Eine Unified Access Gateway-Appliance in der DMZ kann so konfiguriert werden, dass sie entweder auf einen Server oder auf einen Lastausgleichsdienst verweist, der einer Gruppe von Servern vorgelagert ist. Unified Access Gateway-Appliances können mit Standardlösungen von Drittanbietern für den Lastausgleichsdienst verwendet werden, die für HTTPS konfiguriert sind.
Wenn die Unified Access Gateway-Appliance auf einen Lastausgleichsdienst verweist, der Servern vorgelagert ist, erfolgt die Auswahl der Serverinstanz dynamisch. So kann beispielsweise der Lastausgleichsdienst auf Basis der Verfügbarkeit und der Anzahl der ihm bekannten aktuellen Sitzungen auf jeder Serverinstanz eine Auswahl treffen. In der Regel verfügen die Serverinstanzen innerhalb der Unternehmens-Firewall über einen Lastausgleichsdienst zur Unterstützung des internen Zugriffs. Mit Unified Access Gateway haben Sie die Möglichkeit, mit der Unified Access Gateway-Appliance auf denselben Lastausgleichsdienst zu verweisen, der des öfteren bereits verwendet wird.
Stattdessen können auch eine oder mehrere Unified Access Gateway-Appliances auf eine einzelne Serverinstanz verweisen. Bei beiden Vorgehensweisen verwenden Sie einen den zwei oder mehr Unified Access Gateway-Appliances in der DMZ vorgelagerten Lastausgleichsdienst.
Horizon-Protokolle
- Primäres Horizon-Protokoll
Der Benutzer gibt auf dem Horizon Client einen Hostnamen ein. Dies startet das primäre Horizon-Protokoll. Dies ist ein Steuerungsprotokoll zur Authentifizierungsautorisierung und Sitzungsverwaltung. Das Protokoll verwendet strukturierte XML-Nachrichten über HTTPS. Dieses Protokoll wird teilweise als Horizon XML-API-Steuerungsprotokoll bezeichnet. In einer Umgebung mit Lastausgleich, wie sie in der Abbildung „Mehrere Unified Access Gateway-Appliances hinter einem Lastausgleichsdienst“ dargestellt ist, leitet der Lastausgleichsdienst diese Verbindung an eine der Unified Access Gateway-Appliances weiter. Der Lastausgleichsdienst wählt die Appliance in der Regel zuerst anhand der Verfügbarkeit aus und leitet den Datenverkehr dann an die verfügbare Appliance mit der geringsten Anzahl aktueller Sitzungen weiter. Diese Konfiguration verteilt den Datenverkehr von verschiedenen Clients gleichmäßig auf die verfügbaren Unified Access Gateway-Appliances.
- Sekundäre Horizon-Protokolle
Nachdem der Horizon Client eine sichere Kommunikation mit einer der Unified Access Gateway-Appliances hergestellt hat, wird der Benutzer authentifiziert. Wenn dieser Authentifizierungsversuch erfolgreich verläuft, werden eine oder mehrere sekundäre Verbindungen vom Horizon Client hergestellt. Zu diesen sekundären Verbindungen können folgende Verbindungen gehören:
- HTTPS-Tunnel, die zum Kapseln von TCP-Protokollen wie RDP, MMR/CDR und dem Clientframework-Kanal verwendet werden. (TCP 443)
- Blast Extreme-Anzeigeprotokoll (TCP 443, TCP 8443, UDP 443 und UDP 8443)
- PCoIP-Anzeigeprotokoll (TCP 443, UDP 443).
Diese sekundären Horizon-Protokolle müssen zu derselben Unified Access Gateway-Appliance weitergeleitet werden, zu der das primäre Horizon-Protokoll weitergeleitet wurde. Unified Access Gateway kann die sekundären Protokolle dann auf der Grundlage der authentifizierten Benutzersitzung autorisieren. Eine wichtige Sicherheitsfunktion von Unified Access Gateway besteht darin, dass Unified Access Gateway nur dann Datenverkehr in das Datencenter des Unternehmens weiterleitet, wenn der Datenverkehr zu einem authentifizierten Benutzer gehört. Wenn das sekundäre Protokoll fälschlicherweise an eine andere Unified Access Gateway-Appliance weitergeleitet wird als das primäre Protokoll, werden Benutzer nicht autorisiert und in der DMZ verworfen. Die Verbindung schlägt fehl. Ein falsches Routing der sekundären Protokolle ist ein häufiges Problem, wenn der Lastausgleichsdienst nicht richtig konfiguriert ist.
Überlegungen zum Lastausgleich für Content Gateway und Tunnel-Proxy
- Konfigurieren Sie die Lastausgleichsdienste mit „Original-HTTP-Kopfzeilen senden“, um Probleme hinsichtlich der Gerätekonnektivität zu vermeiden. Content Gateway und Tunnel-Proxy verwenden Informationen aus der HTTP-Kopfzeile der Anforderung, um Geräte zu authentifizieren.
- Die Tunnel-über-App-Komponente erfordert eine Authentifizierung jedes Clients nach der Herstellung einer Verbindung. Wenn die Verbindung hergestellt ist, wird eine Sitzung für den Client erstellt und im Arbeitsspeicher gespeichert. Dieselbe Sitzung wird dann für jede Art von Clientdaten verwendet, damit die Daten mit dem gleichen Schlüssel verschlüsselt und entschlüsselt werden können. Beim Entwerfen einer Lastausgleichslösung muss der Lastausgleichsdienst mit aktivierter IP-/sitzungsbasierter Persistenz konfiguriert werden. Alternativ können Sie clientseitig DNS-Round-Robin verwenden, wodurch der Client für jede Verbindung einen anderen Server auswählen kann.