Unified Access Gateway | 2020 年 7 月 9 日发行

请查看本发行说明以了解新增内容及更新。

发行说明内容

本发行说明包含以下主题:

此版本的新增功能

VMware Unified Access Gateway 3.10 提供了以下新功能和增强功能:

有关这些功能的更多信息,请参阅文档中心

  1. 通过管理 UI 配置 Workspace ONE Edge 服务 VMware Tunnel、Content Gateway 和 Secure Email Gateway 时,现在会检测由于配置问题而导致的错误,并将错误消息转发到管理 UI。这些错误消息会捕获到日志中。
     
  2. 支持配置允许的最大 CPU 利用率以防止过载。以前的版本将此限制设置为固定值 90%。超出此级别后,Unified Access Gateway 将使用 503 错误响应 HTTP 请求,以指示由于临时过载无法处理请求。对此配置的支持允许负载均衡器将新会话分配给备用设备。默认值为 100%,因此永远不会超出此值,但可以使用 PowerShell 或管理 UI 在系统设置中配置较低的值。
     
  3. 扩展了对 Horizon Client IP 协议版本桥接的支持。早期版本支持 IPv6 和 IPv4 客户端连接到 IPv4 Horizon 基础架构。现在添加了相应支持,允许 IPv6 和 IPv4 客户端也连接到 IPv6 Horizon 基础架构。
     
  4. 为通常用于本地 Unified Access Gateway 资源的代理请求添加了一项 Web 反向代理 Edge 服务配置功能。当在 Horizon 双跃点 DMZ 配置中使用 Unified Access Gateway 时,需要使用此功能来支持下载 OPSWAT 按需代理。为了支持这种情况,在 Web 反向代理 Edge 服务上配置的 proxyPattern 必须包括 /gateway/resources/(.*),以便将这些请求转发到 Horizon Unified Access Gateway 设备。 
     
  5. FIPS 版本的 Unified Access Gateway 现在支持对 Horizon Client 进行基于证书的身份验证。这适用于智能卡/CAC 和设备证书身份验证。
     
  6. 为用于 Horizon 身份验证的第三方身份提供程序增强了常规 Unified Access Gateway SAML 2.0 功能。
     
  7. 已验证 Microsoft ADFS 和 Shibboleth 可作为用于 Horizon 身份验证的附加 SAML 2.0 身份提供程序。
     
  8. Horizon OPSWAT 设备合规性检查持续评估时间间隔现在可以设置为最少每 5 分钟执行一次。以前,最小检查时间间隔为 30 分钟。默认情况下,持续评估时间间隔仍设置为 0,表示已禁用。在这种情况下,不会执行持续检查,但每次用户启动 Horizon 桌面或应用程序会话时仍会检查。 
     
  9. 添加了对以下功能的支持:为管理 UI 登录配置登录免责声明协议消息。在登录前,管理员用户必须接受此协议消息。可在管理 UI 或 PowerShell .ini 文件中配置管理员免责声明文本。
     
  10. 扩展了收集的日志以包含系统信息,从而进一步帮助进行故障排除。system_logs_archive 目录包含以下日志文件:cpu.info、mem.info、sysctl.log 和 journalctl_archive。
     
  11. 现在可以选择重写发送至连接服务器的 Horizon 请求中使用的来源标头,以使用 proxyDestinationUrl 设置中的主机名。在许多情况下,通过使用主机名重写来源标头,便可无需在连接服务器上配置 locked.properties 文件,以允许某些浏览器连接到 Horizon。
     
  12. 添加了对 RADIUS 身份验证的更多并发连接的支持。在以前的版本中,当与内部部署版本的 Microsoft Azure 多因素身份验证服务器的特定配置一起使用时,可能会导致在峰值登录速率期间,提示 Horizon 用户提供 RADIUS 凭据出现延迟。增加并发连接可避免此延迟。
     
  13. 为 Horizon 和 Web 反向代理 Edge 服务在 TCP 端口 443 上的连接更新了 TLS 版本和默认密码。这些值是可配置的。现在,这些 Edge 服务的非 FIPS Unified Access Gateway 版本默认为:

    TLS 1.3
    TLS_AES_128_GCM_SHA256
    TLS_AES_256_GCM_SHA384
    TLS_CHACHA20_POLY1305_SHA256

    TLS 1.2
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    现在,这些 Edge 服务的 FIPS Unified Access Gateway 版本默认为:

    仅 TLS 1.2
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
     
  14. TCP 端口 8443 上的 Horizon Blast 安全网关组件不再使用 TLS 1.1。它仅支持 TLS 1.2。 
     
  15.  Secure Email Gateway 支持 Active Directory 客户端证书映射身份验证。对于将客户端证书发布到 Active Directory 中的用户对象的客户,可以在证书不存在 UPN 或者 UPN 与 Active Directory 中的 UPN 值不匹配时使用此功能。
     
  16. 对于 Secure Email Gateway,Java 版本已更新到 Zulu OpenJDK JRE 版本 11.0.7。
     
  17. 可为 Horizon、Web 反向代理、VMware Tunnel、Content Gateway 和 Secure Email Gateway Edge 服务的前端 Unified Access Gateway 中的 AVI 网络负载均衡器提供支持。

国际化

Unified Access Gateway 用户界面、联机帮助和产品文档提供日语、法语、德语、西班牙语、巴西葡萄牙语、简体中文、繁体中文和韩语版本。有关完整文档,请转到文档中心

兼容性说明

有关《VMware 产品互操作性列表》的更多信息,请转到 http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

生命周期支持策略

有关 Unified Access Gateway 生命周期支持策略的信息,请转到 https://kb.vmware.com/s/article/2147313

安装和升级

要下载 Unified Access Gateway,请参阅产品下载页面。

大小调整选项

有关 Unified Access Gateway 大小调整建议,请转到 VMware 最高配置

技术资源

要了解和熟练使用 Unified Access Gateway,请转到 https://techzone.vmware.com/mastering-unified-access-gateway

已解决的问题

  • 在以前的版本中将 Horizon SAML IDP 身份验证与 Microsoft ADFS 配合使用时,用户可能会收到 HTTP 错误 500,除非在将来自 ADFS 的元数据上载到 Unified Access Gateway 之前手动对其进行修改。版本 3.10 添加了对 Microsoft ADFS 的完全支持,因此不再需要进行此修改。

  • 现在,使用 Horizon HTML Access Client 时,完全支持身份验证超时策略。

  • 在 Unified Access Gateway 管理 UI 中,Microsoft IE 和 Edge 浏览器现在完全支持“身份验证方法”下拉菜单。

  • 如果在 Horizon 连接服务器上添加用户身份验证免责声明文本并稍后将其移除,Unified Access Gateway 上缓存的该消息现在会在 5 分钟内自动移除,之后不再向用户显示。

  • 在 Unified Access Gateway 上启用 Windows SSO 后,OPSWAT MetaAccess 按需代理下载现在可正常执行。

  • 引导后,Unified Access Gateway 控制台屏幕有时不显示 root 登录提示。此问题已解决。

  • 与 Unified Access Gateway 的 haproxy 组件的 TCP 连接可能会出现间歇性 TCP FIN_WAIT2 超时问题。现在,这些连接会在完成后自动移除。

  • 现在,对于 Workspace ONE Web,任务同步中的 Secure Email Gateway (SEG) Edge 服务超链接已正确转换为移除 AWB/AWBS。

  • 从电子邮件服务器收到某些响应时,无法在 Unified Access Gateway 上配置 SEG 服务,此问题已解决。

  • proxy.email.request.on.kerberos.error 参数设置为 false 时,Kerberos 流中出现 SEG 服务错误,此问题已解决。

已知问题

  • 如果在设置管理员密码、root 密码或 RADIUS 共享密钥时使用反斜线 (\) 字符,则必须使用额外的反斜线字符对其进行转义。因此,管理员应将密码 Secret\123 指定为 Secret\\123

    解决方法: 在 \ 前面附加额外的反斜线 \(例如 \\u)。

  • 使用 DHCP 分配的 IP 地址在 Microsoft Azure 中部署 Unified Access Gateway 后,如果任何自定义静态路由与 DHCP 分配的路由之间存在冲突,则可以在应用静态路由后将其移除。仅当 UAG 主机名与 Azure 基于虚拟机名称分配的主机名不匹配时,才会发生此问题。

    解决方法:确保在部署 Unified Access Gateway 后,基于 Azure 虚拟机名称的主机名与设置的 uagName(主机名)匹配,以便不会执行主机名更改。 

  • waagent.log 的位置是 /var/log/waagent.log,它是指向 /opt/waagent/log/waagent.log 的链接。但是,/opt/waagent 不存在,因此不会创建日志文件。

    解决方法:不需要该日志文件,但如果需要,请以 root 用户身份登录 Unified Access Gateway 控制台,然后使用以下命令移除该链接:rm /var/log/waagent.log

  • 首次引导时,Unified Access Gateway 会正确检测到 Microsoft Hypervisor,在该 Hypervisor 内,基于 DHCP 设置,将会检测到 Azure 而不是 Hyper-V。但是,在后续引导时,Azure 会被错误地检测为 Hyper-V,并且 waagent 将停止。

    解决方法:

  • 使用其他网卡设置(如 IP 地址、网络掩码和默认网关)更改静态路由后,修改的静态路由条目未添加到 Unified Access Gateway。

    解决方法: 

    1. 配置 Unified Access Gateway 的 IP 地址、网络掩码和默认网关,然后保存。
    2. 配置静态路由并保存。
  • 将 Horizon SAML 2.0 与 Horizon True SSO 配合使用以避免初始 AD 密码提示时,如果会话被手动锁定或由于不活动而锁定,用户必须输入其 AD 密码才能解锁会话,或者必须关闭客户端并重新连接。Horizon True SSO 解锁机制当前依赖于 Workspace ONE Access。

    解决方法:

  • 如果在配置 UEM Edge 服务(例如 Content Gateway 和 Secure Email Gateway)后启用或禁用隧道代理设置,则 TLS 端口共享对已配置的 UEM Edge 服务不起作用。

    解决方法:

    1. 在 Unified Access Gateway 上配置隧道代理,然后再配置其他 UEM Edge 服务(例如 Content Gateway 和 Secure Email Gateway)。
    2. 如果稍后禁用或启用隧道代理,请在 Unified Access Gateway 管理 UI 上再次保存先前配置的 UEM Edge 服务设置。
check-circle-line exclamation-circle-line close-line
Scroll to top icon