Hoe los je authenticatieproblemen met de VMware Horizon Client Connection Server op?

Het oplossen van verbindingsproblemen met VMware Horizon Client kan behoorlijk frustrerend zijn, vooral wanneer deze worden veroorzaakt door problemen met SSL/TLS-certificaten of conflicten met netwerkbeveiliging. Meestal gaat het mis met de TLS-handshake, vaak omdat de client het certificaat van de server niet vertrouwt. In sommige configuraties gebeurt dit wanneer beveiligingstools zoals proxy’s of firewalls het verkeer onderscheppen en certificaten verwisselen, waardoor de Horizon Client een foutmelding geeft: “De tunnelserver heeft een certificaat aangeboden dat niet overeenkomt met het verwachte certificaat.” Dit is in feite de manier waarop de client zegt: “Hé, ik vertrouw dit certificaat niet, dus geen verbinding.”

Deze handleiding gaat over het oplossen van die vervelende SSL-validatiefouten bij het verbinden met uw VMware Horizon-omgeving. Het doel is om die certificaatmismatches of vertrouwensproblemen op te lossen, zodat uw Horizon-client zich kan authenticeren zonder fouten. Zie het als het verwijderen van die irritante hindernis, zodat u kunt inloggen en soepel aan de slag kunt. U krijgt een aantal verschillende methoden om te proberen, afhankelijk van de oorzaak van het probleem – of het nu gaat om proxy-intercepties, verouderde certificaten of TLS-instellingen.

Hoe los ik de foutmelding “Het certificaat van de verbindingsserver komt niet overeen” in VMware Horizon op?

Configureer een SSL-bypass voor uw Horizon-domein in de proxy.

Deze aanpak is nuttig omdat, als uw netwerkbeveiliging SSL-verkeer onderschept (bijvoorbeeld via een proxy of WSS-agent), het vaak het originele servercertificaat vervangt door een eigen certificaat. Dat verstoort certificaatpinning in Horizon – de client verwacht namelijk een zeer specifiek certificaat van de server. Door de FQDN van Horizon (zoals horizon.yourcompany.com ) toe te voegen aan de SSL-bypass- of decryptie-uitsluitingslijst van de proxy, geeft u de beveiligingstools de opdracht om dat verkeer ongemoeid te laten. Zo kan het daadwerkelijke servercertificaat de client ongewijzigd bereiken, waardoor de mismatchfout wordt voorkomen.

Zoek eerst de FQDN of het IP-adres van uw Horizon Connection Server op – waarschijnlijk iets als https://horizon.uwbedrijf.com. Ga vervolgens naar de instellingen van uw proxy of WSS-agent, zoek de lijst met SSL-bypass- of decryptie-uitsluitingen en voeg dat domein of IP-adres daaraan toe. Meestal vindt u dit onder het menu-item Instellingen > Beveiliging > SSL-bypasslijst. Start de proxy indien nodig opnieuw op en probeer opnieuw verbinding te maken. Soms is een herstart van de proxy of WSS-agent nodig om de wijzigingen door te voeren, dus aarzel niet om deze services opnieuw op te starten.

Omzeil proxy-onderschepping of debugtools

Als je debugtools zoals Fiddler of Charles gebruikt, is het mogelijk dat deze ook SSL-verkeer decoderen, wat de vertrouwensketen van Horizon eveneens verbreekt. In één configuratie werkte dit direct nadat de Horizon-servers aan de lijst ‘Decodering overslaan voor’ waren toegevoegd, maar in een andere configuratie weigerde het te werken totdat deze proxytools volledig waren uitgeschakeld of hun HTTPS-decodering was uitgeschakeld. Om dit in Fiddler te doen:

  • Open Extra > Opties > HTTPS
  • Schakel ‘Ontsleuteling overslaan’ in voor de volgende hosts.
  • Voeg &.vmware.com en uw specifieke Horizon-serverdomein of IP-adres toe.

Het is een beetje vreemd, maar op sommige machines mislukt de TLS-handshake als de decryptieproxy actief is. Dit is dus het proberen waard als je vermoedt dat een MITM-achtige opzet de boel verstoort.

Importeer handmatig het rootcertificaat van de verbindingsserver.

Deze is eenvoudiger, maar ook wat omslachtig. Als uw Horizon-server een interne of bedrijfs-CA gebruikt en het besturingssysteem van uw client deze CA nog niet vertrouwt, krijgt u certificaatfouten. Om dit op te lossen, haalt u het root-CA-certificaat (.crt of.pem) op bij uw Horizon-beheerder en importeert u dit in de vertrouwde rootcertificatenopslag op uw lokale machine.

  • Druk op Windows + R, typ certlm.mscen druk op Enter.
  • Ga naar Vertrouwde basiscertificeringsinstanties > Certificaten.
  • Klik met de rechtermuisknop, kies Alle taken > Importeren en volg de wizard.
  • Selecteer het root-CA-certificaatbestand en zorg ervoor dat het in de opslagplaats voor vertrouwde root-certificeringsinstanties is geplaatst.

Start de Horizon Client daarna opnieuw op en probeer nogmaals verbinding te maken. Deze stap zorgt ervoor dat uw besturingssysteem, en daarmee ook de Horizon Client, de CA als betrouwbaar herkent, waardoor de TLS-handshake kan slagen.

Pas de TLS-protocolinstellingen aan zodat ze overeenkomen met die van de server.

Soms mislukt de handshake omdat uw client een TLS-versie probeert te gebruiken die de server niet ondersteunt, zoals TLS 1.3, terwijl op de server alleen TLS 1.2 is ingeschakeld. Dit kan gebeuren na updates van het besturingssysteem of de client, of als uw groepsbeleid standaard nieuwere protocollen gebruikt.

Om dit op te lossen, gaat u naar de Editor voor Groepsbeleidsbeheer : Navigeer naar Computerconfiguratie > Beleid > Administratieve sjablonen > VMware Horizon Client > Beveiligingsinstellingen. Open het beleid voor SSL/TLS-protocollen, stel dit in op Ingeschakeld en selecteer alleen TLS 1.2. Pas het beleid toe en vernieuw het beleid op de clientcomputer (uitvoeren gpupdate /forcein PowerShell of CMD).Dit zorgt ervoor dat uw Horizon Client alleen de protocollen gebruikt die door uw server worden ondersteund, waardoor versieconflicten worden voorkomen.

Extra: Voor gebruikers van Omnissa Horizon Client

Als je Omnissa Horizon gebruikt, probeer dan eerst alle opgeslagen gegevens te wissen:

  • Verwijder mappen zoals %AppData%\Omnissa\Horizon Clienten %LocalAppData%\Omnissa\Horizon Client.
  • Installeer de nieuwste Omnissa Horizon Client opnieuw via hun officiële website.
  • Als de verbinding nog steeds instabiel is, schakel dan IPv6 uit of gebruik een bekabelde verbinding om netwerkproblemen uit te sluiten. Controleer ook of uw firewall poorten 443 en 8443 toestaat voor de Horizon-server.

Wat als de fout blijft aanhouden? Wat moet je dan doen?

Soms blijven de fouten ondanks al deze trucs toch aanwezig. In dat geval is het raadzaam om de SSL-certificaatconfiguratie van uw server te controleren, met name als het een interne CA of een zelfondertekend certificaat betreft. Zorg er ook voor dat het besturingssysteem van uw client volledig is bijgewerkt met de nieuwste rootcertificaten.

En vraag, indien mogelijk, uw netwerk-/beveiligingsteam om de proxyregels en CA-implementaties te controleren. Windows en bedrijfsomgevingen hebben er namelijk een handje van om dit soort zaken ingewikkeld te maken.

Samenvatting

  • Voeg uw Horizon-domein/IP-adres toe aan de lijst met SSL-proxy-bypass-adressen.
  • Sla SSL-ontsleuteling over in debugtools, indien van toepassing.
  • Importeer het root-CA-certificaat van de server in de vertrouwde certificatenopslag van uw computer.
  • Zorg ervoor dat de TLS-instellingen van uw client overeenkomen met de instellingen die de server ondersteunt.
  • Controleer de firewall- en proxy-instellingen van uw netwerk.

Samenvatting

Er is weinig zo vervelend als SSL-certificaatfouten die de toegang blokkeren, maar met deze stappen kunnen veel vertrouwensproblemen worden opgelost. Soms gaat het erom het CA-certificaat te importeren of het beveiligingsprotocol aan te passen. Andere keren is er sprake van netwerkproblemen, dus vergeet niet je proxy- en firewallinstellingen te controleren. Hopelijk maakt dit de weg vrij, zodat je zonder problemen verbinding kunt maken. We hopen dat het iemand helpt om sneller weer aan de slag te gaan.