Konfigurieren von Universal Broker-Einstellungen

Dieser Artikel enthält detaillierte, schrittweise Anweisungen zum Konfigurieren der Universal Broker-Einstellungen, einschließlich Verbindungs-FQDN oder Verbindungs-URL, Zwei-Faktor-Authentifizierung, Sitzungszeitüberschreitungen und Horizon-Funktionsrichtlinien.

Bevor Sie Universal Broker für das Brokering von Ressourcen aus Endbenutzerzuweisungen verwenden können, müssen Sie zunächst bestimmte Einstellungen konfigurieren.

Bei der erstmaligen Einrichtung von Universal Broker wird der Konfigurationsassistent automatisch geöffnet, wie unter Starten der Universal Broker-Einrichtung beschrieben.

Wenn Sie dann feststellen, dass Sie die Einstellungen während der laufenden Nutzung des Diensts ändern müssen, können Sie den Konfigurationsassistenten auf der Seite „Broker“ der Konsole oder auf der Seite „Erste Schritte“ erneut öffnen.

Einige wichtige Punkte zu den Einstellungen für die Zwei-Faktor-Authentifizierung in diesem Konfigurationsassistenten

Wenn Universal Broker mit Einstellungen für die Zwei-Faktor-Authentifizierung konfiguriert ist, bildet er standardmäßig die Authentifizierungsanforderung und leitet sie an eine externe Unified Access Gateway-Instanz weiter, die dann mit dem tatsächlichen Authentifizierungsserver kommuniziert, der in den Einstellungen dieser Instanz konfiguriert ist. Das Unified Access Gateway gibt dann die Antwort des Authentifizierungsdiensts an den Universal Broker weiter.
Standardmäßig werden dieselben Universal Broker-Einstellungen für die Zwei-Faktor-Authentifizierung mandantenweit angewendet und für jeden Pod in der Pod-Flotte des Mandanten verwendet. Um die Zwei-Faktor-Authentifizierung für Universal Broker zu verwenden, müssen Sie zuerst den entsprechenden Authentifizierungsdienst in den einzelnen externen Unified Access Gateway-Instanzen für jeden teilnehmenden Pod in Ihrer Pod-Flotte konfigurieren. Die Konfigurationen der externen Unified Access Gateway-Instanzen müssen innerhalb der und über die teilnehmenden Pods hinweg identisch sein.
Wenn Sie beispielsweise über eine gemischte Pod-Flotte verfügen, die sowohl aus Horizon-Pods als auch aus Horizon Cloud-Pods besteht, und Sie die RADIUS-Authentifizierung verwenden möchten, müssen Sie den RADIUS-Dienst auf jeder externen Unified Access Gateway-Instanz für alle diese Horizon-Pods und Horizon Cloud-Pods konfigurieren.

Voraussetzungen

Wichtig: Wenn Endbenutzer eine Verbindung über das Internet herstellen oder wenn Sie die Zwei-Faktor-Authentifizierung verwenden möchten, löschen Sie nicht die externen Unified Access Gateway-Instanzen, die sich auf den Pods befinden. Bei externen Endbenutzern ist das externe Unified Access Gateway erforderlich, um den virtuellen Desktop oder die Remoteanwendung erfolgreich vom Endbenutzer-Client aus zu starten, nachdem sich der Client bei Universal Broker authentifiziert hat. Im Falle der Zwei-Faktor-Authentifizierung stimmt Universal Broker die Einstellungen für die Zwei-Faktor-Authentifizierung mit dem externen Unified Access Gateway ab, sodass die Konfiguration des externen Unified Access Gateway erforderlich ist.

Bereiten Sie die erforderlichen Systemkomponenten entsprechend Ihrem Pod-Typ vor. Das Überprüfen dieser Voraussetzungen ist besonders wichtig, wenn Sie den Assistenten für die erstmalige Einrichtung von Universal Broker für einen Mandanten abschließen.

Für Horizon-Pods (basierend auf Horizon Connection Server-Technologie):

Konfigurieren Sie die erforderlichen Pods wie unter Horizon-Pods – DNS-, Port- und Protokollanforderungen für Universal Broker beschrieben.
Horizon Pods – Installieren des Universal Broker-Plug-Ins auf dem Verbindungsserver.
Horizon-Pods – Konfigurieren von Unified Access Gateway für die Verwendung mit Universal Broker. Wenn Universal Broker die Zwei-Faktor-Authentifizierung für Ihre Horizon-Pods verwenden soll, konfigurieren Sie den entsprechenden Zwei-Faktor-Authentifizierungsdienst für jede Unified Access Gateway-Instanz in allen teilnehmenden Pods. Weitere Informationen finden Sie unter Best Practices bei der Implementierung der Zwei-Faktor-Authentifizierung in einer Universal Broker-Umgebung.
Informationen dazu, wie Sie die Zwei-Faktor-Authentifizierung nur für Ihre externen Benutzer aktivieren und für Ihre interne Benutzer umgehen können, finden Sie unter Definieren interner Netzwerkbereiche für Universal Broker.
Wählen Sie Universal Broker als mandantenweiten Verbindungs-Broker für Horizon-Pods aus, wie unter Starten der Universal Broker-Einrichtung beschrieben.

Für Horizon Cloud Pods (basierend auf der Horizon Cloud Pod-Manager-Technologie):

Stellen Sie sicher, dass die erforderlichen DNS-Namen für ihre regionale Universal Broker-Instanz auflösbar und erreichbar sind. Weitere Informationen finden Sie in der Tabelle „Anforderungen an Pod-Bereitstellung und -Betrieb“ unter Anforderungen an DNS für einen Horizon Cloud-Pod in Microsoft Azure.
Konfigurieren Sie die erforderlichen Ports und Protokolle, wie im Abschnitt „Für Universal Broker erforderliche Ports und Protokolle“ unter Horizon Cloud Pods – Anforderungen an Ports und Protokolle beschrieben.
Wenn Universal Broker die Zwei-Faktor-Authentifizierung für Ihre Horizon Cloud-Pods verwenden soll, konfigurieren Sie denselben Typ von Authentifizierungsdienst für jede externe Unified Access Gateway-Instanz in allen teilnehmenden Pods. Siehe Aktivieren der 2-Faktor-Authentifizierung auf den Gateways eines Horizon Cloud-Pods und Best Practices bei der Implementierung der Zwei-Faktor-Authentifizierung in einer Universal Broker-Umgebung.
Informationen dazu, wie Sie die Zwei-Faktor-Authentifizierung nur für Ihre externen Benutzer aktivieren und für Ihre interne Benutzer umgehen können, finden Sie unter Definieren interner Netzwerkbereiche für Universal Broker.
Wählen Sie Universal Broker als mandantenweiten Verbindungs-Broker für Horizon Cloud-Pods aus, wie in Starten der Aktivierung von Universal Broker über die Horizon Universal Console beschrieben.

Wichtig: Bevor Sie den letzten Schritt des Assistenten ausführen, müssen alle Ihre Horizon Cloud-Pods online sein und sich in einem ordnungsgemäßen, betriebsbereiten Zustand befinden. Während der Übernahme der Einstellungen muss der Universal Broker-Dienst mit den Pods kommunizieren und einige Konfigurationsschritte auf den Pods durchführen, um den Einrichtungsprozess abzuschließen. Wenn einer der Pods offline oder nicht verfügbar ist, schlägt die Universal Broker-Einrichtung fehl.

Prozedur

Öffnen Sie den Konfigurationsassistenten zum Einrichten von Universal Broker.

Andernfalls können Sie den Assistenten direkt öffnen, indem Sie auf Einstellungen > Broker und dann auf das Bleistiftsymbol klicken, um eine Konfiguration zu bearbeiten.

Wenn Sie diesen Assistenten unmittelbar nach den Schritten unter Starten der Universal Broker-Einrichtung ausführen

In diesem Fall hat die Konsole den Assistenten in der Regel bereits angezeigt, es sei denn, Sie haben den Assistenten abgebrochen, bevor Sie ihn beendet haben. Wenn Sie den Assistenten zu diesem Zeitpunkt abgebrochen und nicht beendet haben, öffnen Sie den Assistenten direkt, indem Sie zu Einstellungen > Broker navigieren und auf Einrichten klicken.

Wenn Sie eine gespeicherte Konfiguration überarbeiten

Öffnen Sie den Assistenten direkt, indem Sie zu Einstellungen > Broker navigieren und auf das Bleistiftsymbol neben dieser Konfiguration klicken.

Der Konfigurationsassistent für Universal Broker wird angezeigt. In der aktuellen Version entsprechen die Assistentenabschnitte den Einstellungen für den FQDN, die Authentifizierung und einige Standardwerte, die für Clientsitzungen gelten.

Konfigurieren Sie auf der Seite FQDN des Assistenten die Einstellungen für den vollqualifizierten Domänennamen (FQDN) des Universal Broker-Diensts. Diese Einstellungen definieren die Adresse der dedizierten Verbindung oder die URL, die von den Endbenutzern für den Zugriff auf von Universal Broker vermittelte Ressourcen verwendet werden.

Hinweis: Wenn Sie eine Unterdomänen- oder FQDN-Einstellung ändern, kann es einige Zeit dauern, bis die Änderung auf allen DNS-Servern wirksam wird.

Wählen Sie unter Typ aus, ob der vollqualifizierte Domänenname (FQDN) Von VMware bereitgestellt oder Vom Kunden bereitgestellt werden soll.

Geben Sie zusätzliche Einstellungen für den ausgewählten FQDN-Typ an.

Von VMware bereitgestellt

Einstellung Beschreibung

Einstellung	Beschreibung
Unterdomäne	Geben Sie den eindeutigen DNS-Namen einer gültigen Unterdomäne in Ihrer Netzwerkkonfiguration ein, die für Ihr Unternehmen oder Ihre Organisation steht. Dieser Unterdomäne wird der von VMware bereitgestellten Domäne bei der Bildung des Brokering-FQDN als Präfix vorangestellt. Hinweis: Einige Zeichenfolgen sind unzulässig oder vom System reserviert. Zu dieser Kategorie der Zeichenfolgen gehören generische Wörter wie `book`, bekannte unternehmenseigene Begriffe wie `gmail` und protocol, coding sowie Open Source-Begriffe wie `php` und `sql`. Das System untersagt außerdem eine Kategorie von Mustern dieser Zeichenfolgen, wie `mail0`, `mail1`, `mail2` usw. Wenn Sie in diesem Feld jedoch einen unzulässigen Namen angeben, wird der Eintrag zu diesem Zeitpunkt nicht vom System validiert. Erst wenn Sie den abschließenden Schritt des Assistenten mit der Zusammenfassung erreichen, validiert das System den hier eingegebenen Namen und zeigt einen Fehler an, sofern der Eintrag mit einem der nicht zulässigen Namen übereinstimmt. Geben Sie in diesem Fall einen anderen und eindeutigeren Namen ein.
Broker-URL	Dieses schreibgeschützte Feld zeigt den konfigurierten FQDN an. Der FQDN hat das Format https://`<Ihre Unterdomäne>`vmwarehorizon.com. Geben Sie diesen FQDN für Ihre Endbenutzer an, damit diese über Horizon Client eine Verbindung mit dem Universal Broker-Dienst herstellen können. Universal Broker verwaltet den DNS und die SSL-Validierung dieses FQDN.

Unterdomäne

Geben Sie den eindeutigen DNS-Namen einer gültigen Unterdomäne in Ihrer Netzwerkkonfiguration ein, die für Ihr Unternehmen oder Ihre Organisation steht. Dieser Unterdomäne wird der von VMware bereitgestellten Domäne bei der Bildung des Brokering-FQDN als Präfix vorangestellt.

Hinweis: Einige Zeichenfolgen sind unzulässig oder vom System reserviert. Zu dieser Kategorie der Zeichenfolgen gehören generische Wörter wie book, bekannte unternehmenseigene Begriffe wie gmail und protocol, coding sowie Open Source-Begriffe wie php und sql. Das System untersagt außerdem eine Kategorie von Mustern dieser Zeichenfolgen, wie mail0, mail1, mail2 usw.

Wenn Sie in diesem Feld jedoch einen unzulässigen Namen angeben, wird der Eintrag zu diesem Zeitpunkt nicht vom System validiert. Erst wenn Sie den abschließenden Schritt des Assistenten mit der Zusammenfassung erreichen, validiert das System den hier eingegebenen Namen und zeigt einen Fehler an, sofern der Eintrag mit einem der nicht zulässigen Namen übereinstimmt. Geben Sie in diesem Fall einen anderen und eindeutigeren Namen ein.

Broker-URL

Dieses schreibgeschützte Feld zeigt den konfigurierten FQDN an. Der FQDN hat das Format https://<Ihre Unterdomäne>vmwarehorizon.com.

Geben Sie diesen FQDN für Ihre Endbenutzer an, damit diese über Horizon Client eine Verbindung mit dem Universal Broker-Dienst herstellen können.

Universal Broker verwaltet den DNS und die SSL-Validierung dieses FQDN.

Der folgende Screenshot zeigt ein Beispiel des Konfigurationsassistenten mit den Einstellungen für einen von VMware bereitgestellten FQDN.

Universal Broker-Konfigurationsassistent mit von VMware bereitgestellten FQDN-Einstellungen

Vom Kunden bereitgestellt

Einstellung	Beschreibung
Brokering-FQDN	Geben Sie den benutzerdefinierten FQDN ein, den Ihre Endbenutzer für den Zugriff auf den Universal Broker-Dienst verwenden sollen. Ihr benutzerdefinierter FQDN fungiert als Alias für den automatisch generierten, von VMware bereitgestellten FQDN, der die Verbindung zum Dienst vervollständigt. Sie müssen Besitzer des in Ihrem benutzerdefinierten FQDN angegebenen Domänennamens sein und ein Zertifikat bereitstellen, das diese Domäne validiert. Hinweis: Ihr benutzerdefinierter FQDN, auch als Verbindungs-URL bezeichnet, steht für Ihr Unternehmen oder Ihre Organisation. Stellen Sie sicher, dass Sie über die entsprechende Berechtigung zur Verwendung dieses benutzerdefinierten FQDN verfügen. Hinweis: Ihr benutzerdefinierter FQDN muss eindeutig sein und sich von den FQDNs aller Unified Access Gateway-Instanzen innerhalb Ihrer Pods unterscheiden. Wichtig: Sie müssen auf Ihrem DNS-Server einen CNAME-Datensatz erstellen, der Ihren benutzerdefinierten FQDN dem von VMware bereitgestellten FQDN zuordnet, der die interne Verbindungsadresse des Universal Broker-Dienstes bildet. Der Datensatz könnte beispielsweise `vdi.examplecompany.com` `<automatisch-generierte-zeichenfolge>.vmwarehorizon.com` zugeordnet werden.
Zertifikat	Klicken Sie auf Durchsuchen und laden Sie das Zertifikat (im kennwortgeschützten PFX-Format) hoch, das Ihren Brokering-FQDN validiert. Das Zertifikat muss alle folgenden Kriterien erfüllen: Zertifikat muss mindestens 90 Tage gültig sein Das Zertifikat muss von einer vertrauenswürdigen Zertifizierungsstelle signiert sein Entweder der allgemeine Name (Common Name, SN) des Zertifikats oder einer seiner alternativen Antragstellernamen (Subject Alternative Names, SANs) muss mit dem FQDN übereinstimmen Der Inhalt des Zertifikats muss dem X.509-Standardformat entsprechen Die PFX-Datei muss die gesamte Zertifikatskette und den privaten Schlüssel enthalten: Domänenzertifikat, Zwischenzertifikate, Stamm-Zertifizierungsstelle, Zertifikat, privaten Schlüssel. Der Universal Broker-Dienst verwendet dieses Zertifikat, um vertrauenswürdige Verbindungssitzungen mit Clients herzustellen. Hinweis: Das Zertifikat kann einen Platzhalter-FQDN im Feld „CN“ oder „SAN“ enthalten. Wenn das Platzhalterzeichen das einzige Zeichen in der Unterdomäne ganz links des Referenzbezeichners ist, werden nur FQDNs, die mit dieser Unterdomäne ganz links übereinstimmen, vom Zertifikat validiert. Wenn das Zertifikat beispielsweise den Platzhalter-FQDN `*.mycompany.com` enthält, lässt die Übereinstimmungsregel `vdi.mycompany.com` als gültigen Brokering-FQDN zu. `test.vdi.mycompany.com` stimmt jedoch nicht mit dem Referenzbezeichner überein und ist nicht zulässig.
Kennwort	Geben Sie das Kennwort für die PFX-Zertifikatdatei ein.
Von VMware bereitgestellter FQDN	Dieses schreibgeschützte Feld zeigt den von VMware bereitgestellten FQDN an, der automatisch für den Brokering-Dienst generiert wird. Der FQDN hat das Format https://`<automatisch-generierte-zeichenfolge>`.vmwarehorizon.com. Der von VMware bereitgestellte FQDN ist für Endbenutzer nicht sichtbar und stellt die interne Verbindungsadresse des Universal Broker-Dienstes dar. Ihr benutzerdefinierter FQDN fungiert als Alias für den von VMware bereitgestellten FQDN. Wichtig: Sie müssen eine Aliaszuordnung einrichten, indem Sie einen CNAME-Datensatz auf Ihrem DNS-Server erstellen, der Ihren benutzerdefinierten FQDN dem von VMware bereitgestellten FQDN zuordnet. Der Datensatz könnte beispielsweise `vdi.examplecompany.com` `<automatisch-generierte-zeichenfolge>.vmwarehorizon.com` zugeordnet werden.

Der folgende Screenshot zeigt ein Beispiel des Konfigurationsassistenten mit den Einstellungen für einen eingetragenen benutzerdefinierten FQDN.

Universal Broker-Konfigurationsassistent mit eingetragenen benutzerdefinierten FQDN-Einstellungen

Wenn Sie mit der Konfiguration der FQDN-Einstellungen fertig sind, klicken Sie auf Weiter, um mit der nächsten Seite des Assistenten fortzufahren.

(Optional) Konfigurieren Sie auf der Seite Authentifizierung des Assistenten die Zwei-Faktor-Authentifizierung.

Standardmäßig authentifiziert Universal Broker Benutzer ausschließlich über ihren Active Directory-Benutzernamen und das zugehörige Kennwort. Sie können die Zwei-Faktor-Authentifizierung implementieren, indem Sie eine zusätzliche Authentifizierungsmethode angeben. Weitere Informationen finden Sie unter Best Practices bei der Implementierung der Zwei-Faktor-Authentifizierung in einer Universal Broker-Umgebung.

Einstellung	Beschreibung
Zwei-Faktor-Authentifizierung	Um die Zwei-Faktor-Authentifizierung zu verwenden, aktivieren Sie diesen Schalter. Wenn Sie den Schalter aktivieren, werden Ihnen zusätzliche Optionen zum Konfigurieren der Zwei-Faktor-Authentifizierung angezeigt.
Benutzernamen beibehalten	Aktivieren Sie diesen Schalter, um den Active Directory-Benutzernamen des Benutzers während der Authentifizierung bei Universal Broker beizubehalten. Falls aktiviert: Muss der Benutzer für die zusätzliche Authentifizierungsmethode über dieselben Anmeldedaten (Benutzernamen) wie für die Active Directory-Authentifizierung für Universal Broker verfügen. Kann der Benutzer den Benutzernamen auf dem Client-Anmeldebildschirm nicht ändern. Wenn dieser Schalter ausgeschaltet wird, kann der Benutzer auf dem Anmeldebildschirm einen anderen Benutzernamen eingeben.
Typ	Geben Sie neben dem Active Directory-Benutzernamen und -Kennwort die Authentifizierungsmethode an, die der Universal Broker mit den Endbenutzern verwenden soll. Auf der Benutzeroberfläche werden zwei Auswahlmöglichkeiten RADIUS und RSA SecurID angezeigt. Diese Einstellung gilt für alle Mandanten. Das Verhalten im Endbenutzer-Client hängt wie folgt von der Zusammensetzung der Pod-Flotte des Mandanten und dem Zwei-Faktor-Authentifizierungstyp auf den Gateways der Pods ab: Nur Horizon-Pods Der hier ausgewählte Typ ist der im Client verwendete Typ. Nur Horizon Cloud-Pods Wählen Sie den Typ aus, der mit dem Typ übereinstimmt, der auf den externen Gateways der Pods konfiguriert ist. Mischung aus Horizon-Pods und Horizon Cloud on Microsoft Azure-Bereitstellungen Wenn in einer gemischten Flotte RADIUS ausgewählt ist, werden die RADIUS-Authentifizierungsanforderungen der Benutzer über die Unified Access Gateway-Instanzen beider Pod-Typen ausgeführt. Wenn in einer gemischten Flotte RSA SecurID ausgewählt wird, hängt das Clientverhalten davon ab, ob Ihre Horizon Cloud on Microsoft Azure-Bereitstellungen mit RSA SecurID auf ihren externen Gateways konfiguriert sind. Wenn für Ihre Horizon Cloud on Microsoft Azure-Bereitstellungen auf ihren Gateways kein RSA SecurID-Typ konfiguriert ist und hier RSA SecurID ausgewählt ist, werden die RSA-Authentifizierungsanforderungen der Benutzer nur über die Unified Access Gateway-Instanzen Ihrer Horizon-Pods ausgeführt. Die Authentifizierungsanforderungen für den Benutzernamen und das Kennwort für Active Directory werden über die Unified Access Gateway-Instanzen von Horizon-Pods oder Horizon Cloud-Pods gestellt. Wenn für Ihre Horizon Cloud on Microsoft Azure-Bereitstellungen der RSA SecurID-Typ konfiguriert ist, werden die RSA-Authentifizierungsanforderungen der Benutzer über die Unified Access Gateway-Instanzen beider Pod-Typen ausgeführt.
Hinweistext anzeigen	Gilt für RADIUS-Typ. Aktivieren Sie diesen Schalter, um eine Textzeichenfolge zu konfigurieren, die auf dem Anmeldebildschirm des Clients angezeigt wird, um den Benutzer zur Eingabe seiner Anmeldedaten für die zusätzliche Authentifizierungsmethode aufzufordern.
Benutzerdefinierter Hinweistext	Dieses Feld ist verfügbar, wenn Sie angeben, dass Hinweistext angezeigt werden soll. Gilt für RADIUS-Typ. Geben Sie die Textzeichenfolge ein, die im Client-Anmeldebildschirm angezeigt werden soll. Der angegebene Hinweis wird dem Endbenutzer als `Enter your DisplayHint user name and password` angezeigt, wobei `DisplayHint` der Text ist, den Sie in dieses Textfeld eingeben. Hinweis: Universal Broker lässt die folgenden Zeichen im benutzerdefinierten Hinweistext nicht zu: `& < > ' "`. Wenn Sie eines dieser unzulässigen Zeichen in den Hinweistext aufnehmen, schlagen Benutzerverbindungen zum Universal Broker-FQDN fehl. Dieser Hinweis kann Benutzern bei der Eingabe der richtigen Anmeldedaten helfen. Beispiel: Wenn Sie den Ausdruck `Firmenbenutzername und Domänenkennwort darunter für` eingeben, wird für den Endbenutzer die folgende Aufforderung angezeigt: `Enter your Company user name and domain password below for user name and password`.
Zwei-Faktor-Authentifizierung überspringen	Aktivieren Sie diesen Schalter, um die Zwei-Faktor-Authentifizierung für interne Netzwerkbenutzer zu umgehen, die eine Verbindung zum Universal Broker-Dienst herstellen. Stellen Sie sicher, dass Sie die öffentlichen IP-Bereiche, die zu Ihrem internen Netzwerk gehören, angegeben haben, wie unter Definieren interner Netzwerkbereiche für Universal Broker beschrieben. Wenn dieser Schalter aktiviert ist, müssen interne Benutzer nur ihre Active Directory-Anmeldedaten eingeben, um sich beim Universal Broker-Dienst zu authentifizieren. Externe Benutzer müssen Ihre Active Directory-Anmeldedaten und Ihre Anmeldedaten für den zusätzlichen Authentifizierungsdienst eingeben. Wenn dieser Schalter ausgeschaltet ist, müssen sowohl interne als auch externe Benutzer Ihre Active Directory-Anmeldedaten und Ihre Anmeldedaten für den zusätzlichen Authentifizierungsdienst eingeben.
Öffentliche IP-Bereiche	Dieses Feld wird bei Aktivierung von Zwei-Faktor-Authentifizierung überspringen angezeigt. Wenn bereits ein oder mehrere öffentliche IP-Bereiche auf der Registerkarte „Netzwerkbereiche“ der Seite „Broker“ angegeben sind, ist dieses Feld schreibgeschützt und listet diese IP-Bereiche auf. Wenn auf der Registerkarte „Netzwerkbereiche“ der Seite „Broker“ noch keine öffentlichen IP-Bereiche angegeben wurden, können Sie in diesem Feld die öffentlichen IP-Bereiche festlegen, die Ihr internes Netzwerk repräsentieren, um die Aufforderungen zur Zwei-Faktor-Authentifizierung für Datenverkehr aus diesen Bereichen zu überspringen. Universal Broker berücksichtigt, dass alle Benutzer, die über eine IP-Adresse innerhalb eines dieser Bereiche verbunden sind, interne Benutzer sind. Weitere Informationen zum Zweck der Angabe dieser Bereiche finden Sie unter Definieren interner Netzwerkbereiche für Universal Broker.

Der folgende Screenshot zeigt ein Beispiel für den Konfigurationsassistenten mit ausgefüllten Einstellungen für die Zwei-Faktor-Authentifizierung für den RADIUS-Typ.
Universal Broker-Konfigurationsassistent mit eingetragenen Einstellungen für die Zwei-Faktor-Authentifizierung

Universal Broker-Konfigurationsassistent mit eingetragenen Einstellungen für die Zwei-Faktor-Authentifizierung

Wenn Sie mit Ihrer Auswahl fertig sind, klicken Sie auf Weiter, um mit der nächsten Seite des Assistenten fortzufahren.

Konfigurieren Sie auf der Seite Einstellungen des Konfigurationsassistenten die Einstellungen unter Dauer für Horizon Client.

Diese Zeitüberschreitungseinstellungen gelten für die Verbindungssitzung zwischen Horizon Client und dem von Universal Broker zugewiesenen Desktop. Diese Einstellungen gelten nicht für die Anmeldesitzung des Benutzers beim Gastbetriebssystem des zugewiesenen Desktops. Wenn Universal Broker die durch diese Einstellungen festgelegten Zeitüberschreitungsbedingungen erkennt, schließt es die Horizon Client-Verbindungssitzung des Benutzers.

Einstellung	Beschreibung
Client-Taktsignalintervall	Steuert das Intervall in Minuten zwischen Horizon Client-Taktsignalen und den Zustand der Verbindung des Benutzers mit Universal Broker. Diese Taktsignale melden an Universal Broker, wie viel Leerlaufzeit während der Horizon Client-Verbindungssitzung vergangen ist. Die Leerlaufzeit wird gemessen, wenn keine Interaktion mit dem Endpoint-Gerät stattfindet, auf dem Horizon Client ausgeführt wird. Inaktivität bei der Anmeldesitzung auf dem Gastbetriebssystem, das dem Benutzer zugewiesenen Desktop zugrunde liegt, wirkt sich nicht auf diese Leerlaufzeit aus. Bei großen Desktop-Bereitstellungen kann eine Erhöhung des Client-Taktsignalintervalls dazu führen, dass der Netzwerkdatenverkehr verringert und die Leistung dadurch verbessert wird.
Client-Leerlaufbenutzer	Maximale Leerlaufzeit (in Minuten), die während einer Verbindungssitzung zwischen Horizon Client und Universal Broker zulässig ist. Wenn die maximale Zeit erreicht ist, läuft der Authentifizierungszeitraum des Benutzers ab und Universal Broker alle aktiven Horizon Client-Sitzungen werden geschlossen. Um eine Verbindungssitzung erneut zu öffnen, muss der Benutzer seine Anmeldedaten für die Authentifizierung auf dem Anmeldebildschirm von Universal Broker erneut eingeben. Hinweis: Damit Benutzer nicht unerwartet von ihren zugewiesenen Desktops getrennt werden, legen Sie als Zeitüberschreitungswert für Client-Leerlaufbenutzer am besten einen Wert fest, der mindestens doppelt so groß ist wie der Wert für das Client-Taktsignalintervall.
Client-Broker-Sitzung	Maximale zulässige Dauer einer Horizon Client-Verbindungssitzung (in Minuten), bevor die Authentifizierung des Benutzers abläuft. Die Zeit läuft ab der Authentifizierung des Benutzers bei Universal Broker. Wenn die Zeitüberschreitung der Sitzung eintritt, kann der Benutzer weiterhin auf dem zugewiesenen Desktop arbeiten. Wenn der Benutzer jedoch eine Aktion (z. B. das Ändern von Einstellungen) durchführt, die die Kommunikation mit Universal Broker erfordert, fordert Horizon Client Sie auf, Ihre Anmeldedaten für Universal Broker erneut einzugeben. Hinweis: Die Zeitüberschreitung für die Client-Broker-Sitzung muss größer oder gleich der Summe aus dem Wert für das Client-Taktsignalintervall und der Zeitüberschreitung für Client-Leerlaufbenutzer sein.
Zeitüberschreitung bei der Zwischenspeicherung der Clientanmeldedaten	Diese Einstellung ist als Universal Broker vergleichbar mit der Einstellung Horizon Connection Server mit der Bezeichnung Weitere Clients. SSO-Anmeldedaten verwerfen gedacht. Daher ist die Beschreibung hier für diese Einstellung so verfasst, dass sie mit der Beschreibung für diese Horizon Connection Server-Einstellung und in der QuickInfo der Konsole für diese Einstellung übereinstimmt. Diese Einstellung gilt für Clients, die die Remote-Ausführung von Anwendungen nicht unterstützen. SSO-Anmeldedaten werden nach der angegebenen Anzahl von Minuten verworfen. Benutzer müssen sich unabhängig von der Benutzeraktivität auf dem Clientgerät nach der angegebenen Anzahl von Minuten erneut anmelden, um eine Verbindung mit einem Desktop herzustellen. Die Standardeinstellung beträgt 15 Minuten.

Konfigurieren Sie auf der Seite Einstellungen des Konfigurationsassistenten die Richtliniendetails.

Richtliniendetails legen fest, ob Endbenutzer auf bestimmte Horizon-Funktionen zugreifen können, wenn die Funktionen auf dem Desktop und dem Client verfügbar sind.

Einstellung	Beschreibung
Multimedia-Umleitung (MMR)	Aktivieren Sie diese Umschaltoption, um Ihren Endbenutzern den Zugriff auf die Funktion „Multimedia-Umleitung“ zu ermöglichen, wenn die Funktion auf dem Desktop und dem Client verfügbar ist.
USB-Zugriff	Aktivieren Sie diese Umschaltoption, um Ihren Endbenutzern den Zugriff auf die Funktion „USB-Umleitung“ zu ermöglichen, wenn die Funktion auf dem Desktop und dem Client verfügbar ist.
Bereinigen der HTML Access-Anmeldedaten, wenn die Registerkarte geschlossen wird	Durch das Aktivieren dieser Einstellung werden die Anmeldedaten eines Benutzers aus dem Cache entfernt, wenn der Benutzer eine Registerkarte schließt, die eine Verbindung mit einem Remote-Desktop oder einer Remoteanwendung herstellt, oder wenn er eine Registerkarte schließt, die eine Verbindung mit der Desktop-Auswahlseite im Horizon HTML Access-Client herstellt. Wenn diese Einstellung aktiviert ist, werden die Anmeldedaten auch in den folgenden HTML Access-Client-Szenarien aus dem Cache entfernt: Ein Benutzer aktualisiert die Desktop-Auswahlseite oder die Seite für die Remote-Sitzung. Der Server präsentiert ein selbstsigniertes Zertifikat, ein Benutzer startet einen Remote-Desktop und der Benutzer akzeptiert das Zertifikat, wenn die Sicherheitswarnung erscheint. Ein Benutzer führt einen URI-Befehl auf der Registerkarte aus, die die Remote-Sitzung enthält. Wenn diese Einstellung ausgeschaltet ist, bleiben die Anmeldedaten im Cache.
Client ermöglichen, auf ausgeschaltete VM zu warten	Die Aktivierung dieser Einstellung ermöglicht es Horizon Client, Verbindungsanfragen an einen momentan nicht verfügbaren Remote-Desktop zu wiederholen. Beispielsweise kann ein Clientbenutzer einen Desktop anfordern, der momentan ausgeschaltet ist. Wenn diese Einstellung aktiviert ist, kann Horizon Client die Verbindungsanfrage erneut senden und eine Verbindungssitzung einrichten, wenn der Desktop eingeschaltet und verfügbar ist.

Wenn Sie mit der Konfiguration der Richtliniendetails fertig sind, klicken Sie auf Weiter, um mit dem nächsten Schritt des Assistenten fortzufahren.

Überprüfen Sie Ihre Einstellungen auf der Seite Übersicht und klicken Sie dann auf Beenden, um die Konfiguration zu speichern und anzuwenden.
Je nach den System- und Netzwerkbedingungen dauert es in der Regel einige Minuten bis hin zu einer halben Stunde, bis die Konfigurationseinstellungen im Universal Broker-Dienst vollständig wirksam werden, da DNS-Datensätze auf die DNS-Server in allen globalen Regionen übertragen werden. Während dieser Zeit ist der Universal Broker-Dienst nicht verfügbar. Nach erfolgreichem Abschluss der Einrichtung wird im Bereich „Broker“ auf der Seite „Erste Schritte“ der Status Abgeschlossen angezeigt, während auf der Seite Einstellungen > Broker der Status Aktiviert mit einem grünen Punkt angezeigt wird.

Wichtig: Wenn die Universal Broker-Einrichtung fehlschlägt, wird auf der Seite Einstellungen > Broker der Status Fehler mit einem roten Warnsymbol angezeigt. Um den Konfigurationsfehler zu beheben und den Universal Broker-Dienst einzurichten, wenden Sie sich an den VMware Support, wie im VMware Knowledge Base (KB)-Artikel 2006985 beschrieben.

Nächste Maßnahme

Wenn Sie Universal Broker für Horizon-Pods konfiguriert haben, versetzen Sie die Pods nun in den verwalteten Zustand. Siehe Verwenden der Horizon Universal Console zum Ändern eines cloudverbundenen Horizon-Pods in den verwalteten Status.
Wenn Sie Universal Broker für in Microsoft Azure bereitgestellte Horizon Cloud-Pods konfiguriert haben, sind keine weiteren Konfigurationsschritte erforderlich. Sie können nun die Konsole verwenden, um Multi-Pod-Bilder zu erstellen und anschließend auf der Grundlage dieser Images Endbenutzer-Zuweisungen anzulegen.