Ein Sicherheitsserver ist eine Instanz von View-Verbindungsserver, die einen zusätzlichen Sicherheits-Layer zwischen dem Internet und Ihrem internen Netzwerk hinzufügt. Sie können einen oder mehrere Sicherheitsserver installieren, die mit einer View-Verbindungsserver-Instanz verbunden werden.

Warum und wann dieser Vorgang ausgeführt wird

Die Sicherheitsserver-Software darf nicht auf demselben physischen Computer bzw. derselben virtuellen Maschine installiert sein wie eine andere View-Softwarekomponente, einschließlich eines Replikatservers, View-Verbindungsservers, View Composer, Horizon Agent oder Horizon Client.

Voraussetzungen

  • Legen Sie fest, welche Topologie verwendet werden soll. Sie können sich beispielsweise für eine bestimmte Lastenausgleichslösung entscheiden. Entscheiden Sie, ob die mit Sicherheitsservern gekoppelten Verbindungsserver-Instanzen für Benutzer des externen Netzwerks reserviert werden sollen. Weitere Informationen finden Sie im Dokument Planung der View-Architektur.

    Wichtig:

    Wenn Sie einen Lastausgleichsdienst verwenden, benötigt er eine IP-Adresse, die nicht geändert wird. In einer IPv4-Umgebung konfigurieren Sie eine statische IP-Adresse. In einer IPv6-Umgebung erhalten Computer automatisch IP-Adressen, die nicht geändert werden.

  • Stellen Sie sicher, dass Ihre Installation die unter Horizon-Verbindungsserver – Serveranforderungen beschriebenen Anforderungen erfüllt.

  • Bereiten Sie Ihre Umgebung für die Installation vor. Siehe Installationsvoraussetzungen für View-Verbindungsserver.

  • Stellen Sie sicher, dass die Verbindungsserver-Instanz, die mit dem Sicherheitsserver gekoppelt werden soll, installiert und konfiguriert ist und eine Verbindungsserver-Version ausführt, die mit der Version des Sicherheitsservers kompatibel ist. Einzelheiten finden Sie in der „Kompatibilitätstabelle für View-Komponenten“ im Dokument View-Upgrades.

  • Stellen Sie sicher, dass der Computer, auf dem Sie den Sicherheitsserver installieren möchten, auf die mit dem Sicherheitsserver zu koppelnde Verbindungsserver-Instanz zugreifen kann.

  • Konfigurieren Sie ein Kennwort für die Paarbildung mit dem Sicherheitsserver. Siehe Konfigurieren eines Kennworts für die Kombination mit einem Sicherheitsserver.

  • Machen Sie sich mit dem Format externer URLs vertraut. Siehe Konfigurieren externer URLs für sichere Gateways und Tunnelverbindungen.

  • Stellen Sie sicher, dass in den aktiven Protokollen „Windows-Firewall mit erweiterter Sicherheit“ aktiviert ist. Es wird empfohlen, diese Einstellung für alle Profile zu aktivieren. Standardmäßig gelten IPsec-Regeln für Verbindungen zwischen dem Sicherheitsserver und dem View-Verbindungsserver und erfordern, dass die Windows-Firewall mit erweiterter Sicherheit aktiviert ist.

  • Machen Sie sich mit den Netzwerkports vertraut, die in der Windows-Firewall für einen Sicherheitsserver geöffnet werden müssen. Siehe Firewall-Regeln für View-Verbindungsserver.

  • Wenn Ihre Netzwerktopologie eine Back-End-Firewall zwischen dem Sicherheitsserver und dem View-Verbindungsserver enthält, müssen Sie die Firewall so konfigurieren, dass sie IPsec unterstützt. Siehe Konfigurieren einer Back-End-Firewall zur Unterstützung von IPsec.

  • Wenn Sie den Sicherheitsserver aktualisieren oder neu installieren, überprüfen Sie, ob die vorhandenen IPsec-Regeln für den Sicherheitsserver entfernt wurden. Siehe Entfernen von IPsec-Regeln für Sicherheitsserver.

  • Wenn Sie View im FIPS-Modus installieren, müssen Sie die Auswahl der globalen Einstellung IPSec für Sicherheitsserververbindungen verwenden in View Administrator aufheben, da im FIPS-Modus IPSec nach der Installation eines Sicherheitsservers manuell konfiguriert werden muss.

Prozedur

  1. Laden Sie die Verbindungsserver-Installationsdatei von der VMware-Download-Site unter https://my.vmware.com/web/vmware/downloads herunter.

    Unter „Desktop- und Endbenutzer-Computing“ wählen Sie den VMware Horizon-7-Download aus, der die Verbindungsserver-Datei enthält.

    Der Dateiname des Installationsprogramms lautet VMware-viewconnectionserver-x86_64-y.y.y-xxxxxx.exe. Hierbei ist xxxxxx die Buildnummer und y.y.y die Versionsnummer.

  2. Zum Starten des Verbindungsserver-Installationsprogramms doppelklicken Sie auf die Installationsdatei.
  3. Stimmen Sie den Lizenzbedingungen von VMware zu.
  4. Übernehmen oder ändern Sie den Zielordner.
  5. Wählen Sie die Installationsoption View-Sicherheitsserver.
  6. Wählen Sie die Internetprotokollversion (IP) IPv4 oder IPv6 aus.

    Sie müssen alle View-Komponenten mit derselben IP-Version installieren.

  7. Wählen Sie aus, ob der FIPS-Modus aktiviert werden soll.

    Diese Option ist nur verfügbar, wenn der FIPS-Modus in Windows aktiviert ist.

  8. Geben Sie den vollqualifizierten Domänennamen oder die IP-Adresse der für die Paarbildung mit dem Sicherheitsserver vorgesehenen View-Verbindungsserver-Instanz im Textfeld Server ein.

    Der Sicherheitsserver leitet den Netzwerkdatenverkehr an diese View-Verbindungsserver-Instanz weiter.

  9. Geben Sie das Kennwort für die Paarbildung mit dem Sicherheitsserver in das Textfeld Kennwort ein.

    Wenn das Kennwort abgelaufen ist, können Sie mit View Administrator ein neues Kennwort konfigurieren und das neue Kennwort im Installationsprogramm angeben.

  10. Geben Sie in das Textfeld Externe URL die externe URL des Sicherheitsservers für Client-Endpunkte ein, die das RDP- oder das PCoIP-Anzeigeprotokoll verwenden.

    Die URL muss das Protokoll, den durch den Client auflösbaren Namen des Sicherheitsservers sowie die Portnummer enthalten. Tunnelclients, die außerhalb Ihres Netzwerks ausgeführt werden, verwenden diese URL zur Verbindungsherstellung mit dem Sicherheitsserver.

    Beispiel: https://view.example.com:443

  11. Geben Sie in das Textfeld PCoIP – Externe URL die externe URL des Sicherheitsservers für Client-Endpunkte ein, die das PCoIP-Anzeigeprotokoll verwenden.

    Geben Sie in einer IPv4-Umgebung die externe PCoIP-URL in Form einer IP-Adresse mit der Portnummer 4172 an. In einer IPv6-Umgebung können Sie eine IP-Adresse oder einen vollqualifizierten Domänennamen und die Portnummer 4172 angeben. In beiden Fällen geben Sie keinen Protokollnamen an.

    Beispiel für eine IPv4-Umgebung: 10.20.30.40:4172

    Clients müssen die URL verwenden können, um den Sicherheitsserver zu erreichen.

  12. Geben Sie in das Textfeld Externe Blast-URL die externe URL des Sicherheitsservers für Benutzer ein, die HTML Access für die Verbindung mit Remote-Desktops verwenden.

    Die URL muss das HTTPS-Protokoll, den durch den Client auflösbaren Hostnamen sowie die Portnummer enthalten.

    Beispiel: https://myserver.example.com:8443

    Standardmäßig schließt die URL den FQDN der externen URL für den sicheren Tunnel sowie die standardmäßige Portnummer 8443 ein. Die URL muss den FQDN und die Portnummer enthalten, über die ein Clientsystem diesen Sicherheitsserver erreichen kann.

  13. Wählen Sie Konfigurationsoptionen für den Windows-Firewall-Dienst aus.

    Option

    Aktion

    Configure Windows Firewall automatically (Windows-Firewall automatisch konfigurieren)

    Lassen Sie die Windows-Firewall durch das Installationsprogramm so konfigurieren, dass die erforderlichen Netzwerkverbindungen zugelassen werden.

    Do not configure Windows Firewall (Windows-Firewall nicht konfigurieren)

    Konfigurieren Sie die Firewall-Regeln für Windows manuell.

    Aktivieren Sie diese Option nur dann, wenn Ihre Organisation ihre eigenen vordefinierten Regeln zum Konfigurieren der Windows-Firewall verwendet.

  14. Schließen Sie die Installation des Sicherheitsservers mit dem Installations-Assistenten ab.

Ergebnisse

Die Dienste für den Sicherheitsserver werden auf dem Windows Server-Computer installiert:

  • VMware Horizon View-Sicherheitsserver

  • VMware Horizon View Framework-Komponente

  • VMware Horizon View Sicherheits-Gateway-Komponente

  • VMware Horizon View PCoIP Secure Gateway

  • VMware Blast Secure Gateway

Informationen zu diesen Diensten finden Sie im Dokument Administration von View.

Der Sicherheitsserver erscheint im Fensterbereich „Sicherheitsserver“ von View Administrator.

Die Regel VMware Horizon View-Verbindungsserver (Blast-In) ist in der Windows-Firewall auf dem Sicherheitsserver aktiviert. Diese Firewallregel ermöglicht es Webbrowsern auf Clientgeräten, mithilfe von HTML Access eine Verbindung mit dem Sicherheitsserver über den TCP-Port 8443 herzustellen.

Anmerkung:

Wenn die Installation vom Benutzer oder anderweitig abgebrochen wurde, müssen Sie möglicherweise IPsec-Regeln für den Sicherheitsserver entfernen, bevor Sie die Installation neu starten können. Führen Sie diesen Schritt auch dann durch, wenn Sie IPsec-Regeln bereits vor der erneuten Installation oder dem Upgrade des Sicherheitsservers entfernt haben. Anleitungen zum Entfernen von IPsec-Regeln finden Sie unter Entfernen von IPsec-Regeln für Sicherheitsserver.

Nächste Maßnahme

Konfigurieren Sie ein SSL-Serverzertifikat für den Sicherheitsserver. Siehe Konfigurieren von SSL-Zertifikaten für View Servers.

Möglicherweise müssen Sie Clientverbindungs-Einstellungen für den Sicherheitsserver konfigurieren, und Sie können Windows Server-Einstellungen für die Unterstützung einer großen Bereitstellung optimieren. Siehe Konfigurieren von Horizon Client-Verbindungen und Größeneinstellungen für Windows Server zur Unterstützung Ihrer Bereitstellung.

Wenn Sie den Sicherheitsserver erneut installieren und ein Datenerfassungs-Set zur Überwachung der Leistungsdaten konfiguriert haben, stoppen Sie das Datenerfassungs-Set und starten Sie es dann erneut.