First-Gen-Mandanten – Angeben der Gateway-Konfiguration des Horizon Cloud-Pods

Geben Sie in diesem Schritt des Assistenten die Informationen an, die für die Bereitstellung des Pod-Manager-basierten Pods mit einem oder mehreren konfigurierten Gateways erforderlich sind. Unified Access Gateway bietet die Gateway-Umgebung für diesen Pod-Typ.

Wichtig: Diese Informationen gelten nur, wenn Sie auf eine First-Gen-Mandantenumgebung in der First-Gen-Steuerungsebene zugreifen können. Wie im KB-Artikel 92424 beschrieben, hat die First-Gen-Steuerungsebene das Ende der Verfügbarkeit (End of Availability, EOA) erreicht. Weitere Informationen finden Sie in diesem Artikel.

Externe Gateway-Konfiguration: Die externe Gateway-Konfiguration ermöglicht den Zugriff auf Desktops und Anwendungen für Endbenutzer, die sich außerhalb Ihres Unternehmensnetzwerks befinden. Wenn der Pod über diese externe Gateway-Konfiguration verfügt, enthält der Pod eine Azure-Lastausgleich-Ressource und Unified Access Gateway-Instanzen, um diesen Zugriff bereitzustellen. In diesem Fall weisen die Instanzen jeweils drei Netzwerkkarten (NICs) auf: eine Netzwerkkarte im Management-Subnetz, eine im Desktop-Subnetz und eine im DMZ-Subnetz. Im Bereitstellungsassistenten haben Sie die Möglichkeit, als Lastausgleichstyp entweder „privat“ oder „öffentlich“ festzulegen, je nachdem, ob Sie eine private IP-Adresse oder eine öffentliche IP-Adresse für den Lastausgleichsdienst verwenden möchten. Wenn Sie diese Umschaltoption für öffentliche IP-Adressen im Assistenten deaktivieren, zeigt der Assistent ein Feld an, in dem Sie eine IP-Adresse angeben müssen. Bei dieser Art von Konfiguration verwenden die PCoIP-Verbindungen zum Gateway von den Horizon-Clients diese IP-Adresse.
Für eine externe Gateway-Konfiguration haben Sie auch die Möglichkeit, die Konfiguration in einem vom VNet des Pod getrennten VNet bereitzustellen. Die VNets müssen über Peering miteinander verbunden sein. Diese Art der Konfiguration bietet die Möglichkeit, den Pod in komplexeren Netzwerktopologien in Microsoft Azure bereitzustellen, z. B. in einer Hub-Spoke-Netzwerktopologie.

Hinweis: Wenn Sie im ersten Schritt des Assistenten den Schalter für die Verwendung des externen Gateways mit einem eigenen Abonnement aktiviert haben, müssen Sie das externe Gateway in seinem eigenen VNet (dem VNet, das mit diesem Abonnement verknüpft ist) bereitstellen. Wenn Sie den Schalter aktiviert haben, können Sie optional eine vorhandene Ressourcengruppe in diesem Abonnement für die Ressourcen des externen Gateways auswählen. Sie müssen diese Ressourcengruppe vorab vorbereitet haben, damit Sie sie in diesem Assistentenschritt auswählen können.
Interne Gateway-Konfiguration: Die interne Gateway-Konfiguration bietet Endbenutzern innerhalb Ihres Unternehmensnetzwerks vertrauenswürdige HTML Access (Blast)-Verbindungen zu ihren Desktops und Anwendungen. Wenn der Pod nicht mit dieser internen Gateway-Konfiguration konfiguriert ist, erhalten Endbenutzer innerhalb Ihres Unternehmensnetzwerks die standardmäßige Browserfehlermeldung zu nicht vertrauenswürdigen Zertifikaten, wenn sie mit ihren Browsern HTML Access-(Blast-)Verbindungen zu ihren Desktops und Anwendungen herstellen. Wenn der Pod über diese interne Gateway-Konfiguration verfügt, enthält der Pod eine Azure-Lastausgleich-Ressource und Unified Access Gateway-Instanzen, um diesen Zugriff bereitzustellen. In diesem Fall weisen die Instanzen jeweils zwei Netzwerkkarten (NICs) auf: eine Netzwerkkarte im Management-Subnetz und eine im Desktop-Subnetz. Standardmäßig ist der Lastausgleich-Typ dieses Gateways privat.

Im folgenden Screenshot ist der Schritt so abgebildet, wie er das erste Mal angezeigt wird. Einige Steuerelemente werden nur angezeigt, wenn Sie im ersten Schritt des Assistenten die Verwendung eines anderen Abonnements für die externe Gateway-Konfiguration ausgewählt haben.

Horizon Cloud on Microsoft Azure: Schritt 3 des Assistenten zum Hinzufügen von Pods bei der ersten Anzeige.

Voraussetzungen

Vergewissern Sie sich, dass die in First-Gen-Mandanten – Voraussetzungen für die Ausführung des First-Gen-Pod-Bereitstellungsassistenten beschriebenen Voraussetzungen erfüllt sind.

Wählen Sie das für die Unified Access Gateway-Instanzen zu verwendende VM-Modell aus. Sie müssen sicherstellen, dass das von Ihnen für diesen Pod angegebene Microsoft Azure-Abonnement die Kapazität für zwei VMs des ausgewählten Modells bereitstellen kann. Wenn Sie erwarten, dass Ihre Umgebung auf 2.000 Sitzungen pro Pod skaliert werden soll, wählen Sie F8s_v2 aus. Wie in Grenzwerte des VMware Horizon Cloud Service on Microsoft Azure-Diensts angegeben, reicht das A4_v2-VM-Modell nur für Proof-of-Concept (PoCs), Pilotumgebungen oder kleinere Umgebungen aus, in denen Sie wissen, dass Sie 1.000 aktive Sitzungen auf dem Pod nicht überschreiten werden.

Wichtig: Wählen Sie das VM-Modell mit Bedacht aus. In der aktuellen Dienstversion kann das von den bereitgestellten -Instanzen verwendete VM-Modell nach der Bereitstellung der Gateway-Konfiguration nicht einfach geändert werden. Das Ändern des VM-Modells nach der Bereitstellung umfasst das Löschen der Gateway-Konfiguration und die erneute Bereitstellung.

Wichtig: Um diesen Schritt abzuschließen, benötigen Sie den erforderlichen vollqualifizierten Domänennamen (FQDN), über den die Endbenutzer auf den Dienst zugreifen. Außerdem ist ein signiertes SSL-Zertifikat (im PEM-Format) basierend auf diesem FQDN erforderlich. Das Zertifikat muss von einer vertrauenswürdigen Zertifizierungsstelle signiert sein. Die gesamte Zertifikatskette und der private Schlüssel müssen sich in einer einzigen PEM-Datei befinden: SSL-Zertifikat, Zwischenstellenzertifikate, Stamm-Zertifizierungsstellenzertifikat, privater Schlüssel Weitere Informationen finden Sie unter First-Gen-Mandanten – Konvertieren einer Zertifikatsdatei in das PEM-Format, das für Horizon Cloud First-Gen-Pod-Bereitstellungen erforderlich ist.

Stellen Sie sicher, dass alle Zertifikate in der Zertifikatskette gültige Zeiträume aufweisen. Wenn ein Zertifikat in der Zertifikatskette abgelaufen ist, können später beim Onboarding-Vorgang des Pods unerwartete Fehler auftreten.

Dieser FQDN darf keine Unterstriche enthalten. In diesem Release werden Verbindungen zu den Unified Access Gateway-Instanzen fehlschlagen, wenn der FQDN Unterstriche enthält.

Wenn Sie eine externe Gateway-Konfiguration auswählen, erwartet Horizon Cloud, dass der für die externe Gateway-Konfiguration angegebene FQDN öffentlich aufgelöst werden kann. Wenn Sie die Umschaltoption Öffentliche IP aktivieren? im Assistenten deaktivieren, um eine IP-Adresse aus Ihrer Firewall oder Ihrem NAT-Setup anzugeben, sind Sie dafür verantwortlich, dass dieser FQDN dieser IP-Adresse in Ihrer Firewall oder ihrem NAT-Setup zugewiesen wird. Dieser FQDN wird für PCoIP-Verbindungen zum Gateway verwendet.

Wenn Ihre Mandantenumgebung für die Verwendung von Universal Broker konfiguriert ist, muss der Dienst in der Lage sein, über die Cloud-Steuerungsebene eine Verbindung mit diesem FQDN herzustellen, um zu überprüfen, ob die in der Konfiguration des externen Gateways konfigurierten Einstellungen für die Zwei-Faktor-Authentifizierung mit den Einstellungen für den Universal Broker sowie und mit den Einstellungen aller anderen Unified Access Gateway-Instanzen innerhalb Ihrer cloudverbundenen Pod-Flotte übereinstimmen.

Wenn Ihr Mandant mit Universal Broker und der Zwei-Faktor-Authentifizierung konfiguriert ist, müssen Sie ein externes Unified Access Gateway mit Einstellungen für die Zwei-Faktor-Authentifizierung konfigurieren.

Prozedur

Wenn Sie die externe Gateway-Konfiguration verwenden möchten, füllen Sie die Felder im Abschnitt Externes Gateway aus.

Option	Beschreibung
Externes Gateway aktivieren?	Legt fest, ob der Pod über eine externe Gateway-Konfiguration verfügt. Die externe Konfiguration ermöglicht den Zugriff auf Desktops und Anwendungen für Benutzer, die sich außerhalb Ihres Unternehmensnetzwerks befinden. Der Pod enthält eine Microsoft Azure-Load Balancer-Ressource und Unified Access Gateway-Instanzen, um diesen Zugriff bereitzustellen. Hinweis: Es wird empfohlen, die standardmäßig aktivierte Einstellung nicht zu deaktivieren. Wenn diese Umschaltfläche deaktiviert ist, müssen sich die Clients entweder über Workspace ONE Access mit seiner Connector-Appliance direkt mit den Pod-Managern verbinden, oder die Clients verbinden sich direkt mit dem Lastausgleichsdienst der Pod-Manager, oder sie verbinden sich über eine interne Gateway-Konfiguration. In den ersten beiden genannten Szenarien, d. h. bei der Verbindung von Clients über Workspace ONE Access, das in den Pod integriert ist, oder bei der direkten Verbindung mit dem Lastausgleichsdienst, sind einige Schritte nach der Bereitstellung erforderlich. Laden Sie in diesen Szenarien nach der Bereitstellung des Pods SSL-Zertifikate auf die Pod Manager-VMs hoch, indem Sie die Schritte unter Konfigurieren von SSL-Zertifikaten direkt auf den Pod Manager-VMs ausführen.
FQDN	Geben Sie den erforderlichen vollqualifizierten Domänennamen (FQDN) ein, z. B. `ourOrg.example.com`, den der Pod-Bereitsteller in der Konfiguration für die Unified Access Gateway-Instanzen des Gateways angibt. Sie müssen der Eigentümer dieses Domänennamens sein und ein Zertifikat im PEM-Format besitzen, das diesen FQDN validieren kann. Horizon Cloud erwartet, dass dieser für die externe Gateway-Konfiguration angegebene FQDN öffentlich aufgelöst werden kann. Wenn Sie die Umschaltoption Öffentliche IP aktivieren? deaktivieren, um eine IP-Adresse aus Ihrer Firewall oder Ihrem NAT-Setup anzugeben, sind Sie dafür verantwortlich, dass dieser FQDN dieser IP-Adresse in Ihrer Firewall oder ihrem NAT-Setup zugewiesen ist. Dieser FQDN wird für PCoIP-Verbindungen zum Gateway verwendet. Wichtig: Dieser FQDN darf keine Unterstriche enthalten. In diesem Release werden Verbindungen zu den Unified Access Gateway-Instanzen fehlschlagen, wenn der FQDN Unterstriche enthält.
DNS-Adressen	Geben Sie optional durch Kommas getrennte Adressen für zusätzliche DNS-Server ein, die Unified Access Gateway für die Namensauflösung verwenden kann. Wenn Sie diese externe Unified Access Gateway-Konfiguration für die Verwendung der Zwei-Faktor-Authentifizierung mit einem Zwei-Faktor-Authentifizierungsserver konfigurieren, der sich außerhalb der VNet-Topologie befindet, in der die Unified Access Gateway-Instanzen bereitgestellt werden, geben Sie die Adresse eines DNS-Servers an, der den Hostnamen dieses Authentifizierungsservers auflösen kann. Beispiel: Wenn sich Ihre Zwei-Faktor-Authentifizierung lokal befindet, geben Sie einen DNS-Server ein, der den Namen dieses Authentifizierungsservers auflösen kann. Wie in den Bereitstellungsvoraussetzungen beschrieben, muss die VNet-Topologie, die für die Horizon Cloud on Microsoft Azure-Bereitstellung verwendet wird, in der Lage sein, mit Ihrem DNS-Server zu kommunizieren, der die externe Namensauflösung während der Bereitstellung der Unified Access Gateway-Instanzen und für deren laufenden Betrieb bereitstellen soll. Standardmäßig wird der DNS-Server verwendet, der in dem VNet konfiguriert ist, in dem die Instanzen bereitgestellt werden. Wenn Sie Adressen in DNS-Adressen angeben, verwenden die bereitgestellten Unified Access Gateway-Instanzen diese Adressen zusätzlich zu den DNS-Serverinformationen in der VNet-Konfiguration.
Routen	Geben Sie optional benutzerdefinierte Routen zu zusätzlichen Gateways an, die die bereitgestellten Unified Access Gateway-Instanzen für die Auflösung von Netzwerk-Routen für den Endbenutzerzugriff verwenden sollen. Die angegebenen Routen werden verwendet, damit Unified Access Gateway das Netzwerk-Routing auflösen kann, z. B. für die Kommunikation mit Servern für die Zwei-Faktor-Authentifizierung. Wenn Sie den Pod so konfigurieren, dass er eine Zwei-Faktor-Authentifizierung mit lokalem Authentifizierungsserver verwendet, müssen Sie die korrekte Route eingeben, über die die Unified Access Gateway-Instanzen diesen Server erreichen können. Beispiel: Wenn Ihr Authentifizierungsserver lokal 10.10.60.20 als IP-Adresse verwendet, würden Sie 10.10.60.0/24 und Ihre standardmäßige Route-Gateway-Adresse als benutzerdefinierte Route eingeben. Sie können Ihre standardmäßige Route-Gateway-Adresse über die Express-Route oder VPN-Konfiguration für diese Horizon Cloud on Microsoft Azure-Bereitstellung ermitteln. Geben Sie die benutzerdefinierten Routen als eine durch Kommas getrennte Liste in der Form `ipv4-network-address/bits ipv4-gateway-address` an, z. B.: `192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2`.
NTP-Server des Pods erben	Diese Umschaltoption ist standardmäßig aktiviert, damit die Unified Access Gateway-Instanzen denselben NTP-Server verwenden, der für die Pod-Manager-Instanzen angegeben ist. Es wird dringend empfohlen, diese Umschaltoption aktiviert zu lassen. Es wird empfohlen, denselben NTP-Server für die Pod-Manager-Instanzen, Unified Access Gateway-Instanzen und Ihre Active Directory-Server zu verwenden. Wenn diese Instanzen verschiedene NTP-Server verwenden, kann es zu Zeitverzögerungen kommen. Solche Zeitverzögerungen können später zu Fehlern führen, wenn das Gateway versucht, Endbenutzersitzungen für ihre Desktops und Anwendungen zu authentifizieren. Wenn diese Umschaltoption aktiviert ist und Sie das externe Gateway in einem eigenen, vom VNet des Pods getrennten VNet bereitstellen, stellen Sie sicher, dass die NTP-Server, die für die Pod-Manager-Instanzen angegeben sind, von dem virtuellen Netzwerk, das Sie für die Bereitstellung des externen Gateways auswählen, erreichbar sind.
VM-Modell	Wählen Sie das Modell aus, das für die Unified Access Gateway-Instanzen verwendet werden soll. Sie müssen sicherstellen, dass das von Ihnen für diesen Pod angegebene Microsoft Azure-Abonnement die Kapazität für zwei VMs des ausgewählten Modells bereitstellen kann. Wichtig: In der aktuellen Dienstversion kann das von diesen Instanzen verwendete VM-Modell nicht einfach geändert werden, nachdem die Gateway-Konfiguration in Ihrem Abonnement bereitgestellt wurde. Zum Ändern des VM-Modells nach der Bereitstellung muss die Gateway-Konfiguration gelöscht und erneut bereitgestellt werden. Wenn Sie erwarten, dass Ihre Umgebung auf 2.000 Sitzungen pro Pod skaliert werden soll, wählen Sie `F8s_v2` aus. Wie in Grenzwerte des VMware Horizon Cloud Service on Microsoft Azure-Diensts angegeben, reicht das `A4_v2`-VM-Modell nur für Proof-of-Concept (PoCs), Pilotumgebungen oder kleinere Umgebungen aus, in denen Sie wissen, dass Sie 1.000 aktive Sitzungen auf dem Pod nicht überschreiten werden.
Zertifikat	Laden Sie das Zertifikat im PEM-Format hoch, mit dem Unified Access Gateway den Clients die Herstellung vertrauenswürdiger Verbindungen mit Unified Access Gateway-Instanzen ermöglicht, die in Microsoft Azure ausgeführt werden. Das Zertifikat muss auf dem eingegebenen FQDN basieren und von einer vertrauenswürdigen Zertifizierungsstelle signiert sein. Die PEM-Datei muss die gesamte Zertifikatskette und den privaten Schlüssel enthalten: SSL-Zertifikat, Zwischenstellen-Zertifikate, Stamm-Zertifizierungsstellenzertifikat, privater Schlüssel.
Blast Extreme-TCP-Port	Wählen Sie den TCP-Port aus, der in der Blast Extreme TCP-Einstellung innerhalb der Unified Access Gateway-Konfiguration verwendet werden soll. Diese Einstellung bezieht sich auf Blast Extreme über Blast Secure Gateway auf Unified Access Gateway für den vom Client gesendeten Datenverkehr. Port 8443 wird bevorzugt, da er effizienter ist, eine bessere Leistung bietet und weniger Ressourcen auf den Unified Access Gateway-Instanzen verwendet. Aus diesen Gründen hat der Assistent 8443 als Standardwert festgelegt. Die Alternative, 443, ist weniger effizient, weniger leistungsfähig und verursacht eine CPU-Belastung in den Instanzen, was bei den Endbenutzer-Clients zu spürbaren Verzögerungen beim Datenverkehr führen kann. Der Wert 443 sollte nur verwendet werden, wenn Ihre Organisation clientseitige Einschränkungen festgelegt hat, z. B. wenn Ihre Organisation nur 443 für ausgehende Verbindungen zulässt. Hinweis: Der für Blast Extreme verwendete UDP-Port ist von dieser Einstellung nicht betroffen und ist immer UDP 8443.
Verschlüsselungs-Suites	Obwohl die Standardeinstellungen in fast allen Fällen nicht geändert werden müssen, bietet Unified Access Gateway diese Funktion zur optionalen Angabe der kryptografischen Algorithmen, die zum Verschlüsseln der Kommunikation zwischen Clients und den Unified Access Gateway-Appliances verwendet werden. Mindestens eine Verschlüsselungs-Suite muss aus der Liste auf dem Bildschirm ausgewählt werden. Die Liste auf dem Bildschirm zeigt die Verschlüsselungs-Suites an, die für die Horizon Cloud on Microsoft Azure-Bereitstellung zulässig sind.

Geben Sie die Einstellungen für den Microsoft-Lastausgleichsdienst dieses Gateways an.

Option	Beschreibung
Öffentliche IP aktivieren?	Legt fest, ob der Load Balancing-Typ dieses Gateways als „Privat“ oder „öffentlich“ konfiguriert ist. Wenn diese Option aktiviert ist, wird die bereitgestellte Microsoft Azure-Lastausgleichsressource mit einer öffentlichen IP-Adresse konfiguriert. Wenn sie deaktiviert ist, wird die Microsoft Azure-Lastausgleichsressource mit einer privaten IP-Adresse konfiguriert. Wichtig: In dieser Version können Sie den Load Balancing-Typ des externen Gateways später nicht von „Öffentlich“ zu „Privat“ oder von „Privat“ zu „Öffentlich“ ändern. Die einzige Möglichkeit, diese Änderung vorzunehmen, besteht darin, die Gateway-Konfiguration vollständig aus dem bereitgestellten Pod zu löschen und dann den Pod zu bearbeiten, um ihn mit der entgegengesetzten Einstellung wieder hinzuzufügen. Wenn Sie diese Umschaltoption deaktivieren, wird das Feld Öffentliche IP für Horizon-FQDN angezeigt.
Öffentliche IP für Horizon-FQDN	Wenn Sie den bereitgestellten Microsoft Azure-Lastausgleichsdienst nicht mit einer öffentlichen IP konfigurieren möchten, müssen Sie die IP-Adresse angeben, der Sie dem FQDN zuweisen, den Sie im Feld FQDN angegeben haben. Die Horizon-Clients Ihrer Endbenutzer verwenden diesen FQDN für PCoIP-Verbindungen zum Gateway. Der Bereitsteller konfiguriert diese IP-Adresse in den Unified Access Gateway-Konfigurationseinstellungen.

Option

Beschreibung

Öffentliche IP aktivieren?

Legt fest, ob der Load Balancing-Typ dieses Gateways als „Privat“ oder „öffentlich“ konfiguriert ist. Wenn diese Option aktiviert ist, wird die bereitgestellte Microsoft Azure-Lastausgleichsressource mit einer öffentlichen IP-Adresse konfiguriert. Wenn sie deaktiviert ist, wird die Microsoft Azure-Lastausgleichsressource mit einer privaten IP-Adresse konfiguriert.

Wichtig: In dieser Version können Sie den Load Balancing-Typ des externen Gateways später nicht von „Öffentlich“ zu „Privat“ oder von „Privat“ zu „Öffentlich“ ändern. Die einzige Möglichkeit, diese Änderung vorzunehmen, besteht darin, die Gateway-Konfiguration vollständig aus dem bereitgestellten Pod zu löschen und dann den Pod zu bearbeiten, um ihn mit der entgegengesetzten Einstellung wieder hinzuzufügen.

Wenn Sie diese Umschaltoption deaktivieren, wird das Feld Öffentliche IP für Horizon-FQDN angezeigt.

Öffentliche IP für Horizon-FQDN

Wenn Sie den bereitgestellten Microsoft Azure-Lastausgleichsdienst nicht mit einer öffentlichen IP konfigurieren möchten, müssen Sie die IP-Adresse angeben, der Sie dem FQDN zuweisen, den Sie im Feld FQDN angegeben haben. Die Horizon-Clients Ihrer Endbenutzer verwenden diesen FQDN für PCoIP-Verbindungen zum Gateway. Der Bereitsteller konfiguriert diese IP-Adresse in den Unified Access Gateway-Konfigurationseinstellungen.

Geben Sie die Netzwerkeinstellungen des externen Gateways an.

Option	Beschreibung
Anderes virtuelles Netzwerk verwenden	Dieser Schalter steuert, ob das externe Gateway in seinem eigenen, vom VNet des Pods getrennten VNet bereitgestellt wird. In den folgenden Zeilen werden die unterschiedlichen Szenarien beschrieben. Hinweis: Wenn Sie im ersten Schritt des Assistenten angegeben haben, dass ein anderes Abonnement für das externe Gateway verwendet werden soll, ist dieser Schalter standardmäßig aktiviert. Sie müssen in diesem Fall ein VNet für das Gateway auswählen. Wenn diese Umschaltoption aktiviert ist und die Umschaltoption NTP-Server des Pods erben aktiviert ist, stellen Sie sicher, dass die NTP-Server, die für die Pod-Manager-Instanzen angegeben sind, von dem virtuellen Netzwerk aus erreichbar sind, das Sie für die Bereitstellung des externen Gateways auswählen.
Anderes virtuelles Netzwerk verwenden – deaktiviert	Wenn die Umschaltoption deaktiviert ist, wird das externe Gateway im VNet des Pods bereitgestellt. In diesem Fall müssen Sie das DMZ-Subnetz angeben. DMZ-Subnetz – Wenn im Schritt des Assistenten für die Pod-Einrichtung Vorhandenes Subnetz verwenden aktiviert wird, werden unter DMZ-Subnetz die Subnetze aufgeführt, die auf dem für das Virtuelle Netzwerk ausgewählten VNet verfügbar sind. Wählen Sie das vorhandene Subnetz aus, das Sie als DMZ-Subnetz des Pods verwenden möchten. Wichtig: Wählen Sie ein leeres Subnetz aus, mit dem keine anderen Ressourcen verknüpft sind. Wenn das Subnetz nicht leer ist, können unerwartete Ergebnisse während des Bereitstellungsvorgangs oder während Pod-Vorgängen auftreten. DMZ-Subnetz (CIDR) – Wenn Vorhandenes Subnetz verwenden im vorherigen Schritt des Assistenten deaktiviert wurde, geben Sie das Subnetz (in CIDR-Notation) für das DMZ-Netzwerk (entmilitarisierte Zone) ein, das konfiguriert wird, um die Unified Access Gateway-Instanzen mit dem öffentlichen Microsoft Azure-Lastausgleichsdienst des Gateways zu verbinden.
Anderes virtuelles Netzwerk verwenden – aktiviert	Wenn der Schalter aktiviert ist, wird das externe Gateway in seinem eigenen VNet bereitgestellt. In diesem Fall müssen Sie das zu verwendende VNet auswählen und dann die drei erforderlichen Subnetze angeben. Aktivieren Sie den Schalter Vorhandenes Subnetz verwenden, um aus Subnetzen auszuwählen, die Sie im Voraus auf dem angegebenen VNet erstellt haben. Geben Sie andernfalls die Subnetze in CIDR-Notation an. Wichtig: Wählen Sie leere Subnetze aus, mit denen keine anderen Ressourcen verknüpft sind. Wenn die Subnetze nicht leer sind, können unerwartete Ergebnisse während des Bereitstellungsvorgangs oder während Pod-Vorgängen auftreten. In diesem Fall werden das VNet des Gateways und das VNet des Pods als Peers miteinander verbunden. Es wird empfohlen, die Subnetze im Voraus zu erstellen und die CIDR-Einträge hier nicht zu verwenden. Siehe Voraussetzungen bei der Bereitstellung mit der Konfiguration eines externen Unified Access Gateway unter Verwendung von dessen eigenem VNet oder Abonnement anstelle des VNets oder Abonnements des Pods. Verwaltungssubnetz – Geben Sie das Subnetz an, das für das Verwaltungssubnetz des Gateways verwendet werden soll. Ein CIDR von mindestens /27 ist erforderlich. Dieses Subnetz muss über den Microsoft.SQL-Dienst verfügen, der als Dienst-Endpoint konfiguriert ist. Back-End-Subnetz – Geben Sie das Subnetz an, das für das Back-End-Subnetz des Gateways verwendet werden soll. Ein CIDR von mindestens /27 ist erforderlich. Front-End-Subnetz – Geben Sie das Subnetz an, das für die Herstellung der Verbindung der Unified Access Gateway-Instanzen zum öffentlichen Microsoft Azure-Lastausgleichsdienst des Gateways konfiguriert werden soll.

Option

Beschreibung

Anderes virtuelles Netzwerk verwenden

Dieser Schalter steuert, ob das externe Gateway in seinem eigenen, vom VNet des Pods getrennten VNet bereitgestellt wird.

In den folgenden Zeilen werden die unterschiedlichen Szenarien beschrieben.

Hinweis: Wenn Sie im ersten Schritt des Assistenten angegeben haben, dass ein anderes Abonnement für das externe Gateway verwendet werden soll, ist dieser Schalter standardmäßig aktiviert. Sie müssen in diesem Fall ein VNet für das Gateway auswählen.

Wenn diese Umschaltoption aktiviert ist und die Umschaltoption NTP-Server des Pods erben aktiviert ist, stellen Sie sicher, dass die NTP-Server, die für die Pod-Manager-Instanzen angegeben sind, von dem virtuellen Netzwerk aus erreichbar sind, das Sie für die Bereitstellung des externen Gateways auswählen.

Anderes virtuelles Netzwerk verwenden – deaktiviert

Wenn die Umschaltoption deaktiviert ist, wird das externe Gateway im VNet des Pods bereitgestellt. In diesem Fall müssen Sie das DMZ-Subnetz angeben.

DMZ-Subnetz – Wenn im Schritt des Assistenten für die Pod-Einrichtung Vorhandenes Subnetz verwenden aktiviert wird, werden unter DMZ-Subnetz die Subnetze aufgeführt, die auf dem für das Virtuelle Netzwerk ausgewählten VNet verfügbar sind. Wählen Sie das vorhandene Subnetz aus, das Sie als DMZ-Subnetz des Pods verwenden möchten.
Wichtig: Wählen Sie ein leeres Subnetz aus, mit dem keine anderen Ressourcen verknüpft sind. Wenn das Subnetz nicht leer ist, können unerwartete Ergebnisse während des Bereitstellungsvorgangs oder während Pod-Vorgängen auftreten.
DMZ-Subnetz (CIDR) – Wenn Vorhandenes Subnetz verwenden im vorherigen Schritt des Assistenten deaktiviert wurde, geben Sie das Subnetz (in CIDR-Notation) für das DMZ-Netzwerk (entmilitarisierte Zone) ein, das konfiguriert wird, um die Unified Access Gateway-Instanzen mit dem öffentlichen Microsoft Azure-Lastausgleichsdienst des Gateways zu verbinden.

Anderes virtuelles Netzwerk verwenden – aktiviert

Wenn der Schalter aktiviert ist, wird das externe Gateway in seinem eigenen VNet bereitgestellt. In diesem Fall müssen Sie das zu verwendende VNet auswählen und dann die drei erforderlichen Subnetze angeben. Aktivieren Sie den Schalter Vorhandenes Subnetz verwenden, um aus Subnetzen auszuwählen, die Sie im Voraus auf dem angegebenen VNet erstellt haben. Geben Sie andernfalls die Subnetze in CIDR-Notation an.

Wichtig: Wählen Sie leere Subnetze aus, mit denen keine anderen Ressourcen verknüpft sind. Wenn die Subnetze nicht leer sind, können unerwartete Ergebnisse während des Bereitstellungsvorgangs oder während Pod-Vorgängen auftreten.

In diesem Fall werden das VNet des Gateways und das VNet des Pods als Peers miteinander verbunden. Es wird empfohlen, die Subnetze im Voraus zu erstellen und die CIDR-Einträge hier nicht zu verwenden. Siehe Voraussetzungen bei der Bereitstellung mit der Konfiguration eines externen Unified Access Gateway unter Verwendung von dessen eigenem VNet oder Abonnement anstelle des VNets oder Abonnements des Pods.

Verwaltungssubnetz – Geben Sie das Subnetz an, das für das Verwaltungssubnetz des Gateways verwendet werden soll. Ein CIDR von mindestens /27 ist erforderlich. Dieses Subnetz muss über den Microsoft.SQL-Dienst verfügen, der als Dienst-Endpoint konfiguriert ist.
Back-End-Subnetz – Geben Sie das Subnetz an, das für das Back-End-Subnetz des Gateways verwendet werden soll. Ein CIDR von mindestens /27 ist erforderlich.
Front-End-Subnetz – Geben Sie das Subnetz an, das für die Herstellung der Verbindung der Unified Access Gateway-Instanzen zum öffentlichen Microsoft Azure-Lastausgleichsdienst des Gateways konfiguriert werden soll.

(Optional) Im Abschnitt Externes Gateway können Sie optional die 2-Faktor-Authentifizierung für das externe Gateway konfigurieren.
Führen Sie die unter First-Gen-Mandanten – Angeben der Zwei-Faktor-Authentifizierung für den Pod aufgeführten Schritte aus.
(Optional) Verwenden Sie im Abschnitt Bereitstellung den Schalter, um optional eine vorhandene Ressourcengruppe auszuwählen, in der der Bereitsteller die Ressourcen für die externe Gateway-Konfiguration bereitstellen soll.
Dieser Schalter wird angezeigt, wenn Sie im ersten Schritt des Assistenten angegeben haben, dass ein anderes Abonnement für das externe Gateway verwendet werden soll. Wenn Sie den Schalter aktivieren, wird ein Feld angezeigt, in dem Sie nach der Ressourcengruppe suchen und diese auswählen können.

Wenn Sie die interne Gateway-Konfiguration verwenden möchten, aktivieren Sie im Abschnitt Internes Gateway den Schalter Internes Gateway aktivieren? und füllen Sie dann die Felder aus, die angezeigt werden.

Option	Beschreibung
Internes Gateway aktivieren?	Legt fest, ob der Pod über eine interne Gateway-Konfiguration verfügt. Die interne Konfiguration bietet vertrauenswürdigen Zugriff auf Desktops und Anwendungen für HTML Access-(Blast-)Verbindungen für Benutzer außerhalb Ihres Unternehmensnetzwerks. Der Pod enthält eine Azure-Lastausgleich-Ressource und Unified Access Gateway-Instanzen, um diesen Zugriff bereitzustellen. Standardmäßig ist der Lastausgleich-Typ dieses Gateways privat. Der Lastausgleich ist mit einer privaten IP-Adresse konfiguriert.
FQDN	Geben Sie den erforderlichen vollqualifizierten Domänennamen (FQDN) ein, wie z. B. `ourOrg.example.com`, über den die Endbenutzer auf den Dienst zugreifen. Sie müssen der Eigentümer dieses Domänennamens sein und ein Zertifikat im PEM-Format besitzen, das diesen FQDN validieren kann. Wichtig: Dieser FQDN darf keine Unterstriche enthalten. In diesem Release werden Verbindungen zu den Unified Access Gateway-Instanzen fehlschlagen, wenn der FQDN Unterstriche enthält.
DNS-Adressen	Geben Sie optional durch Kommas getrennte Adressen für zusätzliche DNS-Server ein, die Unified Access Gateway für die Namensauflösung verwenden kann. Wenn Sie diese interne Unified Access Gateway-Konfiguration für die Verwendung der Zwei-Faktor-Authentifizierung mit einem Zwei-Faktor-Authentifizierungsserver konfigurieren, der sich außerhalb der VNet-Topologie befindet, in der die Unified Access Gateway-Instanzen bereitgestellt werden, geben Sie die Adresse eines DNS-Servers an, der den Hostnamen dieses Authentifizierungsservers auflösen kann. Beispiel: Wenn sich Ihre Zwei-Faktor-Authentifizierung lokal befindet, geben Sie einen DNS-Server ein, der den Namen dieses Authentifizierungsservers auflösen kann. Wie in den Bereitstellungsvoraussetzungen beschrieben, muss die VNet-Topologie, die für die Horizon Cloud on Microsoft Azure-Bereitstellung verwendet wird, in der Lage sein, mit Ihrem DNS-Server zu kommunizieren, der die externe Namensauflösung während der Bereitstellung der Unified Access Gateway-Instanzen und für deren laufenden Betrieb bereitstellen soll. Standardmäßig wird der DNS-Server verwendet, der in dem VNet konfiguriert ist, in dem die Instanzen bereitgestellt werden. Wenn Sie Adressen in DNS-Adressen angeben, verwenden die bereitgestellten Unified Access Gateway-Instanzen diese Adressen zusätzlich zu den DNS-Serverinformationen in der VNet-Konfiguration.
Routen	Geben Sie optional benutzerdefinierte Routen zu zusätzlichen Gateways an, die die bereitgestellten Unified Access Gateway-Instanzen für die Auflösung von Netzwerk-Routen für den Endbenutzerzugriff verwenden sollen. Die angegebenen Routen werden verwendet, damit Unified Access Gateway das Netzwerk-Routing auflösen kann, z. B. für die Kommunikation mit Servern für die Zwei-Faktor-Authentifizierung. Wenn Sie den Pod so konfigurieren, dass er eine Zwei-Faktor-Authentifizierung mit lokalem Authentifizierungsserver verwendet, müssen Sie die korrekte Route eingeben, über die die Unified Access Gateway-Instanzen diesen Server erreichen können. Beispiel: Wenn Ihr Authentifizierungsserver lokal 10.10.60.20 als IP-Adresse verwendet, würden Sie 10.10.60.0/24 und Ihre standardmäßige Route-Gateway-Adresse als benutzerdefinierte Route eingeben. Sie können Ihre standardmäßige Route-Gateway-Adresse über die Express-Route oder VPN-Konfiguration für diese Umgebung ermitteln. Geben Sie die benutzerdefinierten Routen als eine durch Kommas getrennte Liste in der Form `ipv4-network-address/bits ipv4-gateway-address` an, z. B.: `192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2`.
NTP-Server des Pods erben	Diese Umschaltoption ist standardmäßig aktiviert, damit die Unified Access Gateway-Instanzen denselben NTP-Server verwenden, der für die Pod-Manager-Instanzen angegeben ist. Es wird dringend empfohlen, diese Umschaltoption aktiviert zu lassen. Es wird empfohlen, denselben NTP-Server für die Pod-Manager-Instanzen, Unified Access Gateway-Instanzen und Ihre Active Directory-Server zu verwenden. Wenn diese Instanzen verschiedene NTP-Server verwenden, kann es zu Zeitverzögerungen kommen. Solche Zeitverzögerungen können später zu Fehlern führen, wenn das Gateway versucht, Endbenutzersitzungen für ihre Desktops und Anwendungen zu authentifizieren.
VM-Modell	Wählen Sie das Modell aus, das für die Unified Access Gateway-Instanzen verwendet werden soll. Sie müssen sicherstellen, dass das von Ihnen für diesen Pod angegebene Microsoft Azure-Abonnement die Kapazität für zwei VMs des ausgewählten Modells bereitstellen kann. Wichtig: In der aktuellen Dienstversion kann das von diesen Instanzen verwendete VM-Modell nicht einfach geändert werden, nachdem die Gateway-Konfiguration in Ihrem Abonnement bereitgestellt wurde. Zum Ändern des VM-Modells nach der Bereitstellung muss die Gateway-Konfiguration gelöscht und erneut bereitgestellt werden. Wenn Sie erwarten, dass Ihre Umgebung auf 2.000 Sitzungen pro Pod skaliert werden soll, wählen Sie `F8s_v2` aus. Wie in Grenzwerte des VMware Horizon Cloud Service on Microsoft Azure-Diensts angegeben, reicht das `A4_v2`-VM-Modell nur für Proof-of-Concept (PoCs), Pilotumgebungen oder kleinere Umgebungen aus, in denen Sie wissen, dass Sie 1.000 aktive Sitzungen auf dem Pod nicht überschreiten werden.
Zertifikat	Laden Sie das Zertifikat im PEM-Format hoch, mit dem Unified Access Gateway den Clients die Herstellung vertrauenswürdiger Verbindungen mit Unified Access Gateway-Instanzen ermöglicht, die in Microsoft Azure ausgeführt werden. Das Zertifikat muss auf dem eingegebenen FQDN basieren und von einer vertrauenswürdigen Zertifizierungsstelle signiert sein. Die PEM-Datei muss die gesamte Zertifikatskette und den privaten Schlüssel enthalten: SSL-Zertifikat, Zwischenstellen-Zertifikate, Stamm-Zertifizierungsstellenzertifikat, privater Schlüssel.
Blast Extreme-TCP-Port	Wählen Sie den TCP-Port aus, der in der Blast Extreme TCP-Einstellung innerhalb der Unified Access Gateway-Konfiguration verwendet werden soll. Diese Einstellung bezieht sich auf Blast Extreme über Blast Secure Gateway auf Unified Access Gateway für den vom Client gesendeten Datenverkehr. Port 8443 wird bevorzugt, da er effizienter ist, eine bessere Leistung bietet und weniger Ressourcen auf den Unified Access Gateway-Instanzen verwendet. Aus diesen Gründen hat der Assistent 8443 als Standardwert festgelegt. Die Alternative, 443, ist weniger effizient, weniger leistungsfähig und verursacht eine CPU-Belastung in den Instanzen, was bei den Endbenutzer-Clients zu spürbaren Verzögerungen beim Datenverkehr führen kann. Der Wert 443 sollte nur verwendet werden, wenn Ihre Organisation clientseitige Einschränkungen festgelegt hat, z. B. wenn Ihre Organisation nur 443 für ausgehende Verbindungen zulässt. Hinweis: Der für Blast Extreme verwendete UDP-Port ist von dieser Einstellung nicht betroffen und ist immer UDP 8443.
Verschlüsselungs-Suites	Obwohl in fast allen Fällen die Standardeinstellungen ausreichen, bietet Unified Access Gateway diese Funktion zur Angabe der kryptografischen Algorithmen, die zum Verschlüsseln der Kommunikation zwischen Clients und den Unified Access Gateway-Appliances verwendet werden. Mindestens eine Verschlüsselungs-Suite muss aus der Liste auf dem Bildschirm ausgewählt werden. Die Liste auf dem Bildschirm zeigt die Verschlüsselungs-Suites an, die für die Horizon Cloud on Microsoft Azure-Bereitstellung zulässig sind.

(Optional) Im Abschnitt Internes Gateway können Sie optional die 2-Faktor-Authentifizierung für das interne Unified Access Gateway konfigurieren.
Führen Sie die unter First-Gen-Mandanten – Angeben der Zwei-Faktor-Authentifizierung für den Pod aufgeführten Schritte aus.

(Optional) Fügen Sie im Abschnitt Azure Resource-Tags optional benutzerdefinierte Tags zu den Ressourcengruppen hinzu, die alle internen und externen Unified Access Gateway-Instanzen enthalten, die Sie für den Pod konfiguriert haben.

Option Beschreibung

Option	Beschreibung
Pod-Tags erben	Aktivieren Sie diese Umschaltoption, um die Ressourcen-Tags des Pods zu den Ressourcengruppen hinzuzufügen, die alle von Ihnen konfigurierten Unified Access Gateway-Instanzen enthalten. Jede Ressourcengruppe erhält die Ressourcen-Tags, die Sie im Schritt „Pod-Einrichtung“ des Assistenten definiert haben. Deaktivieren Sie diese Umschaltoption, um neue Ressourcen-Tags für die Unified Access Gateway-Instanzen zu definieren.
Azure Resource-Tags	Diese Einstellung wird sichtbar, wenn Sie die Umschaltoption Pod-Tags erben deaktivieren. Verwenden Sie diese Einstellung, um den Ressourcengruppen, die die von Ihnen konfigurierten Unified Access Gateway-Instanzen enthalten, neue Ressourcen-Tags hinzuzufügen. Füllen Sie zum Erstellen des ersten Tags die Felder „Name“ und „Wert“ aus. Um ein zusätzliches Tag zu erstellen, klicken Sie auf + und geben Sie dann Informationen in die Felder „Name“ und „Wert“ ein, die unter den vorhandenen Tags angezeigt werden. Sie können maximal 10 Tags erstellen. Der Tag-Name ist auf 512 Zeichen begrenzt, und der Tag-Wert ist auf 256 Zeichen begrenzt. Bei Speicherkonten ist der Tag-Name auf 128 Zeichen und der Tag-Wert auf 256 Zeichen begrenzt. Tag-Namen dürfen die folgenden Zeichen nicht enthalten: `< > % & \ ? /` Tag-Namen dürfen die folgenden Zeichenfolgen ohne Beachtung von Groß-/Kleinschreibung nicht enthalten: `azure`, `windows`, `microsoft` Tag-Namen und Tag-Werte dürfen nur ASCII-Zeichen enthalten. Leerzeichen und Zeichen außerhalb des ASCII-Standardsatzes mit 128 Zeichen (auch bekannt als hohe ASCII- oder erweiterte ASCII-Zeichen) sind nicht zulässig.

Pod-Tags erben

Aktivieren Sie diese Umschaltoption, um die Ressourcen-Tags des Pods zu den Ressourcengruppen hinzuzufügen, die alle von Ihnen konfigurierten Unified Access Gateway-Instanzen enthalten. Jede Ressourcengruppe erhält die Ressourcen-Tags, die Sie im Schritt „Pod-Einrichtung“ des Assistenten definiert haben.

Deaktivieren Sie diese Umschaltoption, um neue Ressourcen-Tags für die Unified Access Gateway-Instanzen zu definieren.

Azure Resource-Tags

Diese Einstellung wird sichtbar, wenn Sie die Umschaltoption Pod-Tags erben deaktivieren. Verwenden Sie diese Einstellung, um den Ressourcengruppen, die die von Ihnen konfigurierten Unified Access Gateway-Instanzen enthalten, neue Ressourcen-Tags hinzuzufügen.

Füllen Sie zum Erstellen des ersten Tags die Felder „Name“ und „Wert“ aus. Um ein zusätzliches Tag zu erstellen, klicken Sie auf + und geben Sie dann Informationen in die Felder „Name“ und „Wert“ ein, die unter den vorhandenen Tags angezeigt werden.

Sie können maximal 10 Tags erstellen.
Der Tag-Name ist auf 512 Zeichen begrenzt, und der Tag-Wert ist auf 256 Zeichen begrenzt. Bei Speicherkonten ist der Tag-Name auf 128 Zeichen und der Tag-Wert auf 256 Zeichen begrenzt.
Tag-Namen dürfen die folgenden Zeichen nicht enthalten: < > % & \ ? /
Tag-Namen dürfen die folgenden Zeichenfolgen ohne Beachtung von Groß-/Kleinschreibung nicht enthalten: azure, windows, microsoft
Tag-Namen und Tag-Werte dürfen nur ASCII-Zeichen enthalten. Leerzeichen und Zeichen außerhalb des ASCII-Standardsatzes mit 128 Zeichen (auch bekannt als hohe ASCII- oder erweiterte ASCII-Zeichen) sind nicht zulässig.

Ergebnisse

Wenn Sie die erforderlichen Informationen für die ausgewählten Optionen angegeben haben, können Sie auf Validieren und fortfahren klicken, um zum letzten Assistentenschritt zu gelangen. Führen Sie die abschließenden Schritte unter First-Gen-Mandanten – Horizon Cloud-Pods in Microsoft Azure – Verwenden der Seite „Kapazität“ der First-Gen-Horizon Universal Console zum Hinzufügen weiterer Pods zu Ihrer Pod-Flotte aus.