VMWare Horizon 7安全体系规划指南.docx

VMWare Horizon 7安全体系规划指南目录Horizon 7安全性 51 Horizon 7帐户、资源和日志文件6Horizon 7 帐户 6Horizon 7 资源 7Horizon 7日志文件72 Horizon 7安全性设置9Horizon Administrator中的安全性相关全局设置9Horizon Administrator中的安全性相关服务器设置11View LDAP中的安全性相关设置123端口和服务13Horizon 7 的 TCP 和 UDP 端口 13Horizon 7 TrueSSO 端 口 16连接服务器主机上的服务17安全服务器上的服务184 证书指纹验证和自动生成证书195在连接服务器实例或安全服务器上配置安全协议和密码套件20安全协议和密码套件的默认全局策略20配置全局接受和建议策略21在单个服务器上配置接受策略22在远程桌面上配置建议策略23在Horizon 7中禁用的旧协议和密码246为Blast安全网关配置安全协议和密码套件26为Blast安全网关(BSG)配置安全协议和密码套件267 在安全的Horizon 7环境中部署USB设备28对所有类型的设备禁用USB重定向28对特定设备禁用USB重定向298连接服务器和安全服务器上的HTTP保护措施31Internet工程任务组标准31万维网联盟标准32其他保护措施36Horizon 7 安全配置HTTP保护措施38Horizon 7 安全性Horizon 7安全指南提供了对VMware Horizon 7的安全功能的简明参考。. 所需的系统和数据库登录帐户。. 安全性相关的配置选项和设置。. 必须受到保护的资源，如安全性相关的配置文件和密码，以及对安全操作的建议访问控制。.日志文件的位置及其用途。. 为确保Horizon 7正常运行而必须打开或启用的外部接口、端口和服务。目标读者本书信息面向IT决策制定者、架构师、管理员以及其他必须熟悉Horizon 7安全组件的读者。Horizon 7帐户、资源和日志文件为特定组件分配多个不同的帐户可避免向个人授予不必要的访问权限和特权。了解配置文件和其他包含敏感 数据的文件的位置有助于为不同的主机系统设置安全保障。注意从Horizon 7.0开始，View Agent被重新命名为Horizon Agent。本章讨论了以下主题：. Horizon 7 帐户. Horizon 7 资源.Horizon 7日志文件Horizon 7 帐户您必须设置系统和数据库帐户才能管理Horizon 7组件。表11 Horizon 7系统帐户Horizon 组件所需帐户Horizon Client在Active Directory中为有权访问远程桌面和应用程序的用户配置用户帐户。用户帐户必须是远程桌面用 户组的成员，但无需Horizon管理员特权。vCenter Server在Active Directory中配置一个用户帐户，并使该帐户有权在vCenter Server中执行支持Horizon 7所需 的必要操作。有关所需特权的信息，请参阅Horizon 7安装指南文档。View ComposerAD operations account.在 Active Directory 中创建一个用户帐户，以供 View Composer 使用。View Composer需要使用该帐户将链接克隆桌面加入到您的Active Directory域。View Composer用户的AD 操作帐户不应该是Horizon管理帐户。为该帐户授予在指定的Active Directory容器中创建和移除计算机 对象所需的最低特权。例如，该帐户不需要域管理员特权。Standalone control account。如果在与 vCenter Server 所在的相同计算机上安装 View Composer， Horizon 7将使用相同的用户帐户来访问vCenter Server和View Composer服务。如果在独立的计算机 上安装View Composer，需配置一个单独的用户帐户，以便Horizon 7访问View Composer。有关AD操作帐户和独立控制帐户所需特权的信息，请参阅Horizon 7安装指南文档。连接服务器在安装Horizon 7时，您可以指定特定的域用户、本地Administrators组或特定的域用户组以作为Horizon 管理员。我们建议您创建专用的Horizon管理员域用户组。默认设置为当前登录的域用户。在Horizon Administrator中，您可以使用View配置 > 管理员更改Horizon管理员列表。有关所需特权的信息，请参阅Horizon 7管理指南文档。Horizon组件所需帐户View Composer数据库 存储View Composer数据的SQL Server或Oracle数据库。您要为可与View Composer用户帐户关联 的数据库创建一个管理帐户。有关设置View Composer数据库的信息，请参阅Horizon 7安装指南文档。Horizon连接服务器使用 存储Horizon事件数据的SQL Server或Oracle数据库。您要为Horizon Administrator可用于访问事件 的事件数据库数据的数据库创建一个管理帐户。有关设置View Composer数据库的信息，请参阅Horizon 7安装指南文档。为减少安全漏洞风险，请采取以下措施：. 在与组织使用的数据库服务器分开的单独服务器上配置Horizon 7数据库。.不允许一个用户帐户访问多个数据库。. 配置单独帐户访问View Composer和事件数据库。Horizon 7 资源Horizon 7中包含若干配置文件和类似资源，必须为它们提供保护。表1-3 Horizon连接服务器和安全服务器资源资源位置保护LDAP设置不适用。LDAP数据会作为基于角色的访问控制的 一部分，自动得到保护。LDAP备份文件%ProgramData%VMWareVDMbackups由访问控制保护。locked.properties（安全网关配置文件）install_directory VMwareVMwareViewServersslgatewayconf确保该文件不被Horizon管理员以外的任 何用户访问。absg.properties（Blast安全网关配置 文件）install_directory VMwareVMwareViewServerappblastgateway确保该文件不被Horizon管理员以外的任 何用户访问。日志文件请参阅Horizon 7日志文件由访问控制保护。web.xml（Tomcat配置文件）install_directoryVMware ViewServerbrokerweb appsROOTWeb INF由访问控制保护。Horizon 7日志文件Horizon 7会创建记录其组件安装和运行情况的日志文件。注意Horizon 7日志文件专供VMware支持部门使用。VMware建议您配置并使用事件数据库来监视 Horizon 7。有关更多信息，请参阅Horizon 7安装指南和Horizon 7集成指南文档。Horizon 组件所有组件(安装日志)文件路径和其他信息%TEMP%yminst.log_date_timestamp%TEMP%vmmsi.log_date_timestampHorizon Agent<Drive Letter:ProgramDataVMwareVDMlogs要访问<Drive Letter>:ProgramDataVMwareVDMlogs中存储的Horizon 7日志文件，您必须使用具有 高管理员特权的程序打开这些日志。右键单击应用程序文件，然后选择以管理员身份运行。如果配置 了用户数据磁盘(User Data Disk, UDD)，<Drive Letter> 可能对应于 UDD。PColP 的日志命名为 pcoip_agent*.log和 pcoip_server*.log。已发布的应用程序SQL Server或Oracle数据库服务器上配置的Horizon事件数据库。Windows应用程序事件日志。默认情况下禁用。View Composer链接克隆桌面上的 system_drive%WindowsTempvmware-viewcomposer-ga-new.log。View Composer日志中包含有关QuickPrep和Sysprep脚本执行情况的信息。日志记录了脚本执行 的开始时间和结束时间，以及任何输出或错误消息。连接服务器或安全服务器Horizon 服务<Drive Letter:ProgramDataVMwareVDMlogs。日志目录可在公共配置ADMX模板文件(vdm_common.admx)的日志配置设置中进行配置。PCoIP安全网关日志将写入到名为SecurityGateway_*.log的文件，这些文件位于PCoIP Secure Gateway子目录中。Blast安全网关日志将写入到名为absg*.log的文件，这些文件位于Blast Secure Gateway子目录中。SQL Server或Oracle数据库服务器上配置的Horizon事件数据库。Windows系统事件日志。Horizon 7安全性设置Horizon 7中包含一些设置，您可以使用这些设置来调整配置的安全性。您可以根据需要使用Horizon Administrator或使用“ADSI编辑”实用程序来访问这些设置。注意有关Horizon Client和Horizon Agent安全设置的信息，请参阅Horizon Client和Agent安全指南 文档。本章讨论了以下主题：. Horizon Administrator中的安全性相关全局设置. Horizon Administrator中的安全性相关服务器设置.View LDAP中的安全性相关设置Horizon Administrator中的安全性相关全局设置用于客户端会话和连接的安全性相关全局设置可通过Horizon Administrator中的View配置 > 全局设置来访 问。设置说明更改数据恢复密码从加密备份还原View LDAP配置时需要提供密码。安装连接服务器5.1或更高版本时，需要提供一个数据恢复密码。安装后，可以在Horizon Administrator中更改此密码。备份连接服务器时，View LDAP配置将导出为加密的LDIF数据。要通过vdmimport实用程序还原加 密备份，需要提供数据恢复密码。密码包含的字符必须介于1到128个之间。请遵循组织的最佳实 践来生成安全密码。消息安全模式决定在Horizon 7组件之间传递JMS消息时使用的安全机制。如果设置为禁用，消息安全模式将被禁用。 如果设置为已启用，将对JMS消息执行旧消息签名和验证。Horizon 7组件会拒绝未签名的消 息。此模式支持混合使用TLS连接和纯JMS连接。 如果设置为已增强，将对所有JMS连接使用TLS以加密所有消息。此外，还会启用访问控制， 以限制Horizon 7组件可以向其发送消息以及从中接收消息的JMS主题。 如果设置为混合，消息安全模式将被启用，但不会强制用于View Manager 3.0之前的Horizon 7 组件。新安装的默认设置为已增强。如果从先前版本进行升级，则将保留在先前版本中使用的设置。重要事项VMware强烈建议您在将所有连接服务器实例、安全服务器和Horizon 7桌面升级到此版 本后将消息安全模式设置为已增强。已增强设置提供多项重要的安全性改进功能和MQ （消息队列） 更新。增强安全状态（只读）将消息安全模式从已启用更改为已增强时显示的只读字段。由于更改分阶段进行，此字段根据阶段 显示进度： 等待Message Bus重新启动是第一阶段。此状态将一直显示，直到您手动重新启动容器中的所 有连接服务器实例或容器中所有连接服务器主机上的/Mware Horizon Message Bus组件服务。 等待增强是下一阶段。重新启动所有Horizon Message Bus组件服务后，系统开始将所有桌面 和安全服务器的消息安全模式更改为已增强。已增强是最终状态，表明所有组件现在正使用已增强消息安全模式。网络中断后对安全加密链路连 接重新进行身份验证在Horizon Client通过安全加密链路连接到Horizon 7桌面和应用程序的情况下，确定在网络中断后 是否必须重新对用户凭据进行身份验证。此设置可提高安全性。例如，如果笔记本电脑被盗并转移到了其他网络，用户将无法自动获取Horizon 7 桌面和应用程序的访问权限，原因是网络连接已临时中断。默认情况下禁用此设置。强制断开用户连接自用户登录到Horizon7时起达到指定分钟数后，断开所有桌面和应用程序连接。无论桌面和应用程 序是被用户何时打开的，都将同时断开连接。默认值是600分钟。对于支持应用程序的客户端。如果用户停止使用键盘和鼠 标，则将断开应用程序连接并放弃SSO凭据在客户端设备上无键盘或鼠标活动时保护应用程序会话。如果设置为分钟之后，Horizon 7将在无 用户活动达到指定的分钟数后断开所有应用程序连接并放弃SSO凭据。桌面会话将断开连接。用户 必须重新登录以重新连接被断开的应用程序或者启动新的桌面或应用程序。如果设置为从不，Horizon 7将绝不会因用户不活动而断开应用程序连接或放弃SSO凭据。默认值为从不。其他客户端。放弃SSO凭将在特定时间段后放弃SSO凭据。此设置适用于不支持应用程序远程的客户端。如果设置为分钟之 后，那么自用户登录到Horizon 7时起达到指定分钟数后，用户必须重新登录以连接到桌面，而不管 客户端设备上的用户活动情况如何。默认值为15分钟之后。启用IPSec以执行安全服务确定是否为安全服务器和Horizon连接服务器实例之间的连接使用Internet协议安全性(Internet器配对Protocol Security, IPSec)o必须在FIPS模式下安装安全服务器之前禁用该设置，否则，配对将失败。默认情况下会使用IPSec进行安全服务器连接。View Administrator会话确定Horizon Administrator会话持续闲置多久后超时。超时重要事项Horizon Administrator会话超时值设置较高会增加未授权使用Horizon Administrator的风 险。允许闲置会话持续较长时间时应慎重考虑。默认情况下，Horizon Administrator会话超时为30分钟。会话超时值的设置范围为1到4320分钟 之间。有关这些设置及其安全性影响的更多信息，请参阅Horizon 7管理指南文档。注意 到Horizon 7的所有Horizon Client连接和Horizon Administrator连接都需要使用TLS。如果您的Horizon 7部署使用负载平衡器或其他面向客户端的中间服务器，可以将TLS负载分流到这些负载平衡器或 中间服务器，然后在单个连接服务器实例和安全服务器上配置非TLS连接。请参阅Horizon 7管理指南 文档中的“将TLS连接负载分流到中间服务器”。Horizon Administrator中的安全性相关服务器设置安全性相关的服务器设置可通过Horizon Administrator中的View配置 > 月艮务器来访问。表2-2安全性相关的服务器设置设置说明使用PCoIP安全网关与计算机 确定当用户使用PCoIP显示协议连接至Horizon 7桌面和应用程序时，Horizon Client是否会和连 建立pCoIp连接接服务器或安全服务器主机建立另一条安全连接。如果禁用此设置，将绕开连接服务器或安全服务器主机，直接在客户端和Horizon 7桌面或远程桌 面服务(Remote Desktop Services, RDS)主机之间建立桌面或应用程序会话。默认情况下禁用此设置。使用安全加密链路连接计算机 确定当用户连接至Horizon 7桌面或应用程序时，Horizon Client是否会和连接服务器或安全服务 器主机建立另一条HTTPS连接。如果禁用此设置，将绕开连接服务器或安全服务器主机，直接在客户端和Horizon 7桌面或远程桌 面服务(RDS)主机之间建立桌面或应用程序会话。默认情况下启用该设置。使用Blast安全网关对计算机 确定使用Web浏览器或Blast Extreme显示协议访问桌面的客户端是否使用Blast安全网关建立到 进行Blast连接连接服务器的安全加密链路。如果不启用此设置，使用Blast Extreme会话和Web浏览器的客户端将绕过连接服务器，而直接 与Horizon 7桌面建立连接。默认情况下禁用此设置。有关这些设置及其安全性影响的更多信息，请参阅Horizon 7管理指南文档。View LDAP中的安全性相关设置View LDAP 的对象路径 cn=common,ou=global,ou=properties,dc=vdi,dc=vmware,dc=int 中提供了安全性相关 设置。您可以使用“ADSI编辑”实用程序，在连接服务器实例中更改这些设置的值。所做更改将自动传播 到组中的所有其他连接服务器实例。表23 View LDAP中的安全性相关设置名称-值对说明CS-属性为 pae-NameValuePair。allowunencryptedstartsession此属性可以控制当启动某个远程用户会话时，连接服务器实例与桌面间是否需要使用安全加密 链路。如果桌面计算机上安装了 View Agent 5.1或更高版本或者Horizon Agent 7.0或更高版本，则始 终需要使用安全加密链路，即，此属性不起作用。如果安装的View Agent版本早于View 5.1， 当桌面计算机不隶属于某个与连接服务器实例所在域之间存在双向信任关系的域时，无法建立 安全加密链路。这种情况下，在确定是否可以在无安全加密链路的情况下启动远程用户会话时， 此属性非常重要。无论在何种情况下，用户凭据和授权票证都受静态密钥保护。安全加密链路使用动态密钥，可 进一步保证机密信息的安全性。如果设置为0，那么在无法建立安全加密链路的情况下是不能启动远程用户会话的。当全部桌面 都隶属于受信任的域或者全部桌面都安装了 View Agent 5.1或更高版本时，此设置适用。如果设置为1，即使不能建立安全加密链路，也能启动远程用户会话。当某些桌面安装了低版本 的View Agent且不隶属于受信任的域时，此设置适用。默认设置为1。Horizon 7 的 TCP 和 UDP 端口端口端口和服务某些UDP和TCP端口必须打开，以便Horizon 7组件可以相互通信。了解每种类型Horizon 7 Server上运 行哪些Windows服务有助于识别不属于相应服务器的服务。本章讨论了以下主题：. Horizon 7 的 TCP 和 UDP 端口. Horizon 7 TrueSSO 端口. 连接服务器主机上的服务. 安全服务器上的服务Horizon 7使用TCP和UDP端口进行组件之间的网络访问。在安装过程中，Horizon 7可以选择性地配置Windows防火墙规则以打开默认使用的端口。要在安装后更改 默认端口，必须手动重新配置Windows防火墙规则以允许通过更新后的端口进行访问。请参阅Horizon 7 安装指南文档中的“替换Horizon 7服务的默认端口”。有关Horizon 7用于进行与TrueSSO解决方案有关的证书登录的端口列表，请参Horizon 7 TrueSSO端口表3 1 Horizon 7使用的TCP和 UDP端口源端口目标端口协议说明安全服务器、连接服务器或Unified AccessGateway 设备55000Horizon Agent4172UDPPColP （非SALSA20）（如果使用PColP安全网关）。安全服务器、连接服务器或4172Horizon Client*UDPPColP （非SALSA20）（如果使用PColP安全网关）。Unified AccessGateway 设备注意由于目标端口有所不同，请参阅此表格下面的注释。安全服务器500连接服务器500UDPIPsec协商流量。安全服务器*连接服务器4001TCPJMS流量。安全服务器*连接服务器4002TCPJMS SSL 流量。安全服务器*连接服务器8009TCPAJP13转发的Web流量（如果未使用IPsec）。安全服务器*连接服务器*ESP AJP13转发的Web流量（使用IPsec而无NAT时）。源端口目标端口协议说明安全服务器4500连接服务器4500UDPAJP13转发的Web流量（当通过NAT设备使用IPsec 时）。安全服务器、连接服务器或Unified AccessGateway 设备*Horizon Agent3389TCP指向Horizon 7桌面的Microsoft RDP流量（使用安全加密链路连接时）。安全服务器、连接服务器或Unified AccessGateway 设备*Horizon Agent9427TCPWindows Media MMR重定向和客户端驱动器重定向（使 用安全加密链路连接时）。安全服务器、连接服务器或Unified AccessGateway 设备*Horizon Agent32111TCPUSB重定向和时区同步（使用安全加密链路连接时）。安全服务器、连接服务器或Unified AccessGateway 设备*Horizon Agent4172TCPPCoIP （如果使用PCoIP安全网关）。安全服务器、连接服务器或Unified AccessGateway 设备*Horizon Agent22443TCPVMware Blast Extreme （如果使用 Blast 安全网关）。安全服务器、连接服务器或Unified AccessGateway 设备*Horizon Agent22443TCPHTML Access （如果使用Blast安全网关）。Horizon Agent4172Horizon Client*UDPPCoIP （如果未使用PCoIP安全网关）。注意由于目标端口有所不同，请参阅此表格下面的注释。Horizon Agent4172连接服务器、安全服务器或Unified AccessGateway 设备55000UDPPCoIP （非SALSA20）（如果使用PCoIP安全网关）。Horizon Agent4172Unified AccessGateway 设备*UDPPCoIP。Horizon 7桌面和应用程序将PCoIP数据从UDP 端口 4172 发回到 Unified Access Gateway 设备。UDP目标端口将作为已接收UDP数据包的源端口，由 于是回复数据，通常不需要为此添加明确的防火墙规则。Horizon Client*连接服务器、安全服务器或Unified AccessGateway 设备80TCP默认情况下启用TLS （HTTPS访问）进行客户端连接， 但是在特定情况下可以使用端口 80 （HTTP访问）。请参阅Horizon 7中的HTTP重定向Horizon Client*连接服务器、安全服务器或Unified AccessGateway 设备443TCP用于登录Horizon 7的HTTPS°（在使用安全加密链路 连接时此端口还用于转发）。源端口目标端口协议说明Horizon Client*连接服务器、安全4172TCP和PCoIP （如果使用PCoIP安全网关）。服务器或Unified AccessGateway 设备UDPHorizon Client*Horizon Agent3389TCP指向Horizon 7桌面的Microsoft RDP流量（如果使用直 接连接而不是安全加密链路连接）。Horizon Client*Horizon Agent9427TCPWindows Media MMR重定向和客户端驱动器重定向（如 果使用直接连接而不是安全加密链路连接）。Horizon Client*Horizon Agent32111TCPUSB重定向和时区同步（如果使用直接连接而不是安全 加密链路连接）。Horizon Client*Horizon Agent4172TCP和 UDPPCoIP （如果未使用PCoIP安全网关）。注意由于源端口有所不同，请参阅此表格下面的注释。Horizon Client*Horizon Agent22443TCP和UDPVMware BlastHorizon Client*连接服务器、安全服务器或4172TCP和 UDPPCoIP （非SALSA20）（如果使用PCoIP安全网关）。Unified AccessGateway 设备注意由于源端口有所不同，请参阅此表格下面的注释。Web浏览器*安全服务器或Unified AccessGateway 设备8443TCPHTML Access o连接服务器*连接服务器48080TCP用于连接服务器组件之间的内部通信。连接服务器*vCenter Server 或80TCPSOAP 消息（如果对vCenter Server 或 View ComposerView Composer访问禁用TLS）o连接服务器*vCenter Server443TCPSOAP消息（如果对vCenter Server访问启用TLS）。连接服务器*View Composer18443TCPSOAP消息（如果对View Composer访问启用TLS）。连接服务器*连接服务器4100TCPJMS路由器之间的流量。连接服务器*连接服务器4101TCPJMS TLS路由器之间的流量。连接服务器*连接服务器8472TCP用于Cloud Pod架构中的容器间通信。连接服务器*连接服务器22389TCP用于在Cloud Pod架构中进行全局LDAP复制。连接服务器*连接服务器22636TCP用于在Cloud Pod架构中进行安全的全局LDAP复制。连接服务器*连接服务器32111TCP密钥共享流量。Unified Access*连接服务器或负载443TCPHTTPS 访问。Unified Access Gateway 设备通过 TCPGateway 设备平衡器端口 443进行连接，以便与一个连接服务器实例或多个 连接服务器实例前面的负载平衡器进行通信。View Composer*ESXi主机902TCP在View Composer自定义链接克隆磁盘时使用，这些磁服务盘包括View Composer内部磁盘和永久磁盘及系统一次 性磁盘（如已指定）。注意 客户端用于PColP的UDP端口号可能会发生更改。如果正在使用端口 50002,客户端将选择 50003。如果正在使用端口 50003,客户端将选择50004,依此类推。您必须使用ANY配置防火墙（表中 列出星号（*）的情况）。注意Microsoft Windows Server要求在Horizon 7环境中的所有连接服务器之间打开一系列动态端口。 Microsoft Windows需要使用这些端口来执行常规的远程过程调用（RPC）和Active Directory复制操作。有 关动态端口范围的更多信息，请参阅Microsoft Windows Server文档。Horizon 7中的HTTP重定向通过HTTP进行的连接尝试会以静默方式重定向到HTTPS，但指向Horizon Administrator的连接尝试除外。 较高版本的Horizon Client无需进行HTTP重定向，因为它们默认使用HTTPS，但是当用户使用Web浏 览器连接（例如下载Horizon Client）时，HTTP重定向是很有用的。HTTP重定向的问题在于它是一个非安全协议。如果用户没有在地址栏中输入https:/的习惯，则攻击者 将会攻击Web浏览器、安装恶意软件或盗取凭据，甚至在正确显示预期页面的时候也会如此。注意仅当您将外部防火墙配置为允许TCP端口 80的入站流量时，才会出现外部连接的HTTP重定向。通过HTTP向Horizon Administrator进行的连接尝试不会进行重定向。相反，将返回一条错误消息，指示 必须使用HTTPS。要避免所有HTTP连接尝试的重定向，请参阅Horizon 7安装指南文档中的“防止客户端连接到连接服 务器的HTTP重定向”。如果将TLS客户端连接负载分流到中间设备，还可以与连接服务器实例或安全服务器的端口 80建立连接。 请参阅Horizon 7管理指南文档中的“将TLS连接负载分流到中间服务器”。要允许更改TLS端口号后进行HTTP重定向，请参阅Horizon 7安装指南文档中的“更改端口号以允许 到连接服务器的HTTP重定向”。Horizon 7 TrueSSO 端口Horizon 7使用TrueSSO端口作为通信路径（端口和协议）和安全控制，在Horizon Connection Server和 虚拟桌面或已发布的应用程序之间传递证书，以进行与TrueSSO解决方案有关的证书登录。表 3 2 Horizon 7 使用的 TrueSSO 端口源目标端口协议说明Horizon ClientVMware IdentityManager 设备TCP 443HTTPS从生成SAML断言和项目的VMware Identity Manager设备启 动 Horizon 7。Horizon ClientHorizonConnection ServerTCP 443HTTPS启动 Horizon Client。HorizonConnection ServerVMware IdentityManager 设备TCP 443HTTPS连接服务器对VMware Identity Manager执行SAML解析。VMware Identity Manager验证项目并返回断言。HorizonConnection ServerHorizon注册服务器TCP32111使用此注册服务器。表 3-2 Horizon源注册服务器7使用的TrueSSO端口目标端口ADCS(续)协议说明注册服务器从Microsoft证书颁发机构(Certificate Authority,CA)请求证书，以生成一个临时的短期证书。注册服务使用TCP 135 RPC与该CA进行初步通信，然后使用从1024 - 5000和49152 - 65535之间随机选择的一个端口。请参阅 us/help/832017#method4 中的“证书服务”。注册服务器还会与域控制器进行通信，使用所有相关端口来发现DC，然后绑定到Active Directory并进行查询。请参阅 us/help/832017#method1 和 us/help/832017#method12。Horizon AgentHorizonConnection ServerTCP4002JMS overTLSHorizon Agent请求并接收用于登录的证书。虚拟桌面或已发布 的应用程序AD DCWindows通过Active Directory验证此证书的真实性。因为可 能需要大量端口，因此，请参阅相关Microsoft文档以了解端 口和协议列表。Horizon ClientHorizon Agent （协议会话）TCP/UDP 22443Blast登录到Windows桌面或应用程序并在Horizon Client上启动 一个远程会话。Horizon ClientHorizon Agent （协议会话）UDP4172PCoIP登录到Windows桌面或应用程序，此时将在Horizon Client 上启动一个远程会话。连接服务器主机上的服务Horizon 7的运行依赖于连接服务器主机上运行的若干服务。表3-3 Horizon连接服务器主机服务服务名称VMware HorizonView Blast安全网关启动类型自动说明提供安全HTML Access和Blast Extreme服务。如果客户端通过Blast安