Anhand von PowerShell-Skripten können Sie die Umgebung mit allen Konfigurationseinstellungen einrichten. Wenn Sie das PowerShell-Skript zum Bereitstellen von Unified Access Gateway ausführen, kann die Lösung schon beim ersten Systemstart in der Produktion eingesetzt werden.

Wichtig:

Mit einer PowerShell-Bereitstellung können Sie alle Einstellungen in der INI-Datei angeben, und die Unified Access Gateway-Instanz ist bereit für die Produktion, sobald sie hochgefahren ist. Wenn Sie keine Einstellungen nach der Bereitstellung ändern möchten, müssen Sie das Kennwort für die Verwaltungsoberfläche nicht angeben.

Das Kennwort für die Verwaltungsoberfläche und die API sind allerdings nicht verfügbar, wenn das Kennwort während der Bereitstellung nicht angegeben wird.

Hinweis:
  • Wenn Sie das Kennwort für die Verwaltungsoberfläche bei der Bereitstellung nicht angeben, können Sie später keinen Benutzer hinzufügen, um den Zugriff auf die Verwaltungsoberfläche oder die API zu ermöglichen. Sie müssen Ihre Unified Access Gateway-Instanz erneut mit einem gültigen Kennwort bereitstellen, wenn Sie einen Benutzer für die Verwaltungsoberfläche hinzufügen möchten.

  • Unified Access Gateway 3.5 und höher enthält eine optionale sshEnabled-INI-Eigenschaft. Durch Festlegen von sshEnabled=true im Abschnitt [General] der PowerShell-INI-Datei wird der ssh-Zugriff auf die bereitgestellte Appliance automatisch aktiviert. VMware empfiehlt in der Regel nicht, ssh auf Unified Access Gateway zu aktivieren, außer in bestimmten Situationen und wenn Zugriff eingeschränkt werden kann. Diese Funktion ist hauptsächlich für Amazon AWS EC2-Implementierungen vorgesehen, bei denen kein alternativer Konsolenzugriff möglich ist.

    Wenn sshEnabled=true nicht angegeben oder auf false festgelegt ist, dann ist ssh nicht aktiviert.

    Aktivieren des ssh-Zugriffs auf Unified Access Gateway für vSphere-, Hyper-V- oder Microsoft Azure-Bereitstellungen ist in der Regel nicht erforderlich, da bei diesen Plattformen ein Zugriff über die Konsole möglich ist. Wenn Root-Konsolenzugriff für die Amazon AWS EC2-Bereitstellung erforderlich ist, legen Sie sshEnabled=true fest. In Fällen, in denen ssh aktiviert ist, muss der Zugriff auf TCP-Port 22 bei Firewalls oder Sicherheitsgruppen auf die Quell-IP-Adressen einzelner Administratoren eingeschränkt werden. EC2 unterstützt diese Einschränkung in der EC2-Sicherheitsgruppe, die den Unified Access Gateway-Netzwerkschnittstellen zugeordnet ist.

Voraussetzungen

  • Löschen Sie bei einer Hyper-V-Bereitstellung und bei einem Upgrade von Unified Access Gateway mit statischer IP die vorherige Appliance, bevor Sie die neuere Unified Access Gateway-Instanz bereitstellen.

  • Stellen Sie sicher, dass die Systemanforderungen erfüllt sind.

    Dies ist ein Beispielskript zum Bereitstellen von Unified Access Gateway in Ihrer Umgebung.

    Abbildung 1. PowerShell-Beispielskript

Prozedur

  1. Laden Sie die Unified Access Gateway-OVA-Datei von My VMware auf Ihren Windows-Computer herunter.
  2. Laden Sie die uagdeploy-XXX.zip-Dateien in einen Ordner auf dem Windows-Computer herunter.

    Sie finden die ZIP-Dateien unter https://communities.vmware.com/docs/DOC-30835.

  3. Öffnen Sie ein PowerShell-Skript und ändern Sie das Verzeichnis in den Speicherort des Skripts.
  4. Erstellen Sie eine INI-Konfigurationsdatei für die virtuelle Unified Access Gateway-Appliance.

    Beispiel: Stellen Sie eine neue Unified Access Gateway-Appliance AP1 bereit. Die Konfigurationsdatei hat den Namen ap1.ini. Diese Datei enthält alle Konfigurationseinstellungen für AP1. Sie können mit den INI-Beispieldateien in der Datei apdeploy.ZIP die INI-Datei erstellen und die Einstellungen entsprechend ändern.

    Hinweis:
    • Sie können eindeutige INI-Dateien für mehrere Unified Access Gateway-Bereitstellungen in Ihrer Umgebung verwenden. Um mehrere Appliances bereitzustellen, müssen Sie die IP-Adressen und die Namensparameter in der INI-Datei entsprechend ändern.

    • Der Wert favicon.ico für die healthCheckUrl-Einstellung wird für Content Gateway und VMware Tunnel nicht unterstützt.

    Beispiel für die anzupassende INI-Datei.

    [General]
    netManagementNetwork=
    netInternet=
    netBackendNetwork=
    name=
    dns=10.112.64.1
    ip0=10.108.120.119
    diskMode=
    source=
    defaultGateway=10.108.120.125
    target=
    ds=
    authenticationTimeout=300000
    fipsEnabled=false
    uagName=trustedcert
    locale=en_US
    ipModeforNIC3=DHCPV4_DHCPV6
    tls12Enabled=true
    ipMode=DHCPV4_DHCPV6
    requestTimeoutMsec=10000
    ipModeforNIC2=DHCPV4_DHCPV6
    tls11Enabled=true
    clientConnectionIdleTimeout=180
    tls10Enabled=false
    adminCertRolledBack=false
    honorCipherOrder=false
    cookiesToBeCached=none
    healthCheckUrl=/favicon.ico
    quiesceMode=false
    isCiphersSetByUser=false
    tlsPortSharingEnabled=true
    ceipEnabled=true
    bodyReceiveTimeoutMsec=15000
    monitorInterval=60
    cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
    adminPasswordExpirationDays=90
    httpConnectionTimeout=120
    isTLS11SetByUser=false
    sessionTimeout=36000000
    ssl30Enabled=false
    
    [WebReverseProxy1]
    proxyDestinationUrl=https://10.108.120.21
    trustedCert1=
    instanceId=view
    healthCheckUrl=/favicon.ico
    userNameHeader=AccessPoint-User-ID
    proxyPattern=/(.*)
    landingPagePath=/
    hostEntry1=10.108.120.21 HZNView.uagqe.auto.com
    
    [Horizon]
    proxyDestinationUrl=https://enterViewConnectionServerUrl
    trustedCert1=
    gatewayLocation=external
    disableHtmlAccess=false
    healthCheckUrl=/favicon.ico
    proxyDestinationIPSupport=IPV4
    smartCardHintPrompt=false
    queryBrokerInterval=300
    proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
    matchWindowsUserName=false
    windowsSSOEnabled=false
    
    [SSLCert]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    [SSLCertAdmin]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    

  5. Geben Sie den PowerShell-Befehl set-executionpolicy ein, um eine erfolgreiche Ausführung des Skripts sicherzustellen.
    set-executionpolicy -scope currentuser unrestricted

    Führen Sie diesen Befehl einmal aus und nur dann, wenn die Ausführung derzeit eingeschränkt ist.

    1. (Optional) Wenn eine Warnung für das Skript angezeigt wird, führen Sie folgenden Befehl aus, um die Warnung aufzuheben: unblock-file -path .\uagdeploy.ps1
  6. Führen Sie den Befehl aus, um die Bereitstellung zu starten. Wenn Sie die INI-Datei nicht angeben, verwendet das Skript standardmäßig ap.ini.
    .\uagdeploy.ps1 -iniFile uag1.ini
  7. Geben Sie die Anmeldedaten ein, wenn Sie dazu aufgefordert werden, und schließen Sie das Skript ab.
    Hinweis:

    Wenn Sie aufgefordert werden, den Fingerabdruck für den Zielcomputer hinzuzufügen, geben Sie Ja ein.

    Die Unified Access Gateway-Appliance ist bereitgestellt und kann in der Produktion eingesetzt werden.

Ergebnisse

Weitere Informationen zu PowerShell-Skripten finden Sie unter https://communities.vmware.com/docs/DOC-30835.

Nächste Maßnahme

Wenn Sie Unified Access Gateway unter Beibehaltung der vorhandenen Einstellungen ein Upgrade durchführen möchten, bearbeiten Sie die INI-Datei, um die Quellreferenz zur neuen Version zu ändern, und führen Sie die .INI-Datei uagdeploy.ps1 uag1.ini erneut aus. Dieser Vorgang kann bis zu 3 Minuten in Anspruch nehmen.

[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

Informationen zum Upgrade ohne Unterbrechung des Dienstes finden Sie unter Upgrade ohne Ausfallzeit.