Os scripts do PowerShell preparam seu ambiente com todas as definições de configuração. Ao executar o script do PowerShell para implementar o Unified Access Gateway, a solução está pronta para produção na primeira inicialização do sistema.

Importante:

Com uma implantação do PowerShell, você pode fornecer todas as configurações no arquivo INI e a instância do Unified Access Gateway fica pronta para produção assim que é inicializada. Se você não quiser alterar qualquer configuração pós-implantação, não precisará fornecer a senha da interface de usuário do administrador.

No entanto, interface de usuário do administrador e a API não estarão disponíveis se a senha da interface de usuário do administrador não for fornecida durante a implantação.

Observação:
  • Se você não fornecer a senha da interface de usuário do administrador no momento da implantação, não poderá adicionar um usuário posteriormente para ativar o acesso à interface de usuário do administrador ou à API. Se você desejar adicionar um usuário da interface de usuário do administrador, deverá reimplantar sua instância do Unified Access Gateway com uma senha válida.

  • O Unified Access Gateway 3.5 e versões posteriores inclui uma propriedade INI sshEnabled opcional. Definir sshEnabled=true na seção [General] do arquivo INI PowerShell automaticamente permite ssh o acesso ao appliance implantado. A VMware geralmente não recomenda ativar ssh em Unified Access Gateway exceto em certas situações específicas e onde o acesso pode ser restrito. Esse recurso é principalmente destinado às implantações Amazon EC2 da AWS em que um acesso de console alternativo não está disponível.

    Se sshEnabled=true não está especificado ou está definido como false, então ssh não está habilitado.

    Habilitar o acesso de ssh no Unified Access Gateway para vSphere, Hyper-V ou para implantações do Microsoft Azure não é geralmente necessário, pois se pode usar o acesso ao console nessas plataformas. Se o acesso ao console de raiz é necessário para a implantação do Amazon AWS EC2, então defina sshEnabled=true. Em casos nos quais ssh está ativado, o acesso 22 da porta TCP deve ser restrito em firewalls ou em grupos de segurança para endereços IP de origem dos administradores individuais. O EC2 oferece suporte a essa restrição no grupo de segurança EC2 associado com as interfaces de rede Unified Access Gateway.

Pré-requisitos

  • Para uma implantação do Hyper-V, e se você estiver fazendo upgrade do Unified Access Gateway com IP estático, exclua o appliance mais antigo antes de implantar a instância mais recente do Unified Access Gateway.

  • Verifique se os requisitos do sistema são apropriados e se estão disponíveis para uso.

    Este é um script de amostra para implementar o Unified Access Gateway no seu ambiente.

    Figura 1. Script de amostra do PowerShell

Procedimento

  1. Faça o download do OVA do Unified Access Gateway no My VMware para sua máquina Windows.
  2. Faça o download dos arquivos uagdeploy-XXX.zip em uma pasta na máquina Windows.

    Os arquivos ZIP estão disponíveis em https://communities.vmware.com/docs/DOC-30835.

  3. Abra um script do PowerShell e modifique o diretório do local do seu script.
  4. Crie um arquivo de configuração INI para o appliance virtual do Unified Access Gateway.

    Por exemplo: implante uma nova AP1 do appliance do Unified Access Gateway. O arquivo de configuração é nomeado ap1.ini. Esse arquivo contém todas as definições de configuração para AP1. É possível usar os exemplos de arquivos INI no arquivo apdeploy.ZIP para criar o arquivo INI e modificar as configurações adequadamente.

    Observação:
    • Você pode ter arquivos INI exclusivos para várias implantações do Unified Access Gateway no seu ambiente. Você deve alterar os Endereços IP e os parâmetros de nome no arquivo INI adequadamente para implantar vários appliances.

    • O valor de favicon.ico para a configuração de healthCheckUrl não é compatível com Content Gateway e VMware Tunnel.

    Exemplo do arquivo INI a ser modificado.

    [General]
    netManagementNetwork=
    netInternet=
    netBackendNetwork=
    name=
    dns=10.112.64.1
    ip0=10.108.120.119
    diskMode=
    source=
    defaultGateway=10.108.120.125
    target=
    ds=
    authenticationTimeout=300000
    fipsEnabled=false
    uagName=trustedcert
    locale=en_US
    ipModeforNIC3=DHCPV4_DHCPV6
    tls12Enabled=true
    ipMode=DHCPV4_DHCPV6
    requestTimeoutMsec=10000
    ipModeforNIC2=DHCPV4_DHCPV6
    tls11Enabled=true
    clientConnectionIdleTimeout=180
    tls10Enabled=false
    adminCertRolledBack=false
    honorCipherOrder=false
    cookiesToBeCached=none
    healthCheckUrl=/favicon.ico
    quiesceMode=false
    isCiphersSetByUser=false
    tlsPortSharingEnabled=true
    ceipEnabled=true
    bodyReceiveTimeoutMsec=15000
    monitorInterval=60
    cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
    adminPasswordExpirationDays=90
    httpConnectionTimeout=120
    isTLS11SetByUser=false
    sessionTimeout=36000000
    ssl30Enabled=false
    
    [WebReverseProxy1]
    proxyDestinationUrl=https://10.108.120.21
    trustedCert1=
    instanceId=view
    healthCheckUrl=/favicon.ico
    userNameHeader=AccessPoint-User-ID
    proxyPattern=/(.*)
    landingPagePath=/
    hostEntry1=10.108.120.21 HZNView.uagqe.auto.com
    
    [Horizon]
    proxyDestinationUrl=https://enterViewConnectionServerUrl
    trustedCert1=
    gatewayLocation=external
    disableHtmlAccess=false
    healthCheckUrl=/favicon.ico
    proxyDestinationIPSupport=IPV4
    smartCardHintPrompt=false
    queryBrokerInterval=300
    proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
    matchWindowsUserName=false
    windowsSSOEnabled=false
    
    [SSLCert]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    [SSLCertAdmin]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    

  5. Para assegurar que a execução do script seja bem-sucedida, digite o comando set-executionpolicy do PowerShell.
    set-executionpolicy -scope currentuser unrestricted

    Você deve executar esse comando uma vez e somente se ele estiver restrito no momento.

    1. (Opcional) Se houver um aviso para o script, execute o seguinte comando para desbloquear o aviso: unblock-file -path .\uagdeploy.ps1
  6. Execute o comando para iniciar a implementação. Se você não especificar o arquivo .INI, o script será padronizado para ap.ini.
    .\uagdeploy.ps1 -iniFile uag1.ini
  7. Insira as credenciais quando receber o aviso e conclua o script.
    Observação:

    Se você receber um aviso para adicionar a impressão digital da máquina de destino, digite sim.

    O appliance do Unified Access Gateway está implementado e disponível para produção.

Resultados

Para obter mais informações sobre scripts do PowerShell, consulte https://communities.vmware.com/docs/DOC-30835.

O que Fazer Depois

Se você quiser fazer upgrade do Unified Access Gateway preservando as configurações existentes, edite o arquivo .ini para alterar a referência de origem para a nova versão e execute novamente o arquivo .ini: uagdeploy.ps1 uag1.ini. Esse processo pode levar até três minutos.

[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

Se você quiser fazer upgrade sem interrupção do serviço, consulte Atualização com tempo de inatividade zero.