您可以将安全服务器替换为 Unified Access Gateway 设备。
前提条件
要使用 Unified Access Gateway 设备代替安全服务器,您必须先将连接服务器实例升级到 Horizon 6 版本 6.2 或更高版本,然后再安装并配置 Unified Access Gateway 设备以使其指向连接服务器实例,或面向这些实例的负载平衡器。
过程
- 卸载安全服务器软件。
- 移除安全服务器的 IPsec 配置。请参阅《Horizon 7 安装指南》文档中的“移除安全服务器的 IPsec 规则”部分。
- 移除安全服务器的 LDAP 条目。请参阅《Horizon 7 管理指南》文档中的“使用 -S 选项移除连接服务器实例或安全服务器条目”。
- 在 Horizon Administrator 中,注册 Unified Access Gateway 设备。
- 在 Unified Access Gateway 与连接服务器之间的网络防火墙中,移除与已移除安全服务器关联的防火墙规则,然后添加与入站 Unified Access Gateway 关联的防火墙规则。Unified Access Gateway 需要在 TCP 端口 443 上与连接服务器进行通信。
安全服务器到连接服务器的后端防火墙规则如下所示:
源 |
默认端口 |
协议 |
目标 |
默认端口 |
说明 |
安全服务器 |
UDP 500 |
ISAKMP |
连接服务器 |
UDP 500 |
IPsec 第 1 阶段协商。 |
安全服务器 |
UDP 4500 |
NAT-T |
连接服务器 |
UDP 4500 |
使用 NAT 时封装 AJP13 流量。 |
安全服务器 |
|
ESP |
连接服务器 |
|
不需要 NAT 遍历时封装 AJP13 流量。ESP 是 IP 协议 50。端口号未指定。 |
安全服务器 |
|
AJP13 |
连接服务器 |
TCP 8009 |
配对期间无 IPsec 的 AJP13 流量。 |
安全服务器 |
|
JMS |
连接服务器 |
TCP 4001 |
用于密钥协商的消息通道。 |
安全服务器 |
|
JMS-TLS |
连接服务器 |
TCP 4002 |
用于管理的消息通道。 |
- 配置并启动 Unified Access Gateway 设备。