[How-To] Horizon Verbindung absichern

Back to Blog

[How-To] Horizon Verbindung absichern

Mit den letzten Releases der Horizon Versionen versucht VMware die Verbindungen von Agents und Connection Server besser abzusichern. Es werden immer mehr Sicherheitsmechanismen aktiviert die bis anhin standardmässig deaktiviert waren. Einige dieser Settings können im «locked.properties»-File gesteuert werden.

Hier wollen wir aufzeigen wie diese Datei richtig konfiguriert wird.

Was geschieht, wenn man dies nicht konfiguriert?

Ein nicht- oder inkorrektes Konfigurieren kann folgende Probleme zur Folge haben:

  • Beim Zugriff auf die Webschnittstelle von Horizon View 7.X oder 8.x Administrator wird ein leeres Fehlerfenster angezeigt.
      • Das Problem tritt nicht auf, wenn die Verbindung zur Verwaltungsseite über  https://localhost genutzt wird, direkt auf dem Connection Server
  • Der Administrator sieht eine Fehlermeldung “Login Failed”, wenn er sich über die Konsole anmeldet.
  • Der Zugriff auf virtuelle Desktops über html5 funktioniert nicht
  • Das Login von Extern funktioniert nicht oder es gibt eine Fehlermeldung “421 Unknown – The page you requested is not available”

Richtige Konfiguration von “locked.properties”

Wenn sich ein Benutzer mit einem Horizon Connection Server verbindet, muss dem Connection Server die URL bekannt sein von der der Benutzer kommt. Dazu wird CORS (Cross-Origin Resource Sharing” genutzt. Wenn ein Benutzer also bspw. auf “badguy.com” klickt und von dort zu Horizon weitergeleitet wird weist Horizon diese Verbindung ab.

Dieses Security-Feature wird in der Praxis oft deaktiviert obwohl es sehr nützlich ist. Wir hoffen mit diesem Post zu erreichen, dass diese Feature effizient genutzt wird.

Um die Horizon Verbindung abzusichern werden folgende Werte im “locked.properties” definiert:

balancedHost = <LoadBalanced URL>
portalHost.1 = <FQDN Horizon Connection Server 1>
portalHost.2 = <FQDN Horizon Connection Server 2>

Die Datei liegt unter “C:\Program Files\VMware\VMware View\Server\sslgateway\conf\locked.properties”. Die Datei muss angelegt werden wenn diese nicht existiert und dies muss auf jedem Connection Server hinterlegt werden.

Wenn die externe Loadbalancer URL anders lauten als die interne, dann muss auf dem UAG noch die Option “Re-Write Origin Header” aktiviert werden. Damit kann das Check-Origin Feature auf den Connection Server aktiviert bleiben.

HorizonSettings Rewrite Origin Header

 

Next Steps

Wenn dich das obige Thema interessiert und du gerne noch weitere Infos rund um Sicherheitsfeatures im Bereich Desktopvirtualisierung haben möchtest, dann zögere nicht dich mit uns in Verbindung zu setzen.

08.11.2023 By Horizon View, HowTo, VMware 0 Comments

Share this post

Author

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to Blog

Related Posts

22Feb

[How-To] Monitor Cronjobs with Aria Operations

Bei einem Pr... read more
10Oct

[PowerCLI] Reporting the duration of Snapshots

One of our c... read more
10Jan

VCSA IP Change

Hast du scho... read more
05Feb

[PowerCLI] Releasing my vCheck Fork

I have been ... read more
21Jul

[PowerCLI] Automating VM Shutdown triggered by USV

So another c... read more
VM News Collector Fling Teaser
11Jan

[VMware] VM News Collector 1.0

A new fling ... read more
05Oct

[PowerCLI] Checking ESXi Hosts Advanced Settings against VMware’s default

Over the yea... read more
27Jul

[vSAN] Tips and Tricks for vSAN troubleshooting

Today I atte... read more
24Apr

VMware Partner Leadership Summit 2023

Wir sind sto... read more
04Oct

[PowerCLI] Adding a disk to a VM

Recently I s... read more