本文提供了有关配置 Universal Broker 设置(包括连接 FQDN 或 URL、双因素身份验证、会话超时以及 Horizon 功能策略)的详细分步说明。

在使用 Universal Broker 来代理最终用户分配中的资源之前,必须先配置某些设置。

首次设置 Universal Broker 时,配置向导将自动打开,如启动 Universal Broker 设置中所述。

然后,如果您在持续使用服务期间发现需要修改设置,则可以从控制台的“代理”页面或“入门”页面重新打开此配置向导。

关于此配置向导中双因素身份验证设置的一些要点
  • 按照设计,当配置了双因素身份验证设置时,Universal Broker 会构建身份验证请求,并将其传递到外部 Unified Access Gateway 实例,然后该实例将与其设置中配置的实际身份验证服务器进行通信。接着,Unified Access Gateway 会将身份验证服务的响应传回到 Universal Broker
  • 按照默认设计,将在租户范围内应用相同的 Universal Broker 双因素身份验证设置,以将这些设置用于租户容器群中的每个容器。要对 Universal Broker 使用双因素身份验证,您必须先在容器群中每个参与容器内的每个外部 Unified Access Gateway 实例上配置相应的身份验证服务。每个参与容器内及之间的外部 Unified Access Gateway 实例配置必须相同。
  • 例如,如果具有同时包含 Horizon 容器和 Horizon Cloud 容器的混合容器群,并且要使用 RADIUS 身份验证,则需在所有这些 Horizon 容器和 Horizon Cloud 容器中的每个外部 Unified Access Gateway 实例上均配置 RADIUS 服务。

前提条件

重要说明: 如果具有任何要从 Internet 进行连接的最终用户,或者如果要使用双因素身份验证,请不要删除容器上的外部 Unified Access Gateway 实例。对于外部最终用户,在通过 Unified Access Gateway 对最终用户客户端进行身份验证后,需要使用外部 Universal Broker 才能从该客户端成功启动虚拟桌面或远程应用程序。如果要进行双因素身份验证,则 Universal Broker 会将双因素身份验证设置与外部 Unified Access Gateway 相匹配,因此需要具有外部 Unified Access Gateway 配置。

根据您的容器类型,准备所需的系统组件。在完成租户首次设置 Universal Broker 的向导时,验证这些必备条件尤为重要。

对于 Horizon 容器(基于 Horizon Connection Server 技术):
对于 Horizon Cloud 容器(基于 Horizon Cloud 容器管理器技术):
重要说明: 在提交向导的最后一个步骤之前,所有 Horizon Cloud 容器都必须已联机且处于正常准备就绪状态。在应用设置期间, Universal Broker 服务必须能够与容器通信并对容器执行一些配置步骤,才能完成此设置过程。只要任一容器处于脱机状态或不可用,则 Universal Broker 设置将失败。

过程

  1. 打开用于设置 Universal Broker 的配置向导。

    或者,可以通过以下方法直接打开该向导:单击设置 > 代理,然后单击铅笔图标以编辑配置。

    如果要在执行 启动 Universal Broker 设置中的步骤后立即完成此向导
    在这种情况下,控制台通常已显示该向导,除非您在完成该向导之前从中退出。如果您在完成该向导之前从中退出,请通过以下方法直接打开该向导:导航到 设置 > 代理,然后单击 设置
    如果要修改已保存的配置
    通过以下方法直接打开该向导:导航到 设置 > 代理,然后单击相应配置旁边的铅笔图标。
    此时将显示 Universal Broker的配置向导。在当前版本中,该向导的各个部分对应于 FQDN 设置、身份验证设置以及一些适用于客户端会话的默认设置。
  2. 在该向导的 FQDN 页面中,配置有关 Universal Broker 服务的完全限定域名 (FQDN) 的设置。这些设置定义了最终用户访问由 Universal Broker 代理的资源时将使用的专用连接地址或 URL。
    注: 修改子域或 FQDN 设置时,可能需要一些时间才能使更改在所有 DNS 服务器中生效。
    1. 对于类型,请选择 VMware 提供客户提供的完全限定域名 (FQDN)。
    2. 为选定的 FQDN 类型指定其他设置。
      VMware 提供
      设置 描述
      子域 在网络配置中输入代表贵公司或组织的有效子域的唯一 DNS 名称。此子域将作为 VMware 提供的域的前缀,以构成代理 FQDN。
      注: 某些字符串被系统禁止使用或保留。此类字符串包括常规单词(如 book)、公司自有的公认术语(如 gmail),以及协议、代码和开放源码术语(如 phpsql)。此外,系统也不允许使用诸如 mail0mail1mail2 这一类模式的字符串。

      但是,当您在此字段中键入不允许的名称时,系统不会当时就验证输入的内容。只有当您到达该向导最后的“摘要”步骤时,系统才会验证您在此处键入的名称,如果您输入的名称与其中任意一个不允许使用的名称匹配,则会显示错误。如果发生这种情况,请在此处输入另外一个更加独特的名称。
      代理 URL 此只读字段显示已配置的 FQDN。FQDN 采用 https://<your sub-domain>vmwarehorizon.com 格式。

      向您的最终用户提供此 FQDN,以允许他们使用 Horizon Client 连接到 Universal Broker 服务。

      Universal Broker管理此 FQDN 的 DNS 和 SSL 验证。

      以下屏幕截图显示了一个已填充“VMware 提供的 FQDN”设置的配置向导示例。


      已填写“VMware 提供的 FQDN”设置的 Universal Broker 配置向导。

      客户提供
      设置 描述
      代理 FQDN 输入最终用户访问 Universal Broker 服务时将使用的自定义 FQDN。您的自定义 FQDN 可用作自动生成的 VMware 提供的 FQDN 的别名,后者用于完成与服务的连接。

      您必须是自定义 FQDN 中指定的域名的所有者,并提供可验证该域的证书。

      注: 您的自定义 FQDN(也称为连接 URL)代表您的公司或组织。请确保您具有使用此自定义 FQDN 的相应授权。
      注: 您的自定义 FQDN 必须是唯一的,并且与容器内所有 Unified Access Gateway 实例的 FQDN 不同。
      重要说明: 您必须在 DNS 服务器上创建一个 CNAME 记录,以将自定义 FQDN 映射到表示 Universal Broker服务内部连接地址的 VMware 提供的 FQDN。例如,该记录可能会将 vdi.examplecompany.com 映射到 <auto-generated string>.vmwarehorizon.com
      证书

      单击浏览并上载用于验证代理 FQDN 的证书(采用受密码保护的 PFX 格式)。证书必须满足以下所有条件:

      • 证书的有效期必须至少为 90 天
      • 该证书必须由受信任的 CA 签名
      • 证书的公用名 (Common Name, SN) 或其任何主体备用名称 (Subject Alternative Name, SAN) 必须与 FQDN 匹配
      • 证书的内容必须符合标准的 X.509 格式

      PFX 文件必须包含整个证书链和私钥:域证书、中间证书、根 CA 证书和私钥。

      Universal Broker服务可使用此证书与客户端建立可信连接会话。

      注: 证书可以在 CN 或 SAN 字段中包含通配符 FQDN。如果通配符是引用标识符最左侧子域中的唯一字符,则证书仅验证与最左侧子域匹配的 FQDN。例如,如果证书包含通配符 FQDN *.mycompany.com,则匹配的规则允许 vdi.mycompany.com 作为有效的代理 FQDN。但是, test.vdi.mycompany.com 与引用标识符不匹配,因此不允许将其作为有效的代理 FQDN。
      密码 输入 PFX 证书文件的密码。
      VMware 提供的 FQDN 此只读字段将显示为代理服务自动生成的 VMware 提供的 FQDN。FQDN 采用 https://<auto-generated string>.vmwarehorizon.com 格式。

      VMware 提供的 FQDN 对最终用户是不可见的,它表示 Universal Broker 服务的内部连接地址。您的自定义 FQDN 可用作 VMware 提供的 FQDN 的别名。

      重要说明: 您必须通过在 DNS 服务器上创建一个 CNAME 记录以将自定义 FQDN 映射到 VMware 提供的 FQDN,设置一个别名关联。例如,该记录可能会将 vdi.examplecompany.com 映射到 <auto-generated string>.vmwarehorizon.com

      以下屏幕截图显示了一个已填充自定义 FQDN 设置的配置向导示例。


      已填充自定义 FQDN 设置的 Universal Broker 配置向导

    3. 配置 FQDN 设置完成后,单击下一步以继续执行向导的下一步。
  3. (可选)在向导的身份验证页面中,配置双因素身份验证。
    默认情况下, Universal Broker 仅通过用户的 Active Directory 用户名和密码对用户进行身份验证。您可以通过指定其他身份验证方法来实施双因素身份验证。有关更多信息,请参阅 在 Universal Broker 环境中实施双因素身份验证时的最佳做法
    设置 描述
    双因素身份验证

    要使用双因素身份验证,请启用此选项开关。

    启用此选项开关后,将向您显示用于配置双因素身份验证的其他选项。
    维护用户名 启用此选项开关可在执行 Universal Broker 身份验证期间保留用户的 Active Directory 用户名。启用时:
    • 用户在 Universal Broker 中用于执行其他身份验证方法的用户名凭据必须与用于执行 Active Directory 身份验证的用户名凭据相同。
    • 用户无法更改客户端登录屏幕中的用户名。

    如果关闭此选项开关,将允许用户在登录屏幕中键入不同的用户名。

    类型

    除 Active Directory 用户名和密码之外,还需指定 Universal Broker 应该用于最终用户的身份验证方法。用户界面将显示以下两个选项:RADIUSRSA SecurID

    此设置适用于租户范围。最终用户客户端中的行为将取决于租户容器群的构成以及在容器的网关上配置了哪种双因素身份验证类型,如下所示:

    仅具有 Horizon 容器
    您在此处选择的类型是在客户端中使用的类型。
    仅具有 Horizon Cloud 容器
    • 选择与在容器外部网关上配置的类型匹配的类型。
    同时具有 Horizon 容器和 Horizon Cloud on Microsoft Azure 部署
    在混合容器群中,如果在此处选择 RADIUS,则用户的 RADIUS 身份验证请求将通过这两种容器类型的 Unified Access Gateway 实例尝试发送。

    在混合容器群中,如果在此处选择 RSA SecurID,那么客户端行为将取决于您的 Horizon Cloud on Microsoft Azure 部署是否在其外部网关上配置了 RSA SecurID。

    • 如果您的 Horizon Cloud on Microsoft Azure 部署未在其网关上配置 RSA SecurID 类型,并且在此处选择了 RSA SecurID,则用户的 RSA 身份验证请求将仅通过 Horizon 容器的 Unified Access Gateway 实例尝试发送。Active Directory 用户名和密码身份验证请求则将通过 Horizon 容器或 Horizon Cloud 容器的 Unified Access Gateway 实例尝试发送。
    • 如果 Horizon Cloud on Microsoft Azure 部署在其网关上配置了 RSA SecurID 类型,则用户的 RSA 身份验证请求将通过这两种容器类型的 Unified Access Gateway 实例尝试发送。
    显示提示文本

    适用于 RADIUS 类型。启用此选项开关可配置在客户端登录屏幕中显示的有助于提示用户输入其凭据以执行其他身份验证方法的文本字符串。
    自定义提示文本

    选择显示提示文本时,此字段可用。适用于 RADIUS 类型。

    输入要在客户端登录屏幕中显示的文本字符串。指定的提示将以 Enter your DisplayHint user name and password 形式显示给最终用户,其中 DisplayHint 是您在此文本框中输入的文本字符串。

    注: Universal Broker 在自定义提示文本中不允许使用以下字符: & < > ' "

    如果在提示文本中包含任何不允许的字符,则用户与 Universal Broker FQDN 的连接将失败。

    此提示有助于指导用户输入正确的凭据。例如,输入 Company user name and domain password below for 短语将向最终用户显示如下提示:Enter your Company user name and domain password below for user name and password
    跳过双因素身份验证

    启用此选项开关可使连接到 Universal Broker 服务的内部网络用户绕过双因素身份验证。确保已按为 Universal Broker 定义内部网络范围中所述指定属于您内部网络的公共 IP 范围。

    • 启用此选项开关后,内部用户只能输入其 Active Directory 凭据来对 Universal Broker 服务进行身份验证。外部用户则必须同时输入其 Active Directory 凭据以及用于额外身份验证服务的凭据。
    • 关闭此选项开关后,内部和外部用户都必须同时输入其 Active Directory 凭据以及用于额外身份验证服务的凭据。
    公共 IP 范围

    启用跳过双因素身份验证后,此字段可见。

    如果已在“代理”页面的“网络范围”选项卡上指定一个或多个公共 IP 范围,则此字段为只读字段,并且将列出这些 IP 范围。

    如果“代理”页面的“网络范围”选项卡尚未指定公共 IP 范围,则可以使用此字段指定表示内部网络的公共 IP 范围,从而跳过针对来自这些范围的流量的双因素身份验证提示。Universal Broker 会将从位于这些范围之一的 IP 地址进行连接的任何用户都视为内部用户。

    有关指定这些范围的目的的更多详细信息,请参阅为 Universal Broker 定义内部网络范围
    以下屏幕截图显示了一个配置向导示例,其中已填充 RADIUS 类型的双因素身份验证设置。
    已填充双因素身份验证设置的 Universal Broker 配置向导
    完成选择后,单击 下一步以继续到向导的下一页。
  4. 在配置向导的设置页面中,为 Horizon Client 配置持续时间设置。
    这些超时设置将应用于 Horizon Client 与由 Universal Broker分配的桌面之间的连接会话。这些设置不会应用于所分配桌面的客户机操作系统的用户登录会话。当 Universal Broker 检测到这些设置指定的超时条件时,将关闭用户的 Horizon Client 连接会话。
    设置 描述
    客户端检测信号间隔 控制 Horizon Client 检测信号之间的间隔(以分钟为单位)以及用户到 Universal Broker 的连接状态。这些检测信号向 Universal Broker 报告在 Horizon Client 连接会话期间经过的空闲时间量。

    当未与运行 Horizon Client 的端点设备发生交互时,将测量空闲时间。在分配给用户的桌面的基础客户机操作系统上进行的登录会话的不活动状态不会影响此空闲时间。

    在大型桌面部署中,增加客户端检测信号间隔可能会降低网络流量并提高性能。
    客户端空闲用户 Horizon ClientUniversal Broker 之间进行连接会话期间允许的最大空闲时间(以分钟为单位)。

    达到最大时间后,用户的身份验证将到期,并且 Universal Broker 将关闭所有活动的 Horizon Client 会话。要重新打开连接会话,用户必须在 Universal Broker登录屏幕上重新输入其身份验证凭据。

    注: 为避免意外断开用户与分配的桌面的连接,请将 客户端空闲用户超时设置为至少是 客户端检测信号间隔两倍的值。
    客户端代理会话 在用户的身份验证到期之前,Horizon Client 连接会话允许的最大时间(以分钟为单位)。当用户执行 Universal Broker 身份验证时,计时即开始。会话超时发生时,用户可以在分配的桌面中继续工作。但是,如果他们执行需要与 Universal Broker进行通信的操作(如更改设置),则 Horizon Client 会提示他们重新输入其 Universal Broker凭据。
    注: 客户端代理会话超时必须大于或等于 客户端检测信号间隔值和 客户端空闲用户超时之和。
    客户端凭据缓存超时

    Universal Broker 设置与具有以下标记的 Horizon Connection Server 设置的功能相似:其他客户端。放弃 SSO 凭据

    因此,此处针对此设置的说明与该 Horizon Connection Server 设置和控制台工具提示中针对此设置的说明相一致。

    此设置适用于不支持应用程序远程处理的客户端。在指定的分钟数后放弃 SSO 凭据。在指定的分钟数后,无论客户端设备上是否有任何用户活动,用户都必须重新登录以连接到桌面。默认值是 15 分钟。
  5. 在配置向导的设置页面中,配置策略详细信息
    “策略详细信息”可控制最终用户是否可以访问某些 Horizon 功能,前提是这些功能在桌面和客户端上均可用。
    设置 描述
    多媒体重定向 (MMR) 启用此选项开关将在多媒体重定向功能可在桌面和客户端使用时,允许最终用户访问该功能。
    USB 访问 启用此选项开关将在 USB 重定向功能可在桌面和客户端使用时,允许最终用户使用该功能。
    关闭选项卡时清理 HTML Access 凭据

    启用此设置后,当用户在 Horizon HTML Access Client 中关闭连接到远程桌面的选项卡,或者关闭连接到桌面选择页面的选项卡时,将从缓存中移除用户的凭据。

    启用此设置后,在以下 HTML Access Client 场景中,也会从缓存中移除凭据:

    • 用户刷新桌面选择页面或远程会话页面。
    • 服务器提供自签名证书,用户启动远程桌面,并且用户在系统显示安全警告时接受证书。
    • 用户在包含远程会话的选项卡中运行 URI 命令。

    如果关闭此设置,则凭据将保留在缓存中。

    允许客户端等待已关闭电源的虚拟机 启用此设置将允许 Horizon Client 重试向当前不可用的远程桌面发送连接请求。

    例如,客户端用户可能会请求当前已关闭电源的桌面。启用此设置后,Horizon Client 可以重新发送连接请求,并在桌面电源打开且可用时建立连接会话。

    完成配置策略详细信息后,单击 下一步以继续执行向导的下一步。
  6. 摘要页面中查看您的设置,然后单击完成以保存并应用配置。
    根据您的系统和网络状况,配置设置通常至少需要几分钟、最多需要半小时才能在 Universal Broker 服务中完全生效,因为 DNS 记录将在所有全局区域中的 DNS 服务器之间传播。在这段时间内, Universal Broker服务将不可用。成功完成设置后,“入门”页面上的“代理”部分将显示 完成状态,并且 设置 > 代理页面将显示 已启用状态(以绿色圆点表示)。

    启用了 Universal Broker 的“代理”页面
    重要说明: 如果 Universal Broker 设置失败,则 设置 > 代理页面将显示 错误状态(以红色警示图标表示)。要修复配置故障并设置 Universal Broker 服务,请按照 VMware 知识库文章 (KB) 2006985 中所述联系 VMware 技术支持团队。

下一步做什么