本主题将指导您安排、准备和完成到 Universal Broker 的转换。请参阅以下过程,以了解如何设置 Universal Broker 服务,定义转换的开始日期和时间,以及顺利浏览该过程的各个阶段以便成功转换。

当准备好进行代理转换时,Horizon Universal Console 顶部将显示带有安排按钮的通知横幅。

注: 如果横幅显示了会阻止您安排转换的错误情况,则您可能不满足一个或多个必备转换条件。单击横幅中的 查看错误,然后单击 代理页面中 所需转换链接旁边的错误图标以查看错误情况的详细信息。必须执行必要的步骤来清除该错误情况,然后才能安排转换。

前提条件

确认您的租户环境满足 转换到 Universal Broker 的系统要求中列出的所有必备条件。

过程

  1. 单击代理转换的通知横幅中的安排

    可安排代理转换的通知横幅。
    该操作会将您重定向到“代理”页面。该页面会向您的租户指示当前已启用单容器代理,并提供一个用于安排代理转换的链接。

    转换前的“代理”页面。
  2. 代理页面中,单击安排链接。
    此时将显示 Universal Broker的配置向导。您必须完成此向导的步骤,才能为 Microsoft Azure 中的容器设置 Universal Broker,并安排到 Universal Broker 的转换。

    Universal Broker 配置向导
  3. 在向导的 FQDN 页面中,配置代理连接 FQDN 的设置。这些设置定义了最终用户访问由 Universal Broker 分配的资源时将使用的专用连接地址。
    注: 修改子域或 FQDN 设置时,可能需要一些时间才能使更改在所有 DNS 服务器中生效。
    1. 对于“类型”,请选择 VMware 提供自定义的完全限定域名 (FQDN)。
    2. 为选定的 FQDN 类型指定其他设置。
      • 如果选择了 VMware 提供类型,请指定如下设置。
        设置 描述
        Sub Domain 在网络配置中输入代表贵公司或组织的有效子域的唯一 DNS 名称。此子域将作为 VMware 提供的域的前缀,以构成代理 FQDN。
        注: 某些字符串被系统禁止使用或保留。此类字符串包括常规单词(如 book)、公司自有的公认术语(如 gmail),以及协议、代码和开放源码术语(如 phpsql)。此外,系统也不允许使用诸如 mail0mail1mail2 这一类模式的字符串。

        但是,当您在此字段中键入不允许的名称时,系统不会当时就验证输入的内容。只有当您到达该向导最后的“摘要”步骤时,系统才会验证您在此处键入的名称,如果您输入的名称与其中任意一个不允许使用的名称匹配,则会显示错误。如果发生这种情况,请在此处输入另外一个更加独特的名称。

        Brokering FQDN 此只读字段显示已配置的 FQDN。FQDN 采用 https://<your sub-domain>vmwarehorizon.com 格式。

        向您的最终用户提供此 FQDN,以允许他们使用 Horizon Client 连接到 Universal Broker 服务。

        Universal Broker管理此 FQDN 的 DNS 和 SSL 验证。
      • 如果选择了自定义类型,请指定如下设置。
        设置 描述
        Brokering FQDN 输入最终用户访问 Universal Broker 服务时将使用的自定义 FQDN。您的自定义 FQDN 可用作自动生成的 VMware 提供的 FQDN 的别名,后者用于完成与服务的连接。

        您必须是自定义 FQDN 中指定的域名的所有者,并提供可验证该域的证书。

        注: 您的自定义 FQDN(也称为连接 URL)代表您的公司或组织。请确保您具有使用此自定义 FQDN 的相应授权。
        注: 您的自定义 FQDN 必须是唯一的,并且与容器内所有 Unified Access Gateway 实例的 FQDN 不同。
        重要事项: 您必须在 DNS 服务器上创建一个 CNAME 记录,以将自定义 FQDN 映射到表示 Universal Broker服务内部连接地址的 VMware 提供的 FQDN。例如,该记录可能会将 vdi.examplecompany.com 映射到 <auto-generated string>.vmwarehorizon.com
        Certificate

        单击浏览并上载用于验证代理 FQDN 的证书(采用受密码保护的 PFX 格式)。证书必须由受信任的 CA 签名,证书的公用名 (CN) 或其任何主体备用名称 (SAN) 必须与 FQDN 匹配,并且证书的内容必须符合标准 X.509 格式。

        PFX 文件必须包含整个证书链和私钥:域证书、中间证书、根 CA 证书和私钥。

        Universal Broker服务可使用此证书与客户端建立可信连接会话。

        Password 输入 PFX 证书文件的密码。
        VMware Provided FQDN 此只读字段将显示为代理服务自动生成的 VMware 提供的 FQDN。FQDN 采用 https://<auto-generated string>.vmwarehorizon.com 格式。

        VMware 提供的 FQDN 对最终用户是不可见的,它表示 Universal Broker 服务的内部连接地址。您的自定义 FQDN 可用作 VMware 提供的 FQDN 的别名。

        重要事项: 您必须通过在 DNS 服务器上创建一个 CNAME 记录以将自定义 FQDN 映射到 VMware 提供的 FQDN,设置一个别名关联。例如,该记录可能会将 vdi.examplecompany.com 映射到 <auto-generated string>.vmwarehorizon.com

        已填写自定义 FQDN 设置的 Universal Broker 配置向导。
    3. 配置 FQDN 设置完成后,单击下一步以继续执行向导的下一步。
  4. (可选)在向导的身份验证页面中,配置双因素身份验证。
    默认情况下, Universal Broker 仅通过用户的 Active Directory 用户名和密码对用户进行身份验证。您可以通过指定其他身份验证方法来实施双因素身份验证。有关更多信息,请参阅 在 Universal Broker 环境中实施双因素身份验证时的最佳做法
    重要事项: 要对 Universal Broker 使用双因素身份验证,您必须先在每个参与容器内的每个外部 Unified Access Gateway 实例上配置相应的身份验证服务。每个参与容器内及之间的外部 Unified Access Gateway 实例配置必须相同。

    例如,如果要使用 RADIUS 身份验证,则必须在所有参与的 Horizon 容器和 Microsoft Azure 中的容器内的每个外部 Unified Access Gateway 实例上均配置 RADIUS 服务。

    请勿删除参与容器内的任何 Unified Access Gateway 实例。由于Universal Broker依赖 Unified Access Gateway 处理 Horizon Client 和虚拟资源之间的协议流量,因此,如果您删除参与容器上的 Unified Access Gateway 实例,用户将无法访问该容器中置备的资源。

    设置 描述
    2 Factor Authentication

    要使用双因素身份验证,请启用此选项开关。

    启用此选项开关后,将向您显示用于配置双因素身份验证的其他选项。

    Maintain User Name 启用此选项开关可在执行 Universal Broker 身份验证期间保留用户的 Active Directory 用户名。启用时:
    • 用户在 Universal Broker 中用于执行其他身份验证方法的用户名凭据必须与用于执行 Active Directory 身份验证的用户名凭据相同。
    • 用户无法更改客户端登录屏幕中的用户名。

    如果关闭此选项开关,将允许用户在登录屏幕中键入不同的用户名。

    Type

    指定除了 Active Directory 用户名和密码以外还要使用的身份验证方法。

    • 要在 Horizon 容器和 Microsoft Azure 中的容器之间使用双因素身份验证,请选择 RADIUS
    • 要仅对您的 Horizon 容器使用双因素身份验证,请选择 RSA SecurID
    注: 在此版本中,RSA SecurID 在 Horizon 容器上受支持,但在 Microsoft Azure 中的容器上不受支持。如果选择 RSA SecurID,则将仅通过 Horizon 容器的 Unified Access Gateway 实例尝试发送用户的 RSA 身份验证请求。Active Directory 用户名和密码身份验证请求则将通过 Horizon 容器或 Microsoft Azure 中容器的 Unified Access Gateway 实例尝试发送。
    Show Hint Text 启用此选项开关可配置在客户端登录屏幕中显示的有助于提示用户输入其凭据以执行其他身份验证方法的文本字符串。
    Custom Hint Text

    输入要在客户端登录屏幕中显示的文本字符串。指定的提示将以 Enter your DisplayHint user name and password 形式显示给最终用户,其中 DisplayHint 是您在此文本框中输入的文本字符串。

    注: Universal Broker 在自定义提示文本中不允许使用以下字符: & < > ' "

    如果在提示文本中包含任何不允许的字符,则用户与 Universal Broker FQDN 的连接将失败。

    此提示有助于指导用户输入正确的凭据。例如,输入 Company user name and domain password below for 短语将向最终用户显示如下提示:Enter your Company user name and domain password below for user name and password

    Skip Two-Factor Authentication

    启用此选项开关可使连接到 Universal Broker 服务的内部网络用户绕过双因素身份验证。确保已按 定义 Universal Broker 内部网络范围中所述指定属于内部网络的公共 IP 范围。

    • 启用此选项开关后,内部用户只能输入其 Active Directory 凭据来对 Universal Broker 服务进行身份验证。外部用户则必须同时输入其 Active Directory 凭据以及用于额外身份验证服务的凭据。
    • 关闭此选项开关后,内部和外部用户都必须同时输入其 Active Directory 凭据以及用于额外身份验证服务的凭据。
    Public IP Ranges

    此只读字段将列出代表您内部网络的公共 IP 范围。Universal Broker 会将从位于这些范围之一的 IP 地址进行连接的任何用户都视为内部用户。

    有关详细信息,请参阅定义 Universal Broker 内部网络范围

    双因素身份验证配置完成后,单击 下一步进入向导的下一页。
  5. 在配置向导的设置页面中,为 Horizon Client 配置持续时间设置。
    这些超时设置将应用于 Horizon Client 与由 Universal Broker分配的桌面之间的连接会话。这些设置不会应用于所分配桌面的客户机操作系统的用户登录会话。当 Universal Broker 检测到这些设置指定的超时条件时,将关闭用户的 Horizon Client 连接会话。
    设置 描述
    Client Heartbeat Interval 控制 Horizon Client 检测信号之间的间隔(以分钟为单位)以及用户到 Universal Broker 的连接状态。这些检测信号向 Universal Broker 报告在 Horizon Client 连接会话期间经过的空闲时间量。

    当未与运行 Horizon Client 的端点设备发生交互时,将测量空闲时间。在分配给用户的桌面的基础客户机操作系统上进行的登录会话的不活动状态不会影响此空闲时间。

    在大型桌面部署中,增加客户端检测信号间隔可能会降低网络流量并提高性能。

    Client Idle User Horizon ClientUniversal Broker 之间进行连接会话期间允许的最大空闲时间(以分钟为单位)。

    达到最大时间后,用户的身份验证将到期,并且 Universal Broker 将关闭所有活动的 Horizon Client 会话。要重新打开连接会话,用户必须在 Universal Broker登录屏幕上重新输入其身份验证凭据。

    注: 为避免意外断开用户与分配的桌面的连接,请将 客户端空闲用户超时设置为至少是 客户端检测信号间隔两倍的值。
    Client Broker Session 在用户的身份验证到期之前,Horizon Client 连接会话允许的最大时间(以分钟为单位)。当用户执行 Universal Broker 身份验证时,计时即开始。会话超时发生时,用户可以在分配的桌面中继续工作。但是,如果他们执行需要与 Universal Broker进行通信的操作(如更改设置),则 Horizon Client 会提示他们重新输入其 Universal Broker凭据。
    注: 客户端代理会话超时必须大于或等于 客户端检测信号间隔值和 客户端空闲用户超时之和。
    Client Credential Cache 控制是否将用户登录凭据存储在客户端系统缓存中。输入 1 将在缓存中存储用户凭据。如果您不希望在缓存中存储用户凭据,请输入 0
    配置完持续时间设置后,单击 下一步以继续到向导的下一页。
  6. 在向导的安排页面中,使用控件指定用于执行转换的日期开始时间

    Universal Broker 配置向导,“安排”页面。
    您安排的开始时间比当前本地时间至少要早一小时,比当前日期至多早 3 个月。开始时间必须出现在小时的顶部。
    设置开始时间时,必须留出足够的转换时间,以防转换中断。
    完成后,单击 下一步以继续执行 Universal Broker 配置向导的下一步。
    注: 如果控制台显示了消息来说明您指定的开始时间不可用,请返回到 日期开始时间设置以指定其他转换时间。
  7. 摘要页面中查看您的设置,然后单击完成以保存 Universal Broker 配置和安排设置。
    将显示一条消息,确认您已成功安排转换。

    安排转换后的通知横标和“代理”页面。
    安排转换后:
    • “代理”页面显示即将进行的转换的详细信息。如果距离开始时间超过一小时,则可以通过单击安排链接来重新安排转换。
    • 如果要取消已安排的转换或重新安排某个不到一小时就会开始的转换,则必须联系 VMware 技术支持团队。请注意,VMware 技术支持团队无法取消或重新安排那些不到 15 分钟就会开始的转换。
    • 在到达开始时间之前,控制台将继续显示有关即将进行的转换的通知横幅。单击横幅中的查看详细信息会重定向到“代理”页面。
    • 有关即将进行的转换的通知和提醒消息将发送到为您的租户注册的主电子邮件帐户。
  8. 确保至少在安排的转换开始时间前 15 分钟完成以下准备任务。转换期间,您无法访问控制台的任何编辑操作。
    • 在控制台中完成所有正在进行的操作,并保存您要保留的任何更改。
    • 关闭所有配置向导和对话框。
    重要事项: 确保 Microsoft Azure 中的所有 Horizon Cloud 容器在转换过程中都已联机且处于正常就绪状态。 Universal Broker 服务必须能够与容器通信并在容器上执行一些配置步骤,才能完成转换的代理启用阶段。只要任一容器处于脱机状态或不可用,则转换将失败。
    重要事项: 如果混合环境包含 Microsoft Azure 中的 Horizon Cloud 容器和基于 SDDC 的 VMware 平台上的 Horizon 容器,则在转换过程中,Horizon 容器将无法使用 Universal Broker 服务。此外,在此期间,也无法将 Horizon 容器的状态从受监控更改为受管。
  9. 转换开始前不久,按照屏幕提示中的说明从控制台中注销,然后重新登录。

    安排的代理转换之前的注销提示。
  10. 允许不中断地执行转换的第一个阶段。
    在转换的这一阶段:
    • 您无法访问控制台的任何编辑控件,并且控制台会显示横幅来指示正在进行转换。
      执行代理转换时的控制台横幅。
    • Microsoft Azure 中的所有容器都已添加到名为 Default-Site 的站点。
    • VDI 桌面分配将转换为由 Universal Broker 代理的多云分配。在默认分配设置中,将连接关联性设置为最近的站点,将范围设置为在站点内
    • 基于会话的桌面和应用程序分配保持不变。转换后,Universal Broker 将代理这些分配中的资源。
    • 所有分配仍可供最终用户使用,并且所有活动用户会话在此期间保持打开状态并完全正常运行。
    注: 此转换阶段通常大约需要 10 分钟,如果您的租户环境包含大量分配,则可能需要更长的时间。可以通过单击通知横幅中的 查看状态来监控进度。如果该阶段未在一小时内完成,则转换将超时并标记为失败。
    此转换阶段完成后,将显示以下消息。
    完成代理转换后出现的确认消息。
    注: 如果在此转换阶段出现故障,VMware 技术支持团队会收到自动通知,然后调查并修复故障原因。您可以在 代理页面中以及在发送到为租户注册的主电子邮件帐户的通知消息中查看更多信息。在 VMware 技术支持团队修复失败原因后,您可以使用 代理页面中的链接来重新安排转换。
  11. 重新登录到控制台后,允许 Universal Broker 服务完成其设置过程并完全启用。
    由于 DNS 记录将传播到所有全局区域中的 DNS 服务器,因此配置设置通常最多需要 30 分钟才能在 Universal Broker 服务中完全生效。但是,根据您的系统和网络状况以及您环境中的分配和专用“用户到桌面”映射的总数,此过程可能需要几个小时才能完成。如果此过程未在四个小时内完成,则转换将超时并标记为失败。

    在此转换阶段,您可以访问控制台中除创建和编辑分配以外的所有其他编辑操作。此外,Universal Broker 服务在此期间不可用于所代理的分配。

    成功完成设置后,控制台中的铃铛图标下会显示一条通知消息,并且设置 > 代理页面会以绿点显示启用状态。

    您的分配现在由 Universal Broker 代理,并且转换已完成。


    启用了 Universal Broker 的“代理”页面。
    重要事项: 如果 Universal Broker 设置失败,则 设置 > 代理页面将显示 错误状态(以红色警示图标表示)。要修复配置故障并设置 Universal Broker 服务,请按照 VMware 知识库文章 (KB) 2006985 中所述联系 VMware 技术支持团队。

后续步骤