故障現(xiàn)象

WYSE D200終端在登錄連 接Horizon View 7.0的虛擬桌面時，提示“會話協(xié)商失敗。零客戶端可能與主機會話協(xié)商密碼設置不兼容”，不能登錄。

故障原因

這個問題的原因是，WYSE D200終端使用PCoIP協(xié)議連接View桌面時，使用的是TLS 1.0，而Horizon View 7.0連接服務器與View桌面，默認使用的是TLS 1.1與1.2，不使用 TLS 1.0。要想讓WYSE D200終端使用Horizon 7的虛擬桌面，必須修改View連接服務器、View桌面以啟動TLS 1.0協(xié)議。

要修改View桌面，有兩種辦法，一種是在配置View桌面時，直接在“父虛擬機”中修改，另一種是使用ADM模板文件pcoip.adm，使用組策略修改替換View桌面。通常情況下我們是修改組策略來解決。

圖1 為View桌面創(chuàng)建OU

圖2 配置SSL協(xié)議

修改操作

以域管理員身份登錄到域控制器，在域控制器為View桌面加載并修改pcoip.adm文件。為了避免組策略覆蓋非View桌面的計算機，在配置View桌面池時，要為View桌面單獨指定一個“組織單位”。本示例在“Active Directory用戶和計算機”中，為所有的View桌面創(chuàng)建了一個名為“Win7X-PC”的組織單位（如圖1）。

當前配置的View桌面版本是7.1.0，下載的ADM模板文件名是“VMware-Horizon-Extras-Bundle-4.4.0-5171611.zip”，大小為 2.73MB，將其解壓縮到一個文件夾，例如D盤TEMP文件夾。

1.打開“組策略管理”，為“Win7X-PC”組織單位創(chuàng)建組策略，然后右擊，選擇“編輯”。打開Win7X-PC的組策略編輯順，在“計算機配置→策略”中右擊“管理模板”，選擇“添加/刪除模板”，在打開的“添加/刪除模板”對話框中，單擊“添加”按鈕，瀏覽選擇解壓縮展開的ADM文件，從中選擇pcoip.adm，然后單擊“關閉”按鈕。

2.展開“管理模板→管理模板→PCoIP Session Variables→ Overridable Administrator Default”，雙擊右側的“Configure SSL protocols”（如圖 2）。

3.在“Configure SSL protocols”對話框中單擊“己啟用”，在“Configure SSL protocols”文本框中輸入“TLS1.0:TLS1.1:TLS1.2”，然后單擊“確定”按鈕（如圖3）。

4.關閉組策略編輯器，執(zhí)行gpupdate /force更新組策略。

說明：View PCoIP 會話變量 ADM 模板文件（pcoip.adm）包含與PCoIP顯示協(xié)議有關的策略設置?？梢詫⒃O置配置為可被管理員覆蓋的默認值，或配置為不可覆蓋的值。

此ADM文件在一個名為 VMware-Horizon-View-Extras-Bundle-x.x.xyyyyyyy.zip 的 .zip 捆綁包文件中提供，您可以從 VMware Horizon（包 含View）下載站點下載，網(wǎng)址為http://www.vmware.com/go/downloadview。

View PCoIP會話變量ADM模板文件包含兩個子類別：

圖3 配置SSL協(xié)議

圖4 添加字符串值

（1）管理員可覆蓋的默認值。指定 PCoIP 會話變量的默認值。這些設置可被管理員覆蓋。這些設置將注冊表項值寫入HKLMSoftwarePoliciesTeradiciPCoIPpcoip_admin_defaults 中。

（2）管理員不可覆蓋的設置。包含與“管理員可覆蓋的默認值”相同的設置，但這些設置不能被管理員覆蓋。這些設置將注冊表項值寫入 HKLMSoftwarePoliciesTeradiciPCoIPpcoip_admin 中。

如果不修改組策略，也可以修改View父虛擬機（包括Windows VDI桌面計算機、RDS桌面或遠程應用程序的Windows RDS主機等）。

打開注冊組編輯器，定位到HKLMSoftwareTeradiciPCoIP，新 建字符串值，名稱是 pcoip.ssl_protocol，數(shù)據(jù)是TLS1.0:TLS1.1:TLS1.2。

最后，登錄到View連接服務器，執(zhí)行regedit，定位到HKLMSOFTWARETeradiciSecurityGateway，在右側右擊，選擇新建“字符串值”，名稱為SSLProtocol，數(shù)據(jù)為tls1.2:tls1.1:tls1.0（如圖 4）。

經(jīng)過上述修改后，WYSE終端即可以登錄View桌面。如果不能登錄，請將所有的View桌面虛擬機重新啟動并應用組策略即可。