安全服务器是一个连接服务器实例,可在 Internet 和您的内部网络之间添加一层额外的安全保护。您可以安装一个或多个安全服务器,以连接到连接服务器实例。

安全服务器软件无法与任何其他 Horizon 7 软件组件(包括副本服务器、连接服务器、View Composer、Horizon Agent 或 Horizon Client)共存于同一虚拟机或物理机上。

前提条件

  • 确定要使用的拓扑结构类型。例如,确定所用的负载平衡解决方案。确定与安全服务器配对的连接服务器实例是否专供外部网络用户使用。有关信息,请参阅《Horizon 7 架构规划指南》文档。
    重要说明: 如果使用负载平衡器,则它必须具有不会发生更改的 IP 地址。在 IPv4 环境中,配置静态 IP 地址。在 IPv6 环境中,计算机会自动获取不会发生更改的 IP 地址。
  • 确认您的安装符合Horizon 连接服务器的要求中所述的要求。
  • 准备环境以进行安装。请参阅安装 Horizon Connection Server 的前提条件
  • 确认要与安全服务器配对的连接服务器实例已安装并经过配置,且运行的连接服务器版本与安全服务器版本兼容。请参阅《Horizon 7 升级指南》文档中的“Horizon 7 组件兼容性列表”。
  • 确认计划安装安全服务器的计算机可以访问要与安全服务器配对的连接服务器实例。
    注: 连接服务器升级到 Horizon 7 版本 7.5 后,必须重新安装禁用了 IPsec 的安全服务器。如果安全服务器的 IP 地址发生更改,必须重新安装此服务器。如果安全服务器位于动态 NAT 后面,安全服务器配对功能将无法正常工作。
  • 配置安全服务器的配对密码。请参阅配置安全服务器的配对密码
  • 熟悉外部 URL 的格式。请参阅为安全网关和安全加密链路连接配置外部 URL
  • 确认高级安全 Windows 防火墙在活动配置文件中已设置为打开。建议针对所有配置文件将此设置配置为打开。默认情况下,IPsec 规则会控制安全服务器与 View 连接服务器之间的连接,并要求启用“高级安全 Windows 防火墙”。
  • 熟悉那些必须在 Windows 防火墙上为安全服务器打开的网络端口。请参阅Horizon 连接服务器的防火墙规则
  • 如果您的网络拓扑在安全服务器与连接服务器之间包含后端防火墙,则必须将防火墙配置为支持 IPsec。请参阅配置后端防火墙以支持 IPsec
  • 如果您要升级或重新安装安全服务器,请确认现有的安全服务器 IPsec 规则已移除。请参阅移除安全服务器的 IPsec 规则
  • 如果以 FIPS 模式安装 Horizon 7,则必须在 Horizon Administrator 中取消选择全局设置使用 IPSec 进行安全服务器连接,因为在 FIPS 模式中,必须在安装安全服务器后手动配置 IPsec。

过程

  1. 从 VMware 下载站点下载连接服务器安装程序文件,网址为 https://my.vmware.com/web/vmware/downloads
    在“桌面和最终用户计算”下,选择 VMware Horizon 7 下载,其中包含连接服务器。

    安装程序文件名为 VMware-viewconnectionserver-x86_64-y.y.y-xxxxxx.exe,其中 xxxxxx 为内部版本号,y.y.y 为版本号。

  2. 要启动连接服务器安装程序,请双击安装程序文件。
  3. 接受 VMware 许可条款。
  4. 接受或更改目标文件夹。
  5. 选择 View 安全服务器安装选项。
  6. 选择 Internet 协议 (IP) 版本(IPv4IPv6)。
    必须使用同一 IP 版本安装所有 Horizon 7 组件。
  7. 选择启用还是禁用 FIPS 模式。
    仅当在 Windows 中启用 FIPS 模式时,此选项才可用。
  8. 服务器文本框中键入要与安全服务器配对的连接服务器实例的完全限定域名或 IP 地址。
    安全服务器会将网络流量转发到此连接服务器实例。
  9. 密码文本框中键入安全服务器配对密码。
    如果密码已过期,可以使用 Horizon Administrator 配置一个新密码,然后在安装程序中键入该新密码。
  10. 外部 URL 文本框中,键入安全服务器的外部 URL。所有客户端,无论使用哪种显示协议,都需要此外部 URL。
    URL 必须包含协议标识符 (https)、客户端可解析的安全服务器名和端口号 (443)。
    例如: https://view.example.com:443
    网络外部支持隧道的客户端使用此 URL 来通过安全服务器访问网络内的计算机。
  11. PCoIP 外部 URL 文本框中,键入安全服务器 PCoIP 网关的外部 URL。使用 PCoIP 显示协议连接到远程桌面的客户端需要此 URL。
    协议相关的 URL 必须包含安全服务器 IP 地址和端口号 (4172)。在 IPv4 环境中,使用 IPv4 地址。在 IPv6 环境中,使用 IPv6 地址。
    例如,在 IPv4 环境中: 10.20.30.40:4172
    网络外部支持 PCoIP 的客户端使用此 URL 来通过安全服务器访问网络内的计算机。
    注: 尽管在 IPv6 环境中时必须在此处输入 IPv6 地址,但在安装后可以将其替换为客户端可解析的名称。
  12. Blast 外部 URL 文本框中,键入安全服务器的 Blast 网关的外部 URL。使用 Blast 显示协议或 HTML Access 连接到远程桌面的客户端需要此 URL。
    URL 必须包含协议标识符 (https)、客户端可解析的安全服务器名和端口号 (8443)。
    例如: https://myserver.example.com:8443
    网络外部支持 Blast 的客户端和 HTML Access 客户端使用此 URL 来通过安全服务器访问网络内的计算机。
  13. 选择 Windows 防火墙服务的配置方法。
    选项 操作
    自动配置 Windows 防火墙 让安装程序将 Windows 防火墙配置为允许所需的网络连接。
    Do not configure Windows Firewall(不配置 Windows 防火墙) 手动配置 Windows 防火墙规则。

    仅当贵组织使用自己预定义的规则来配置 Windows 防火墙时才需要选择此选项。

  14. 完成安装向导以完成安装安全服务器。

结果

安全服务器服务将安装在 Windows Server 计算机中:

  • VMware Horizon View 安全服务器
  • VMware Horizon View Framework 组件
  • VMware Horizon View Security Gateway 组件
  • VMware Horizon View PCoIP 安全网关
  • VMware Blast 安全网关

有关这些服务的信息,请参阅《Horizon 7 管理指南》文档。

安全服务器会显示在 Horizon Administrator 的“安全服务器”窗格中。

在安全服务器上的 Windows 防火墙中,VMware Horizon View 连接服务器 (内置 Blast) 规则已启用。该防火墙规则允许客户端设备上的 Web 浏览器使用 HTML Access 连接 TCP 端口 8443 上的安全服务器。

注: 如果安装取消或中止,可能必须先删除安全服务器的 IPsec 规则,然后才能开始再次安装。即便您在重新安装或升级安全服务器之前已经移除了 IPsec 规则,也要执行此步骤。有关移除 IPsec 规则的说明,请参阅 移除安全服务器的 IPsec 规则

下一步做什么

为安全服务器配置 SSL 服务器证书。请参阅为 Horizon 7 Server 配置 TLS 证书

您可能需要为安全服务器配置客户端连接设置,同时可以调整 Windows Server 设置以支持大规模部署。请参阅配置 Horizon Client 连接调整 Windows Server 设置以支持您的部署

如果您重新安装安全服务器且拥有一个配置为监视性能数据的数据收集器组,请停止数据收集器组然后重新启动。