如果配置 PCoIP 安全网关以对通过 PCoIP 通信的外部用户进行身份验证,可能会在 Horizon Client 和安全服务器或 Horizon 连接服务器主机之间出现连接问题。

问题

使用 PCoIP 的客户端无法连接到或显示 Horizon 7 桌面。最初成功登录到安全服务器或连接服务器实例,但在用户选择 Horizon 7 桌面时连接失败。如果在安全服务器或连接服务器主机上配置了 PCoIP 安全网关,将会出现该问题。

注: 通常,PCoIP 安全网关应用在安全服务器上。在外部客户端直接连接到 Horizon 连接服务器主机的网络配置中,也可以在连接服务器上配置 PCoIP 安全网关。

原因

导致 PCoIP 安全网关连接问题的原因有多种。

  • Windows 防火墙关闭了 PCoIP 安全网关所需的端口。
  • 在安全服务器或 Horizon 连接服务器实例上未启用 PCoIP 安全网关。
  • 未正确配置 PCoIP 外部 URL 设置。必须将该设置指定为客户端可通过 Internet 访问的外部 IP 地址。
  • 将 PCoIP 外部 URL、安全加密链路外部 URL、Blast 外部 URL 或其他地址配置为指向不同的安全服务器或连接服务器主机。在安全服务器或连接服务器主机上配置这些地址时,所有地址必须允许客户端系统连接到当前主机。
  • 客户端通过关闭了 PCoIP 安全网关所需端口的外部 Web 代理进行连接。例如,酒店网络或公共无线连接中的 Web 代理可能会阻止所需端口。

解决方案

  • 检查是否在防火墙上为安全服务器或连接服务器主机打开了以下网络端口。
    端口 描述
    TCP 4172 Horizon Client 到安全服务器或连接服务器主机。
    UDP 4172 Horizon Client 和安全服务器或连接服务器主机之间(双向)。
    注: 客户端为发送和接收 UDP 流量选择的端口号不可预测,因为它取决于可用的端口(有关更多信息,请参阅“安全性指南”)。配置网络防火墙时,规则需要智能化,以便允许从任何地址和任何端口到 4172 的 UDP 流量,并启用从 4172 回到发起地址和端口的反向流量。如果您的防火墙不支持智能规则,可以配置双向规则(将客户端设置为“任意”)或单向规则对。有关指导信息,请参阅您的防火墙文档。
    TCP 4172 从安全服务器或连接服务器主机到 Horizon 7 桌面。
    UDP 4172 在安全服务器或连接服务器主机和 Horizon 7 桌面之间(双向)。
    注: 连接服务器、安全服务器和 UAG 上的 PCoIP 网关在端口 55000 上发送和接收到桌面的 UDP 流量。有关更多信息,请参阅 《Horizon 7 安全指南》文档。配置网络防火墙时,您需要一个指定两个端口的双向规则或一对单向规则。有关指导信息,请参阅您的防火墙文档。
  • 在 Horizon Administrator 中,确保启用了 PCoIP 安全网关。
    1. 单击 View 配置 > 服务器
    2. 连接服务器选项卡中选择连接服务器实例,然后单击编辑
    3. 选中使用 PCoIP 安全网关与计算机建立 PCoIP 连接
      默认禁用 PCoIP 安全网关。
    4. 单击确定
  • 在 Horizon Administrator 中,确保正确配置了 PCoIP 外部 URL。
    1. 单击 View 配置 > 服务器
    2. 选择要配置的主机。
      • 如果用户连接到安全服务器上的 PCoIP 安全网关,请在安全服务器选项卡上选择该安全服务器。
      • 如果用户连接到连接服务器实例上的 PCoIP 安全网关,请在连接服务器选项卡中选择该实例。
    3. 单击编辑
    4. PCoIP 外部 URL 文本框中,确保该 URL 包含客户端可通过 Internet 访问的安全服务器或连接服务器主机的外部 IP 地址。
      指定端口 4172。请勿包含协议名。

      例如:10.20.30.40:4172

    5. 确保该对话框中的所有地址允许客户端系统连接到该主机。

      “编辑安全服务器设置”对话框中的所有地址必须允许客户端系统连接到该安全服务器主机。“编辑连接服务器设置”对话框中的所有地址必须允许客户端系统连接到该连接服务器实例。

    6. 单击确定
    对于用户在其中连接到 PCoIP 安全网关的每个安全服务器和连接服务器实例,请重复这些步骤。
  • 如果用户通过网络外部的 Web 代理进行连接,且代理阻止所需端口,请引导用户通过其他网络位置进行连接。