Os scripts do PowerShell preparam seu ambiente com todas as definições de configuração. Ao executar o script do PowerShell para implementar o Unified Access Gateway, a solução está pronta para produção na primeira inicialização do sistema.

Importante: Com uma implantação do PowerShell, você pode fornecer todas as configurações no arquivo INI e a instância do Unified Access Gateway fica pronta para produção assim que é inicializada. Se você não quiser alterar qualquer configuração pós-implantação, não precisará fornecer a senha da interface de usuário do administrador.

No entanto, interface de usuário do administrador e a API não estarão disponíveis se a senha da interface de usuário do administrador não for fornecida durante a implantação.

Observação:
  • Se você não fornecer a senha da interface de usuário do administrador no momento da implantação, não poderá adicionar um usuário posteriormente para ativar o acesso à interface de usuário do administrador ou à API. Se você desejar adicionar um usuário da interface de usuário do administrador, deverá reimplantar sua instância do Unified Access Gateway com uma senha válida.
  • O Unified Access Gateway 3.5 e versões posteriores inclui uma propriedade INI sshEnabled opcional. Definir sshEnabled=true na seção [General] do arquivo INI PowerShell automaticamente permite ssh o acesso ao appliance implantado. A VMware geralmente não recomenda ativar ssh em Unified Access Gateway exceto em certas situações específicas e onde o acesso pode ser restrito. Esse recurso é principalmente destinado às implantações Amazon EC2 da AWS em que um acesso de console alternativo não está disponível.
    Observação: Para obter mais informações sobre o Amazon AWS EC2, consulte Implantação do PowerShell do Unified Access Gateway na Amazon Web Services.

    Se sshEnabled=true não está especificado ou está definido como false, então ssh não está habilitado.

    Habilitar o acesso de ssh no Unified Access Gateway para vSphere, Hyper-V ou para implantações do Microsoft Azure não é geralmente necessário, pois se pode usar o acesso ao console nessas plataformas. Se o acesso ao console de raiz é necessário para a implantação do Amazon AWS EC2, então defina sshEnabled=true. Em casos nos quais ssh está ativado, o acesso 22 da porta TCP deve ser restrito em firewalls ou em grupos de segurança para endereços IP de origem dos administradores individuais. O EC2 oferece suporte a essa restrição no grupo de segurança EC2 associado com as interfaces de rede Unified Access Gateway.

Pré-requisitos

  • Para uma implantação do Hyper-V, e se você estiver fazendo upgrade do Unified Access Gateway com IP estático, exclua o appliance mais antigo antes de implantar a instância mais recente do Unified Access Gateway.
  • Verifique se os requisitos do sistema são apropriados e se estão disponíveis para uso.

    Este é um script de amostra para implementar o Unified Access Gateway no seu ambiente.

    Figura 1. Script de amostra do PowerShell

Procedimento

  1. Faça o download do OVA do Unified Access Gateway no My VMware para sua máquina Windows.
  2. Faça o download dos arquivos uagdeploy-XXX.zip em uma pasta na máquina Windows.
    Os arquivos ZIP estão disponíveis em https://communities.vmware.com/docs/DOC-30835.
  3. Abra um script do PowerShell e modifique o diretório do local do seu script.
  4. Crie um arquivo de configuração INI para o appliance virtual do Unified Access Gateway.
    Por exemplo: implante uma nova AP1 do appliance do Unified Access Gateway. O arquivo de configuração é nomeado ap1.ini. Esse arquivo contém todas as definições de configuração para AP1. É possível usar os exemplos de arquivos INI no arquivo apdeploy.ZIP para criar o arquivo INI e modificar as configurações adequadamente.
    Observação:
    • Você pode ter arquivos INI exclusivos para várias implantações do Unified Access Gateway no seu ambiente. Você deve alterar os Endereços IP e os parâmetros de nome no arquivo INI adequadamente para implantar vários appliances.
    Exemplo do arquivo INI a ser modificado.
    [General]
    netManagementNetwork=
    netInternet=
    netBackendNetwork=
    name=
    dns = 192.0.2.1 192.0.2.2
    dnsSearch = example1.com example2.com
    ip0=10.108.120.119
    diskMode=
    source=
    defaultGateway=10.108.120.125
    target=
    ds=
    deploymentOption=onenic
    authenticationTimeout=300000
    fipsEnabled=false
    uagName=UAG1
    locale=en_US
    ipModeforNIC3=DHCPV4_DHCPV6
    tls12Enabled=true
    ipMode=DHCPV4_DHCPV6
    requestTimeoutMsec=10000
    ipModeforNIC2=DHCPV4_DHCPV6
    tls11Enabled=true
    clientConnectionIdleTimeout=180
    tls10Enabled=false
    adminCertRolledBack=false
    honorCipherOrder=false
    cookiesToBeCached=none
    healthCheckUrl=/favicon.ico
    quiesceMode=false
    syslogUrl=10.108.120.108:514
    isCiphersSetByUser=false
    tlsPortSharingEnabled=true
    ceipEnabled=true
    bodyReceiveTimeoutMsec=15000
    monitorInterval=60
    cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
    adminPasswordExpirationDays=90
    httpConnectionTimeout=120
    isTLS11SetByUser=false
    sessionTimeout=36000000
    ssl30Enabled=false
    snmpEnabled= TRUE | FALSE
    ntpServers=ipOrHostname1 ipOrHostname2
    fallBackNtpServers=ipOrHostname1 ipOrHostname2
    
    [WebReverseProxy1]
    proxyDestinationUrl=https://10.108.120.21
    trustedCert1=
    instanceId=view
    healthCheckUrl=/favicon.ico
    userNameHeader=AccessPoint-User-ID
    proxyPattern=/(.*)
    landingPagePath=/
    hostEntry1=10.108.120.21 HZNView.uagqe.auto.com
    
    [Horizon]
    proxyDestinationUrl=https://enterViewConnectionServerUrl
    trustedCert1=
    gatewayLocation=external
    disableHtmlAccess=false
    healthCheckUrl=/favicon.ico
    proxyDestinationIPSupport=IPV4
    smartCardHintPrompt=false
    queryBrokerInterval=300
    proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
    matchWindowsUserName=false
    windowsSSOEnabled=false
    
    [Airwatch]
    tunnelGatewayEnabled=true
    apiServerUsername=domain\apiusername
    apiServerPassword=*****
    proxyDestinationUrl=https://null
    ntlmAuthentication=false
    healthCheckUrl=/favicon.ico
    organizationGroupCode=
    apiServerUrl=https://null
    airwatchOutboundProxy=false
    outboundProxyHost=1.2.3.4
    outboundProxyPort=3128
    outboundProxyUsername=proxyuser
    outboundProxyPassword=****
    reinitializeGatewayProcess=false
    airwatchServerHostname=tunnel.acme.com
    trustedCert1=c:\temp\CA-Cert-A.pem
    hostEntry1=1.3.5.7 backend.acme.com
    
    [AirwatchSecureEmailGateway]
    memConfigurationId=abc123
    apiServerUsername=domain\apiusername
    healthCheckUrl=/favicon.ico
    apiServerUrl=https://null
    outboundProxyHost=1.2.3.4
    outboundProxyPort=3128
    outboundProxyUsername=proxyuser
    outboundProxyPassword=****
    reinitializeGatewayProcess=false
    airwatchServerHostname=serverNameForSNI
    apiServerPassword=****
    trustedCert1=c:\temp\CA-Cert-A.pem
    pfxCerts=C:\Users\admin\My Certs\mycacerts.pfx
    hostEntry1=1.3.5.7 exchange.acme.com
    
    [AirWatchContentGateway]
    cgConfigId=abc123
    apiServerUrl=https://null
    apiServerUsername=domain\apiusername
    apiServerPassword=*****
    outboundProxyHost=
    outboundProxyPort=
    outboundProxyUsername=proxyuser
    outboundProxyPassword=*****
    airwatchOutboundProxy=false
    hostEntry1=192.168.1.1 cgbackend.acme.com
    trustedCert1=c:\temp\CA-Cert-A.pem
    ntlmAuthentication=false
    reinitializeGatewayProcess=false
    airwatchServerHostname=cg.acme.com
    
    [SSLCert]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    [SSLCertAdmin]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    [JWTSettings1]
    publicKey1=
    publicKey2=
    publicKey3=
    name=JWT_1
    
    [JWTSettings2]
    publicKey1=
    publicKey2=
    name=JWT_2
  5. Para assegurar que a execução do script não seja restrita, digite o comando set-executionpolicy do PowerShell.
    set-executionpolicy -scope currentuser unrestricted
    Você só precisa fazer isso uma vez para remover a restrição.
    1. (Opcional) Se houver um aviso para o script, execute o seguinte comando para desbloquear o aviso: unblock-file -path .\uagdeploy.ps1
  6. Execute o comando para iniciar a implementação. Se você não especificar o arquivo .INI, o script será padronizado para ap.ini.
    .\uagdeploy.ps1 -iniFile uag1.ini
  7. Insira as credenciais quando receber o aviso e conclua o script.
    Observação: Se você receber um aviso para adicionar a impressão digital da máquina de destino, digite sim.
    O appliance do Unified Access Gateway está implementado e disponível para produção.

Resultados

Para obter mais informações sobre scripts do PowerShell, consulte https://communities.vmware.com/docs/DOC-30835.

O que Fazer Depois

Se você quiser fazer upgrade do Unified Access Gateway preservando as configurações existentes, edite o arquivo .ini para alterar a referência de origem para a nova versão e execute novamente o arquivo .ini: uagdeploy.ps1 uag1.ini. Esse processo pode levar até três minutos.
[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

Se você quiser fazer upgrade sem interrupção do serviço, consulte Atualização com tempo de inatividade zero.