Ein Sicherheitsserver ist eine Instanz des Verbindungsservers, die einen zusätzlichen Sicherheits-Layer zwischen dem Internet und Ihrem internen Netzwerk hinzufügt. Sie können einen oder mehrere Sicherheitsserver installieren, die mit einer Verbindungsserver-Instanz verbunden werden.

Die Sicherheitsserversoftware darf nicht auf demselben physischen Computer bzw. derselben virtuellen Maschine installiert sein wie eine andere Horizon 7-Softwarekomponente, einschließlich Replikatserver, Verbindungsserver, View Composer, Horizon Agent oder Horizon Client.

Voraussetzungen

  • Legen Sie fest, welche Topologie verwendet werden soll. Sie können sich beispielsweise für eine bestimmte Lastenausgleichslösung entscheiden. Entscheiden Sie, ob die mit Sicherheitsservern gekoppelten Verbindungsserver-Instanzen für Benutzer des externen Netzwerks reserviert werden sollen. Informationen hierzu finden Sie im Dokument Planung der Horizon 7-Architektur.
    Wichtig: Wenn Sie einen Lastausgleichsdienst verwenden, benötigt er eine IP-Adresse, die nicht geändert wird. In einer IPv4-Umgebung konfigurieren Sie eine statische IP-Adresse. In einer IPv6-Umgebung erhalten Computer automatisch IP-Adressen, die nicht geändert werden.
  • Stellen Sie sicher, dass Ihre Installation die unter Horizon-Verbindungsserver – Serveranforderungen beschriebenen Anforderungen erfüllt.
  • Bereiten Sie Ihre Umgebung für die Installation vor. Siehe Installationsvoraussetzungen für Horizon Connection Server.
  • Stellen Sie sicher, dass die Verbindungsserver-Instanz, die mit dem Sicherheitsserver gekoppelt werden soll, installiert und konfiguriert ist und eine Verbindungsserver-Version ausführt, die mit der Version des Sicherheitsservers kompatibel ist. Siehe „Kompatibilitätsmatrix für Horizon 7-Komponenten“ im Dokument Horizon 7-Upgrades.
  • Stellen Sie sicher, dass der Computer, auf dem Sie den Sicherheitsserver installieren möchten, auf die mit dem Sicherheitsserver zu koppelnde Verbindungsserver-Instanz zugreifen kann.
    Hinweis: Nach einem Verbindungsserver-Upgrade auf Horizon 7 Version 7.5 müssen Sicherheitsserver mit deaktiviertem IPsec erneut installiert werden. Wenn die IP-Adresse eines Sicherheitsservers geändert wird, muss er erneut installiert werden. Das Koppeln von Sicherheitsservern funktioniert nicht ordnungsgemäß, wenn der Sicherheitsserver sich hinter der dynamischen NAT befindet.
  • Konfigurieren Sie ein Kennwort für die Paarbildung mit dem Sicherheitsserver. Siehe Konfigurieren eines Kennworts für die Paarbildung mit einem Sicherheitsserver.
  • Machen Sie sich mit dem Format externer URLs vertraut. Siehe Konfigurieren externer URLs für sichere Gateways und Tunnelverbindungen.
  • Stellen Sie sicher, dass in den aktiven Protokollen „Windows-Firewall mit erweiterter Sicherheit“ aktiviert ist. Es wird empfohlen, diese Einstellung für alle Profile zu aktivieren. Standardmäßig gelten IPsec-Regeln für Verbindungen zwischen dem Sicherheitsserver und dem View-Verbindungsserver und erfordern, dass die Windows-Firewall mit erweiterter Sicherheit aktiviert ist.
  • Machen Sie sich mit den Netzwerkports vertraut, die in der Windows-Firewall für einen Sicherheitsserver geöffnet werden müssen. Siehe Firewallregeln für Horizon-Verbindungsserver.
  • Wenn Ihre Netzwerktopologie eine Back-End-Firewall zwischen dem Sicherheitsserver und dem Verbindungsserver enthält, müssen Sie die Firewall so konfigurieren, dass sie IPSec unterstützt. Siehe Konfigurieren einer Back-End-Firewall zur Unterstützung von IPsec.
  • Wenn Sie den Sicherheitsserver aktualisieren oder neu installieren, überprüfen Sie, ob die vorhandenen IPsec-Regeln für den Sicherheitsserver entfernt wurden. Siehe Entfernen von IPsec-Regeln für Sicherheitsserver.
  • Wenn Sie Horizon 7 im FIPS-Modus installieren, müssen Sie die Auswahl der globalen Einstellung IPSec für Sicherheitsserververbindungen verwenden in Horizon Administrator aufheben, da im FIPS-Modus IPSec nach der Installation eines Sicherheitsservers manuell konfiguriert werden muss.

Prozedur

  1. Laden Sie die Verbindungsserver-Installationsdatei von der VMware-Download-Site unter https://my.vmware.com/web/vmware/downloads herunter.
    Unter „Desktop- und Endbenutzer-Computing“ wählen Sie den VMware Horizon-7-Download aus, der die Verbindungsserver-Datei enthält.

    Der Dateiname des Installationsprogramms lautet VMware-viewconnectionserver-x86_64-y.y.y-xxxxxx.exe. Hierbei ist xxxxxx die Buildnummer und y.y.y die Versionsnummer.

  2. Zum Starten des Verbindungsserver-Installationsprogramms doppelklicken Sie auf die Installationsdatei.
  3. Stimmen Sie den Lizenzbedingungen von VMware zu.
  4. Übernehmen oder ändern Sie den Zielordner.
  5. Wählen Sie die Installationsoption View-Sicherheitsserver.
  6. Wählen Sie die Internetprotokollversion (IP) IPv4 oder IPv6 aus.
    Sie müssen alle Horizon 7-Komponenten mit derselben IP-Version installieren.
  7. Wählen Sie aus, ob der FIPS-Modus aktiviert werden soll.
    Diese Option ist nur verfügbar, wenn der FIPS-Modus in Windows aktiviert ist.
  8. Geben Sie den vollqualifizierten Domänennamen oder die IP-Adresse der für die Kombination mit dem Sicherheitsserver vorgesehenen Verbindungsserver-Instanz im Textfeld Server ein.
    Der Sicherheitsserver leitet den Netzwerkdatenverkehr an diese Verbindungsserver-Instanz weiter.
  9. Geben Sie das Kennwort für die Paarbildung mit dem Sicherheitsserver in das Textfeld Kennwort ein.
    Wenn das Kennwort abgelaufen ist, können Sie mit Horizon Administrator ein neues Kennwort konfigurieren und das neue Kennwort im Installationsprogramm angeben.
  10. Geben Sie im Textfeld Externe URL die externe URL des Sicherheitsservers ein. Dies ist für alle Clients erforderlich, unabhängig davon, welches Anzeigeprotokoll sie verwenden.
    Die URL muss den Protokollbezeichner, den durch den Client auflösbaren Namen des Sicherheitsservers sowie die Portnummer (443) enthalten.
    Beispiel: https://view.example.com:443
    Tunnelfähige Clients außerhalb Ihres Netzwerks verwenden die URL, um Maschinen innerhalb Ihres Netzwerks über den Sicherheitsserver zu erreichen.
  11. Geben Sie im Textfeld Externe PCoIP-URL die externe URL des PCoIP-Gateways des Sicherheitsservers ein. Dies ist für Clients erforderlich, die das PCoIP-Anzeigeprotokoll zum Herstellen einer Verbindung mit Remote-Desktops verwenden.
    Die protokollrelative URL muss die IP-Adresse des Sicherheitsservers und die Portnummer (4172) enthalten. Verwenden Sie in einer IPv4-Umgebung eine IPv4-Adresse. Verwenden Sie in einer IPv6-Umgebung eine IPv6-Adresse.
    Beispiel für eine IPv4-Umgebung: 10.20.30.40:4172
    PCoIP-fähige Clients außerhalb Ihres Netzwerks verwenden die URL, um Maschinen innerhalb Ihres Netzwerks über den Sicherheitsserver zu erreichen.
    Hinweis: Obwohl in einer IPv6-Umgebung eine IPv6-Adresse eingegeben werden muss, kann sie nach der Installation mit einem durch den Client auflösbaren Namen ersetzt werden.
  12. Geben Sie im Textfeld Externe Blast-URL die externe URL des Blast-Gateways des Sicherheitsservers ein. Dies ist für Clients erforderlich, die das Blast-Anzeigeprotokoll oder HTML Access zum Herstellen einer Verbindung mit Remote-Desktops verwenden.
    Die URL muss den Protokollbezeichner, den durch den Client auflösbaren Namen des Sicherheitsservers sowie die Portnummer (8443) enthalten.
    Beispiel: https://myserver.example.com:8443
    Blast-fähige und HTML Access-Clients außerhalb Ihres Netzwerks verwenden die URL, um Maschinen in Ihrem Netzwerk über den Sicherheitsserver zu erreichen.
  13. Wählen Sie Konfigurationsoptionen für den Windows-Firewall-Dienst aus.
    Option Aktion
    Configure Windows Firewall automatically (Windows-Firewall automatisch konfigurieren) Lassen Sie die Windows-Firewall durch das Installationsprogramm so konfigurieren, dass die erforderlichen Netzwerkverbindungen zugelassen werden.
    Do not configure Windows Firewall (Windows-Firewall nicht konfigurieren) Konfigurieren Sie die Firewall-Regeln für Windows manuell.

    Aktivieren Sie diese Option nur dann, wenn Ihre Organisation ihre eigenen vordefinierten Regeln zum Konfigurieren der Windows-Firewall verwendet.

  14. Schließen Sie die Installation des Sicherheitsservers mit dem Installations-Assistenten ab.

Ergebnisse

Die Dienste für den Sicherheitsserver werden auf dem Windows Server-Computer installiert:

  • VMware Horizon View-Sicherheitsserver
  • VMware Horizon View Framework-Komponente
  • VMware Horizon View Sicherheits-Gateway-Komponente
  • VMware Horizon View PCoIP Secure Gateway
  • VMware Blast Secure Gateway

Weitere Informationen zu diesen Diensten finden Sie im Dokument Horizon 7-Verwaltung.

Der Sicherheitsserver ist im Fensterbereich „Sicherheitsserver“ in Horizon Administrator enthalten.

Die Regel VMware Horizon View-Verbindungsserver (Blast-In) ist in der Windows-Firewall auf dem Sicherheitsserver aktiviert. Diese Firewallregel ermöglicht es Webbrowsern auf Clientgeräten, mithilfe von HTML Access eine Verbindung mit dem Sicherheitsserver über den TCP-Port 8443 herzustellen.

Hinweis: Wenn die Installation vom Benutzer oder anderweitig abgebrochen wurde, müssen Sie möglicherweise IPsec-Regeln für den Sicherheitsserver entfernen, bevor Sie die Installation neu starten können. Führen Sie diesen Schritt auch dann durch, wenn Sie IPsec-Regeln bereits vor der erneuten Installation oder dem Upgrade des Sicherheitsservers entfernt haben. Anleitungen zum Entfernen von IPsec-Regeln finden Sie unter Entfernen von IPsec-Regeln für Sicherheitsserver.

Nächste Maßnahme

Konfigurieren Sie ein SSL-Serverzertifikat für den Sicherheitsserver. Siehe Konfigurieren von TLS-Zertifikaten für Horizon 7-Server.

Möglicherweise müssen Sie Clientverbindungs-Einstellungen für den Sicherheitsserver konfigurieren, und Sie können Windows Server-Einstellungen für die Unterstützung einer großen Bereitstellung optimieren. Siehe Konfigurieren von Horizon Client-Verbindungen und Größeneinstellungen für Windows Server zur Unterstützung Ihrer Bereitstellung.

Wenn Sie den Sicherheitsserver erneut installieren und ein Datenerfassungs-Set zur Überwachung der Leistungsdaten konfiguriert haben, stoppen Sie das Datenerfassungs-Set und starten Sie es dann erneut.