Usando o PowerShell para implementar o appliance do Unified Access Gateway

Os scripts do PowerShell preparam seu ambiente com todas as definições de configuração. Ao executar o script do PowerShell para implementar o Unified Access Gateway, a solução está pronta para produção na primeira inicialização do sistema.

Importante: Com uma implantação do PowerShell, você pode fornecer todas as configurações no arquivo INI e a instância do Unified Access Gateway fica pronta para produção assim que é inicializada. Se você não quiser alterar qualquer configuração pós-implantação, não precisará fornecer a senha da interface de usuário do administrador.

No entanto, interface de usuário do administrador e a API não estarão disponíveis se a senha da interface de usuário do administrador não for fornecida durante a implantação.

Observação:

Se você não fornecer a senha da interface de usuário do administrador no momento da implantação, não poderá adicionar um usuário posteriormente para ativar o acesso à interface de usuário do administrador ou à API. Se você desejar adicionar um usuário da interface de usuário do administrador, deverá reimplantar sua instância do Unified Access Gateway com uma senha válida.
O Unified Access Gateway 3.5 e versões posteriores inclui uma propriedade INI sshEnabled opcional. Definir sshEnabled=true na seção [General] do arquivo INI PowerShell automaticamente permite ssh o acesso ao appliance implantado. A VMware geralmente não recomenda ativar ssh em Unified Access Gateway exceto em certas situações específicas e onde o acesso pode ser restrito. Esse recurso é principalmente destinado às implantações Amazon EC2 da AWS em que um acesso de console alternativo não está disponível.
Observação: Para obter mais informações sobre o Amazon AWS EC2, consulte Implantação do PowerShell do Unified Access Gateway na Amazon Web Services.

Se sshEnabled=true não está especificado ou está definido como false, então ssh não está habilitado.

Habilitar o acesso de ssh no Unified Access Gateway para vSphere, Hyper-V ou para implantações do Microsoft Azure não é geralmente necessário, pois se pode usar o acesso ao console nessas plataformas. Se o acesso ao console de raiz é necessário para a implantação do Amazon AWS EC2, então defina sshEnabled=true. Em casos nos quais ssh está ativado, o acesso 22 da porta TCP deve ser restrito em firewalls ou em grupos de segurança para endereços IP de origem dos administradores individuais. O EC2 oferece suporte a essa restrição no grupo de segurança EC2 associado com as interfaces de rede Unified Access Gateway.

Pré-requisitos

Para uma implantação do Hyper-V, e se você estiver fazendo upgrade do Unified Access Gateway com IP estático, exclua o appliance mais antigo antes de implantar a instância mais recente do Unified Access Gateway.
Verifique se os requisitos do sistema são apropriados e se estão disponíveis para uso.
Este é um script de amostra para implementar o Unified Access Gateway no seu ambiente.

Figura 1. Script de amostra do PowerShell

Procedimento

Faça o download do OVA do Unified Access Gateway no My VMware para sua máquina Windows.
Faça o download dos arquivos uagdeploy-XXX.zip em uma pasta na máquina Windows.
Os arquivos ZIP estão disponíveis em https://communities.vmware.com/docs/DOC-30835.
Abra um script do PowerShell e modifique o diretório do local do seu script.

Crie um arquivo de configuração INI para o appliance virtual do Unified Access Gateway.

Por exemplo: implante uma nova AP1 do appliance do Unified Access Gateway. O arquivo de configuração é nomeado ap1.ini. Esse arquivo contém todas as definições de configuração para AP1. É possível usar os exemplos de arquivos INI no arquivo apdeploy.ZIP para criar o arquivo INI e modificar as configurações adequadamente.

Observação:

Você pode ter arquivos INI exclusivos para várias implantações do Unified Access Gateway no seu ambiente. Você deve alterar os Endereços IP e os parâmetros de nome no arquivo INI adequadamente para implantar vários appliances.

Exemplo do arquivo INI a ser modificado.

[General]
netManagementNetwork=
netInternet=
netBackendNetwork=
name=
dns = 192.0.2.1 192.0.2.2
dnsSearch = example1.com example2.com
ip0=10.108.120.119
diskMode=
source=
defaultGateway=10.108.120.125
target=
ds=
deploymentOption=onenic
authenticationTimeout=300000
fipsEnabled=false
uagName=UAG1
locale=en_US
ipModeforNIC3=DHCPV4_DHCPV6
tls12Enabled=true
ipMode=DHCPV4_DHCPV6
requestTimeoutMsec=10000
ipModeforNIC2=DHCPV4_DHCPV6
tls11Enabled=true
clientConnectionIdleTimeout=180
tls10Enabled=false
adminCertRolledBack=false
honorCipherOrder=false
cookiesToBeCached=none
healthCheckUrl=/favicon.ico
quiesceMode=false
syslogUrl=10.108.120.108:514
isCiphersSetByUser=false
tlsPortSharingEnabled=true
ceipEnabled=true
bodyReceiveTimeoutMsec=15000
monitorInterval=60
cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
adminPasswordExpirationDays=90
httpConnectionTimeout=120
isTLS11SetByUser=false
sessionTimeout=36000000
ssl30Enabled=false
snmpEnabled= TRUE | FALSE
ntpServers=ipOrHostname1 ipOrHostname2
fallBackNtpServers=ipOrHostname1 ipOrHostname2

[WebReverseProxy1]
proxyDestinationUrl=https://10.108.120.21
trustedCert1=
instanceId=view
healthCheckUrl=/favicon.ico
userNameHeader=AccessPoint-User-ID
proxyPattern=/(.*)
landingPagePath=/
hostEntry1=10.108.120.21 HZNView.uagqe.auto.com

[Horizon]
proxyDestinationUrl=https://enterViewConnectionServerUrl
trustedCert1=
gatewayLocation=external
disableHtmlAccess=false
healthCheckUrl=/favicon.ico
proxyDestinationIPSupport=IPV4
smartCardHintPrompt=false
queryBrokerInterval=300
proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
matchWindowsUserName=false
windowsSSOEnabled=false

[Airwatch]
tunnelGatewayEnabled=true
apiServerUsername=domain\apiusername
apiServerPassword=*****
proxyDestinationUrl=https://null
ntlmAuthentication=false
healthCheckUrl=/favicon.ico
organizationGroupCode=
apiServerUrl=https://null
airwatchOutboundProxy=false
outboundProxyHost=1.2.3.4
outboundProxyPort=3128
outboundProxyUsername=proxyuser
outboundProxyPassword=****
reinitializeGatewayProcess=false
airwatchServerHostname=tunnel.acme.com
trustedCert1=c:\temp\CA-Cert-A.pem
hostEntry1=1.3.5.7 backend.acme.com

[AirwatchSecureEmailGateway]
memConfigurationId=abc123
apiServerUsername=domain\apiusername
healthCheckUrl=/favicon.ico
apiServerUrl=https://null
outboundProxyHost=1.2.3.4
outboundProxyPort=3128
outboundProxyUsername=proxyuser
outboundProxyPassword=****
reinitializeGatewayProcess=false
airwatchServerHostname=serverNameForSNI
apiServerPassword=****
trustedCert1=c:\temp\CA-Cert-A.pem
pfxCerts=C:\Users\admin\My Certs\mycacerts.pfx
hostEntry1=1.3.5.7 exchange.acme.com

[AirWatchContentGateway]
cgConfigId=abc123
apiServerUrl=https://null
apiServerUsername=domain\apiusername
apiServerPassword=*****
outboundProxyHost=
outboundProxyPort=
outboundProxyUsername=proxyuser
outboundProxyPassword=*****
airwatchOutboundProxy=false
hostEntry1=192.168.1.1 cgbackend.acme.com
trustedCert1=c:\temp\CA-Cert-A.pem
ntlmAuthentication=false
reinitializeGatewayProcess=false
airwatchServerHostname=cg.acme.com

[SSLCert]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

[SSLCertAdmin]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

[JWTSettings1]
publicKey1=
publicKey2=
publicKey3=
name=JWT_1

[JWTSettings2]
publicKey1=
publicKey2=
name=JWT_2

Para assegurar que a execução do script não seja restrita, digite o comando set-executionpolicy do PowerShell.
```
set-executionpolicy -scope currentuser unrestricted
```
Você só precisa fazer isso uma vez para remover a restrição.
1. (Opcional) Se houver um aviso para o script, execute o seguinte comando para desbloquear o aviso: unblock-file -path .\uagdeploy.ps1
Execute o comando para iniciar a implementação. Se você não especificar o arquivo .INI, o script será padronizado para ap.ini.
```
.\uagdeploy.ps1 -iniFile uag1.ini
```
Insira as credenciais quando receber o aviso e conclua o script.

Observação: Se você receber um aviso para adicionar a impressão digital da máquina de destino, digite sim.

O appliance do Unified Access Gateway está implementado e disponível para produção.

Resultados

Para obter mais informações sobre scripts do PowerShell, consulte https://communities.vmware.com/docs/DOC-30835.

O que Fazer Depois

Se você quiser fazer upgrade do Unified Access Gateway preservando as configurações existentes, edite o arquivo .ini para alterar a referência de origem para a nova versão e execute novamente o arquivo .ini: uagdeploy.ps1 uag1.ini. Esse processo pode levar até três minutos.

[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

Se você quiser fazer upgrade sem interrupção do serviço, consulte Atualização com tempo de inatividade zero.