Не работает vmware horizon client

Обновлено: 28.06.2024

В нашей прошлой статье мы рассказывали о настройке двухфакторной аутентификации в VMware Horizon View на основе PKI-инфраструктуры и x509-сертификатов. Сегодня рассмотрим другой вариант 2FA-аутентификации — одноразовые пароли (OTP). Использование PKI-технологии, возможно, более надежное, но в наш век всеобщей мобильности и тенденции BYOD, когда пользователям нужно получать доступ к информационным ресурсам с любых устройств, включая мобильные, использование технологии PKI не всегда удобно, а иногда совсем невозможно. Поэтому аутентификация по одноразовым паролям (OTP) набирает всё большую популярность.

Реализация OTP в нашем примере основана на продукте нашей компании. Это сервер аутентификации — JaCarta Authentication Server (JAS). В качестве аутентификатора (средства генерации OTP) могут выступать:

  • программный токен (google authenticator для смартфонов под управлением iOS, Android, Windows);
  • физический токен с USB-портом (JaCarta WebPass, Yubikey и другие);
  • физический токен без USB-порта (eToken Pass и другие).
  • RFC 4226 + HMAC-SHA-1 (6 символов);
  • RFC 4226 + HMAC-SHA-256 (6 символов);
  • RFC 4226 + HMAC-SHA-256 (7 символов);
  • RFC 4226 + HMAC-SHA-256 (8 символов).

Как и в прошлый раз предполагается, что VDI в рамках VMware Horizon View уже развернут и настроен на простую парольную аутентификацию. Также уже установлен и настроен сервер JAS и NPS-плагин для него. А для пользователей заведены программные или аппаратные токены. Об установке и настройке JAS у нас есть большой скучный документ, входящий в комплект поставки.

Далее мы покажем как легко и просто связать имеющийся сервер JAS с сервером VMware Horizon View и реализовать OTP-аутентификацию.

Ход настройки

На сервере, где установлен JAS и NPS-плагин, перейдите в оснастку Network Policy Server и добавьте новый RADIUS Client.



Задайте Friendly name, IP-адрес Horizon View Connection Server и общий Shared secret.



Перейдите на сервер VMware View, откройте консоль администрирования View Connection Server.

Перейдите в View Configuration -> Servers ->Connection Servers.

Выберите необходимый сервер аутентификации и нажмите кнопку Edit.



В открывшемся окне перейдите во вкладку Authentication. В разделе Advanced Authentication 2-factor authentication выберите из выпадающего меню RADIUS.



Снимите чек-боксы со значений Enforce 2-factor and Windows user name matching и Use the same user name and password for RADIUS and Windows authentication.




Заполните поля Label — Название сервера, отображаемое клиенту, Hostname/address — адрес NPS-сервера с OTP-плагином, Shared Secret. Authentication type – PAP.



Теперь настройка окончена, необходимо выполнить проверку.

Проверка работоспособности с ноутбука

Запустите VmWare Horizon Client (это может быть на ОС Windows, Linux и MacOS) и подключитесь к серверу.



После подключения к серверу будет отображено диалоговое окно входа с требованием ввода имени пользователя и OTP (поле Passcode).



Откройте google authenticator для получения OTP-значения.



После успешной аутентификации по OTP будет произведен запрос на вход по имени пользователя и паролю.



Запрос OTP->Password происходит именно в такой последовательности, а не наоборот. Это сделано для защиты пароля от подбора.

Проверка работоспособности с мобильного устройства

С мобильного телефона все будет выглядеть похожим образом. Ниже пример на iOS (Android также поддерживается).

Исправляем ошибку VMware в Windows 10: VMware Workstation and Device/Credential Guard are not compatible

Месяц не пользовался VMware на своём компьютере. За это время моя Windows 10 обновлялась и судя по всему с одним из обновлений прилетела какая-то фигня, которая внесла определённые настройки в систему и VMware перестала запускать гостевые машины выдавая ошибку «VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard»

Исправляем ошибку VMware в Windows 10: VMware Workstation and Device/Credential Guard are not compatible

Очередной привет от Microsoft.

На официальном сайте VMware есть решение этой проблемы. но оно на английском языке и немного запутанное, поэтому потренировавшись на своём компьютере и получив положительный результат (всё заработало) решил записать решение в свой блог, так как в будущем оно мне может снова пригодиться, ведь VMware я использую постоянно для различных целей.

Уверен, что данную статью читают грамотные ребята. Однако напомню, что, следуя советам, полученным из статьи, надо помнить, что выполнение описанных в статье операций может привести к неожиданным для вас последствиям. В связи с этим настоятельно рекомендую предварительно создать точку восстановления системы.

Решаем проблему. Открыть командную строку «WIN + R» и ввести команду «gpedit.msc», нажать «ОК».
В открывшемся окне перейти в раздел «Политика Локальный компьютер => Конфигурация компьютера => Административные шаблоны => Система => Device Guard».

Исправляем ошибку VMware в Windows 10: VMware Workstation and Device/Credential Guard are not compatible

Исправляем ошибку VMware в Windows 10: VMware Workstation and Device/Credential Guard are not compatible

Далее перейти в «Панель управления => Программы и компоненты => Включение или отключение компонентов Windows» и отключаем Hyper-V и нажимаем «ОК»:

Исправляем ошибку VMware в Windows 10: VMware Workstation and Device/Credential Guard are not compatible

Компьютер предложит перезагрузиться => отказываемся (перезагрузимся позже).

Запускаем командную строку от имени администратора:

Исправляем ошибку VMware в Windows 10: VMware Workstation and Device/Credential Guard are not compatible

В командной строке выполняем подряд несколько команд:

bcdedit /create /d "DebugTool" /application osloader

bcdedit /set bootsequence

bcdedit /set loadoptions DISABLE-LSA-ISO,DISABLE-VBS

bcdedit /set hypervisorlaunchtype off

Перезагружаем компьютер.
Теперь запускаем гостевую операционную систему в VMware и наслаждаемся работой.

В нашей прошлой статье мы рассказывали о настройке двухфакторной аутентификации в VMware Horizon View на основе PKI-инфраструктуры и x509-сертификатов. Сегодня рассмотрим другой вариант 2FA-аутентификации — одноразовые пароли (OTP). Использование PKI-технологии, возможно, более надежное, но в наш век всеобщей мобильности и тенденции BYOD, когда пользователям нужно получать доступ к информационным ресурсам с любых устройств, включая мобильные, использование технологии PKI не всегда удобно, а иногда совсем невозможно. Поэтому аутентификация по одноразовым паролям (OTP) набирает всё большую популярность.

Реализация OTP в нашем примере основана на продукте нашей компании. Это сервер аутентификации — JaCarta Authentication Server (JAS). В качестве аутентификатора (средства генерации OTP) могут выступать:

  • программный токен (google authenticator для смартфонов под управлением iOS, Android, Windows);
  • физический токен с USB-портом (JaCarta WebPass, Yubikey и другие);
  • физический токен без USB-порта (eToken Pass и другие).
  • RFC 4226 + HMAC-SHA-1 (6 символов);
  • RFC 4226 + HMAC-SHA-256 (6 символов);
  • RFC 4226 + HMAC-SHA-256 (7 символов);
  • RFC 4226 + HMAC-SHA-256 (8 символов).

Как и в прошлый раз предполагается, что VDI в рамках VMware Horizon View уже развернут и настроен на простую парольную аутентификацию. Также уже установлен и настроен сервер JAS и NPS-плагин для него. А для пользователей заведены программные или аппаратные токены. Об установке и настройке JAS у нас есть большой скучный документ, входящий в комплект поставки.

Далее мы покажем как легко и просто связать имеющийся сервер JAS с сервером VMware Horizon View и реализовать OTP-аутентификацию.

Ход настройки

На сервере, где установлен JAS и NPS-плагин, перейдите в оснастку Network Policy Server и добавьте новый RADIUS Client.



Задайте Friendly name, IP-адрес Horizon View Connection Server и общий Shared secret.



Перейдите на сервер VMware View, откройте консоль администрирования View Connection Server.

Перейдите в View Configuration -> Servers ->Connection Servers.

Выберите необходимый сервер аутентификации и нажмите кнопку Edit.



В открывшемся окне перейдите во вкладку Authentication. В разделе Advanced Authentication 2-factor authentication выберите из выпадающего меню RADIUS.



Снимите чек-боксы со значений Enforce 2-factor and Windows user name matching и Use the same user name and password for RADIUS and Windows authentication.




Заполните поля Label — Название сервера, отображаемое клиенту, Hostname/address — адрес NPS-сервера с OTP-плагином, Shared Secret. Authentication type – PAP.



Теперь настройка окончена, необходимо выполнить проверку.

Проверка работоспособности с ноутбука

Запустите VmWare Horizon Client (это может быть на ОС Windows, Linux и MacOS) и подключитесь к серверу.



После подключения к серверу будет отображено диалоговое окно входа с требованием ввода имени пользователя и OTP (поле Passcode).



Откройте google authenticator для получения OTP-значения.



После успешной аутентификации по OTP будет произведен запрос на вход по имени пользователя и паролю.



Запрос OTP->Password происходит именно в такой последовательности, а не наоборот. Это сделано для защиты пароля от подбора.

Проверка работоспособности с мобильного устройства

С мобильного телефона все будет выглядеть похожим образом. Ниже пример на iOS (Android также поддерживается).

Инструкция по настройке VDI c использование View Agent Direct-Connection Plug In. Часть 4.

Инструкция по настройке VDI c использование View Agent Direct-Connection Plug In.

Настройка клиентского ПО.

Продолжение. Предыдущая часть Первый запуск и настройка ВМ.

Для работы в режиме VDI через VADC могут использоваться соответственно настроенные тонкие клиенты или клиентское ПО устанавливаемое на рабочие станции.

По вопросам настройки тонких клиентов обратитесь к поставщику или производителю оборудования.

Для работы с VDI есть 2 типа клиентского ПО

Первичное соединение клиента устанавливает по 443 порту TCP. Если вы хотите изменить номер порта, по которому устанавливается соединение то вы должны использовать VMware Horizon View Client with Local Mode. Если вы хотите изменить и другие порты по которым работает VADC, то вы должны настроить нужным образом свой маршрутизатор.

Рассмотрим установку и настройку каждого из типов клиентов.

Установка и настройка VMware Horizon View Client

1 . Запустите скачанный установочный пакет и появившемся окне нажмите кнопку Next;


2. Поставьте галочку I accept the terms in the License Agreement;



5. В поле Default Horizon Connection Server введите внешний IP адрес вашего VDC;





10. После окончания установки перезагрузите компьютер нажав кнопку Yes;


11. Найдите на рабочем столе значок программы и запустите ее;


12. Щелкните по иконке с вашим IP адресом;


13. В поле User name введите имя пользователя, которому разрешен вход через VADC;

14. В поле Password введите пароль этого пользователя;


16. Будет осуществлен вход в вашу ВМ использую VADC.

Установка и настройка VMware Horizon View Client with Local Mode

1. Запустите скачанный установочный пакет и появившемся окне нажмите кнопку Next;


2. Поставьте галочку I accept the terms in the license agreement;


4. Отключите компонент View Client with Local Mode;


6. В поле Default Horizon Connection Server введите внешний IP адрес вашего VDC;





11. После окончания установки перезагрузите компьютер нажав кнопку Yes;


12. Найдите на рабочем столе значок программы и запустите ее;


14. В поле Connection Server введите внешний IP адрес вашего VDC;

15. В поле Port можете ввести порт по которому устанавливается соединение если не хотите использовать порт по умолчанию (443 TCP). Если никаких изменений не планируете то оставьте поле пустым;

16. Поставьте галочку Always connect to this server at startup если хотите, чтобы при запуске программа всегда подключалась к указанному серверу.


18. В поле User name введите имя пользователя, которому разрешен вход через VADC;

Что такое VMware Horizon, или как организовать работу удаленных сотрудников

25 Июня 2021

VMware Horizon - это платформа для создания эффективной и безопасной инфраструктуры виртуальных рабочих столов (VDI) и приложений в локальной, гибридной или многооблачной среде.

Что такое VMware Horizon

VMware Horizon является одной из составляющих решения VMware Workspace ONE, в комплекс которого также входят: vIDM, отвечающий за идентификацию пользователей и реализацию технологии единого входа, и система управления мобильными устройствами (в ней можно распространять политики настройки устройств, устанавливать или удалять ПО, отслеживать геопозицию пользователя).

VDI-платформа VMware Horizon включает следующие компоненты:

  • vCenter Server - централизованная система управления, которая устанавливается на виртуальной машине, работающей на хосте ESXi. Для развертывания vCenter как vCenter Server Appliance рекомендуется использовать предварительно определенный шаблон OVA. Лицензия Horizon включает лицензию vCenter;
  • ESXi гипервизор - физический сервер, на котором размещены виртуальные машины, служащие рабочими столами пользователей и загруженные операционными системами и приложениями;
  • агент VMware Horizon View - программный компонент, который необходимо установить на всех виртуальных машинах, управляемых VMware Horizon. Услуга просмотра агента предусматривает мониторинг подключения, совместимость с USB, виртуальную печать и единый вход. В любой системе, которая будет использоваться в качестве виртуального рабочего стола, должен быть установлен агент просмотра;
  • клиент Horizon - клиентская программа, которая взаимодействует с View Connection Server для установления соединения между пользовательскими устройствами конечных точек и виртуальными рабочими столами Horizon. Клиент совместим с операционными системами Windows, Linux и macOS;
  • сервер подключений Horizon View - сервер, который аутентифицирует пользователей через Active Directory, предлагает единый вход и, помимо других функций, связывает виртуальные рабочие столы с пользователями. Сервер подключений View получает базу данных LDAP (облегченный протокол доступа к каталогам), которая используется для аутентификации Active Directory. Это один из наиболее важных элементов инфраструктуры виртуальных рабочих столов VMware Horizon;
  • ThinApp - дополнительный компонент VMware для виртуализации приложений, не требующий установки какого-либо программного обеспечения.
  • View Composer - компонент, который управляет виртуальными рабочими столами на vCenter Server и использует связанные клоны для экономии объема хранилища. Связанные клоны создаются с родительского виртуального диска, а не с полных клонов (VMDK). Для хранения уникальных данных, которые отличаются от данных на родительском диске, для связанных клонов требуются специальные разностные виртуальные диски. Без родительских дисков связанные клоны работать не будут. На каждом экземпляре vCenter Server должен быть установлен View Composer отдельно.
  • администратор Horizon - веб-интерфейс управления для Horizon VDI. Рекомендуется, чтобы каждый экземпляр Horizon Connection Server имел собственный экземпляр Horizon Administrator.

Для решения задач виртуализации в данной платформе используется VMware Horizon View, которая поддерживает работу с несколькими мониторами, ускоренное воспроизведение видео, локальное подключение к периферийным устройствам, высококачественную трехмерную графику, а также обеспечивает легкое масштабирование для поддержки растущего числа настольных виртуальных компьютеров, динамическое выделение вычислительных ресурсов для наибольшей производительности и оптимизации, и повышенную отказоустойчивость всей виртуальной инфраструктуры.

Все перечисленные компоненты VMware Horizon повышают для конечных пользователей удобство цифровой рабочей области.

Основные направления развития VMware Horizon

К основным направлениям развития VMware Horizon относятся:

  • классический доступ VDI - для реализации классического VDI используется простая архитектура: серверная часть, состоящая из сервера управления (Connection server), сервера внешних подключений (Security server на Windows или Unified Access Gateway на Linux) и Composer server, который необходим для создания полноценно работающих виртуальных машин (по так называемому «золотому образу»);
  • мобильные пользователи (VMware Horizon AirWatch) - доступ к корпоративным приложениям у сотрудника должен с любого устройства (в том числе с мобильного), для чего iOS и Android интегрируются в VDI с помощью решения по управлению корпоративными мобильными устройствами VMware Airwatch;
  • доставка приложений (App Volumes) - основная функция этого программного продукта - бесшовная доставка приложения непосредственно в виртуальную машину и возможность запуска его без инсталляции. Этот продукт дает заказчикам возможность доставлять приложения по запросу в инфраструктуре VDI только тем сотрудникам, которым данное приложение требуется для работы. В консоли администратора всегда видно, сколько лицензий каким пользователям назначено. Также в App Volumes есть встроенный функционал для управления личными данными пользователя (профилем), а в новых версиях был добавлен функционал катастрофоустойчивости и репликации между ЦОД;
  • катастрофоустойчивость (VMware Horizon PODS) - чтобы снизить риск простоев VDI, при планировании архитектуры рекомендуется делать актив-актив проекты с помощью ряда программных решений, которые входят в лицензии VMware Horizon. Для работы актив-актив архитектуры создаются две идентичные инсталляции, работающие независимо друг от друга, но с репликацией данных пользователей и настроек. Пользователь в соответствии с правилами с заранее описанными правилами попадает на одну из активных площадок. В случае выхода ее из строя, связь пользователя с его виртуальной машиной VDI теряется, происходит переподключение ко второй активной площадке, где продолжается работа;
  • протокол доступа Blast Extreme, который делится на два разных продукта - один работает через HTML5 в браузере (Blast Extreme HTML5 client), второй (Blast Extreme Horizon client) предназначен для установки в операционную систему. Функционально продукты различны: в «толстом клиенте» имеется полный набор всех фич от VMware;
  • VMware Horizon Monitoring - для осуществления мониторинга в VMware Horizon используется vRealize Operations for Horizon, лицензия на который включена редакцию Horizon Enterprise. Основные функции системы vRealize: мониторинг работоспособности, анализ производительности, управление ресурсами с элементами планирования и оптимизации. В комплексе продукты мониторинга от VMware нацелены на выявление системы до сбоя, своевременное реагирование на случившиеся сбои и оперативное устранение неисправностей в серверной или пользовательской части VDI;
  • серверная виртуализация - vSAN. В VMware Horizon включены лицензии на лучшую систему серверной виртуализации VMware vSphere в максимальной редакции Enterprise Plus, благодаря чему инсталляция дополнительных хостов на ESXi для проекта VDI не вызовет проблем. Также новые хосты виртуализации включаются в общий план резервного копирования, на них применяются политики безопасности, принятые в компании;
  • VMware Horizon NSX (виртуальные сети и микросегментация), которые используются для обеспечения сетевой безопасности виртуальных машин VDI. В VMware Horizon NSX задаются правила Firewall, привязанные, например, к типу виртуальных машин.

В целом VMware Horizon позволяет сократить затраты на поддержку ИТ-инфраструктуры, повысить ее безопасность, ввести новые сценарии работы и минимизировать время простоев.

Как VMware помогает людям работать из дома

Платформа для управления виртуальными рабочими столами от VMware позволяет удаленным сотрудникам полноценно выполнять свои обязанности при помощи домашнего настольного ПК, ноутбука или нетбука, планшета, а также решений класса «тонкий клиент» (thin client) и «нулевой клиент» (zero client).

При этом с помощью VMware Horizon возможно создание «гибридных» рабочих сред, например, в случаях, когда для выполнения своих задач часть сотрудников до начала удаленной работы использовала устройства со специфическими возможностями, например, станции 3D-рендеринга. Инструментарий VMware позволяет включить данное оборудование в общую инфраструктуру с виртуальными десктопами, обеспечив полный удаленный доступ к таким ПК с соблюдением всех правил безопасности. Для этого потребуется лишь брокер соединений и программные агенты.

Работа ЦОД с внедренным VDI также существенно упрощается - этому помогает функция «мгновенного клонирования». При этом пулы клонов создаются из уже включенных виртуальных машин, и этот процесс занимает считанные секунды. Благодаря этому удается полностью избежать «boot-штормов».

Пример работы VMware

Примером создания инфраструктуры безопасных рабочих мест для удаленных сотрудников с помощью Workspace ONE (частью которого является VMware Horizon) может стать «магазин приложений» для пользователя.

В этом «магазине» пользователь загружает необходимые для работы программы, при этом для каждой из них организуется отдельный VPN-канал. Так, при выборе приложения Gmail в Android у сотрудника будут две иконки почтового клиента: его личная почта и отдельно корпоративный аккаунт, который прежде, чем открыться, будет устанавливать защищённое соединение. Обмен данных между приложениями из личной зоны пользователя и корпоративной зоны станет невозможен.

Workspace ONE предоставляет удаленному сотруднику функции автоматической настройки и шифрования. Однако перед интеграцией в VDI гаджет обязательно должен проверяться на соответствие корпоративным политикам. Если вдруг что-то в прошивке изменилось после проверки соответствия, то автоматически может применяться запрет на работу с данными или запускаться процесс принудительного обновления. Администратор может удаленно очистить систему, но личные данные при этом не устраняются.

Логическая архитектура VMware Horizon


Версии и цены VMware Horizon

Продукты VMware Horizon представлены тремя пакетами программ:

  • VMware Horizon Workspace – общий портал, позволяющий управлять данными пользователя и получать доступ к корпоративным приложениям через стандартный браузер или View Client, рабочим станциям и мобильным телефонам сотрудников. В результате пользователи получают доступ к VDI со своих мобильных устройств, а ИТ-администраторы обеспечены ресурсами для контроля безопасности корпоративных данных;
  • VMware Horizon Mirage – продукт, позволяющий управлять физическими компьютерами пользователей и создавать образ виртуальной рабочей станции, при этом разделяя его послойно на систему, данные, приложения и настройки пользователя;
  • VMware Horizon Suite, объединяющий в себе функционал и возможности Horizon View, Horizon Mirage и Horizon Workspace.

Цены на данные продукты представлены в таблице

Название продукта Horizon Mirage Horizon Workspace Horizon Suite
Количество лицензий 10 100 10 100 10 100
Цена продукта $1 650 $16 500 $1 650 $16 500 $3 300 $33 000
Цена технической поддержки на год $346,50 $3 465 $346,50 $3 465 $693 $6 930

Версии продукта VMware Horizon также отличаются стоимостью и количеством лицензий:

Название продукта VMware Horizon
Версии продукта Advanced Enterprise
Количество лицензий 10 100 10 100
Цена продукта $2 750 $27 500 $3 300 $33 000
Цена технической поддержки на год $681,45 $6 814,50 $817,74 $8 177,40

При выборе решений для создания виртуальной цифровой рабочей среды возникает вопрос - стоит ли VMware Horizon шумихи вокруг него. Ответ на это таков - VMware Horizon подходит, если ваша компания интересуется VDI и уже использует технологии виртуализации VMware, такие, как vCenter Server, ESXi Hypervisor, View Agent, Horizon Client, Connection Server, ThinApp, View Composer и Horizon Administrator являются ключевыми компонентами Horizon View. Также стоит обратить внимание на VMware Horizon, если необходима альтернатива традиционным рабочим столам или решениям для удаленных рабочих столов.

Читайте также: