VMware Horizon View 6.2.4 Uprade und TLSv1.0

Eigentlich gibt es eine goldene Regel in der IT. Freitag ist Read Only Friday und weil man kein Bock hat auf Panik am Wochenende hält man die Finger still. Leider musste ich unsere angestaubte VMware Horizon View Farm aber mal eben schnell aktualisieren weil das verwenden von Windows 10 Enterprise als Gastsystem nicht möglich war. Ich wollte nicht direkt mit der Brechstange auf Version 7 gehen und da es sich nur um ein Bugfix Release handelte und der eh schon überfällig war dachte ich mir dabei auch sehr wenig.

Mein Gastbetriebssystem lief nach einer kurzen Updatephase einwandfrei. Leider haben wir bei manchen Hubs eine ältere Version vom VMware View Client im Einsatz und hier kam es auch zur ersten Meldung das eine Verbindung nicht möglich war. Kein Problem, dachte ich! In der Softwareverteilung war schon ein neues MSI Paket von mir für unseren Standort bereitgestellt. Einfach GPO’s anpassen und spätestens Montag oder nach einem Neustart ist alle wieder gut.

Dann kam aber leider der Anruf den ich Freitag Mittag 14:30 nicht mal meinen Feinden wünsche :-). In einem Aussenlager war ein HP Thinclient im Einsatz und der verweigerte wegen einem SSL/TLS Fehler den Zugriff auf dem View Securityserver.

Jetzt kommt ein gut gemeinter Ratschlag von mir an euch! Lest vor einem Upgrade immer die Release Notes. Wenn ich das gemacht hätte wäre mir schon vorher die Problematik bewusst geworden. Ein Remoteupdate war aus mehreren Gründen so nicht möglich. Ich musste also den View Server dazu bewegen, wenn auch mit eine bösen herhobemen Security Zeigefinger, das er das TLSv1 Protokoll sowie diverse Cipher wieder annimmt.

Erster Schritt war das anlegen der Datei locked.properties im Ordner c:\Program Files\VMware\VMware View\Server\sslgateway\conf

Die Datei bekommt folgenden Inhalt:


# Liste der möglichen Protokolle

secureProtocols.1=TLSv1.2
secureProtocols.2=TLSv1.1
secureProtocols.3=TLSv1
secureProtocols.4=SSLv3
secureProtocols.5=SSLv2Hello

# Wähle das bevorzugte Protkoll aus. Das sollte auch in der Liste ganz oben stehen.

preferredSecureProtocol=TLSv1.2

# aktiviere folgende Chiper

enabledCipherSuite.1=TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
enabledCipherSuite.2=TLS_DHE_DSS_WITH_AES_128_CBC_SHA
enabledCipherSuite.3=TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
enabledCipherSuite.4=TLS_DHE_DSS_WITH_AES_256_CBC_SHA
enabledCipherSuite.5=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
enabledCipherSuite.6=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
enabledCipherSuite.7=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
enabledCipherSuite.8=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
enabledCipherSuite.9=TLS_RSA_WITH_AES_128_CBC_SHA
enabledCipherSuite.10=TLS_RSA_WITH_AES_256_CBC_SHA
enabledCipherSuite.11=SSL_RSA_WITH_RC4_128_MD5
enabledCipherSuite.12=SSL_RSA_WITH_RC4_128_SHA
enabledCipherSuite.13=TLS_RSA_WITH_AES_128_CBC_SHA
enabledCipherSuite.14=TLS_DHE_RSA_WITH_AES_128_CBC_SHA
enabledCipherSuite.15=TLS_DHE_DSS_WITH_AES_128_CBC_SHA
enabledCipherSuite.16=SSL_RSA_WITH_3DES_EDE_CBC_SHA
enabledCipherSuite.17=SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
enabledCipherSuite.18=SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Anschliessend nehmen wir noch einen Registry Eintrag vor:

HKLM\Software\Teradici\SecurityGateway
Name: SSLProtocol
Type: REG_SZ
Value: tls1.2:tls1.1:tls1.0

Wenn das erledigt ist starten wir den Dienst des Verbindungssicherungsserver neu. Die ThinClients sollten sich jetzt wieder verbinden können. Dies sollte aber nur eine temporäre Lösung sein bis ihr einen passenden Austausch ThinClient mit entsprechenden Update vor Ort installiert habt.

Quelle:

https://thatonecomputerguy.wordpress.com/2016/04/22/ssl-settings-to-allow-connection-from-old-view-clients-on-view-horizon-6-2/

https://pubs.vmware.com/Release_Notes/en/horizon-6-view/624/horizon-view-release-notes.html

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.