚拟机。有关删除虚拟机的更多信息,请参阅
《在
Horizon 7
中设置
虚拟桌面》
文档中的“删除桌面池”。
步骤
1
2
3
在 Horizon Administrator 中,单击 View 配置 > 服务器。
在 vCenter Server 选项卡上,选择 vCenter Server 实例。
单击移除。
将显示一个对话框,警告您 Horizon 7 将不再能够访问由此 vCenter Server 实例管理的虚拟机。
4
单击确定。
Horizon 7 无法再访问在 vCenter Server 实例中创建的虚拟机。
从 Horizon 7 中移除 View Composer
您可以移除 Horizon 7 和关联到 vCenter Server 实例的 VMware Horizon View Composer 服务之间的连接。
在您禁用与 View Composer 的连接之前,必须先从 Horizon 7 中移除所有由 View Composer 创建的链接克
隆虚拟机。如果仍存在任何关联的链接克隆,Horizon 7 会阻止您移除 View Composer。禁用与 View
Composer 的连接之后,Horizon 7 将无法置备或管理新的链接克隆。
VMware, Inc. 21
Horizon 7 管理指南
步骤
1
移除由 View Composer 创建的链接克隆桌面池。
a
b
在 Horizon Administrator 中,选择目录 > 桌面池。
选择链接克隆桌面池并单击删除。
这时将出现一个对话框,警告您将从 Horizon 7 中永久删除链接克隆桌面池。如果链接克隆虚拟机
是使用永久磁盘配置的,您可以分离或删除永久磁盘。
c
单击确定。
随后将从 vCenter Server 中删除虚拟机。此外,还会移除相关的 View Composer 数据库条目以及
由 View Composer 创建的副本。
d
对于由 View Composer 创建的每个链接克隆桌面池,均重复上述步骤。
2
3
4
5
选择 View 配置 > 服务器。
在 vCenter Server 选项卡上,选择与 View Composer 关联的 vCenter Server 实例。
单击编辑。
在“View Composer Server 设置”下,单击编辑,选择不使用 View Composer,然后单击确定。
您将无法再在此 vCenter Server 实例中创建链接克隆桌面池,但您可以继续在 vCenter Server 实例中创建
及管理完整虚拟机桌面池。
下一步
如果您想要在其他主机上安装 View Composer 并将 Horizon 7 重新配置为连接到新的 VMware Horizon View
Composer 服务,则必须执行一些额外的步骤。请参阅迁移不包含链接克隆虚拟机的 View Composer。
vCenter Server 唯一 ID 冲突
如果在您的环境中配置了多个 vCenter Server 实例,添加新实例时可能会因为唯一 ID 冲突而失败。
问题
您尝试向 Horizon 7 中添加一个 vCenter Server 实例,但是新 vCenter Server 实例的唯一 ID 与现有实例的
ID 冲突。
原因
两个 vCenter Server 实例不能使用相同的唯一 ID,默认情况下,vCenter Server 唯一 ID 是随机生成的,但
您可以对它进行编辑。
解决方案
1
2
在 vSphere Client 中,单击管理 > vCenter Server 设置 > 运行时设置。
键入一个新的唯一 ID,然后单击确定。
有关编辑 vCenter Server 唯一 ID 值的详细信息,请参阅 vSphere 文档。
VMware, Inc. 22
Horizon 7 管理指南
备份 Horizon 连接服务器
完成对 Horizon 连接服务器的初始配置后,您应当计划对 Horizon 7 和 View Composer 配置数据进行定期
备份。
有关备份和还原 Horizon 7 配置的信息,请参阅备份和还原 Horizon 7 配置数据。
配置客户端会话设置
您可以对能够影响由连接服务器实例或复制组管理的客户端会话和连接的全局设置进行配置。您可以设置会
话超时长度,显示登录前消息和警告消息,以及设置安全相关客户端连接选项。
设置客户端会话和连接选项
您可以配置全局设置,以确定客户端会话和连接的工作方式。
全局设置并不专门针对某一个连接服务器实例。它们会影响由独立的连接服务器实例或副本实例组管理的所
有客户端会话。
您也可以对连接服务器实例进行配置,使其在 Horizon Client 与远程桌面之间使用直接的非安全加密链路连
接。请参阅配置安全加密链路和 PCoIP 安全网关,了解有关配置直接连接的信息。
前提条件
熟悉全局设置。请参阅客户端会话的全局设置和客户端会话和连接的全局安全性设置。
步骤
1
2
在 Horizon Administrator 中,选择 View 配置 > 全局设置。
选择要配置常规设置还是安全性设置。
选项
常规全局设置
全局安全性设置
说明
在“常规”窗格中,单击编辑。
在“安全性”窗格中,单击编辑。
3
4
配置全局设置。
单击确定。
下一步
您可以更改安装过程中提供的数据恢复密码。请参阅更改数据恢复密码。
更改数据恢复密码
安装连接服务器 5.1 或更高版本时,需要提供一个数据恢复密码。安装后,可以在 View Administrator 中更
改此密码。从备份还原 View LDAP 配置时需要提供此密码。
备份连接服务器时,View LDAP 配置将导出为加密的 LDIF 数据。要恢复加密的备份 Horizon 7 配置,必须
提供数据恢复密码。
VMware, Inc. 23
发布评论