Die Hauptanforderung für Horizon besteht darin, native Horizon-Clients und den HTML Access Horizon Client mit Protokollverarbeitung für das Client XML-Steuerungs-, das sichere Horizon-HTTPS-Tunnel- und das Blast-/HTTPS-WebSockets-Protokoll zu unterstützen.

Client XML-, Tunnel- und Blast-TCP-Protokolle auf TCP-Port 443

Die Hauptanforderung für Horizon besteht darin, native Horizon-Clients und den HTML Access Horizon Client mit Protokollverarbeitung für das Client XML-Steuerungs-, das sichere Horizon-HTTPS-Tunnel- und das Blast-/HTTPS-WebSockets-Protokoll zu unterstützen.

Alle diese Protokolle können über HTTPS-TCP-Port 443 unterstützt werden. Daher ist es nicht notwendig, andere Ports über die äußere FireWall 1 oder über die Firewall zwischen den DMZ-Zonen (FireWall 2) zuzulassen, wie in Figure 3-1 dargestellt.

Um diesen Mindestsatz an Horizon-Protokollen mit TLS-Beendigung und URL-Filterung zu unterstützen, sollte UAG 1 als Web-Reverse-Proxy eingerichtet werden, indem ein Reverse-Proxy-Edge-Dienst mit folgendem Proxy-Muster aktiviert wird 
(/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/view-client/(.*)|/)

Dadurch wird der Webdatenverkehr eingeschränkt, da der Bereich der zulässigen URLs auf diejenigen beschränkt wird, die dem konfigurierten Proxy-Muster entsprechen.

OPSWAT fungiert als Anbieter zur Überprüfung der Endpoint-Übereinstimmung, der unter Unified Access Gateway unterstützt wird. OPSWAT MetaAccess on-demand agent ist ein OPSWAT-Client. Wenn OPSWAT MetaAccess on-demand agent in UAG 2 konfiguriert ist und UAG 1 von Horizon Client eine Anfrage zum Herunterladen von on-demand agent erhält, muss UAG 1 diese Anfrage zulassen, um UAG 2 zu erreichen. Zur Unterstützung dieses Szenarios müssen auf UAG 1 Versionen von Unified Access Gateway 3.10 oder höher ausgeführt und mit folgendem Proxy-Muster eingerichtet werden, das /gateway/resources/(.*) enthält: 
(/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/|/gateway/resources/(.*))

Informationen zu OPSWAT MetaAccess on-demand agent finden Sie unter Bereitstellen und Konfigurieren von VMware Unified Access Gateway 3.9 und höher.

Um dies automatisch zum Zeitpunkt der Bereitstellung mit PowerShell zu konfigurieren, fügen Sie den folgenden Beispielabschnitt zur Datei UAG.INI hinzu: 

[WebReverseProxy1]
instanceId=Horizon-WRP
proxyDestinationUrl=https://192.168.2.101
proxyDestinationUrlThumbprints=sha1=c5 51 2f a8 1e ef a9
f8 ed fa 1b 80 05 a9 c8 bc 6e 2c 64 b1
proxyPattern=(/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/)

Fügen Sie bei Verwendung der Unified Access Gateway-Admin-Benutzeroberfläche einen Reverse-Proxy-Edge-Dienst mit folgenden Einstellungen hinzu.

Tabelle 1. Einstellungen der Unified Access Gateway-Admin-Benutzeroberfläche für Web-Reverse-Proxy
Einstellungen Wert
Reverse-Proxy-Einstellungen aktivieren Aktivieren Sie diese Umschaltfläche.
Instanz-ID Horizon-WRP
Proxy-Ziel-URL https://192.168.2.101
Fingerabdrücke für Proxy-Ziel-URL sha1=c5 51 2f a8 1e ef a9 f8 ed fa 1b 80 05 a9 c8 bc 6e 2c 64 b1
Proxy-Muster (/broker/xml(.*)|/xmlapi(.*)|/broker/resources/(.*)|/ice/(.*)|/r/(.*)|/portal(.*)|/)
Hinweis: Andere im Rest des Abschnitts „Web-Reverse-Proxy“ beschriebene Ports sind je nach den Anforderungen für diese zusätzlichen Protokolle optional.