Damit Sie Universal Broker zum Zuteilen von Ressourcen aus Multi-Cloud-Zuweisungen verwenden können, müssen Sie bestimmte Einstellungen konfigurieren. Diese Einstellungen umfassen den vollqualifizierten Domänennamen (FQDN) für den Universal Broker-Dienst und die optionale Zwei-Faktor-Authentifizierung. Sie können auch Werte für die Sitzungszeitüberschreitung sowie den Benutzerzugriff auf bestimmte Horizon-Funktionen konfigurieren.

Der Konfigurationsassistent für Universal Broker wird automatisch geöffnet, nachdem Sie zum Universal Broker erstmalig als ihre mandantenweite Broke-Methode ausgewählt haben. Sie können den Konfigurationsassistenten auch manuell öffnen.

Voraussetzungen

Bereiten Sie die erforderlichen Systemkomponenten gemäß dem Typ Ihres Pods vor.

Lokal oder in VMware Cloud on AWS bereitgestellte Horizon Pods:

Pods in Microsoft Azure:

Wichtig: Stellen Sie sicher, dass alle Ihre Pods in Microsoft Azure online sind und sich in einem ordnungsgemäßen, einsatzbereiten Zustand befinden. Der Universal Broker-Dienst muss mit den Pods kommunizieren und einige Konfigurationsschritte auf den Pods ausführen, um den Einrichtungsvorgang abzuschließen. Wenn einer der Pods offline oder nicht verfügbar ist, schlägt die Universal Broker-Einrichtung fehl.

Prozedur

  1. Öffnen Sie, falls erforderlich, den Konfigurationsassistenten zum Einrichten von Universal Broker.
    • Navigieren Sie auf der Seite Erste Schritte zu Allgemeine Einrichtung > Broker und klicken Sie auf Los. Klicken Sie dann auf Einrichten, um eine neue Konfiguration anzugeben, oder klicken Sie auf das Bleistiftsymbol, um eine vorhandene Konfiguration zu bearbeiten.
    • Wählen Sie Einstellungen > Broker aus. Klicken Sie dann auf Einrichten, um eine neue Konfiguration anzugeben, oder klicken Sie auf das Bleistiftsymbol, um eine vorhandene Konfiguration zu bearbeiten.
    Der Konfigurationsassistent für Universal Broker wird angezeigt.
  2. Konfigurieren Sie auf der Seite FQDN des Assistenten die Einstellungen für den FQDN Ihrer Broker-Verbindung. Diese Einstellungen definieren die Adresse der dedizierten Verbindung, über die Ihre Endbenutzer auf von Universal Broker zugewiesene Ressourcen zugreifen.
    Hinweis: Wenn Sie eine Unterdomänen- oder FQDN-Einstellung ändern, kann es einige Zeit dauern, bis die Änderung auf allen DNS-Servern wirksam wird.
    1. Wählen Sie unter „Typ“ aus, ob der vollqualifizierte Domänenname (FQDN) Von VMware bereitgestellt oder Benutzerdefiniert werden bzw. sein soll.
    2. Geben Sie zusätzliche Einstellungen für den ausgewählten FQDN-Typ an.
      • Wenn Sie den Typ Von VMware bereitgestellt ausgewählt haben, müssen Sie die folgenden Einstellungen angeben.
        Einstellung Beschreibung
        Sub Domain Geben Sie den eindeutigen DNS-Namen einer gültigen Unterdomäne in Ihrer Netzwerkkonfiguration ein, die für Ihr Unternehmen oder Ihre Organisation steht. Dieser Unterdomäne wird der von VMware bereitgestellten Domäne bei der Bildung des Brokering-FQDN als Präfix vorangestellt.
        Brokering FQDN Dieses schreibgeschützte Feld zeigt den konfigurierten FQDN an. Der FQDN hat das Format https://<Ihre Unterdomäne>vmwarehorizon.com.

        Geben Sie diesen FQDN für Ihre Endbenutzer an, damit diese über Horizon Client eine Verbindung mit dem Universal Broker-Dienst herstellen können.

        Universal Broker verwaltet den DNS und die SSL-Validierung dieses FQDN.

        Der folgende Screenshot zeigt ein Beispiel des Konfigurationsassistenten mit den Einstellungen für einen von VMware bereitgestellten FQDN.


        Universal Broker-Konfigurationsassistent mit von VMware bereitgestellten FQDN-Einstellungen
      • Wenn Sie den Typ Benutzerdefiniert ausgewählt haben, geben Sie die folgenden Einstellungen an.
        Einstellung Beschreibung
        Brokering FQDN Geben Sie den benutzerdefinierten FQDN ein, den Ihre Endbenutzer für den Zugriff auf den Universal Broker-Dienst verwenden sollen. Ihr benutzerdefinierter FQDN fungiert als Alias für den automatisch generierten, von VMware bereitgestellten FQDN, der die Verbindung zum Dienst vervollständigt.

        Sie müssen Besitzer des in Ihrem benutzerdefinierten FQDN angegebenen Domänennamens sein und ein Zertifikat bereitstellen, das diese Domäne validiert.

        Hinweis: Ihr benutzerdefinierter FQDN, auch als Verbindungs-URL bezeichnet, steht für Ihr Unternehmen oder Ihre Organisation. Stellen Sie sicher, dass Sie über die entsprechende Berechtigung zur Verwendung dieses benutzerdefinierten FQDN verfügen.
        Wichtig: Sie müssen auf Ihrem DNS-Server einen CNAME-Datensatz erstellen, der Ihren benutzerdefinierten FQDN dem von VMware bereitgestellten FQDN zuordnet, der die interne Verbindungsadresse des Universal Broker-Dienstes bildet. Der Datensatz könnte beispielsweise vdi.examplecompany.com <automatisch-generierte-zeichenfolge>.vmwarehorizon.com zugeordnet werden.
        Certificate Klicken Sie auf Durchsuchen und laden Sie das Zertifikat (im kennwortgeschützten PFX-Format) hoch, das Ihren Brokering-FQDN validiert. Das Zertifikat muss von einer vertrauenswürdigen Zertifizierungsstelle signiert sein, und der Subject Alternative Name (SAN) des Zertifikats muss mit dem FQDN übereinstimmen.

        Die PFX-Datei muss die gesamte Zertifikatskette und den privaten Schlüssel enthalten: Domänenzertifikat, Zwischenzertifikate, Stamm-Zertifizierungsstelle, Zertifikat, privaten Schlüssel.

        Der Universal Broker-Dienst verwendet dieses Zertifikat, um vertrauenswürdige Verbindungssitzungen mit Clients herzustellen.

        Password Geben Sie das Kennwort für die PFX-Zertifikatdatei ein.
        VMware Provided FQDN Dieses schreibgeschützte Feld zeigt den von VMware bereitgestellten FQDN an, der automatisch für den Brokering-Dienst generiert wird. Der FQDN hat das Format https://<automatisch-generierte-zeichenfolge>.vmwarehorizon.com.

        Der von VMware bereitgestellte FQDN ist für Endbenutzer nicht sichtbar und stellt die interne Verbindungsadresse des Universal Broker-Dienstes dar. Ihr benutzerdefinierter FQDN fungiert als Alias für den von VMware bereitgestellten FQDN.

        Wichtig: Sie müssen eine Aliaszuordnung einrichten, indem Sie einen CNAME-Datensatz auf Ihrem DNS-Server erstellen, der Ihren benutzerdefinierten FQDN dem von VMware bereitgestellten FQDN zuordnet. Der Datensatz könnte beispielsweise vdi.examplecompany.com <automatisch-generierte-zeichenfolge>.vmwarehorizon.com zugeordnet werden.

        Der folgende Screenshot zeigt ein Beispiel des Konfigurationsassistenten mit den Einstellungen für einen eingetragenen benutzerdefinierten FQDN.


        Universal Broker-Konfigurationsassistent mit eingetragenen benutzerdefinierten FQDN-Einstellungen
    3. Wenn Sie mit der Konfiguration der FQDN-Einstellungen fertig sind, klicken Sie auf Weiter, um mit der nächsten Seite des Assistenten fortzufahren.
  3. (Optional) Konfigurieren Sie auf der Seite Authentifizierung des Assistenten die Zwei-Faktor-Authentifizierung.
    Standardmäßig authentifiziert Universal Broker Benutzer ausschließlich über ihren Active Directory-Benutzernamen und das zugehörige Kennwort. Sie können die Zwei-Faktor-Authentifizierung implementieren, indem Sie eine zusätzliche Authentifizierungsmethode angeben.
    Wichtig: Um die Zwei-Faktor-Authentifizierung für Universal Broker zu verwenden, müssen Sie zuerst den entsprechenden Authentifizierungsdienst in den einzelnen Unified Access Gateway-Instanzen für jeden teilnehmenden Pod konfigurieren. Die Konfigurationen der Unified Access Gateway-Instanzen müssen innerhalb der und über die teilnehmenden Pods hinweg identisch sein.

    Wenn Sie beispielsweise die RADIUS-Authentifizierung verwenden möchten, müssen Sie den RADIUS-Dienst auf jeder Unified Access Gateway-Instanz für alle teilnehmenden Horizon-Pods und Pods in Microsoft Azure konfigurieren.

    Löschen Sie keine Unified Access Gateway-Instanzen innerhalb der teilnehmenden Pods. Da Universal Broker auf Unified Access Gateway für den Protokolldatenverkehr zwischen Horizon Client und virtuellen Ressourcen vertraut, können Benutzer nicht auf bereitgestellte Ressourcen von einem teilnehmenden Pod zugreifen, wenn Sie die Unified Access Gateway-Instanz auf diesem Pod löschen.

    Einstellung Beschreibung
    2 Factor Authentication

    Um die Zwei-Faktor-Authentifizierung zu verwenden, aktivieren Sie diesen Schalter.

    Wenn Sie den Schalter aktivieren, werden Ihnen zusätzliche Optionen zum Konfigurieren der Zwei-Faktor-Authentifizierung angezeigt.

    Type

    Geben Sie neben dem Active Directory-Benutzernamen und -Kennwort die Authentifizierungsmethode aus, die Sie verwenden möchten.

    • Wenn Sie die Zwei-Faktor-Authentifizierung sowohl für Ihre Horizon-Pods als auch für Pods in Microsoft Azure verwenden möchten, wählen Sie RADIUS aus.
    • Wählen Sie RSA SecurID aus, um die Zwei-Faktor-Authentifizierung nur für Ihre Horizon-Pods zu verwenden.
    Hinweis: In dieser Version wird RSA SecurID auf Horizon-Pods, aber nicht auf Pods in Microsoft Azure unterstützt. Wenn Sie RSA SecurID auswählen, werden die RSA-Authentizierungsanforderungen der Benutzer nur über die Unified Access Gateway-Instanzen Ihrer Horizon-Pods gestellt. Die Authentifizierungsanforderungen für den Benutzernamen und das Kennwort für Active Directory werden über die Unified Access Gateway-Instanzen von Horizon-Pods oder Pods in Microsoft Azure gestellt.
    Maintain User Name Aktivieren Sie diesen Schalter, um den Active Directory-Benutzernamen des Benutzers während der Authentifizierung bei Universal Broker beizubehalten. Falls aktiviert:
    • Muss der Benutzer für die zusätzliche Authentifizierungsmethode über dieselben Anmeldedaten (Benutzernamen) wie für die Active Directory-Authentifizierung für Universal Broker verfügen.
    • Kann der Benutzer den Benutzernamen auf dem Client-Anmeldebildschirm nicht ändern.

    Wenn dieser Schalter deaktiviert wird, kann der Benutzer auf dem Anmeldebildschirm einen anderen Benutzernamen angeben.

    Show Hint Text Aktivieren Sie diesen Schalter, um eine Textzeichenfolge zu konfigurieren, die auf dem Anmeldebildschirm des Clients angezeigt wird, um den Benutzer zur Eingabe seiner Anmeldedaten für die zusätzliche Authentifizierungsmethode aufzufordern.
    Custom Hint Text Geben Sie die Textzeichenfolge ein, die im Client-Anmeldebildschirm angezeigt werden soll. Der angegebene Hinweis wird dem Endbenutzer als Enter your DisplayHint user name and password angezeigt, wobei DisplayHint der Text ist, den Sie in dieses Textfeld eingeben.

    Dieser Hinweis kann Benutzern bei der Eingabe der richtigen Anmeldedaten helfen. Beispiel: Wenn Sie den Ausdruck Firmenbenutzername und Domänenkennwort darunter für eingeben, wird für den Endbenutzer die folgende Aufforderung angezeigt: Enter your Company user name and domain password below for user name and password.

    Der folgende Screenshot zeigt ein Beispiel des Konfigurationsassistenten mit ausgefüllten Einstellungen für die Zwei-Faktor-Authentifizierung.

    Universal Broker-Konfigurationsassistent mit eingetragenen Einstellungen für die Zwei-Faktor-Authentifizierung
    Wenn Sie mit der Konfiguration der Zwei-Faktor-Authentifizierung fertig sind, klicken Sie auf Weiter, um mit der nächsten Seite des Assistenten fortzufahren.
  4. Konfigurieren Sie auf der Seite Einstellungen des Konfigurationsassistenten die Einstellungen unter Dauer für Horizon Client.
    Diese Zeitüberschreitungseinstellungen gelten für die Verbindungssitzung zwischen Horizon Client und dem von Universal Broker zugewiesenen Desktop. Diese Einstellungen gelten nicht für die Anmeldesitzung des Benutzers beim Gastbetriebssystem des zugewiesenen Desktops. Wenn Universal Broker die durch diese Einstellungen festgelegten Zeitüberschreitungsbedingungen erkennt, schließt es die Horizon Client-Verbindungssitzung des Benutzers.
    Einstellung Beschreibung
    Client Heartbeat Interval Steuert das Intervall in Minuten zwischen Horizon Client-Taktsignalen und den Zustand der Verbindung des Benutzers mit Universal Broker. Diese Taktsignale melden an Universal Broker, wie viel Leerlaufzeit während der Horizon Client-Verbindungssitzung vergangen ist.

    Die Leerlaufzeit wird gemessen, wenn keine Interaktion mit dem Endpoint-Gerät stattfindet, auf dem Horizon Client ausgeführt wird. Inaktivität bei der Anmeldesitzung auf dem Gastbetriebssystem, das dem Benutzer zugewiesenen Desktop zugrunde liegt, wirkt sich nicht auf diese Leerlaufzeit aus.

    Bei großen Desktop-Bereitstellungen kann eine Erhöhung des Client-Taktsignalintervalls dazu führen, dass der Netzwerkdatenverkehr verringert und die Leistung dadurch verbessert wird.

    Client Idle User Maximale Leerlaufzeit (in Minuten), die während einer Verbindungssitzung zwischen Horizon Client und Universal Broker zulässig ist.

    Wenn die maximale Zeit erreicht ist, läuft der Authentifizierungszeitraum des Benutzers ab und Universal Broker alle aktiven Horizon Client-Sitzungen werden geschlossen. Um eine Verbindungssitzung erneut zu öffnen, muss der Benutzer seine Anmeldedaten für die Authentifizierung auf dem Anmeldebildschirm von Universal Broker erneut eingeben.

    Hinweis: Damit Benutzer nicht unerwartet von ihren zugewiesenen Desktops getrennt werden, legen Sie als Zeitüberschreitungswert für Client-Leerlaufbenutzer am besten einen Wert fest, der mindestens doppelt so groß ist wie der Wert für das Client-Taktsignalintervall.
    Client Broker Session Maximale zulässige Dauer einer Horizon Client-Verbindungssitzung (in Minuten), bevor die Authentifizierung des Benutzers abläuft. Die Zeit läuft ab der Authentifizierung des Benutzers bei Universal Broker. Wenn die Zeitüberschreitung der Sitzung eintritt, kann der Benutzer weiterhin auf dem zugewiesenen Desktop arbeiten. Wenn der Benutzer jedoch eine Aktion (z. B. das Ändern von Einstellungen) durchführt, die die Kommunikation mit Universal Broker erfordert, fordert Horizon Client Sie auf, Ihre Anmeldedaten für Universal Broker erneut einzugeben.
    Hinweis: Die Zeitüberschreitung für die Client-Broker-Sitzung muss größer oder gleich der Summe aus dem Wert für das Client-Taktsignalintervall und der Zeitüberschreitung für Client-Leerlaufbenutzer sein.
    Client Credential Cache Steuert, ob Benutzeranmeldedaten im Cache des Clientsystems zwischengespeichert werden sollen. Geben Sie 1 ein, um Benutzeranmeldedaten im Cache zwischenzuspeichern. Geben Sie 0 ein, wenn Sie keine Benutzeranmeldedaten im Cache zwischenspeichern möchten.
  5. Konfigurieren Sie auf der Seite Einstellungen des Konfigurationsassistenten die Richtliniendetails.
    Richtliniendetails legen fest, ob Endbenutzer auf bestimmte Horizon-Funktionen zugreifen können, vorausgesetzt, dass die Funktionen auf dem Desktop und dem Client verfügbar sind.
    Einstellung Beschreibung
    Multimedia Redirection (MMR) Aktivieren Sie diese Umschaltoption, um Ihren Endbenutzern den Zugriff auf die Funktion „Multimedia-Umleitung“ zu ermöglichen, wenn die Funktion auf dem Desktop und dem Client verfügbar ist.
    USB Access Aktivieren Sie diese Umschaltoption, um Ihren Endbenutzern den Zugriff auf die Funktion „USB-Umleitung“ zu ermöglichen, wenn die Funktion auf dem Desktop und dem Client verfügbar ist.
    Clean Up HTML Access Credentials When Tab is Closed

    Durch das Aktivieren dieser Einstellung werden die Anmeldedaten eines Benutzern aus dem Cache entfernt, wenn der Benutzer eine Registerkarte schließt, die eine Verbindung mit einem Remote-Desktop oder einer Remoteanwendung herstellt, oder wenn er eine Registerkarte schließt, die eine Verbindung mit der Desktop-Auswahlseite im HTML Access-Client herstellt.

    Wenn diese Einstellung aktiviert ist, werden die Anmeldedaten auch in den folgenden HTML Access-Client-Szenarien aus dem Cache entfernt:

    • Ein Benutzer aktualisiert die Desktop-Auswahlseite oder die Seite für die Remote-Sitzung.
    • Der Server präsentiert ein selbstsigniertes Zertifikat, ein Benutzer startet einen Remote-Desktop und der Benutzer akzeptiert das Zertifikat, wenn die Sicherheitswarnung erscheint.
    • Ein Benutzer führt einen URI-Befehl auf der Registerkarte aus, die die Remote-Sitzung enthält.

    Wenn diese Einstellung deaktiviert ist, bleiben die Anmeldedaten im Cache.

    Allow Client to Wait for Powered-Off VM Die Aktivierung dieser Einstellung ermöglicht es Horizon Client, Verbindungsanfragen an einen momentan nicht verfügbaren Remote-Desktop zu wiederholen.

    Beispielsweise kann ein Clientbenutzer einen Desktop anfordern, der momentan ausgeschaltet ist. Wenn diese Einstellung aktiviert ist, kann Horizon Client die Verbindungsanfrage erneut senden und eine Verbindungssitzung einrichten, wenn der Desktop eingeschaltet und verfügbar ist.

    Wenn Sie mit der Konfiguration der Richtliniendetails fertig sind, klicken Sie auf Weiter, um mit dem nächsten Schritt des Assistenten fortzufahren.
  6. Überprüfen Sie Ihre Einstellungen auf der Seite Übersicht und klicken Sie dann auf Beenden, um die Konfiguration zu speichern und anzuwenden.
    Es dauert in der Regel einige Sekunden, bis die Konfigurationseinstellungen im Universal Broker-Dienst vollständig wirksam werden, da DNS-Datensätze in allen globalen Regionen auf die DNS-Server verteilt werden. Je nach System- und Netzwerkbedingungen kann dieser Vorgang jedoch manchmal bis zu 30 Minuten in Anspruch nehmen. Während dieser Zeit ist der Universal Broker-Dienst nicht verfügbar. Nach erfolgreichem Abschluss der Einrichtung wird im Bereich „Broker“ auf der Seite „Erste Schritte“ der Hinweis Abgeschlossen angezeigt, während auf der Seite Einstellungen > Broker der Status Aktiviert mit einem grünen Punkt angezeigt wird.
    Wichtig: Wenn die Universal Broker-Einrichtung fehlschlägt, wird auf der Seite Einstellungen > Broker der Status Fehler mit einem roten Warnsymbol angezeigt. Um den Konfigurationsfehler zu beheben und den Universal Broker-Dienst einzurichten, wenden Sie sich an den VMware Support, wie im VMware Knowledge Base (KB)-Artikel 2006985 beschrieben.

Nächste Maßnahme