将安全服务器替换为 Unified Access Gateway 设备

您可以将安全服务器替换为 Unified Access Gateway 设备。

前提条件

要使用 Unified Access Gateway 设备代替安全服务器，您必须先将连接服务器实例升级到 Horizon 6 版本 6.2 或更高版本，然后再安装并配置 Unified Access Gateway 设备以使其指向连接服务器实例，或面向这些实例的负载平衡器。

过程

卸载安全服务器软件。
移除安全服务器的 IPsec 配置。请参阅《Horizon 7 安装指南》文档中的“移除安全服务器的 IPsec 规则”部分。
移除安全服务器的 LDAP 条目。请参阅《Horizon 7 管理指南》文档中的“使用 -S 选项移除连接服务器实例或安全服务器条目”。
在 Horizon Administrator 中，注册 Unified Access Gateway 设备。

在 Unified Access Gateway 与连接服务器之间的网络防火墙中，移除与已移除安全服务器关联的防火墙规则，然后添加与入站 Unified Access Gateway 关联的防火墙规则。Unified Access Gateway 需要在 TCP 端口 443 上与连接服务器进行通信。

安全服务器到连接服务器的后端防火墙规则如下所示：


源	默认端口	协议	目标	默认端口	说明
安全服务器	UDP 500	ISAKMP	连接服务器	UDP 500	IPsec 第 1 阶段协商。
安全服务器	UDP 4500	NAT-T	连接服务器	UDP 4500	使用 NAT 时封装 AJP13 流量。
安全服务器		ESP	连接服务器		不需要 NAT 遍历时封装 AJP13 流量。ESP 是 IP 协议 50。端口号未指定。
安全服务器		AJP13	连接服务器	TCP 8009	配对期间无 IPsec 的 AJP13 流量。
安全服务器		JMS	连接服务器	TCP 4001	用于密钥协商的消息通道。
安全服务器		JMS-TLS	连接服务器	TCP 4002	用于管理的消息通道。

配置并启动 Unified Access Gateway 设备。
请参阅位于 https://docs.vmware.com/cn/Unified-Access-Gateway/index.html 的《部署和配置 VMware Unified Access Gateway》。