Os scripts do PowerShell preparam seu ambiente com todas as definições de configuração. Ao executar o script do PowerShell para implementar o Unified Access Gateway, a solução está pronta para produção na primeira inicialização do sistema.

Importante:

Com uma implantação do PowerShell, você pode fornecer todas as configurações no arquivo INI e a instância do Unified Access Gateway fica pronta para produção assim que é inicializada. Se você não quiser alterar qualquer configuração pós-implantação, não precisará fornecer a senha da interface de usuário do administrador.

No entanto, interface de usuário do administrador e a API não estarão disponíveis se a senha da interface de usuário do administrador não for fornecida durante a implantação.

Observação:

  • Se você não fornecer a senha da interface de usuário do administrador no momento da implantação, não poderá adicionar um usuário posteriormente para ativar o acesso à interface de usuário do administrador ou à API. Se você desejar adicionar um usuário da interface de usuário do administrador, deverá reimplantar sua instância do Unified Access Gateway com uma senha válida.

  • O Unified Access Gateway 3.5 e versões posteriores inclui uma propriedade INI sshEnabled opcional. Definir sshEnabled=true na seção [General] do arquivo INI PowerShell automaticamente permite ssh o acesso ao appliance implantado. A VMware geralmente não recomenda ativar ssh em Unified Access Gateway exceto em certas situações específicas e onde o acesso pode ser restrito. Esse recurso é principalmente destinado às implantações Amazon EC2 da AWS em que um acesso de console alternativo não está disponível.

    Se sshEnabled=true não está especificado ou está definido como false, então ssh não está habilitado.

    Habilitar o acesso de ssh no Unified Access Gateway para vSphere, Hyper-V ou para implantações do Microsoft Azure não é geralmente necessário, pois se pode usar o acesso ao console nessas plataformas. Se o acesso ao console de raiz é necessário para a implantação do Amazon AWS EC2, então defina sshEnabled=true. Em casos nos quais ssh está ativado, o acesso 22 da porta TCP deve ser restrito em firewalls ou em grupos de segurança para endereços IP de origem dos administradores individuais. O EC2 oferece suporte a essa restrição no grupo de segurança EC2 associado com as interfaces de rede Unified Access Gateway.

Pré-requisitos

  • Para uma implantação do Hyper-V, e se você estiver fazendo upgrade do Unified Access Gateway com IP estático, exclua o appliance mais antigo antes de implantar a instância mais recente do Unified Access Gateway.

  • Verifique se os requisitos do sistema são apropriados e se estão disponíveis para uso.

    Este é um script de amostra para implementar o Unified Access Gateway no seu ambiente.

    Figura 1. Script de amostra do PowerShell

Procedimento

  1. Faça o download do OVA do Unified Access Gateway no My VMware para sua máquina Windows.
  2. Faça o download dos arquivos uagdeploy-XXX.zip em uma pasta na máquina Windows.

    Os arquivos ZIP estão disponíveis em https://communities.vmware.com/docs/DOC-30835.

  3. Abra um script do PowerShell e modifique o diretório do local do seu script.
  4. Crie um arquivo de configuração INI para o appliance virtual do Unified Access Gateway.

    Por exemplo: implante uma nova AP1 do appliance do Unified Access Gateway. O arquivo de configuração é nomeado ap1.ini. Esse arquivo contém todas as definições de configuração para AP1. É possível usar os exemplos de arquivos INI no arquivo apdeploy.ZIP para criar o arquivo INI e modificar as configurações adequadamente.

    Observação:

    • Você pode ter arquivos INI exclusivos para várias implantações do Unified Access Gateway no seu ambiente. Você deve alterar os Endereços IP e os parâmetros de nome no arquivo INI adequadamente para implantar vários appliances.

    • O valor de favicon.ico para a configuração de healthCheckUrl não é compatível com Content Gateway e VMware Tunnel.

    Exemplo do arquivo INI a ser modificado. 

    [General]
netManagementNetwork=
netInternet=
netBackendNetwork=
name=
dns=10.112.64.1
ip0=10.108.120.119
diskMode=
source=
defaultGateway=10.108.120.125
target=
ds=
authenticationTimeout=300000
fipsEnabled=false
uagName=trustedcert
locale=en_US
ipModeforNIC3=DHCPV4_DHCPV6
tls12Enabled=true
ipMode=DHCPV4_DHCPV6
requestTimeoutMsec=10000
ipModeforNIC2=DHCPV4_DHCPV6
tls11Enabled=true
clientConnectionIdleTimeout=180
tls10Enabled=false
adminCertRolledBack=false
honorCipherOrder=false
cookiesToBeCached=none
healthCheckUrl=/favicon.ico
quiesceMode=false
isCiphersSetByUser=false
tlsPortSharingEnabled=true
ceipEnabled=true
bodyReceiveTimeoutMsec=15000
monitorInterval=60
cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
adminPasswordExpirationDays=90
httpConnectionTimeout=120
isTLS11SetByUser=false
sessionTimeout=36000000
ssl30Enabled=false

[WebReverseProxy1]
proxyDestinationUrl=https://10.108.120.21
trustedCert1=
instanceId=view
healthCheckUrl=/favicon.ico
userNameHeader=AccessPoint-User-ID
proxyPattern=/(.*)
landingPagePath=/
hostEntry1=10.108.120.21 HZNView.uagqe.auto.com

[Horizon]
proxyDestinationUrl=https://enterViewConnectionServerUrl
trustedCert1=
gatewayLocation=external
disableHtmlAccess=false
healthCheckUrl=/favicon.ico
proxyDestinationIPSupport=IPV4
smartCardHintPrompt=false
queryBrokerInterval=300
proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
matchWindowsUserName=false
windowsSSOEnabled=false

[SSLCert]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

[SSLCertAdmin]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

  5. Para assegurar que a execução do script seja bem-sucedida, digite o comando set-executionpolicy do PowerShell. 
    set-executionpolicy -scope currentuser unrestricted

    Você deve executar esse comando uma vez e somente se ele estiver restrito no momento.

    1. (Opcional) Se houver um aviso para o script, execute o seguinte comando para desbloquear o aviso: unblock-file -path .\uagdeploy.ps1
  6. Execute o comando para iniciar a implementação. Se você não especificar o arquivo .INI, o script será padronizado para ap.ini. 
    .\uagdeploy.ps1 -iniFile uag1.ini
  7. Insira as credenciais quando receber o aviso e conclua o script.
    Observação:

    Se você receber um aviso para adicionar a impressão digital da máquina de destino, digite sim.

    O appliance do Unified Access Gateway está implementado e disponível para produção.

Resultados

Para obter mais informações sobre scripts do PowerShell, consulte https://communities.vmware.com/docs/DOC-30835.

O que Fazer Depois

Se você quiser fazer upgrade do Unified Access Gateway preservando as configurações existentes, edite o arquivo .ini para alterar a referência de origem para a nova versão e execute novamente o arquivo .ini: uagdeploy.ps1 uag1.ini. Esse processo pode levar até três minutos. 

[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

Se você quiser fazer upgrade sem interrupção do serviço, consulte Atualização com tempo de inatividade zero.