Es kann zu Verbindungsproblemen zwischen Horizon Client und einem Sicherheitsserver- oder Horizon-Verbindungsserver-Host kommen, wenn das PCoIP Secure Gateway so konfiguriert ist, dass externe Benutzer, die über PCoIP kommunizieren, authentifiziert werden müssen.

Problem

Clients, die PCoIP verwenden, können weder eine Verbindung mit Horizon 7-Desktops herstellen noch diese anzeigen. Die erste Anmeldung bei einem Sicherheitsserver oder einer Verbindungsserver-Instanz ist erfolgreich, die Verbindung schlägt jedoch fehl, wenn der Benutzer einen Horizon 7-Desktop auswählt. Dieses Problem tritt auf, wenn das PCoIP Secure Gateway auf einem Sicherheitsserver- oder Verbindungsserver-Host konfiguriert ist.

Hinweis: Normalerweise wird das PCoIP Secure Gateway auf einem Sicherheitsserver genutzt. In einer Netzwerkkonfiguration, bei der externe Clients eine direkte Verbindung mit dem Horizon-Verbindungsserver-Host herstellen, kann das PCoIP Secure Gateway auch auf der Horizon-Verbindungsserver-Instanz konfiguriert werden.

Ursache

Es kann verschiedene Gründe dafür geben, dass Probleme bei der Verbindungsherstellung mit dem PCoIP Secure Gateway auftreten.

  • In der Windows-Firewall wurde ein Port geschlossen, der für das PCoIP Secure Gateway erforderlich ist.
  • Das PCoIP Secure Gateway ist auf der Sicherheitsserver- oder Horizon-Verbindungsserver-Instanz nicht aktiviert.
  • Die externe PCoIP-URL ist falsch konfiguriert. Sie müssen diese Einstellung auf die externe IP-Adresse festlegen, auf die Clients über das Internet zugreifen können.
  • Die externen URLs für den sicheren Tunnel, für PCoIP und für Blast oder eine andere Adresse sind so konfiguriert, dass auf einen anderen Sicherheitsserver- oder Verbindungsserver-Host verwiesen wird. Wenn Sie diese Adressen auf einem Sicherheitsserver- oder Verbindungsserver-Host konfigurieren, müssen Clientsysteme mit allen Adressen eine Verbindung mit dem aktuellen Host herstellen können.
  • Der Client stellt die Verbindung über einen externen Webproxy her, für den ein Port geschlossen wurde, der für das PCoIP Secure Gateway erforderlich ist. Beispielsweise kann ein Webproxy im Netzwerk eines Hotels oder eine öffentliche drahtlose Verbindung die erforderlichen Ports blockieren.

Lösung

  • Stellen Sie sicher, dass die folgenden Netzwerkports in der Firewall für den Sicherheitsserver- oder Verbindungsserver-Host geöffnet sind.
    Port Beschreibung
    TCP 4172 Von Horizon Client zum Sicherheitsserver- oder Verbindungsserver-Host.
    UDP 4172 Zwischen Horizon Client und dem Sicherheitsserver- oder Verbindungsserver-Host (bidirektional).
    Hinweis: Die vom Client für das Senden und Empfangen von UDP-Datenverkehr ausgewählte Portnummer kann nicht prognostiziert werden, da Sie davon abhängt, welche Ports frei sind (weitere Informationen finden Sie im Sicherheitshandbuch). Bei der Konfiguration einer Netzwerkfirewall müssen die Regeln intelligent sein, sodass der UDP-Datenverkehr von jeder Adresse und jedem Port zu 4172 und der umgekehrte Flow von 4172 zurück zur initiierenden Adresse und zum initiierenden Port möglich ist. Wenn Ihre Firewall keine intelligenten Regeln unterstützt, können Sie entweder eine bidirektionale Regel konfigurieren, indem Sie für das Clientende „ANY“ oder ein Paar unidirektionale Regeln konfigurieren einstellen. Anleitungen finden Sie in der Dokumentation Ihrer Firewall.
    TCP 4172 Vom Sicherheitsserver- oder Verbindungsserver-Host zum Horizon 7-Desktop.
    UDP 4172 Zwischen dem Sicherheitsserver- oder Verbindungsserver-Host und dem Horizon 7-Desktop (bidirektional).
    Hinweis: PCoIP-Gateways auf einem Verbindungsserver, Sicherheitsserver und UAG senden und empfangen UDP-Datenverkehr an Desktops in Port 55000. Weitere Informationen finden Sie im Dokument Horizon 7-Sicherheit. Beim Konfigurieren einer Netzwerkfirewall benötigen Sie entweder eine bidirektionale Regel, die beide Ports angibt, oder ein Paar unidirektionaler Regeln. Anleitungen finden Sie in der Dokumentation Ihrer Firewall.
  • Stellen Sie in Horizon Administrator sicher, dass das PCoIP Secure Gateway aktiviert ist.
    1. Klicken Sie auf View-Konfiguration > Server.
    2. Wählen Sie die Verbindungsserver-Instanz auf der Registerkarte Verbindungsserver aus und klicken Sie auf Bearbeiten.
    3. Aktivieren Sie PCoIP Secure Gateway für PCoIP-Verbindungen zum Computer verwenden.
      Das PCoIP Secure Gateway ist standardmäßig deaktiviert.
    4. Klicken Sie auf OK.
  • Stellen Sie in Horizon Administrator sicher, dass die externe PCoIP-URL ordnungsgemäß konfiguriert ist.
    1. Klicken Sie auf View-Konfiguration > Server.
    2. Wählen Sie den zu konfigurierenden Host aus.
      • Wenn Ihre Benutzer über einen Sicherheitsserver eine Verbindung mit dem PCoIP Secure Gateway herstellen, wählen Sie auf der Registerkarte Sicherheitsserver den Sicherheitsserver aus.
      • Wenn Ihre Benutzer über eine Verbindungsserver-Instanz eine Verbindung mit dem PCoIP Secure Gateway herstellen, wählen Sie auf der Registerkarte Verbindungsserver diese Instanz aus.
    3. Klicken Sie auf Bearbeiten.
    4. Stellen Sie sicher, dass im Textfeld PCoIP – Externe URL die externe IP-Adresse für den Sicherheitsserver- oder Verbindungsserver-Host angegeben ist, auf die Clients über das Internet zugreifen können.
      Geben Sie Port 4172 an. Schließen Sie keinen Protokollnamen ein.

      Beispiel: 10.20.30.40:4172

    5. Stellen Sie sicher, dass Clientsysteme mit allen Adressen in diesem Dialogfeld eine Verbindung mit diesem Host herstellen können.

      Clientsysteme müssen mit allen Adressen im Dialogfeld „Sicherheitsserver-Einstellungen bearbeiten“ eine Verbindung mit diesem Sicherheitsserverhost herstellen können. Clientsysteme müssen mit allen Adressen im Dialogfeld „Verbindungsserver-Einstellungen bearbeiten“ eine Verbindung mit dieser Verbindungsserver-Instanz herstellen können.

    6. Klicken Sie auf OK.
    Wiederholen Sie diese Schritte für jede Sicherheitsserver- und Verbindungsserver-Instanz, über die Benutzer eine Verbindung mit dem PCoIP Secure Gateway herstellen.
  • Wenn der Benutzer eine Verbindung über einen Webproxy herstellt, der sich außerhalb Ihres Netzwerks befindet und den erforderlichen Port blockiert, weisen Sie den Benutzer an, sich über einen anderen Netzwerkstandort zu verbinden.