VMware Horizo​​n 7.4 安全服务器

导航

本文适用于所有VMware Horizo​​n版本7.0及更高版本,包括7.3.2和7.4。

  • 制备
    • 防火墙端口
    • 配对密码
  • 安装 – 安全服务器7.4
  • 安全服务器证书
  • 负载均衡
  • 启用PCoIP安全网关

 

制备

安全服务器旨在部署在DMZ中。

Horizo​​n Security Server安装在Windows上。如果您更喜欢Linux设备,请参阅VMware Unified Access Gateway(以前称为Access Point)。注意:某些较新的Blast Extreme功能仅适用于统一接入网关(接入点)2.9及更高版本。请参阅在VMware文档中配置Blast安全网关

Horizo​​n View 5.2的安全注意事项 – http://www.vmware.com/resources/techresources/10371

防火墙端口

如果DMZ中只有一个安全管理服务器,则为安全管理服务器创建一个NAT的公共IP。创建一个解析为此IP地址的公共DNS条目。

如果您的负载均衡器(例如F5)能够跨多个端口号提供持久性,那么您只需要一个公有IP。。

如果您的负载均衡器不支持跨多个端口号的持久性,请创建三个公有IP:

  • 公共IP NAT’d到负载均衡器IP。创建一个解析为此IP地址的公共DNS条目。这是用户将进入其Horizo​​n Client的DNS名称。
  • 公共IP NAT’d到每个安全服务器。每个安全管理服务器必须直接暴露给互联网。创建解析为这些公共IP的公共DNS名称。安装安全管理服务器时,请指定这些公共DNS名称而不是负载平衡的DNS名称。

 

VMware Docs中View Connection Server的防火墙规则

从Internet上的任何设备打开这些端口到所有安全管理服务器和负载平衡器公共IP:

  • TCP 80
  • TCP和UDP 443
  • TCP和UDP 4172. UDP 4172必须在两个方向上打开。
  • TCP和UDP 8443(用于Blast)

将这些端口从安全服务器打开到内部:

  • 如果在View Administrator中启用IPSec(全局设置>安全>编辑),请打开ISAKMP协议(UDP 500)和ESP。或者如果安全管理服务器和连接服务器之间存在NAT,请打开NAT-T ISAKMP(UDP 4500)。在VMware Docs中配置后端防火墙以支持IPsec
  • TCP 8009(AJP13)连接到配对的内部Horizo​​n连接服务器。
  • TCP 4001(JMS)连接到配对的内部Horizo​​n连接服务器。
  • TCP和UDP 4172(PCoIP)连接到所有内部Horizo​​n代理。UDP 4172必须在两个方向上打开。
  • TCP 32111(USB重定向)到所有内部Horizo​​n代理。
  • TCP和UDP 22443(HTML Blast)到所有内部Horizo​​n Agent。
  • TCP 9427(MMR)到所有内部Horizo​​n代理。
  • 用于增强型消息安全的TCP 4002 – 在VMware Docs 中将JMS消息安全模式更改为增强

配对密码

  1. 在View Administrator的左侧,展开“ 查看配置”,然后单击“ 服务器”
  2. 在右侧,切换到连接服务器选项卡。
  3. 选择安全管理服务器将与之配对的Horizo​​n连接服务器。然后单击更多命令,然后单击指定安全管理服务器配对密码
  4. 输入一个临时密码,然后单击确定

安装 – 安全服务器

  1. 确保Horizo​​n Security Server具有10 GB的RAM和4个vCPU。
  2. 登录到Horizo​​n Security Server。
  3. 下载  Horizo​​n 7.4.0 View Connection Server
  4. 运行下载的  VMware-viewconnectionserver-x86_64-7.4.0.exe
  5. 欢迎使用VMware Horizo​​n 7连接服务器的安装向导页面中,单击下一步
  6. 许可协议页面中,选择我接受条款,然后单击下一步
  7. 目标文件夹页面中,单击下一步
  8. 在“ 安装选项”页面中,选择Horizo​​n 7安全管理服务器,然后单击下一步
  9. 在“ Paired Horizo​​n 7连接服务器”页面中,输入将与此安全管理服务器配对的内部Horizo​​n Connection Server的名称。如果使用主机名,它必须是可解析的(编辑本地HOSTS文件)到正确的IP。此外,正确的防火墙端口是必需的。点击下一步
  10. Paired Horizo​​n 7连接服务器密码页面中,输入先前指定的配对密码,然后单击下一步
  11. Horizo​​n 7安全服务器配置页面中,根据需要编辑URL。这些网址必须可从外部访问。顶部的URL是FQDN,而中间的URL是IP地址。这些可以稍后更改。点击下一步
  12. 在“ 防火墙配置”页面中,单击下一步
  13. 准备安装程序页面中,单击安装
  14. 安装程序完成页面中,单击完成

SSL

安全服务器证书

  1. 运行  certlm.msc(Windows 2012+)。或者运行mmc,添加“证书”管理单元并将其指向“ 计算机”>“本地计算机”
  2. 请求具有与安全管理服务器的公共FQDN相匹配的通用名称的新证书,或导入通配符证书。
  3. 注意:私钥必须是可导出的。如果使用计算机模板,请单击详细信息,然后单击属性
  4. 在“ 私钥”选项卡上,单击“ 密钥选项”将其展开,然后选中“将私钥标记为可导出 ”旁边的复选框。
  5. 在证书列表中,查找自签名的证书。发行人将是本地计算机名称而不是证书颁发机构。用鼠标右键单击它,然后单击属性
  6. 常规选项卡上,清除友好名称字段,然后单击确定
  7. 右键单击您的证书颁发机构签署的证书,然后尝试导出它。
  8. 导出私钥页面上,确保  是,导出私钥是可选的。如果导出私钥的选项变灰,则此证书不起作用。点击取消
  9. 右键单击您的证书颁发机构签发的证书,然后单击属性
  10. 常规选项卡的友好名称字段中,输入文本vdm,然后单击确定。注意:只有一个证书可以具有vdm作为友好名称。
  11. 然后重新启动VMware Horizo​​n 7安全服务器服务。

负载均衡

 

启用PCoIP安全网关

  1. 在View Administrator的左侧,展开“ 查看配置”,然后单击“ 服务器”
  2. 在右侧,切换到连接服务器选项卡。
  3. 用鼠标右键单击与安全管理服务器配对的连接服务器,然后单击编辑。注意:您无法直接在Horizo​​n Security Server上配置此功能,而是必须在配对的Horizo​​n Connection Server上配置它。
  4. 在“ 常规”选项卡上,选中使用PCoIP安全网关将PCoIP连接到计算机旁边的复选框。另外,请确保已启用HTTP(S)安全通道Blast安全网关。点击确定

发表评论

电子邮件地址不会被公开。 必填项已用*标注