Bei laufenden Horizon Cloud-Vorgängen weist ein Pod, der mit einer Manifestversion vor 1600 ausgeführt wird, spezifische Port- und Protokollanforderungen auf, die sich von denen eines Pods unterscheiden, der mit Manifestversion 1600 bereitgestellt oder auf diese aktualisiert wurde. Manifest 1600 wurde in der Version vom September 2019 eingeführt. Ein Pod, der vor der Version vom September 2019 bereitgestellt und seitdem nicht aktualisiert wurde, hätte eine Manifestversion von 1493.1 oder früher.
Zusätzlich zu den hier beschriebenen Ports und Protokollen müssen Sie die DNS-Anforderungen erfüllen. Weitere Informationen finden Sie unter DNS-Anforderungen für einen Horizon Cloud-Pod in Microsoft und zugehörige Dienstfunktionen.
Wenn es sich bei Ihrem Pod-Manifest um Version 1600.x oder älter handelt, gelten andere Anforderungen für die Ports und Protokolle. Siehe Horizon Cloud-Pod – Anforderungen für Ports und Protokolle – Manifeste 1600 oder höher.
Ports und Protokolle, die für laufende Vorgänge für einen Pod der Manifestversion erforderlich sind
Zusätzlich zu den DNS-Anforderungen werden die Ports und Protokolle in den folgenden Tabellen benötigt, damit der Pod für den laufenden Betrieb nach der Bereitstellung ordnungsgemäß funktioniert.
vmw-hcs- podID enthält, wobei
podID die UUID des Pods ist, sowie einen
node-Teil.
| Quelle | Ziel | Ports | Protokoll | Zweck |
|---|---|---|---|---|
| Manager-VM | Domänencontroller | 389 | TCP UDP |
LDAP-Dienste. Server, der eine Domänencontrollerrolle in einer Active Directory-Konfiguration enthält. Die Registrierung des Pods bei einem Active Directory ist Voraussetzung. |
| Manager-VM | Globaler Katalog | 3268 | TCP | LDAP-Dienste. Server, der eine globale Katalogrolle in einer Active Directory-Konfiguration enthält. Die Registrierung des Pods bei einem Active Directory ist Voraussetzung. |
| Manager-VM | Domänencontroller | 88 | TCP UDP |
Kerberos Dienstleistungen. Server, der eine Domänencontrollerrolle in einer Active Directory-Konfiguration enthält. Die Registrierung des Pods bei einem Active Directory ist Voraussetzung. |
| Manager-VM | DNS-Server | 53 | TCP UDP |
DNS-Dienste |
| Manager-VM | NTP-Server | 123 | UDP | NTP-Dienste. Server, der die NTP-Zeitsynchronisierung ermöglicht. |
| Manager-VM | Echter SSO-Registrierungsserver | 32111 | TCP | Echter SSO-Registrierungsserver. Optional, wenn Sie keine True SSO-Registrierungsserver-Funktionen mit Ihren Pods verwenden. |
| Manager-VM | Workspace ONE Access-Dienst | 443 | HTTPS |
Hinweis: Diese Zeile gilt für Umgebungen, in denen Einzel-Pod-Brokering konfiguriert ist. Diese Informationen gelten nicht für Umgebungen mit einer Universal Broker-Konfiguration. In einer Umgebung, in der Einzel-Pod-Brokering konfiguriert ist, kommuniziert der
Workspace ONE Access Connector mit einem Pod, um die Endbenutzerberechtigungen (die Zuweisungen) zu erhalten. Die Universal Broker-Funktion ist für Pods des Manifests 2298 und höher verfügbar – nicht aber für ältere Manifeste.
Optional, wenn Sie Workspace ONE Access nicht mit dem Pod integrieren. In einer Umgebung, in der Einzel-Pod-Brokering konfiguriert ist, wird diese Verbindung verwendet, um eine Vertrauensbeziehung zwischen dem Pod und dem Workspace ONE Access-Dienst herzustellen, mit der der Workspace ONE Access Connector mit dem Pod synchronisiert wird. Stellen Sie sicher, dass der Pod die von Ihnen verwendete Workspace ONE Access-Umgebung über Port 443 erreichen kann. Wenn Sie den Workspace ONE Access-Clouddienst verwenden, informieren Sie sich auch im VMware Knowledge Base-Artikel 2149884 in der Liste der Workspace ONE Access-Dienst-IP-Adressen, auf die der Workspace ONE Access Connector und der Pod Zugriff haben müssen. |
| Transiente Jump Box-VM | Manager-VM | 22 | TCP | Wie unter Ports und Protokolle, die bei Pod-Bereitstellungen und -Aktualisierungen für die Pod-Jumpbox erforderlich sind beschrieben, wird eine transiente Jump Box bei den Vorgängen zur Pod-Bereitstellung und Pod-Aktualisierung verwendet. Obwohl die laufenden Prozesse diese Ports nicht benötigen, muss diese Jump-Box-VM während der Vorgänge zur Pod-Bereitstellung und Pod-Aktualisierung mit der Manager-VM des Pods über SSH mit dem Port 22 der Manager-VM kommunizieren. Weitere Informationen zu den Fällen, in denen die Jump-Box-VM diese Kommunikation benötigt, finden Sie unter Ports und Protokolle, die bei Pod-Bereitstellungen und -Aktualisierungen für die Pod-Jumpbox erforderlich sind. |
Welche Ports geöffnet sein müssen, damit der Datenverkehr von den Verbindungen der Endbenutzer die vom Pod bereitgestellten virtuellen Desktops und Remoteanwendungen erreicht, hängt von der Wahl ab, die Sie für die Verbindung Ihrer Endbenutzer treffen:
- Wenn Sie die Option für eine externe Gateway-Konfiguration auswählen, werden automatisch Unified Access Gateway-Instanzen in Ihrer Microsoft Azure-Umgebung bereitgestellt, zusammen mit einer Microsoft Azure-Lastausgleich-Ressource für diese Instanzen im Backend-Pool. Dieser Lastausgleich kommuniziert mit den Netzwerkkarten dieser Instanzen im DMZ-Subnetz und ist als öffentlicher Lastausgleich in Microsoft Azure konfiguriert. Das Diagramm Abbildung der Horizon Cloud-Pod-Architektur für einen Pod mit aktivierter und konfigurierter Hochverfügbarkeit mit der Konfiguration eines externen und eines internen Gateways, wobei das externe Gateways in demselben VNet bereitgestellt wird wie der Pod, drei Netzwerkkarten auf den externen Gateway-VMs, zwei Netzwerkkarten auf den internen Gateway-VMs und eine öffentliche IP-Adresse, die für den Lastausgleich des externen Gateways aktiviert ist zeigt die Position dieses öffentlichen Lastausgleichs und der Unified Access Gateway-Instanzen. Wenn Ihr Pod über diese Konfiguration verfügt, wird der Datenverkehr von Ihren Endbenutzern im Internet an diesen Lastausgleich geleitet, der die Anforderungen an die Unified Access Gateway-Instanzen verteilt. Bei dieser Konfiguration müssen Sie sicherstellen, dass diese Endbenutzerverbindungen diesen Lastausgleich über die unten aufgeführten Ports und Protokolle erreichen können. In einem bereitgestellten Pod befindet sich der Lastausgleich des externen Gateways in der Ressourcengruppe
vmw-hcs-podID-uag, wobei podID die UUID des Pods ist. - Wenn Sie die Option für eine interne Unified Access Gateway-Konfiguration auswählen, werden automatisch Unified Access Gateway-Instanzen in Ihrer Microsoft Azure-Umgebung bereitgestellt, zusammen mit einer Microsoft Azure-Lastausgleich-Ressource für diese Instanzen im Backend-Pool. Dieser Lastausgleich kommuniziert mit den Netzwerkkarten dieser Instanzen im Mandanten-Subnetz und ist als interner Lastausgleich in Microsoft Azure konfiguriert. Das Diagramm Abbildung der Horizon Cloud-Pod-Architektur für einen Pod mit aktivierter und konfigurierter Hochverfügbarkeit mit der Konfiguration eines externen und eines internen Gateways, wobei das externe Gateways in demselben VNet bereitgestellt wird wie der Pod, drei Netzwerkkarten auf den externen Gateway-VMs, zwei Netzwerkkarten auf den internen Gateway-VMs und eine öffentliche IP-Adresse, die für den Lastausgleich des externen Gateways aktiviert ist zeigt die Position dieses internen Lastausgleichs und der Unified Access Gateway-Instanzen. Wenn Ihr Pod über diese Konfiguration verfügt, wird der Datenverkehr von Ihren Endbenutzern in Ihrem Unternehmensnetzwerk an diesen Lastausgleich geleitet, der die Anforderungen an die Unified Access Gateway-Instanzen verteilt. Bei dieser Konfiguration müssen Sie sicherstellen, dass diese Endbenutzerverbindungen diesen Lastausgleich über die unten aufgeführten Ports und Protokolle erreichen können. In einem bereitgestellten Pod befindet sich der Lastausgleich des internen Gateways in der Ressourcengruppe
vmw-hcs-podID-uag-internal, wobei podID die UUID des Pods ist. - Wenn Sie keine der Unified Access Gateway-Konfigurationen auswählen, können sich Ihre Endbenutzer stattdessen direkt mit dem Pod verbinden, z. B. über ein VPN. Für diese Konfiguration laden Sie ein SSL-Zertifikat von der Übersichtsseite des Pods in der Verwaltungskonsole auf die Pod-Manager-VM hoch, wie im Administratorhandbuch für VMware Horizon Cloud Service beschrieben.
Ausführliche Informationen über die verschiedenen Horizon Clients, die Ihre Endbenutzer mit Ihrem Horizon Cloud-Pod verwenden können, finden Sie auf der Horizon Client-Dokumentationsseite unter https://docs.vmware.com/de/VMware-Horizon-Client/index.html.
| Quelle | Ziel | Port | Protokoll | Zweck |
|---|---|---|---|---|
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 443 | TCP | Traffic zur Anmelde-Authentifizierung. Kann auch Client Drive Redirection (CDR), Multimedia Redirection (MMR), USB-Umleitung und getunnelten RDP-Traffic übertragen. SSL (HTTPS-Zugang) ist standardmäßig für Clientverbindungen aktiviert. Port 80 (HTTP-Zugriff) kann in einigen Fällen verwendet werden. Weitere Informationen finden Sie unter dem Thema zum Verständnis der URL-Inhaltsumleitung im Administratorhandbuch für VMware Horizon Cloud Service. |
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 4172 | TCP UDP |
PCoIP über PCoIP Secure Gateway auf Unified Access Gateway |
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 443 | TCP | Blast Extreme über Blast Secure Gateway auf Unified Access Gateway für den Datenverkehr. |
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 443 | UDP | Blast Extreme über das Unified Access Gateway für den Datenverkehr. |
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 8443 | UDP | Blast Extreme über Blast Secure Gateway auf Unified Access Gateway für den Datenverkehr (adaptiver Datenverkehr). |
| Browser | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 443 | TCP | HTML Access |
| Quelle | Ziel | Port | Protokoll | Zweck |
|---|---|---|---|---|
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 443 | TCP | Traffic zur Anmelde-Authentifizierung. Kann auch Client Drive Redirection (CDR), Multimedia Redirection (MMR), USB-Umleitung und getunnelten RDP-Traffic übertragen. SSL (HTTPS-Zugang) ist standardmäßig für Clientverbindungen aktiviert. Port 80 (HTTP-Zugriff) kann in einigen Fällen verwendet werden. Weitere Informationen finden Sie unter dem Thema zum Verständnis der URL-Inhaltsumleitung im Administratorhandbuch für VMware Horizon Cloud Service. |
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 4172 | TCP UDP |
PCoIP über PCoIP Secure Gateway auf Unified Access Gateway |
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 443 | TCP | Blast Extreme über Blast Secure Gateway auf Unified Access Gateway für den Datenverkehr. |
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 443 | UDP | Blast Extreme über das Unified Access Gateway für den Datenverkehr. |
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 8443 | UDP | Blast Extreme über Blast Secure Gateway auf Unified Access Gateway für den Datenverkehr (adaptiver Datenverkehr). |
| Browser | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 443 | TCP | HTML Access |
| Quelle | Ziel | Port | Protokoll | Zweck |
|---|---|---|---|---|
| Horizon Client | Manager-VM | 443 | TCP | Traffic zur Anmelde-Authentifizierung. |
| Horizon Client | Horizon-Agent in den Desktop- oder Farm-Server-VMs | 4172 | TCP UDP |
PCoIP |
| Horizon Client | Horizon-Agent in den Desktop- oder Farm-Server-VMs | 22443 | TCP UDP |
Blast Extreme |
| Horizon Client | Horizon-Agent in den Desktop- oder Farm-Server-VMs | 32111 | TCP | USB-Umleitung |
| Horizon Client | Horizon-Agent in den Desktop- oder Farm-Server-VMs | 9427 | TCP | Client-Drive-Umleitung (CDR) und Multimedia-Umleitung (MMR) |
| Browser | Horizon-Agent in den Desktop- oder Farm-Server-VMs | 443 | TCP | HTML Access |
Für Verbindungen über einen Pod, der mit Unified Access Gateway-Instanzen konfiguriert ist, muss der Datenverkehr von den Unified Access Gateway-Instanzen des Pods zu den Zielen wie in der folgenden Tabelle aufgeführt zugelassen werden. Während der Pod-Bereitstellung wird in Ihrer Microsoft Azure-Umgebung eine Netzwerksicherheitsgruppe (NSG) erstellt, die von der Unified Access Gateway-Software des Pods verwendet wird.
| Quelle | Ziel | Port | Protokoll | Zweck |
|---|---|---|---|---|
| Unified Access Gateway | Manager-VM | 443 | TCP | Traffic zur Anmelde-Authentifizierung. |
| Unified Access Gateway | Horizon-Agent in den Desktop- oder Farm-Server-VMs | 4172 | TCP UDP |
PCoIP |
| Unified Access Gateway | Horizon-Agent in den Desktop- oder Farm-Server-VMs | 22443 | TCP UDP |
Blast Extreme Bei der Verwendung von Blast Extreme wird standardmäßig der CDR-Verkehr (Client Drive Redirection) und der USB-Verkehr über diesen Port geleitet. Wenn Sie es vorziehen, kann der CDR-Verkehr auf den TCP 9427-Port und der USB-Umleitungsverkehr auf den TCP 32111-Port aufgeteilt werden. |
| Unified Access Gateway | Horizon-Agent in den Desktop- oder Farm-Server-VMs | 9427 | TCP | Optional für Client Driver Redirection (CDR) und Multimedia Redirection (MMR) Verkehr. |
| Unified Access Gateway | Horizon-Agent in den Desktop- oder Farm-Server-VMs | 32111 | TCP | Optional für USB-Umleitungsverkehr. |
| Unified Access Gateway | Ihre RADIUS-Instanz | 1812 | UDP | Wenn Sie mit dieser Unified Access Gateway-Konfiguration die RADIUS-Zwei-Faktor-Authentifizierung verwenden. Der Standardwert für RADIUS wird hier angezeigt. |
Die folgenden Ports müssen den Datenverkehr von der Horizon-Agent-bezogenen Software zulassen, die in den Desktop-VMs und Farm-Server-VMs installiert ist.
| Quelle | Ziel | Port | Protokoll | Zweck |
|---|---|---|---|---|
| Horizon-Agent in den Desktop- oder Farm-Server-VMs | Manager-VM | 4001 | TCP | Java Message Service (JMS, Nicht-SSL), der vom Agenten in der VM verwendet wird, wenn der Agent noch nicht mit dem Pod gekoppelt ist. Der Agent kommuniziert mit dem Pod, um die Informationen zu erhalten, die er für die Kopplung mit dem Pod benötigt Nachdem der Agent gekoppelt wurde, verwendet er Port 4002 für die Kommunikation mit dem Pod. |
| Horizon-Agent in den Desktop- oder Farm-Server-VMs | Manager-VM | 4002 | TCP | Java Message Service (JMS, SSL), der vom Agenten für die Kommunikation mit dem Pod verwendet wird, wenn der Agent bereits mit dem Pod gekoppelt ist. |
| FlexEngine-Agent (der Agent für VMware Dynamic Environment Manager) auf den Desktop- oder Farm-Server-VMs | Die Dateifreigaben, die Sie für die Verwendung durch den FlexEngine-Agent eingerichtet haben, der in Desktop- oder Farm-Server-VMs ausgeführt wird. | 445 | TCP | FlexEngine-Agent-Zugriff auf Ihre SMB-Dateifreigaben, wenn Sie die VMware Dynamic Environment Manager-Funktionen verwenden. |
Im Rahmen des Pod-Bereitstellungsvorgangs erstellt der Bereitsteller Netzwerksicherheitsgruppen (NSGs) auf den Netzwerkkarten (NICs) auf allen bereitgestellten VMs. Details zu den in diesen NSGs definierten Regeln finden Sie im Horizon Cloud-Administratorhandbuch.
