要使用 Universal Broker从多云分配中分配资源,您必须配置特定的设置。这些设置包括 Universal Broker服务的完全限定域名 (FQDN) 和可选的双因素身份验证。您还可以配置会话超时值和用户对某些 Horizon 功能的访问权限。

Universal Broker的配置向导会在您首次选择Universal Broker作为租户范围的代理方法后自动打开。您也可以手动打开配置向导。

前提条件

根据您的容器类型,准备所需的系统组件。

在内部部署或在 VMware Cloud on AWS 中部署的 Horizon 容器:

Microsoft Azure 中的容器:

重要事项: 确保 Microsoft Azure 中的所有容器都处于联机状态且处于正常准备就绪状态。 Universal Broker 服务需要与容器通信并在容器上执行一些配置步骤,才能完成设置过程。只要任一容器处于脱机状态或不可用,则 Universal Broker 设置将失败。

过程

  1. 如果需要,请打开配置向导以设置Universal Broker
    • 入门页面中,转到常规设置 > 代理,并单击执行。然后单击设置以指定新配置,或单击铅笔图标以编辑现有配置。
    • 选择设置 > 代理。然后单击设置以指定新配置,或单击铅笔图标以编辑现有配置。
    此时将显示 Universal Broker的配置向导。
  2. 在向导的 FQDN 页面中,配置代理连接 FQDN 的设置。这些设置定义了最终用户访问由Universal Broker分配的资源时将使用的专用连接地址。
    注: 修改子域或 FQDN 设置时,可能需要一些时间才能使更改在所有 DNS 服务器中生效。
    1. 对于“类型”,请选择 VMware 提供自定义的完全限定域名 (FQDN)。
    2. 为选定的 FQDN 类型指定其他设置。
      • 如果选择了 VMware 提供类型,请指定如下设置。
        设置 描述
        Sub Domain 在网络配置中输入代表贵公司或组织的有效子域的唯一 DNS 名称。此子域将作为 VMware 提供的域的前缀,以构成代理 FQDN。
        Brokering FQDN 此只读字段显示已配置的 FQDN。FQDN 采用 https://<your sub-domain>vmwarehorizon.com 格式。

        向您的最终用户提供此 FQDN,以允许他们使用 Horizon Client 连接到 Universal Broker 服务。

        Universal Broker管理此 FQDN 的 DNS 和 SSL 验证。

        以下屏幕截图显示了一个已填充“VMware 提供的 FQDN”设置的配置向导示例。


        已填充“VMware 提供的 FQDN”设置的 Universal Broker 配置向导
      • 如果选择了自定义类型,请指定如下设置。
        设置 描述
        Brokering FQDN 输入最终用户访问 Universal Broker 服务时将使用的自定义 FQDN。您的自定义 FQDN 可用作自动生成的 VMware 提供的 FQDN 的别名,后者用于完成与服务的连接。

        您必须是自定义 FQDN 中指定的域名的所有者,并提供可验证该域的证书。

        注: 您的自定义 FQDN(也称为连接 URL)代表您的公司或组织。请确保您具有使用此自定义 FQDN 的相应授权。
        重要事项: 您必须在 DNS 服务器上创建一个 CNAME 记录,以将自定义 FQDN 映射到表示 Universal Broker服务内部连接地址的 VMware 提供的 FQDN。例如,该记录可能会将 vdi.examplecompany.com 映射到 <auto-generated string>.vmwarehorizon.com
        Certificate 单击浏览并上载用于验证代理 FQDN 的证书(采用受密码保护的 PFX 格式)。证书必须由受信任的 CA 签名,并且证书的主体备用名称 (SAN) 必须与 FQDN 相匹配。

        PFX 文件必须包含整个证书链和私钥:域证书、中间证书、根 CA 证书和私钥。

        Universal Broker服务可使用此证书与客户端建立可信连接会话。

        Password 输入 PFX 证书文件的密码。
        VMware Provided FQDN 此只读字段将显示为代理服务自动生成的 VMware 提供的 FQDN。FQDN 采用 https://<auto-generated string>.vmwarehorizon.com 格式。

        VMware 提供的 FQDN 对最终用户是不可见的,它表示 Universal Broker 服务的内部连接地址。您的自定义 FQDN 可用作 VMware 提供的 FQDN 的别名。

        重要事项: 您必须通过在 DNS 服务器上创建一个 CNAME 记录以将自定义 FQDN 映射到 VMware 提供的 FQDN,设置一个别名关联。例如,该记录可能会将 vdi.examplecompany.com 映射到 <auto-generated string>.vmwarehorizon.com

        以下屏幕截图显示了一个已填充自定义 FQDN 设置的配置向导示例。


        已填充自定义 FQDN 设置的 Universal Broker 配置向导
    3. 配置 FQDN 设置完成后,单击下一步以继续执行向导的下一步。
  3. (可选)在向导的身份验证页面中,配置双因素身份验证。
    默认情况下, Universal Broker 仅通过用户的 Active Directory 用户名和密码对用户进行身份验证。您可以通过指定其他身份验证方法来实施双因素身份验证。
    重要事项: 要对 Universal Broker使用双因素身份验证,您必须先在每个参与容器的每个 Unified Access Gateway 实例上配置相应的身份验证服务。每个参与容器内及之间的 Unified Access Gateway 实例配置必须相同。

    例如,如果要使用 RADIUS 身份验证,则必须在所有参与的 Horizon 容器和 Microsoft Azure 中的容器之间的每个 Unified Access Gateway 实例上配置 RADIUS 服务。

    请勿删除参与容器内的任何 Unified Access Gateway 实例。由于Universal Broker依赖 Unified Access Gateway 处理 Horizon Client 和虚拟资源之间的协议流量,因此,如果您删除参与容器上的 Unified Access Gateway 实例,用户将无法访问该容器中置备的资源。

    设置 描述
    2 Factor Authentication

    要使用双因素身份验证,请启用此选项开关。

    启用此选项开关后,将向您显示用于配置双因素身份验证的其他选项。

    Type

    指定除了 Active Directory 用户名和密码以外还要使用的身份验证方法。

    • 要在 Horizon 容器和 Microsoft Azure 中的容器之间使用双因素身份验证,请选择 RADIUS
    • 要仅对您的 Horizon 容器使用双因素身份验证,请选择 RSA SecurID
    注: 在此版本中,RSA SecurID 在 Horizon 容器上受支持,但在 Microsoft Azure 中的容器上不受支持。如果选择 RSA SecurID,则将仅通过 Horizon 容器的 Unified Access Gateway 实例尝试发送用户的 RSA 身份验证请求。Active Directory 用户名和密码身份验证请求则将通过 Horizon 容器或 Microsoft Azure 中容器的 Unified Access Gateway 实例尝试发送。
    Maintain User Name 启用此选项开关可在执行 Universal Broker 身份验证期间保留用户的 Active Directory 用户名。启用时:
    • 用户在 Universal Broker 中用于执行其他身份验证方法的用户名凭据必须与用于执行 Active Directory 身份验证的用户名凭据相同。
    • 用户无法更改客户端登录屏幕中的用户名。

    如果禁用此选项开关,则系统将允许用户在登录屏幕中键入不同的用户名。

    Show Hint Text 启用此选项开关可配置在客户端登录屏幕中显示的有助于提示用户输入其凭据以执行其他身份验证方法的文本字符串。
    Custom Hint Text 输入要在客户端登录屏幕中显示的文本字符串。指定的提示将以 Enter your DisplayHint user name and password 形式显示给最终用户,其中 DisplayHint 是您在此文本框中输入的文本字符串。

    此提示有助于指导用户输入正确的凭据。例如,输入 Company user name and domain password below for 短语将向最终用户显示如下提示:Enter your Company user name and domain password below for user name and password

    以下屏幕截图显示了一个已填充双因素身份验证设置的配置向导示例。

    已填充双因素身份验证设置的 Universal Broker 配置向导
    双因素身份验证配置完成后,单击 下一步进入向导的下一页。
  4. 在配置向导的设置页面中,为 Horizon Client 配置持续时间设置。
    这些超时设置将应用于 Horizon Client 与由 Universal Broker分配的桌面之间的连接会话。这些设置不会应用于所分配桌面的客户机操作系统的用户登录会话。当 Universal Broker 检测到这些设置指定的超时条件时,将关闭用户的 Horizon Client 连接会话。
    设置 描述
    Client Heartbeat Interval 控制 Horizon Client 检测信号之间的间隔(以分钟为单位)以及用户到 Universal Broker 的连接状态。这些检测信号向 Universal Broker 报告在 Horizon Client 连接会话期间经过的空闲时间量。

    当未与运行 Horizon Client 的端点设备发生交互时,将测量空闲时间。在分配给用户的桌面的基础客户机操作系统上进行的登录会话的不活动状态不会影响此空闲时间。

    在大型桌面部署中,增加客户端检测信号间隔可能会降低网络流量并提高性能。

    Client Idle User Horizon ClientUniversal Broker 之间进行连接会话期间允许的最大空闲时间(以分钟为单位)。

    达到最大时间后,用户的身份验证将到期,并且 Universal Broker 将关闭所有活动的 Horizon Client 会话。要重新打开连接会话,用户必须在 Universal Broker登录屏幕上重新输入其身份验证凭据。

    注: 为避免意外断开用户与分配的桌面的连接,请将 客户端空闲用户超时设置为至少是 客户端检测信号间隔两倍的值。
    Client Broker Session 在用户的身份验证到期之前,Horizon Client 连接会话允许的最大时间(以分钟为单位)。当用户执行 Universal Broker 身份验证时,计时即开始。会话超时发生时,用户可以在分配的桌面中继续工作。但是,如果他们执行需要与 Universal Broker进行通信的操作(如更改设置),则 Horizon Client 会提示他们重新输入其 Universal Broker凭据。
    注: 客户端代理会话超时必须大于或等于 客户端检测信号间隔值和 客户端空闲用户超时之和。
    Client Credential Cache 控制是否将用户登录凭据存储在客户端系统缓存中。输入 1 将在缓存中存储用户凭据。如果您不希望在缓存中存储用户凭据,请输入 0
  5. 在配置向导的设置页面中,配置策略详细信息
    “策略详细信息”可控制最终用户是否可以访问某些 Horizon 功能,前提是这些功能在桌面和客户端上均可用。
    设置 描述
    Multimedia Redirection (MMR) 启用此选项开关将在多媒体重定向功能可在桌面和客户端使用时,允许最终用户访问该功能。
    USB Access 启用此选项开关将在 USB 重定向功能可在桌面和客户端使用时,允许最终用户使用该功能。
    Clean Up HTML Access Credentials When Tab is Closed

    启用此设置后,当用户在 HTML Access Client 中关闭连接到远程桌面的选项卡,或者关闭连接到桌面选择页面的选项卡时,从缓存中移除用户的凭据。

    启用此设置后,在以下 HTML Access Client 场景中,也会从缓存中移除凭据:

    • 用户刷新桌面选择页面或远程会话页面。
    • 服务器提供自签名证书,用户启动远程桌面,并且用户在系统显示安全警告时接受证书。
    • 用户在包含远程会话的选项卡中运行 URI 命令。

    如果禁用此设置,则凭据将保留在缓存中。

    Allow Client to Wait for Powered-Off VM 启用此设置将允许 Horizon Client 重试向当前不可用的远程桌面发送连接请求。

    例如,客户端用户可能会请求当前已关闭电源的桌面。启用此设置后,Horizon Client 可以重新发送连接请求,并在桌面电源打开且可用时建立连接会话。

    完成配置策略详细信息后,单击 下一步以继续执行向导的下一步。
  6. 摘要页面中查看您的设置,然后单击完成以保存并应用配置。
    由于 DNS 记录将在所有全局区域中的 DNS 服务器之间传播,因此,配置设置通常需要几秒钟才能在 Universal Broker服务中完全生效。但是,此过程有时可能需要长达 30 分钟时间才能完成,具体取决于您的系统和网络状况。在这段时间内, Universal Broker服务将不可用。成功完成设置后,“入门”页面上的“代理”部分将显示 完成,并且 设置 > 代理页面将显示 已启用状态(以绿色圆点表示)。
    重要事项: 如果 Universal Broker 设置失败,则 设置 > 代理页面将显示 错误状态(以红色警示图标表示)。要修复配置故障并设置 Universal Broker 服务,请按照 VMware 知识库文章 (KB) 2006985 中所述联系 VMware 技术支持团队。

后续步骤