安全服务器是一个连接服务器实例,可在 Internet 和您的内部网络之间添加一层额外的安全保护。您可以安装一个或多个安全服务器,以连接到连接服务器实例。

安全服务器软件无法与任何其他 Horizon 7 软件组件(包括副本服务器、连接服务器、View Composer、Horizon Agent 或 Horizon Client)共存于同一虚拟机或物理机上。

前提条件

  • 确定要使用的拓扑结构类型。例如,确定所用的负载平衡解决方案。确定与安全服务器配对的连接服务器实例是否专供外部网络用户使用。有关信息,请参阅《Horizon 7 架构规划指南》文档。
    重要事项: 如果使用负载平衡器,则它必须具有不会发生更改的 IP 地址。在 IPv4 环境中,配置静态 IP 地址。在 IPv6 环境中,计算机会自动获取不会发生更改的 IP 地址。
  • 确认您的安装符合Horizon 连接服务器的要求中所述的要求。
  • 准备环境以进行安装。请参阅安装 Horizon 连接服务器的前提条件
  • 确认要与安全服务器配对的连接服务器实例已安装并经过配置,且运行的连接服务器版本与安全服务器版本兼容。请参阅《Horizon 7 升级指南》文档中的“Horizon 7 组件兼容性列表”。
  • 确认计划安装安全服务器的计算机可以访问要与安全服务器配对的连接服务器实例。
    注: 连接服务器升级到 Horizon 7 版本 7.5 后,必须重新安装禁用了 IPsec 的安全服务器。如果安全服务器的 IP 地址发生更改,必须重新安装此服务器。如果安全服务器位于动态 NAT 后面,安全服务器配对功能将无法正常工作。
  • 配置安全服务器的配对密码。请参阅配置安全服务器的配对密码
  • 熟悉外部 URL 的格式。请参阅为安全网关和安全加密链路连接配置外部 URL
  • 确认高级安全 Windows 防火墙在活动配置文件中已设置为打开。建议针对所有配置文件将此设置配置为打开。默认情况下,IPsec 规则会控制安全服务器与 View 连接服务器之间的连接,并要求启用“高级安全 Windows 防火墙”。
  • 熟悉那些必须在 Windows 防火墙上为安全服务器打开的网络端口。请参阅Horizon 连接服务器的防火墙规则
  • 如果您的网络拓扑在安全服务器与连接服务器之间包含后端防火墙,则必须将防火墙配置为支持 IPsec。请参阅配置后端防火墙以支持 IPsec
  • 如果您要升级或重新安装安全服务器,请确认现有的安全服务器 IPsec 规则已移除。请参阅移除安全服务器的 IPsec 规则
  • 如果以 FIPS 模式安装 Horizon 7,则必须在 Horizon Administrator 中取消选择全局设置使用 IPSec 进行安全服务器连接,因为在 FIPS 模式中,必须在安装安全服务器后手动配置 IPsec。

过程

  1. 从 VMware 下载站点下载连接服务器安装程序文件,网址为 https://my.vmware.com/web/vmware/downloads
    在“桌面和最终用户计算”下,选择 VMware Horizon 7 下载,其中包含连接服务器。

    安装程序文件名为 VMware-viewconnectionserver-x86_64-y.y.y-xxxxxx.exe,其中 xxxxxx 为内部版本号,y.y.y 为版本号。

  2. 要启动连接服务器安装程序,请双击安装程序文件。
  3. 接受 VMware 许可条款。
  4. 接受或更改目标文件夹。
  5. 选择 View 安全服务器安装选项。
  6. 选择 Internet 协议 (IP) 版本(IPv4IPv6)。
    必须使用同一 IP 版本安装所有 Horizon 7 组件。
  7. 选择启用还是禁用 FIPS 模式。
    仅当在 Windows 中启用 FIPS 模式时,此选项才可用。
  8. 服务器文本框中键入要与安全服务器配对的连接服务器实例的完全限定域名或 IP 地址。
    安全服务器会将网络流量转发到此连接服务器实例。
  9. 密码文本框中键入安全服务器配对密码。
    如果密码已过期,可以使用 Horizon Administrator 配置一个新密码,然后在安装程序中键入该新密码。
  10. 外部 URL 文本框中键入使用 RDP 或 PCoIP 显示协议的客户端终端的安全服务器外部 URL。
    URL 必须包含协议、客户端可解析的安全服务器名和端口号。在网络外运行的安全加密链路客户端会使用该 URL 连接安全服务器。
    例如: https://view.example.com:443
  11. PCoIP 外部 URL 文本框中,键入使用 PCoIP 显示协议的客户端终端的安全服务器外部 URL。
    在 IPv4 环境中,指定 PCoIP 外部 URL 作为 IP 地址,端口号为 4172。在 IPv6 环境中,可以指定 IP 地址或完全限定域名,端口号为 4172。在两种环境中,都不要包含协议名称。
    例如,在 IPv4 环境中: 10.20.30.40:4172
    客户端必须能够使用 URL 访问安全服务器。
  12. Blast 外部 URL 文本框中,键入使用 HTML Access 连接远程桌面的用户的安全服务器外部 URL。
    URL 必须包含 HTTPS 协议、客户端可解析的主机名和端口号。
    例如: https://myserver.example.com:8443
    默认情况下,URL 包含安全加密链路外部 URL 的 FQDN 和默认端口号 8443。URL 必须包含客户端系统可用来连接此安全服务器的 FQDN 和端口号。
  13. 选择 Windows 防火墙服务的配置方法。
    选项 操作
    自动配置 Windows 防火墙 让安装程序将 Windows 防火墙配置为允许所需的网络连接。
    Do not configure Windows Firewall(不配置 Windows 防火墙) 手动配置 Windows 防火墙规则。

    仅当贵组织使用自己预定义的规则来配置 Windows 防火墙时才需要选择此选项。

  14. 完成安装向导以完成安装安全服务器。

结果

安全服务器服务将安装在 Windows Server 计算机中:

  • VMware Horizon View 安全服务器
  • VMware Horizon View Framework 组件
  • VMware Horizon View Security Gateway 组件
  • VMware Horizon View PCoIP 安全网关
  • VMware Blast 安全网关

有关这些服务的信息,请参阅《Horizon 7 管理指南》文档。

安全服务器会显示在 Horizon Administrator 的“安全服务器”窗格中。

在安全服务器上的 Windows 防火墙中,VMware Horizon View 连接服务器 (内置 Blast) 规则已启用。该防火墙规则允许客户端设备上的 Web 浏览器使用 HTML Access 连接 TCP 端口 8443 上的安全服务器。

注: 如果安装取消或中止,可能必须先删除安全服务器的 IPsec 规则,然后才能开始再次安装。即便您在重新安装或升级安全服务器之前已经移除了 IPsec 规则,也要执行此步骤。有关移除 IPsec 规则的说明,请参阅 移除安全服务器的 IPsec 规则

后续步骤

为安全服务器配置 SSL 服务器证书。请参阅为 Horizon 7 Server 配置 TLS 证书

您可能需要为安全服务器配置客户端连接设置,同时可以调整 Windows Server 设置以支持大规模部署。请参阅配置 Horizon Client 连接调整 Windows Server 设置以支持您的部署

如果您重新安装安全服务器且拥有一个配置为监视性能数据的数据收集器组,请停止数据收集器组然后重新启动。