Este tópico orienta você nas etapas de agendamento, preparação e conclusão da transição para o Universal Broker. Consulte o procedimento a seguir para saber como configurar o serviço do Universal Broker, definir a data de início e a hora da transição e percorrer sem problemas os estágios do processo para realizar uma transição bem-sucedida.

Uma faixa de notificação com Agendar aparece na parte superior da Horizon Universal Console quando a transição de agente está pronta para ser agendada.

Observação: Se a faixa mostrar uma condição de erro que impeça que a transição seja agendada, isso indicará que você provavelmente não atende a um ou mais dos pré-requisitos da transição. Clique em Exibir Erros na faixa e, em seguida, clique no ícone de erro ao lado do link Transição obrigatória na página Agente para exibir os detalhes sobre a condição de erro. Você deve seguir as etapas necessárias para limpar a condição de erro antes de agendar a transição.

Pré-requisitos

Verifique se o seu ambiente de tenant atende a todos os pré-requisitos descritos em Horizon Cloud: requisitos do sistema para a transição para o Universal Broker.

Procedimento

  1. Clique em Agendar na faixa de notificação para a transição de agente.

    Faixa de notificação para agendar a transição de agente.
    Essa ação redireciona você para a página do Agente. A página indica que o Agente de Pod Único está ativado no momento para o seu tenant e fornece um link para agendar a transição de agente.

    Agente antes da transição.
  2. Na página Agente, clique no link Agendar.
    O assistente de configuração para o Universal Broker é exibido. Você deve concluir as etapas deste assistente para configurar o Universal Broker para os pods no Microsoft Azure e agendar a transição para o Universal Broker.

    Assistente de configuração do Universal Broker
  3. Na página FQDN do assistente, defina as configurações para o FQDN de conexão de intermediação. Essas configurações definem o endereço de conexão dedicado que seus usuários finais usam para acessar os recursos alocados pelo Universal Broker.
    Observação: Quando você modifica uma configuração de subdomínio ou de FQDN, pode levar algum tempo para a alteração entrar em vigor em todos os servidores DNS.
    1. Para Tipo, selecione um nome de domínio completo (FQDN) Fornecido pela VMware ou Personalizado.
    2. Especifique configurações adicionais para o tipo de FQDN selecionado.
      • Se você tiver selecionado o tipo Fornecido pela VMware, especifique as configurações da seguinte maneira.
        Configuração Descrição
        Sub Domain Insira o nome DNS exclusivo de um subdomínio válido na sua configuração de rede que representa sua empresa ou organização. Esse subdomínio é prefixado no domínio fornecido pela VMware para formar o FQDN de intermediação.
        Observação: Algumas cadeias de caracteres não são permitidas ou estão reservadas pelo sistema. Essa categoria de cadeia de caracteres inclui palavras genéricas como book, termos de propriedade da empresa conhecidos, como gmail e protocolo. Termos de codificação e código aberto, como php e sql. O sistema também impede uma categoria de padrões dessas cadeias de caracteres, como mail0, mail1, mail2, etc.

        No entanto, quando você digita um nome não permitido nesse campo, o sistema não valida a entrada nesse momento. Somente quando você chega à etapa final de resumo do assistente, o sistema valida o nome que você digitou aqui e exibirá um erro se a sua entrada corresponder a um dos nomes não permitidos. Se isso acontecer, digite um nome diferente e mais exclusivo aqui.
        Brokering FQDN Esse campo somente leitura exibe o FQDN configurado. O FQDN usa o formato https://<seu subdomínio>vmwarehorizon.com.

        Forneça esse FQDN aos seus usuários finais para permitir que eles se conectem ao serviço Universal Broker usando o Horizon Client.

        O Universal Broker gerencia a validação de DNS e SSL desse FQDN.
      • Se você tiver selecionado o tipo Personalizado, especifique as configurações da seguinte maneira.
        Configuração Descrição
        Brokering FQDN Insira o FQDN personalizado que os usuários finais usarão para acessar o serviço do Universal Broker. Seu FQDN personalizado funciona como um alias para o FQDN fornecido pela VMware gerado automaticamente que realiza a conexão com o serviço.

        Você deve ser o proprietário do nome de domínio especificado no seu FQDN personalizado e fornecer um certificado que possa validar esse domínio.

        Observação: Seu FQDN personalizado, também conhecido como URL de conexão, representa sua empresa ou organização. Certifique-se de ter autorização apropriada para usar esse FQDN personalizado.
        Observação: O FQDN personalizado deve ser exclusivo e distinto dos FQDNs de todas as instâncias do Unified Access Gateway nos pods.
        Importante: Você deve criar um registro CNAME no servidor DNS que mapeia seu FQDN personalizado para o FQDN fornecido pela VMware representando o endereço de conexão interna do serviço do Universal Broker. Por exemplo, o registro pode mapear vdi.examplecompany.com para <cadeia de caracteres gerada automaticamente>.vmwarehorizon.com.
        Certificate

        Clique em Procurar e carregue o certificado (no formato PFX protegido por senha) que valida seu FQDN de intermediação. O certificado deve atender a todos os seguintes critérios:

        • O certificado deve ser válido por pelo menos 90 dias
        • O certificado deve ser assinado por uma autoridade de certificação confiável
        • O Nome Comum (SN) do certificado ou qualquer um dos seus Nomes Alternativos da Entidade (SANs) devem corresponder ao FQDN
        • O conteúdo do certificado deve estar em conformidade com o formato padrão X.509

        O arquivo PFX deve conter a cadeia de certificados inteira e a chave privada: certificado de domínio, certificados intermediários, certificado da CA raiz, chave privada.

        O serviço Universal Broker usa esse certificado para estabelecer sessões de conexão confiáveis com clientes.

        Password Insira a senha para o arquivo de certificado PFX.
        VMware Provided FQDN Esse campo somente leitura exibe o FQDN fornecido pela VMware que é criado automaticamente para o serviço de intermediação. O FQDN obtém o formato https://<cadeia de caracteres gerada automaticamente>.vmwarehorizon.com.

        O FQDN fornecido pela VMware não é visível para os usuários finais e representa o endereço de conexão interna do serviço Universal Broker. Seu FQDN personalizado funciona como um alias para o FQDN fornecido pela VMware.

        Importante: Você deve configurar uma associação de alias criando um registro CNAME no servidor DNS que mapeia seu FQDN personalizado para o FQDN fornecido pela VMware. Por exemplo, o registro pode mapear vdi.examplecompany.com para <cadeia de caracteres gerada automaticamente>.vmwarehorizon.com.

        Assistente de configuração do Universal Broker com as configurações do FQDN personalizadas preenchidas

    3. Quando você terminar de definir as configurações de FQDN, clique em Avançar para ir para a próxima página do assistente.
  4. (Opcional) Na página Autenticação do assistente, configure a autenticação de dois fatores.
    Por padrão, o Universal Broker autentica os usuários exclusivamente por meio do nome de usuário e senha do Active Directory deles. Você pode implementar a autenticação de dois fatores especificando um método de autenticação adicional. Para obter mais informações, consulte Práticas recomendadas ao implementar a autenticação de dois fatores em um ambiente Universal Broker.
    Importante: Para usar a autenticação de dois fatores para o Universal Broker, você deve primeiro configurar o serviço de autenticação apropriado em cada instância externa do Unified Access Gateway para cada pod participante. As configurações de instâncias externas do Unified Access Gateway devem ser idênticas dentro dos pods participantes e entre eles.

    Por exemplo, se você quiser usar a autenticação RADIUS, deverá configurar o serviço RADIUS em cada instância externa do Unified Access Gateway em todos os pods e pods do Horizon participantes no Microsoft Azure.

    Não exclua nenhuma instância do Unified Access Gateway dentro dos pods participantes. Como o Universal Broker depende do Unified Access Gateway para o tráfego de protocolos entre o Horizon Client e os recursos virtuais, os usuários não poderão acessar recursos provisionados de um pod participante se você excluir a instância do Unified Access Gateway desse pod.

    Configuração Descrição
    Two-Factor Authentication

    Para usar a autenticação de dois fatores, ative essa alternância.

    Quando você ativa a alternância, aparecem opções adicionais para configurar a autenticação de dois fatores.
    Maintain User Name Ative essa alternância para manter o nome de usuário do Active Directory do usuário durante a autenticação no Universal Broker. Quando ativado:
    • O usuário deve ter as mesmas credenciais de nome de usuário para o método de autenticação adicional que para a autenticação do Active Directory no Universal Broker.
    • O usuário não pode alterar o nome de usuário na tela de logon do cliente.

    Se essa alternância estiver desativada, o usuário poderá digitar outro nome de usuário na tela de logon.

    Type

    Especifique o método de autenticação que o Universal Broker deve usar com os usuários finais, além do nome de usuário e da senha do Active Directory. A interface do usuário exibe duas opções: RADIUS e RSA SecurID.

    Essa configuração se aplica a todo o tenant. O comportamento no cliente do usuário final dependerá da composição da frota de pods do tenant e do tipo de autenticação de dois fatores configurado nos gateways dos pods, da seguinte maneira:

    Somente pods do Horizon
    O tipo selecionado aqui é aquele usado no cliente.
    Somente pods do Horizon Cloud
    • Selecione o tipo que corresponde ao que está configurado nos gateways externos dos pods.
    Combinação de pods do Horizon e implantações do Horizon Cloud on Microsoft Azure
    Em uma frota combinada, quando RADIUS é selecionado aqui, as solicitações de autenticação RADIUS dos usuários são tentadas por meio das instâncias de Unified Access Gateway de ambos os tipos de pod.

    Em uma frota combinada, quando RSA SecurID é selecionado aqui, o comportamento do cliente depende do fato de suas implantações do Horizon Cloud on Microsoft Azure estarem configuradas com RSA SecurID em seus gateways externos.

    • Se suas implantações do Horizon Cloud on Microsoft Azure não tiverem o tipo RSA SecurID configurado em seus gateways e RSA SecurID for selecionado aqui, as solicitações de autenticação RSA dos usuários serão tentadas apenas por meio das instâncias do Unified Access Gateway dos pods do Horizon. As tentativas de solicitações de autenticação com nome de usuário e senha do Active Directory serão feitas por meio das instâncias do Unified Access Gateway de pods do Horizon ou pods do Horizon Cloud.
    • Se suas implantações do Horizon Cloud on Microsoft Azure tiverem o tipo RSA SecurID configurado, as solicitações de autenticação RSA dos usuários serão tentadas por meio das instâncias do Unified Access Gateway de ambos os tipos de pod.
    Show Hint Text Habilite essa opção para configurar uma cadeia de caracteres de texto exibida na tela de login do cliente para ajudar a solicitar ao usuário as credenciais para o método de autenticação adicional.
    Custom Hint Text

    Insira a cadeia de texto que você deseja exibir na tela de logon do cliente. A dica especificada aparece para o usuário final como Enter your DisplayHint user name and password, em que DisplayHint é a cadeia de caracteres de texto que você especifica nessa caixa de texto.

    Observação: O Universal Broker não permite os seguintes caracteres no texto de dica personalizado: & < > ' “

    Se você incluir qualquer um desses caracteres não permitidos no texto de dica, as conexões de usuário com o FQDN do Universal Broker falharão.

    Essa dica pode ajudar a orientar os usuários a inserir as credenciais corretas. Por exemplo, especificar a frase Nome de usuário e senha de domínio da empresa abaixo para resultaria em um aviso para o usuário final que diz: Enter your Company user name and domain password below for user name and password.

    Skip Two-Factor Authentication

    Ative essa alternância para ignorar a autenticação de dois fatores para usuários de rede interna que se conectam ao serviço do Universal Broker. Verifique se você especificou os intervalos de IP públicos pertencentes à rede interna, conforme descrito em Faixas de rede internas definidas para Universal Broker.

    • Quando essa alternância está ativada, os usuários internos devem digitar apenas suas credenciais do Active Directory para se autenticar no serviço Universal Broker. Os usuários externos devem inserir as credenciais do Active Directory e suas credenciais para o serviço de autenticação adicional.
    • Quando essa alternância está desativada, os usuários internos e externos devem inserir suas credenciais do Active Directory e suas credenciais para o serviço de autenticação adicional.
    Public IP Ranges

    Esse campo é visível quando a opção Ignorar Autenticação de Dois Fatores está ativada.

    Quando um ou mais intervalos de IP públicos já estão especificados na guia Intervalos de Rede da página Agente, esse campo é somente leitura e lista esses intervalos de IP.

    Quando a guia Intervalos de Rede da página Agente não tem intervalos de IP públicos já especificados, você pode usar esse campo para especificar os intervalos de IP públicos que representam sua rede interna, com o objetivo de ignorar os prompts de autenticação de dois fatores para o tráfego proveniente desses intervalos . O Universal Broker considera qualquer usuário que se conecta de um endereço IP em um desses intervalos para ser um usuário interno.

    Para obter mais detalhes sobre a finalidade de especificar esses intervalos, consulte Definir intervalos de rede interna para o Universal Broker.
    Quando você terminar de configurar a autenticação de dois fatores, clique em Avançar para prosseguir para a próxima página do assistente.
  5. Na página Configurações do assistente de configuração, configure Durações para Horizon Client.
    Essas configurações de tempo limite se aplicam à sessão de conexão entre o Horizon Client e a área de trabalho atribuída alocada pelo Universal Broker. Essas configurações não se aplicam à sessão de logon do usuário para o sistema operacional convidado da área de trabalho atribuída. Quando o Universal Broker detecta as condições de tempo limite especificadas por essas configurações, ele fecha a sessão de conexão do Horizon Client do usuário.
    Configuração Descrição
    Client Heartbeat Interval Controla o intervalo, em minutos, entre as heartbeats do Horizon Client e o estado da conexão do usuário para o Universal Broker. Essas heartbeats relatam para o Universal Broker quanto tempo ocioso passou durante a sessão de conexão do Horizon Client.

    O tempo ocioso é medido quando não ocorre nenhuma interação com o dispositivo de endpoint que executa o Horizon Client. Esse tempo ocioso não é afetado pela inatividade na sessão de logon para o sistema operacional convidado que se baseia na área de trabalho atribuída do usuário.

    Em implantações de área de trabalho grandes, aumentar o Intervalo de Pulsação do Cliente pode reduzir o tráfego de rede e melhorar o desempenho.
    Client Idle User Tempo ocioso máximo, em minutos, permitido durante uma sessão de conexão entre o Horizon Client e o Universal Broker.

    Quando o tempo máximo é atingido, o período de autenticação do usuário expira, e o Universal Broker fecha todas as sessões ativas do Horizon Client. Para reabrir uma sessão de conexão, o usuário deve inserir novamente as credenciais de autenticação na tela de logon do Universal Broker.

    Observação: Para evitar a desconexão inesperada de usuários de suas áreas de trabalho atribuídas, defina o tempo limite Usuário Ocioso do Cliente como um valor que tenha pelo menos o dobro do Intervalo de Pulsação do Cliente.
    Client Broker Session O tempo máximo, em minutos, permitido para uma sessão de conexão do Horizon Client antes que a autenticação do usuário expire. A hora começa quando o usuário é autenticado no Universal Broker. Quando o tempo limite da sessão é atingido, o usuário pode continuar a trabalhar na área de trabalho atribuída. No entanto, se ele executar uma ação, como alterar alguma configuração, que exige comunicação com o Universal Broker, o Horizon Client solicitará que ele insira novamente as credenciais do Universal Broker.
    Observação: O tempo limite da Sessão do Agente do Cliente deve ser maior ou igual à soma do valor do Intervalo de Pulsação do Cliente e do tempo limite do Usuário Ocioso do Cliente.
    Client Credential Cache Controla se as credenciais de logon do usuário devem ser armazenadas no cache do sistema do cliente. Insira 1 para armazenar as credenciais do usuário no cache. Insira 0 se você não quiser armazenar as credenciais do usuário no cache.
    Quando você terminar de definir as configurações de Durações, clique em Avançar para ir para a próxima página do assistente.
  6. Na página Agendar do assistente, use os controles para especificar uma Data e Hora de Início para que a transição de agente seja realizada.

    Assistente de configuração do Universal Broker, página Agendar.

    Você pode agendar uma hora de início que seja pelo menos uma hora antes da sua hora local atual e até três meses antes da data atual. A hora de início deve ocorrer no início da hora.
    Ao definir a hora de início, permita um tempo suficiente para que a transição prossiga sem interrupção.
    Quando terminar, clique em Avançar para prosseguir para a próxima etapa do assistente de configuração do Universal Broker.
    Observação: Se o console exibir uma mensagem informando que a hora de início especificada não está disponível, retorne para as configurações de Data e Hora de Início para especificar uma hora diferente para sua transição.
  7. Examine as configurações na página Resumo e, em seguida, clique em Concluir para salvar e aplicar a configuração do Universal Broker e as configurações de agenda.
    É exibida uma mensagem confirmando que você agendou a transição com êxito.

    Faixa de notificação e a página Agente depois de agendar a transição.

    Após o agendamento da transição:
    • A página Agente exibe detalhes sobre a próxima transição. Se ainda faltar mais de uma hora até a hora de início, você poderá reagendar a transição clicando no link Agendar .
    • Se quiser cancelar uma transição agendada ou reagendar uma transição que começa em menos de uma hora, você deverá entrar em contato com o Suporte da VMware. Observe que o Suporte da VMware não pode cancelar ou reagendar uma transição que começa em menos de 15 minutos.
    • O console continua a exibir uma faixa de notificação sobre a próxima transição até que a hora de início seja atingida. Ao clicar em Exibir Detalhes na faixa, você é redirecionado para a página Agente.
    • As mensagens de notificação e lembrete sobre a próxima transição são enviadas para a conta de e-mail principal registrada para seu tenant.
  8. Conclua as tarefas de preparação a seguir pelo menos 15 minutos antes do início da transição. Durante a transição, você não pode acessar nenhuma das operações de edição do console.
    • Conclua todas as operações em andamento no console e salve todas as alterações que você deseja manter.
    • Feche todos os assistentes de configuração e caixas de diálogo.
    Importante: Verifique se todos os Horizon Cloud pods no Microsoft Azure estão online e em estado íntegro e pronto para a duração da transição. O serviço Universal Broker deve se comunicar com os pods e realizar algumas etapas de configuração neles para concluir o estágio de ativação do agente da transição. Se qualquer um dos pods estiver offline ou indisponível, haverá falha na transição.
    Importante: Se você tiver um ambiente híbrido que consiste em pods do Horizon Cloud em pods do Microsoft Azure e pods do Horizon em uma plataforma baseada em VMware SDDC, o serviço Universal Broker não estará disponível para os pods do Horizon durante a transição. Além disso, não é possível alterar o estado de um pod do Horizon de monitorado para gerenciado durante esse período.
  9. Logo antes do início da transição, siga as instruções no prompt na tela para fazer logoff do console e fazer login novamente.

    Prompt para fazer logout imediatamente antes da transição de agente agendada.

  10. Permita que a primeira etapa da transição prossiga sem interrupção.
    Durante essa fase da transição:
    • Você não pode acessar nenhum dos controles de edição do console, e o console exibe uma faixa informando que a transição está em andamento.
      Faixa do console quando a transição do agente está em andamento.

    • Todos os seus pods no Microsoft Azure são adicionados a um site chamado Site-Padrão.
    • Suas atribuições de área de trabalho VDI são convertidas em atribuições de várias nuvens intermediadas pelo Universal Broker. Nas configurações de atribuição padrão, a afinidade de conexão é definida como Site mais Próximo, e o escopo é definido como No Site.
    • Suas atribuições de área de trabalho e aplicativo baseadas em sessão permanecem inalteradas. Após a transição, os recursos nessas atribuições são intermediados pelo Universal Broker.
    • Todas as atribuições permanecem disponíveis para os seus usuários finais e todas as sessões de usuário ativas permanecem abertas e totalmente operacionais durante esse período.
    Observação: Essa etapa da transição normalmente leva cerca de 10 minutos, mas poderá levar mais tempo se o seu ambiente de tenant contiver um grande número de atribuições. Você pode monitorar o progresso clicando em Exibir Status na faixa de notificação. Se esse estágio não for concluído dentro de uma hora, a transição atingirá o tempo limite e será marcada como uma falha.
    A mensagem a seguir é exibida quando essa fase da transição é concluída.
    Mensagem de confirmação após a conclusão da transição de agente.

    Observação: Se ocorrer uma falha durante essa fase da transição, o Suporte da VMware receberá uma notificação automática e investigará e remediará a causa da falha. Você pode exibir mais informações na página Agente e nas mensagens de notificação enviadas para a conta de e-mail principal registrada para seu tenant. Depois que o Suporte da VMware remediar a causa da falha, você poderá usar o link na página Agente para reagendar a transição.
  11. Depois de fazer login novamente no console, permita que o serviço do Universal Broker conclua seu processo de configuração e seja totalmente ativado.
    Normalmente, leva até 30 minutos para que as definições de configuração tenham efeito total no serviço Universal Broker, já que os registros de DNS são propagados nos servidores DNS em todas as regiões globais. No entanto, dependendo das condições do seu sistema e da rede e do número total de atribuições e mapeamentos dedicados de usuário a área de trabalho em seu ambiente, esse processo pode levar várias horas para ser concluído. Se o processo não for concluído dentro de quatro horas, a transição atingirá o tempo limite e será marcada como uma falha.

    Durante essa fase da transição, você pode acessar todas as operações de edição no console, exceto criar e editar atribuições. Além disso, o serviço do Universal Broker fica indisponível durante esse tempo para a intermediação de atribuições.

    Quando a configuração é concluída com êxito, uma mensagem de notificação é exibida no console sob o ícone de sino, e a página Configurações > Agente mostra o status Ativado com um ponto verde.

    Suas atribuições agora são intermediadas pelo Universal Broker e a transição é concluída.


    Página Agente com o Universal Broker ativado
    Importante: Se houver falha na configuração do Universal Broker, a página Configurações > Agente mostrará o status Erro com um ícone de alerta vermelho. Para corrigir a falha de configuração e configurar o serviço Universal Broker, entre em contato com o Suporte da VMware, conforme descrito no Artigo 2006985 da Base de Dados de Conhecimento (Knowledge Base, KB) da VMware.

O que Fazer Depois