Anhand von PowerShell-Skripten können Sie die Umgebung mit allen Konfigurationseinstellungen einrichten. Wenn Sie das PowerShell-Skript zum Bereitstellen von Unified Access Gateway ausführen, kann die Lösung schon beim ersten Systemstart in der Produktion eingesetzt werden.

Wichtig: Mit einer PowerShell-Bereitstellung können Sie alle Einstellungen in der INI-Datei angeben, und die Unified Access Gateway-Instanz ist bereit für die Produktion, sobald sie hochgefahren ist. Wenn Sie keine Einstellungen nach der Bereitstellung ändern möchten, müssen Sie das Kennwort für die Verwaltungsoberfläche nicht angeben.

Das Kennwort für die Verwaltungsoberfläche und die API sind allerdings nicht verfügbar, wenn das Kennwort während der Bereitstellung nicht angegeben wird.

Hinweis:
  • Wenn Sie das Kennwort für die Verwaltungsoberfläche bei der Bereitstellung nicht angeben, können Sie später keinen Benutzer hinzufügen, um den Zugriff auf die Verwaltungsoberfläche oder die API zu ermöglichen. Sie müssen Ihre Unified Access Gateway-Instanz erneut mit einem gültigen Kennwort bereitstellen, wenn Sie einen Benutzer für die Verwaltungsoberfläche hinzufügen möchten.
  • Unified Access Gateway 3.5 und höher enthält eine optionale sshEnabled-INI-Eigenschaft. Durch Festlegen von sshEnabled=true im Abschnitt [General] der PowerShell-INI-Datei wird der ssh-Zugriff auf die bereitgestellte Appliance automatisch aktiviert. VMware empfiehlt in der Regel nicht, ssh auf Unified Access Gateway zu aktivieren, außer in bestimmten Situationen und wenn Zugriff eingeschränkt werden kann. Diese Funktion ist hauptsächlich für Amazon AWS EC2-Implementierungen vorgesehen, bei denen kein alternativer Konsolenzugriff möglich ist.
    Hinweis: Weitere Informationen zu Amazon AWS EC2 finden Sie unter PowerShell-Bereitstellung von Unified Access Gateway auf Amazon Web Services.

    Wenn sshEnabled=true nicht angegeben oder auf false festgelegt ist, dann ist ssh nicht aktiviert.

    Aktivieren des ssh-Zugriffs auf Unified Access Gateway für vSphere-, Hyper-V- oder Microsoft Azure-Bereitstellungen ist in der Regel nicht erforderlich, da bei diesen Plattformen ein Zugriff über die Konsole möglich ist. Wenn Root-Konsolenzugriff für die Amazon AWS EC2-Bereitstellung erforderlich ist, legen Sie sshEnabled=true fest. In Fällen, in denen ssh aktiviert ist, muss der Zugriff auf TCP-Port 22 bei Firewalls oder Sicherheitsgruppen auf die Quell-IP-Adressen einzelner Administratoren eingeschränkt werden. EC2 unterstützt diese Einschränkung in der EC2-Sicherheitsgruppe, die den Unified Access Gateway-Netzwerkschnittstellen zugeordnet ist.

Voraussetzungen

  • Löschen Sie bei einer Hyper-V-Bereitstellung und bei einem Upgrade von Unified Access Gateway mit statischer IP die vorherige Appliance, bevor Sie die neuere Unified Access Gateway-Instanz bereitstellen.
  • Stellen Sie sicher, dass die Systemanforderungen erfüllt sind.

    Dies ist ein Beispielskript zum Bereitstellen von Unified Access Gateway in Ihrer Umgebung.

    Abbildung 1. PowerShell-Beispielskript

Prozedur

  1. Laden Sie die Unified Access Gateway-OVA-Datei von My VMware auf Ihren Windows-Computer herunter.
  2. Laden Sie die uagdeploy-XXX.zip-Dateien in einen Ordner auf dem Windows-Computer herunter.
    Die ZIP-Dateien stehen auf der Downloadseite von VMware für Unified Access Gateway zur Verfügung.
  3. Öffnen Sie ein PowerShell-Skript und ändern Sie das Verzeichnis in den Speicherort des Skripts.
  4. Erstellen Sie eine INI-Konfigurationsdatei für die virtuelle Unified Access Gateway-Appliance.
    Beispiel: Stellen Sie eine neue Unified Access Gateway-Appliance AP1 bereit. Die Konfigurationsdatei hat den Namen ap1.ini. Diese Datei enthält alle Konfigurationseinstellungen für AP1. Sie können mit den INI-Beispieldateien in der Datei apdeploy.ZIP die INI-Datei erstellen und die Einstellungen entsprechend ändern.
    Hinweis:
    • Sie können eindeutige INI-Dateien für mehrere Unified Access Gateway-Bereitstellungen in Ihrer Umgebung verwenden. Um mehrere Appliances bereitzustellen, müssen Sie die IP-Adressen und die Namensparameter in der INI-Datei entsprechend ändern.
    Beispiel für die anzupassende INI-Datei.
    [General]
    netManagementNetwork=
    netInternet=
    netBackendNetwork=
    name=
    dns = 192.0.2.1 192.0.2.2
    dnsSearch = example1.com example2.com
    ip0=10.108.120.119
    diskMode=
    source=
    defaultGateway=10.108.120.125
    target=
    ds=
    deploymentOption=onenic
    authenticationTimeout=300000
    fipsEnabled=false
    uagName=UAG1
    locale=en_US
    ipModeforNIC3=DHCPV4_DHCPV6
    tls12Enabled=true
    ipMode=DHCPV4_DHCPV6
    requestTimeoutMsec=10000
    ipModeforNIC2=DHCPV4_DHCPV6
    tls11Enabled=false
    clientConnectionIdleTimeout=180
    tls10Enabled=false
    adminCertRolledBack=false
    cookiesToBeCached=none
    healthCheckUrl=/favicon.ico
    quiesceMode=false
    syslogUrl=10.108.120.108:514
    isCiphersSetByUser=false
    tlsPortSharingEnabled=true
    ceipEnabled=true
    bodyReceiveTimeoutMsec=15000
    monitorInterval=60
    cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    , TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    adminPasswordExpirationDays=90
    httpConnectionTimeout=120
    isTLS11SetByUser=false
    sessionTimeout=36000000
    ssl30Enabled=false
    snmpEnabled= TRUE | FALSE
    ntpServers=ipOrHostname1 ipOrHostname2
    fallBackNtpServers=ipOrHostname1 ipOrHostname2
    sshEnabled=
    sshPasswordAccessEnabled=
    sshKeyAccessEnabled=
    sshPublicKey1=
    
    [WebReverseProxy1]
    proxyDestinationUrl=https://10.108.120.21
    trustedCert1=
    instanceId=view
    healthCheckUrl=/favicon.ico
    userNameHeader=AccessPoint-User-ID
    proxyPattern=/(.*)
    landingPagePath=/
    hostEntry1=10.108.120.21 HZNView.uagqe.auto.com
    
    [Horizon]
    proxyDestinationUrl=https://enterViewConnectionServerUrl
    trustedCert1=
    gatewayLocation=external
    disableHtmlAccess=false
    healthCheckUrl=/favicon.ico
    proxyDestinationIPSupport=IPV4
    smartCardHintPrompt=false
    queryBrokerInterval=300
    proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
    matchWindowsUserName=false
    windowsSSOEnabled=false
    
    [Airwatch]
    tunnelGatewayEnabled=true
    tunnelProxyEnabled=true
    pacFilePath=
    pacFileURL=
    credentialFilePath=
    apiServerUsername=domain\apiusername
    apiServerPassword=*****
    proxyDestinationUrl=https://null
    ntlmAuthentication=false
    healthCheckUrl=/favicon.ico
    organizationGroupCode=
    apiServerUrl=https://null
    airwatchOutboundProxy=false
    outboundProxyHost=1.2.3.4
    outboundProxyPort=3128
    outboundProxyUsername=proxyuser
    outboundProxyPassword=****
    reinitializeGatewayProcess=false
    airwatchServerHostname=tunnel.acme.com
    trustedCert1=c:\temp\CA-Cert-A.pem
    hostEntry1=1.3.5.7 backend.acme.com
    
    [AirwatchSecureEmailGateway]
    memConfigurationId=abc123
    apiServerUsername=domain\apiusername
    healthCheckUrl=/favicon.ico
    apiServerUrl=https://null
    outboundProxyHost=1.2.3.4
    outboundProxyPort=3128
    outboundProxyUsername=proxyuser
    outboundProxyPassword=****
    reinitializeGatewayProcess=false
    airwatchServerHostname=serverNameForSNI
    apiServerPassword=****
    trustedCert1=c:\temp\CA-Cert-A.pem
    pfxCerts=C:\Users\admin\My Certs\mycacerts.pfx
    hostEntry1=1.3.5.7 exchange.acme.com
    
    [AirWatchContentGateway]
    cgConfigId=abc123
    apiServerUrl=https://null
    apiServerUsername=domain\apiusername
    apiServerPassword=*****
    outboundProxyHost=
    outboundProxyPort=
    outboundProxyUsername=proxyuser
    outboundProxyPassword=*****
    airwatchOutboundProxy=false
    hostEntry1=192.168.1.1 cgbackend.acme.com
    trustedCert1=c:\temp\CA-Cert-A.pem
    ntlmAuthentication=false
    reinitializeGatewayProcess=false
    airwatchServerHostname=cg.acme.com
    
    [SSLCert]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    [SSLCertAdmin]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    [JWTSettings1]
    publicKey1=
    publicKey2=
    publicKey3=
    name=JWT_1
    
    [JWTSettings2]
    publicKey1=
    publicKey2=
    name=JWT_2
  5. Geben Sie den PowerShell-Befehl set-executionpolicy ein, um eine uneingeschränkte Ausführung des Skripts sicherzustellen.
    set-executionpolicy -scope currentuser unrestricted
    Sie müssen dies nur einmal durchführen, um die Einschränkung zu entfernen.
    1. (Optional) Wenn eine Warnung für das Skript angezeigt wird, führen Sie folgenden Befehl aus, um die Warnung aufzuheben: unblock-file -path .\uagdeploy.ps1
  6. Führen Sie den Befehl aus, um die Bereitstellung zu starten. Wenn Sie die INI-Datei nicht angeben, verwendet das Skript standardmäßig ap.ini.
    .\uagdeploy.ps1 -iniFile uag1.ini
  7. Geben Sie die Anmeldedaten ein, wenn Sie dazu aufgefordert werden, und schließen Sie das Skript ab.
    Hinweis: Wenn Sie aufgefordert werden, den Fingerabdruck für den Zielcomputer hinzuzufügen, geben Sie Ja ein.
    Die Unified Access Gateway-Appliance ist bereitgestellt und kann in der Produktion eingesetzt werden.

Ergebnisse

Weitere Informationen zu PowerShell-Skripten finden Sie unter https://communities.vmware.com/docs/DOC-30835.

Nächste Maßnahme

Wenn Sie Unified Access Gateway unter Beibehaltung der vorhandenen Einstellungen ein Upgrade durchführen möchten, bearbeiten Sie die INI-Datei, um die Quellreferenz zur neuen Version zu ändern, und führen Sie die .INI-Datei uagdeploy.ps1 uag1.ini erneut aus. Dieser Vorgang kann bis zu 3 Minuten in Anspruch nehmen.
[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

Informationen zum Upgrade ohne Unterbrechung des Dienstes finden Sie unter Upgrade ohne Ausfallzeit.