Anhand von PowerShell-Skripten können Sie die Umgebung mit allen Konfigurationseinstellungen einrichten. Wenn Sie das PowerShell-Skript zum Bereitstellen von Unified Access Gateway ausführen, kann die Lösung schon beim ersten Systemstart in der Produktion eingesetzt werden.

Wichtig:

Mit einer PowerShell-Bereitstellung können Sie alle Einstellungen in der INI-Datei angeben, und die Unified Access Gateway-Instanz ist bereit für die Produktion, sobald sie hochgefahren ist. Wenn Sie keine Einstellungen nach der Bereitstellung ändern möchten, müssen Sie das Kennwort für die Verwaltungsoberfläche nicht angeben.

Das Kennwort für die Verwaltungsoberfläche und die API sind allerdings nicht verfügbar, wenn das Kennwort während der Bereitstellung nicht angegeben wird.

Hinweis:

  • Wenn Sie das Kennwort für die Verwaltungsoberfläche bei der Bereitstellung nicht angeben, können Sie später keinen Benutzer hinzufügen, um den Zugriff auf die Verwaltungsoberfläche oder die API zu ermöglichen. Sie müssen Ihre Unified Access Gateway-Instanz erneut mit einem gültigen Kennwort bereitstellen, wenn Sie einen Benutzer für die Verwaltungsoberfläche hinzufügen möchten.

  • Unified Access Gateway 3.5 und höher enthält eine optionale sshEnabled-INI-Eigenschaft. Durch Festlegen von sshEnabled=true im Abschnitt [General] der PowerShell-INI-Datei wird der ssh-Zugriff auf die bereitgestellte Appliance automatisch aktiviert. VMware empfiehlt in der Regel nicht, ssh auf Unified Access Gateway zu aktivieren, außer in bestimmten Situationen und wenn Zugriff eingeschränkt werden kann. Diese Funktion ist hauptsächlich für Amazon AWS EC2-Implementierungen vorgesehen, bei denen kein alternativer Konsolenzugriff möglich ist.

    Wenn sshEnabled=true nicht angegeben oder auf false festgelegt ist, dann ist ssh nicht aktiviert.

    Aktivieren des ssh-Zugriffs auf Unified Access Gateway für vSphere-, Hyper-V- oder Microsoft Azure-Bereitstellungen ist in der Regel nicht erforderlich, da bei diesen Plattformen ein Zugriff über die Konsole möglich ist. Wenn Root-Konsolenzugriff für die Amazon AWS EC2-Bereitstellung erforderlich ist, legen Sie sshEnabled=true fest. In Fällen, in denen ssh aktiviert ist, muss der Zugriff auf TCP-Port 22 bei Firewalls oder Sicherheitsgruppen auf die Quell-IP-Adressen einzelner Administratoren eingeschränkt werden. EC2 unterstützt diese Einschränkung in der EC2-Sicherheitsgruppe, die den Unified Access Gateway-Netzwerkschnittstellen zugeordnet ist.

Voraussetzungen

  • Löschen Sie bei einer Hyper-V-Bereitstellung und bei einem Upgrade von Unified Access Gateway mit statischer IP die vorherige Appliance, bevor Sie die neuere Unified Access Gateway-Instanz bereitstellen.

  • Stellen Sie sicher, dass die Systemanforderungen erfüllt sind.

    Dies ist ein Beispielskript zum Bereitstellen von Unified Access Gateway in Ihrer Umgebung.

    Abbildung 1. PowerShell-Beispielskript

Prozedur

  1. Laden Sie die Unified Access Gateway-OVA-Datei von My VMware auf Ihren Windows-Computer herunter.
  2. Laden Sie die uagdeploy-XXX.zip-Dateien in einen Ordner auf dem Windows-Computer herunter.

    Sie finden die ZIP-Dateien unter https://communities.vmware.com/docs/DOC-30835.

  3. Öffnen Sie ein PowerShell-Skript und ändern Sie das Verzeichnis in den Speicherort des Skripts.
  4. Erstellen Sie eine INI-Konfigurationsdatei für die virtuelle Unified Access Gateway-Appliance.

    Beispiel: Stellen Sie eine neue Unified Access Gateway-Appliance AP1 bereit. Die Konfigurationsdatei hat den Namen ap1.ini. Diese Datei enthält alle Konfigurationseinstellungen für AP1. Sie können mit den INI-Beispieldateien in der Datei apdeploy.ZIP die INI-Datei erstellen und die Einstellungen entsprechend ändern.

    Hinweis:

    • Sie können eindeutige INI-Dateien für mehrere Unified Access Gateway-Bereitstellungen in Ihrer Umgebung verwenden. Um mehrere Appliances bereitzustellen, müssen Sie die IP-Adressen und die Namensparameter in der INI-Datei entsprechend ändern.

    • Der Wert favicon.ico für die healthCheckUrl-Einstellung wird für Content Gateway und VMware Tunnel nicht unterstützt.

    Beispiel für die anzupassende INI-Datei. 

    [General]
netManagementNetwork=
netInternet=
netBackendNetwork=
name=
dns=10.112.64.1
ip0=10.108.120.119
diskMode=
source=
defaultGateway=10.108.120.125
target=
ds=
authenticationTimeout=300000
fipsEnabled=false
uagName=trustedcert
locale=en_US
ipModeforNIC3=DHCPV4_DHCPV6
tls12Enabled=true
ipMode=DHCPV4_DHCPV6
requestTimeoutMsec=10000
ipModeforNIC2=DHCPV4_DHCPV6
tls11Enabled=true
clientConnectionIdleTimeout=180
tls10Enabled=false
adminCertRolledBack=false
honorCipherOrder=false
cookiesToBeCached=none
healthCheckUrl=/favicon.ico
quiesceMode=false
isCiphersSetByUser=false
tlsPortSharingEnabled=true
ceipEnabled=true
bodyReceiveTimeoutMsec=15000
monitorInterval=60
cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
adminPasswordExpirationDays=90
httpConnectionTimeout=120
isTLS11SetByUser=false
sessionTimeout=36000000
ssl30Enabled=false

[WebReverseProxy1]
proxyDestinationUrl=https://10.108.120.21
trustedCert1=
instanceId=view
healthCheckUrl=/favicon.ico
userNameHeader=AccessPoint-User-ID
proxyPattern=/(.*)
landingPagePath=/
hostEntry1=10.108.120.21 HZNView.uagqe.auto.com

[Horizon]
proxyDestinationUrl=https://enterViewConnectionServerUrl
trustedCert1=
gatewayLocation=external
disableHtmlAccess=false
healthCheckUrl=/favicon.ico
proxyDestinationIPSupport=IPV4
smartCardHintPrompt=false
queryBrokerInterval=300
proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
matchWindowsUserName=false
windowsSSOEnabled=false

[SSLCert]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

[SSLCertAdmin]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

  5. Geben Sie den PowerShell-Befehl set-executionpolicy ein, um eine erfolgreiche Ausführung des Skripts sicherzustellen. 
    set-executionpolicy -scope currentuser unrestricted

    Führen Sie diesen Befehl einmal aus und nur dann, wenn die Ausführung derzeit eingeschränkt ist.

    1. (Optional) Wenn eine Warnung für das Skript angezeigt wird, führen Sie folgenden Befehl aus, um die Warnung aufzuheben: unblock-file -path .\uagdeploy.ps1
  6. Führen Sie den Befehl aus, um die Bereitstellung zu starten. Wenn Sie die INI-Datei nicht angeben, verwendet das Skript standardmäßig ap.ini. 
    .\uagdeploy.ps1 -iniFile uag1.ini
  7. Geben Sie die Anmeldedaten ein, wenn Sie dazu aufgefordert werden, und schließen Sie das Skript ab.
    Hinweis:

    Wenn Sie aufgefordert werden, den Fingerabdruck für den Zielcomputer hinzuzufügen, geben Sie Ja ein.

    Die Unified Access Gateway-Appliance ist bereitgestellt und kann in der Produktion eingesetzt werden.

Ergebnisse

Weitere Informationen zu PowerShell-Skripten finden Sie unter https://communities.vmware.com/docs/DOC-30835.

Nächste Maßnahme

Wenn Sie Unified Access Gateway unter Beibehaltung der vorhandenen Einstellungen ein Upgrade durchführen möchten, bearbeiten Sie die INI-Datei, um die Quellreferenz zur neuen Version zu ändern, und führen Sie die .INI-Datei uagdeploy.ps1 uag1.ini erneut aus. Dieser Vorgang kann bis zu 3 Minuten in Anspruch nehmen. 

[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

Informationen zum Upgrade ohne Unterbrechung des Dienstes finden Sie unter Upgrade ohne Ausfallzeit.