Diese Seite ist eine Referenz für alle möglichen Ports und Protokolle, die für die Kommunikation innerhalb einer typischen Horizon Cloud Service on Microsoft Azure-Bereitstellung verwendet werden. Verwenden Sie diese Tabellen, um sicherzustellen, dass Ihre Netzwerkkonfiguration und Firewalls den Kommunikationsdatenverkehr zulassen, der für eine erfolgreiche Pod-Bereitstellung und den täglichen Betrieb erforderlich ist.
Die für Ihre spezielle Bereitstellung erforderlichen Ports und Protokolle hängen teilweise davon ab, welche Funktionen Sie für Ihre Horizon Cloud Service on Microsoft Azure-Bereitstellung auswählen. Wenn Sie eine bestimmte Komponente oder ein bestimmtes Protokoll nicht verwenden möchten, ist der erforderliche Kommunikationsdatenverkehr für Ihre Zwecke nicht erforderlich, und Sie können die mit dieser Komponente verknüpften Ports ignorieren. Beispiel: Wenn Ihre Endbenutzer nur das Blast Extreme-Anzeigeprotokoll verwenden, ist das Zulassen der PCoIP-Ports keine Voraussetzung.
Im Rahmen des Pod-Bereitstellungsvorgangs erstellt der Bereitsteller Netzwerksicherheitsgruppen (NSGs) auf den Netzwerkkarten (NICs) auf allen bereitgestellten VMs. Weitere Informationen zu den in diesen NSGs definierten Regeln finden Sie unter Standardregeln für Netzwerksicherheitsgruppen für die VMs in einem Horizon Cloud-Pod.
Ports und Protokolle, die von Schlüssel-Pod-Komponenten für laufende Vorgänge benötigt werden
Zusätzlich zu den DNS-Anforderungen werden die in den folgenden Tabellen aufgeführten Ports und Protokolle benötigt, damit der Pod nach der Bereitstellung im laufenden Betrieb ordnungsgemäß funktioniert. Einige dieser Tabellen enthalten außerdem Ports und Protokolle, die für bestimmte Szenarien oder bei Aktivierung bestimmter Funktionen auf dem Pod erforderlich sind.
In den nachfolgenden Tabellen bezieht sich der Begriff „Manager-VM“ auf die „Pod-Manager-VM“. Im Microsoft Azure-Portal verfügt diese VM über einen Namen, der einen Teil wie vmw-hcs- podID enthält, wobei podID die UUID des Pods ist, sowie einen node-Teil.
Die Verwendung eines Microsoft Azure-Lastausgleichsdiensts mit Pod-Manager-VMs durch das System startete mit der Dienstversion vom September 2019 ab Manifest 1600. Daher verfügen alle Pods, die ab Manifest 1600 neu bereitgestellt werden, über einen Microsoft Azure-Pod-Lastausgleichsdienst. Pods, die zuerst vor dem Manifest 1600 bereitgestellt und anschließend auf spätere Manifeste aktualisiert wurden, verfügen auch über einen Microsoft Azure-Pod-Lastausgleichsdienst. Die Tabellenzeilen, in denen der Lastausgleichsdienst des Pods erwähnt wird, gelten für alle diese Pods.
| Quelle | Ziel | Ports | Protokoll | Zweck |
|---|---|---|---|---|
| Manager-VM | Andere Manager-VM des Pods | 4101 | TCP | Für einen Pod, für den die Hochverfügbarkeit aktiviert ist, handelt es sich bei diesem Datenverkehr um eine JMS-Weiterleitung zwischen den Manager-VMs. |
| Manager-VM | Unified Access Gateway-VMs | 9443 | HTTPS | Dieser Port wird von der Pod Manager-VM über das Verwaltungssubnetz verwendet, um die Einstellungen in der Unified Access Gateway-Konfiguration des Pods zu konfigurieren. Diese Portanforderung gilt, wenn Sie einen Pod anfänglich mit einer Unified Access Gateway-Konfiguration bereitstellen und wenn Sie einen Pod dahingehend bearbeiten, dass Sie eine Unified Access Gateway-Konfiguration hinzufügen oder Einstellungen für diese Unified Access Gateway-Konfiguration aktualisieren. |
| Microsoft Azure-Pod-Lastausgleich | Manager-VM | 8080 | HTTP | Integritätsprüfungen der VMs im Backend-Pool des Lastausgleichs. Wenn die Hochverfügbarkeit für einen Pod in der Manifest-Version dieser Version nicht aktiviert ist, verfügt der Lastausgleich für Überprüfungen über eine Manager-VM im Backend-Pool. |
| Manager-VM | Domänencontroller | 389 | TCP UDP |
LDAP-Dienste. Server, der eine Domänencontrollerrolle in einer Active Directory-Konfiguration enthält. Die Registrierung des Pods bei einem Active Directory ist Voraussetzung. |
| Manager-VM | Globaler Katalog | 3268 | TCP | LDAP-Dienste. Server, der eine globale Katalogrolle in einer Active Directory-Konfiguration enthält. Die Registrierung des Pods bei einem Active Directory ist Voraussetzung. |
| Manager-VM | Domänencontroller | 88 | TCP UDP |
Kerberos Dienstleistungen. Server, der eine Domänencontrollerrolle in einer Active Directory-Konfiguration enthält. Die Registrierung des Pods bei einem Active Directory ist Voraussetzung. |
| Manager-VM | DNS-Server | 53 | TCP UDP |
DNS-Dienste |
| Manager-VM | NTP-Server | 123 | UDP | NTP-Dienste. Server, der die NTP-Zeitsynchronisierung ermöglicht. |
| Manager-VM | Echter SSO-Registrierungsserver | 32111 | TCP | Echter SSO-Registrierungsserver. Optional, wenn Sie keine True SSO-Registrierungsserver-Funktionen mit Ihren Pods verwenden. |
| Manager-VM | Workspace ONE Access-Dienst | 443 | HTTPS |
Hinweis: Diese Zeile gilt für Umgebungen, in denen Einzel-Pod-Brokering konfiguriert ist. Diese Informationen gelten nicht für Umgebungen mit einer Universal Broker-Konfiguration. In einer Umgebung, in der Einzel-Pod-Brokering konfiguriert ist, kommuniziert der
Workspace ONE Access Connector mit einem Pod, um die Endbenutzerberechtigungen (die Zuweisungen) zu erhalten.
Optional, wenn Sie Workspace ONE Access nicht mit dem Pod integrieren. In einer Umgebung, in der Einzel-Pod-Brokering konfiguriert ist, wird diese Verbindung verwendet, um eine Vertrauensbeziehung zwischen dem Pod und dem Workspace ONE Access-Dienst herzustellen, mit der der Workspace ONE Access Connector mit dem Pod synchronisiert wird. Stellen Sie sicher, dass der Pod die von Ihnen verwendete Workspace ONE Access-Umgebung über Port 443 erreichen kann. Wenn Sie den Workspace ONE Access-Clouddienst verwenden, informieren Sie sich auch im VMware Knowledge Base-Artikel 2149884 in der Liste der Workspace ONE Access-Dienst-IP-Adressen, auf die der Workspace ONE Access Connector und der Pod Zugriff haben müssen. |
| Transiente Jump Box-VM | Manager-VM | 22 | TCP | Wie zuvor unter Ports und Protokolle, die bei Pod-Bereitstellungen und -Aktualisierungen für die Pod-Jumpbox erforderlich sind beschrieben, wird eine transiente Jump Box bei den Vorgängen zur Pod-Bereitstellung und Pod-Aktualisierung verwendet. Obwohl die laufenden Prozesse diese Ports nicht benötigen, muss diese Jump-Box-VM während der Vorgänge zur Pod-Bereitstellung und Pod-Aktualisierung mit den Manager-VMs über SSH mit dem Port 22 der Manager-VMs kommunizieren. Weitere Informationen zu den Fällen, in denen die Jump-Box-VM diese Kommunikation benötigt, finden Sie unter Ports und Protokolle, die bei Pod-Bereitstellungen und -Aktualisierungen für die Pod-Jumpbox erforderlich sind.
Hinweis: Ein Pod, der sich auf Manifestversion 1600 oder höher befindet und für den die Hochverfügbarkeit aktiviert ist, verfügt über zwei Manager-VMs. Der vorangehende Absatz verwendet den Plural „VMs“, um anzugeben, dass die Jump-Box-VM mit allen Pod-Manager-VMs kommunizieren muss, unabhängig davon, ob der Pod über eine oder zwei Manager-VMs verfügt.
|
| Transiente Jump Box-VM | Unified Access Gateway-VMs | 9443 | HTTPS | Dieser Port wird von der Jump Box-VM über das Verwaltungssubnetz verwendet, um die Einstellungen in der Unified Access Gateway-Konfiguration des Pods zu konfigurieren. Diese Portanforderung gilt, wenn Sie einen Pod anfänglich mit einer Unified Access Gateway-Konfiguration bereitstellen und wenn Sie einen Pod dahingehend bearbeiten, dass Sie einem Pod eine Unified Access Gateway-Konfiguration hinzufügen. |
Ports und Protokollanforderungen für Connector-VMs des Gateways
Diese Tabelle gilt für die Connector-VM des Gateways, die verwendet wird, wenn Sie das externe Gateway in einem separaten VNet bereitgestellt haben. Zusätzlich zu den DNS-Anforderungen werden die Ports und Protokolle in der folgenden Tabelle benötigt, damit das externe Gateway für den laufenden Betrieb nach der Bereitstellung ordnungsgemäß funktioniert.
In der folgenden Tabelle bezieht sich der Begriff „Connector-VM“ auf die Connector-VM des Gateways, die die Verbindung zwischen der Cloud-Verwaltungsebene und dem externen Gateway verwaltet. Im Microsoft Azure-Portal verfügt diese VM über einen Namen, der einen Teil wie vmw-hcs-ID enthält (wobei ID die ID des Gateway-Bereitstellers ist), sowie einen node-Teil.
| Quelle | Ziel | Ports | Protokoll | Zweck |
|---|---|---|---|---|
| Connector-VM | DNS-Server | 53 | TCP UDP |
DNS-Dienste |
| Connector-VM | NTP-Server | 123 | UDP | NTP-Dienste. Server, der die NTP-Zeitsynchronisierung ermöglicht. |
| Transiente Jump Box-VM | Connector-VM | 22 | TCP | Wie oben unter Ports und Protokolle, die bei Pod-Bereitstellungen und -Aktualisierungen für die Pod-Jumpbox erforderlich sind beschrieben, wird bei den Prozessen zur Bereitstellung und Aktualisierung des externen Gateways eine temporäre Jumpbox verwendet. Obwohl die laufenden Prozesse diese Ports nicht benötigen, muss diese Jumpbox-VM während der Bereitstellungs- und Aktualisierungsprozesse mit der Connector-VM kommunizieren. Dabei verwendet sie SSH und den Port 22 der Connector-VM. |
VM-Ports und Protokollanforderungen für Unified Access Gateway
Zusätzlich zum DNS und den oben genannten primären Ports und Protokollanforderungen beziehen sich die Ports und Protokolle in den folgenden Tabellen auf die Gateways, die Sie auf dem Pod konfiguriert haben, um den ordnungsgemäßen Betrieb bei laufenden Prozessen nach der Bereitstellung zu gewährleisten.
Für Verbindungen über einen Pod mit aktivierter Hochverfügbarkeit, der mit Unified Access Gateway-Instanzen konfiguriert ist, muss der Datenverkehr von den Unified Access Gateway-Instanzen des Pods zu den Zielen wie in der folgenden Tabelle aufgeführt zugelassen werden. Während der Pod-Bereitstellung wird in Ihrer Microsoft Azure-Umgebung eine Netzwerksicherheitsgruppe (NSG) erstellt, die von der Unified Access Gateway-Instanzen des Pods verwendet wird.
| Quelle | Ziel | Port | Protokoll | Zweck |
|---|---|---|---|---|
| Unified Access Gateway | Microsoft Azure-Pod-Lastausgleich | 8443 | TCP | Traffic zur Anmelde-Authentifizierung. Der Datenverkehr von den Unified Access Gateway-Instanzen erreicht die Manager-VM des Pods über den Lastausgleich des Pods. |
| Unified Access Gateway | Horizon Agent in den Desktop- oder Farm-RDSH-VMs | 4172 | TCP UDP |
PCoIP |
| Unified Access Gateway | Horizon Agent in den Desktop- oder Farm-RDSH-VMs | 22443 | TCP UDP |
Blast Extreme Bei der Verwendung von Blast Extreme wird standardmäßig der CDR-Verkehr (Client Drive Redirection) und der USB-Verkehr über diesen Port geleitet. Wenn Sie es vorziehen, kann der CDR-Verkehr auf den TCP 9427-Port und der USB-Umleitungsverkehr auf den TCP 32111-Port aufgeteilt werden. |
| Unified Access Gateway | Horizon Agent in den Desktop- oder Farm-RDSH-VMs | 9427 | TCP | Optional für Client Driver Redirection (CDR) und Multimedia Redirection (MMR) Verkehr. |
| Unified Access Gateway | Horizon Agent in den Desktop- oder Farm-RDSH-VMs | 32111 | TCP | Optional für USB-Umleitungsverkehr. |
| Unified Access Gateway | Ihre RADIUS-Instanz | 1812 | UDP | Wenn Sie mit dieser Unified Access Gateway-Konfiguration die RADIUS-Zwei-Faktor-Authentifizierung verwenden. Der Standardwert für RADIUS wird hier angezeigt. |
Für Universal Broker erforderliche Ports und Protokolle
Um die Verwendung von Universal Broker für das Brokering von Endbenutzerzuweisungen von einem Pod zu unterstützen, müssen Sie Port 443 wie in der folgenden Tabelle beschrieben konfigurieren. Der aktive Pod-Manager stellt eine persistente WebSocket-Verbindung mit dem Universal Broker-Dienst über Port 443 her und empfängt Verbindungsanforderungen vom Universal Broker-Dienst über einen zufällig ausgewählten Port.
| Quelle | Quellport | Ziel | Zielport | Protokoll | Zweck |
|---|---|---|---|---|---|
| Aktiver Pod-Manager | Zufällig aus verfügbaren Ports ausgewählt | Universal Broker-Dienst | 443 | Anfangs HTTPS, dann WebSocket | Stellt eine persistente WebSocket-Verbindung mit dem Universal Broker-Dienst her |
Für die Virtuelle Horizon Edge-Appliance erforderliche Ports und Protokolle
Wenn Sie Horizon-Infrastrukturüberwachung für einen Pod aktivieren, wird die Virtuelle Horizon Edge-Appliance im Abonnement des Pods bereitgestellt und konfiguriert. Die Appliance verfügt über eine einzelne Netzwerkkarte im Verwaltungssubnetz des Pods, auf der automatisch eine NSG wird. Die NSG-Regel legt den zulässigen, ein- und ausgehenden Datenverkehr der Appliance fest. Die folgende Tabelle enthält Ports und Protokolle, die von dieser NSG während des Aktivierungsvorgangs benötigt werden. Wenn die Appliance bereitgestellt wird, konfiguriert sie die VMs für Pod-Manager-VMs so, dass sie die vorgesehenen Überwachungsdaten der Komponenten erfassen. Diese Tabelle enthält außerdem Ports und Protokolle, die benötigt werden, während die Appliance mit Vorgängen im stabilen Zustand die Daten erfasst, für deren Erfassung sie in dieser aktuellen Dienstversion vorgesehen ist.
| Quelle | Ziel | Ports | Protokoll | Zweck |
|---|---|---|---|---|
| Virtuelle Horizon Edge-Appliance | DNS-Server | 53 | TCP | DNS-Dienste |
| Virtuelle Horizon Edge-Appliance | Pod-Manager-VMs | 9172 | Beliebig | In Vorgängen mit stabilem Zustand über das Verwaltungssubnetz, damit die Appliance die Überwachungsdaten erfasst, für deren Erfassung sie vorgesehen ist. |
| Virtuelle Horizon Edge-Appliance | Cloud-Steuerungsebene | 443 | TCP | In Vorgängen mit stabilem Zustand über das Verwaltungssubnetz, damit die Appliance die Überwachungsdaten an die Cloud-Steuerungsebene überträgt. Dieser Port wird während der Bereitstellung der Appliance außerdem verwendet, um bestimmte extern gespeicherte Softwarekomponenten herunterzuladen, wie die Microsoft Azure CLI-Software, die erforderlich ist, damit die Appliance die Konfiguration der Pod-Manager-VMs zur Erfassung der Überwachungsdaten durchführen kann. |
| Virtuelle Horizon Edge-Appliance | Pod-Manager-VMs | 4002 | TCP | In Vorgängen mit stabilem Zustand über das Verwaltungssubnetz, damit die Appliance die Überwachungsdaten erfasst, für deren Erfassung sie vorgesehen ist. |
Port- und Protokollanforderungen für Datenverkehr über Endbenutzerverbindungen
Ausführliche Informationen über die verschiedenen Horizon Clients, die Ihre Endbenutzer mit Ihrem Horizon Cloud-Pod verwenden können, finden Sie auf der Horizon Client-Dokumentationsseite unter https://docs.vmware.com/de/VMware-Horizon-Client/index.html. Welche Ports geöffnet sein müssen, damit der Datenverkehr von den Verbindungen der Endbenutzer die vom Pod bereitgestellten virtuellen Desktops und Remoteanwendungen erreicht, hängt von der Wahl ab, die Sie für die Verbindung Ihrer Endbenutzer treffen:
- Bei Auswahl der Bereitstelleroption für die Verwendung einer Konfiguration mit externem Gateway im eigenen VNet des Pods
-
Der Bereitsteller stellt
Unified Access Gateway-Instanzen in Ihrer Microsoft Azure-Umgebung zusammen mit einer
Microsoft Azure-Lastausgleichsressource für diese Instanzen im Backend-Pool dieses Lastausgleichsdiensts bereit. Dieser Lastausgleich kommuniziert mit den Netzwerkkarten dieser Instanzen im DMZ-Subnetz und ist als
öffentlicher Lastausgleich in Microsoft Azure konfiguriert.
Das Diagramm Abbildung der Horizon Cloud-Pod-Architektur für einen Pod mit aktivierter und konfigurierter Hochverfügbarkeit mit der Konfiguration eines externen und eines internen Gateways, wobei das externe Gateways in demselben VNet bereitgestellt wird wie der Pod, drei Netzwerkkarten auf den externen Gateway-VMs, zwei Netzwerkkarten auf den internen Gateway-VMs und eine öffentliche IP-Adresse, die für den Lastausgleich des externen Gateways aktiviert ist zeigt die Position dieses öffentlichen Lastausgleichs und der Unified Access Gateway-Instanzen. Wenn Ihr Pod über diese Konfiguration verfügt, wird der Datenverkehr von Ihren Endbenutzern im Internet an diesen Lastausgleich geleitet, der die Anforderungen an die Unified Access Gateway-Instanzen verteilt. Bei dieser Konfiguration müssen Sie sicherstellen, dass diese Endbenutzerverbindungen diesen Lastausgleich über die unten aufgeführten Ports und Protokolle erreichen können. Nach der Bereitstellung befindet sich der Lastausgleichsdienst des externen Gateways in der Ressourcengruppe mit dem Namen
vmw-hcs-podID-uag, wobei podID die UUID des Pods ist. - Bei Auswahl der Bereitstelleroption für die Verwendung einer internen Unified Access Gateway-Konfiguration
-
Eine Konfiguration mit internem Gateway wird standardmäßig im eigenen VNet des Pods bereitgestellt. Der Bereitsteller stellt
Unified Access Gateway-Instanzen in Ihrer Microsoft Azure-Umgebung zusammen mit einer
Microsoft Azure-Lastausgleichsressource für diese Instanzen in deren Backend-Pool bereit. Dieser Lastausgleich kommuniziert mit den Netzwerkkarten dieser Instanzen im Mandanten-Subnetz und ist als
interner Lastausgleich in Microsoft Azure konfiguriert.
Das Diagramm Abbildung der Horizon Cloud-Pod-Architektur für einen Pod mit aktivierter und konfigurierter Hochverfügbarkeit mit der Konfiguration eines externen und eines internen Gateways, wobei das externe Gateways in demselben VNet bereitgestellt wird wie der Pod, drei Netzwerkkarten auf den externen Gateway-VMs, zwei Netzwerkkarten auf den internen Gateway-VMs und eine öffentliche IP-Adresse, die für den Lastausgleich des externen Gateways aktiviert ist zeigt die Position dieses internen Lastausgleichs und der Unified Access Gateway-Instanzen. Wenn Ihr Pod über diese Konfiguration verfügt, wird der Datenverkehr von Ihren Endbenutzern in Ihrem Unternehmensnetzwerk an diesen Lastausgleich geleitet, der die Anforderungen an die Unified Access Gateway-Instanzen verteilt. Bei dieser Konfiguration müssen Sie sicherstellen, dass diese Endbenutzerverbindungen diesen Lastausgleich über die unten aufgeführten Ports und Protokolle erreichen können. Nach der Bereitstellung befindet sich der Lastausgleichsdienst des internen Gateways in der Ressourcengruppe mit dem Namen
vmw-hcs-podID-uag-internal, wobei podID die UUID des Pods ist. - Bei Auswahl der Bereitstelleroption entweder für eine Konfiguration mit externem Gateway im eigenen VNet statt im VNet der Pods oder für die Verwendung des eigenen Abonnements (wobei es sich um einen Sonderfall der Verwendung des eigenen VNet handelt, das VNets keine Abonnements umfassen)
-
Der Bereitsteller stellt
Unified Access Gateway-Instanzen in Ihrer Microsoft Azure-Umgebung zusammen mit einer
Microsoft Azure-Lastausgleichsressource für diese Instanzen im Backend-Pool dieses Lastausgleichsdiensts bereit. Dieser Lastausgleich kommuniziert mit den Netzwerkkarten dieser Instanzen im DMZ-Subnetz und ist als
öffentlicher Lastausgleich in Microsoft Azure konfiguriert.
Das Diagramm Veranschaulichung der Elemente der Architektur des externen Gateways, wenn das externe Gateway in einem eigenen, vom VNet des Pods getrennten VNet bereitgestellt wird zeigt den Standort dieses öffentlichen Lastausgleichsdiensts und der Unified Access Gateway-Instanzen im eigenen VNet des Gateways. Wenn Ihr Pod über diese Konfiguration verfügt, wird der Datenverkehr von Ihren Endbenutzern im Internet an diesen Lastausgleich geleitet, der die Anforderungen an die Unified Access Gateway-Instanzen verteilt. Bei dieser Konfiguration müssen Sie sicherstellen, dass diese Endbenutzerverbindungen diesen Lastausgleich über die unten aufgeführten Ports und Protokolle erreichen können. Nach der Bereitstellung befindet sich der Lastausgleichsdienst des externen Gateways in der Ressourcengruppe mit dem Namen
vmw-hcs-ID-uag, wobei ID der Wert ist, der im Feld Bereitsteller-ID auf der Detailseite des Pods angezeigt wird. Wie im Administratorhandbuch beschrieben, gelangen Sie über die Seite „Kapazität“ der Konsole zur Detailseite des Pods. - Wenn auf dem Pod keine Unified Access Gateway-Konfigurationen vorhanden sind
-
Hinweis: Für Produktionsumgebungen, in denen der Mandant für die Verwendung von Einzel-Pod-Brokering konfiguriert ist, empfiehlt es sich, für interne Endbenutzerverbindungen eine interne Unified Access Gateway-Gateway-Konfiguration auf dem Pod zu verwenden. Diese Verbindungen gehen im Einzel-Pod-Brokering-Szenario zu dieser Gateway-Konfiguration über.In einer Konfiguration mit Einzel-Pod-Brokering, in der Workspace ONE Access mit dem Pod integriert ist, müssen sich Ihre Endbenutzer in der Regel über Workspace ONE Access verbinden. In diesem Szenario müssen Sie Workspace ONE Access konfigurieren und der Workspace ONE Access Connector muss direkt auf den Pod verweisen. Ihre Endbenutzer stellen mithilfe von Workspace ONE Access eine Verbindung zu ihren vom Pod bereitgestellten Ressourcen her. Für diese Konfiguration laden Sie ein SSL-Zertifikat von der Übersichtsseite des Pods in der Konsole auf die Pod-Manager-VMs hoch, wie im Administratorhandbuch für VMware Horizon Cloud Service beschrieben. Anschließend führen Sie die Schritte zur Integration von Workspace ONE Access in den Pod aus.
| Quelle | Ziel | Port | Protokoll | Zweck |
|---|---|---|---|---|
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 443 | TCP | Traffic zur Anmelde-Authentifizierung. Kann auch Client Drive Redirection (CDR), Multimedia Redirection (MMR), USB-Umleitung und getunnelten RDP-Traffic übertragen. SSL (HTTPS-Zugang) ist standardmäßig für Clientverbindungen aktiviert. Port 80 (HTTP-Zugriff) kann in einigen Fällen verwendet werden. |
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 4172 | TCP UDP |
PCoIP über PCoIP Secure Gateway auf Unified Access Gateway |
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 8443 oder 443, je nachdem, was in Ihrer Bereitstellung festgelegt ist | TCP | Blast Extreme über Blast Secure Gateway auf Unified Access Gateway für den Datenverkehr von als Horizon Client. Für einen Horizon Cloud-Pod wird dieser Port über das Menü Blast Extreme TCP-Port im Bereitstellungsassistenten ausgewählt. Stellen Sie sicher, dass Ihr Netzwerk den Clients den ausgehenden Zugriff auf den von Ihnen für das externe Gateway angegebenen ermöglicht. Diese URL wird von den Clients verwendet, um die Horizon Blast-Sitzung mit den Unified Access Gateway-Instanzen über den Lastausgleichsdienst einzurichten, der sich vor diesen Instanzen befindet. Ab der Dienstversion vom Oktober 2021 bietet der Bereitsteller für neue Bereitstellungen einer Gateway-Konfiguration die Möglichkeit, entweder 8443 oder 443 für den Blast Extreme-TCP-Port auszuwählen, den der Bereitsteller in der entsprechenden Unified Access Gateway-Konfiguration konfiguriert. Zuvor konfigurierte der Bereitsteller standardmäßig 443, ohne eine Wahlmöglichkeit zu bieten. Wenn Ihre Gateway-Konfiguration vor dem Datum der Dienstversion vom Oktober 2021 bereitgestellt wurde, ist in der Konfiguration in der Unified Access Gateway-Verwaltungseinstellung normalerweise der Port 443 im Feld Externe Blast-URL festgelegt.
Hinweis: Port 8443 wird bevorzugt, da er effizienter ist, eine bessere Leistung bietet und weniger Ressourcen auf den
Unified Access Gateway-Instanzen verwendet. Port 443 ist weniger effizient und weniger leistungsfähig. Die Verwendung von Port 443 führt zu einer Überlastung der CPU in den Instanzen. Port 443 würde in Ihrer Bereitstellung nur dann verwendet werden, wenn Ihre Organisation clientseitige Beschränkungen festgelegt hat, z. B. wenn Ihre Organisation nur 443 für ausgehende Verbindungen zulässt und nicht 8443.
|
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 443 | UDP | Blast Extreme über das Unified Access Gateway für den Datenverkehr. |
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 8443 | UDP | Blast Extreme über Blast Secure Gateway auf Unified Access Gateway für den Datenverkehr (adaptiver Datenverkehr). |
| Browser | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 443 | TCP | Traffic zur Anmelde-Authentifizierung. Kann auch Client Drive Redirection (CDR), Multimedia Redirection (MMR), USB-Umleitung und getunnelten RDP-Traffic übertragen. SSL (HTTPS-Zugang) ist standardmäßig für Clientverbindungen aktiviert. Port 80 (HTTP-Zugriff) kann in einigen Fällen verwendet werden. |
| Browser | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 8443 oder 443, je nachdem, was in Ihrer Bereitstellung festgelegt wurde | TCP | Blast Extreme über Blast Secure Gateway auf Unified Access Gateway für den Datenverkehr vom Horizon HTML Access-Client (Webclient). Für einen Horizon Cloud-Pod wird dieser Port über das Menü Blast Extreme TCP-Port im Bereitstellungsassistenten ausgewählt. Stellen Sie sicher, dass Ihr Netzwerk den Clients den ausgehenden Zugriff auf den von Ihnen für das externe Gateway angegebenen ermöglicht. Diese URL wird vom Horizon HTML Access-Client im Browser verwendet, um die Horizon Blast-Sitzung für die Unified Access Gateway-Instanzen über den Lastausgleichsdienst einzurichten, der sich vor diesen Instanzen befindet. Ab der Dienstversion vom Oktober 2021 bietet der Bereitsteller für neue Bereitstellungen einer Gateway-Konfiguration die Möglichkeit, entweder 8443 oder 443 für den Blast Extreme-TCP-Port auszuwählen, den der Bereitsteller in der entsprechenden Unified Access Gateway-Konfiguration konfiguriert. Zuvor konfigurierte der Bereitsteller standardmäßig 443, ohne eine Wahlmöglichkeit zu bieten. Wenn Ihre Gateway-Konfiguration vor dem Datum der Dienstversion vom Oktober 2021 bereitgestellt wurde, ist in der Konfiguration in der Unified Access Gateway-Verwaltungseinstellung normalerweise der Port 443 im Feld Externe Blast-URL festgelegt.
Hinweis: Port 8443 wird bevorzugt, da er effizienter ist, eine bessere Leistung bietet und weniger Ressourcen auf den
Unified Access Gateway-Instanzen verwendet. Port 443 ist weniger effizient und weniger leistungsfähig. Die Verwendung von Port 443 führt zu einer Überlastung der CPU in den Instanzen. Port 443 würde in Ihrer Bereitstellung nur dann verwendet werden, wenn Ihre Organisation clientseitige Beschränkungen festgelegt hat, z. B. wenn Ihre Organisation nur 443 für ausgehende Verbindungen zulässt und nicht 8443.
|
| Quelle | Ziel | Port | Protokoll | Zweck |
|---|---|---|---|---|
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 443 | TCP | Traffic zur Anmelde-Authentifizierung. Kann auch Client Drive Redirection (CDR), Multimedia Redirection (MMR), USB-Umleitung und getunnelten RDP-Traffic übertragen. SSL (HTTPS-Zugang) ist standardmäßig für Clientverbindungen aktiviert. Port 80 (HTTP-Zugriff) kann in einigen Fällen verwendet werden. Weitere Informationen finden Sie unter dem Thema zum Verständnis der URL-Inhaltsumleitung im Administratorhandbuch für VMware Horizon Cloud Service. |
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 4172 | TCP UDP |
PCoIP über PCoIP Secure Gateway auf Unified Access Gateway |
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 8443 oder 443, je nachdem, was in Ihrer Bereitstellung festgelegt wurde | TCP | Blast Extreme über Blast Secure Gateway auf Unified Access Gateway für den Datenverkehr von als Horizon Client. Für einen Horizon Cloud-Pod wird dieser Port über das Menü Blast Extreme TCP-Port im Bereitstellungsassistenten ausgewählt. Stellen Sie sicher, dass Ihr Netzwerk den Clients den ausgehenden Zugriff auf den von Ihnen für das externe Gateway angegebenen ermöglicht. Diese URL wird von den Clients verwendet, um die Horizon Blast-Sitzung mit den Unified Access Gateway-Instanzen über den Lastausgleichsdienst einzurichten, der sich vor diesen Instanzen befindet. Ab der Dienstversion vom Oktober 2021 bietet der Bereitsteller für neue Bereitstellungen einer Gateway-Konfiguration die Möglichkeit, entweder 8443 oder 443 für den Blast Extreme-TCP-Port auszuwählen, den der Bereitsteller in der entsprechenden Unified Access Gateway-Konfiguration konfiguriert. Zuvor konfigurierte der Bereitsteller standardmäßig 443, ohne eine Wahlmöglichkeit zu bieten. Wenn Ihre Gateway-Konfiguration vor dem Datum der Dienstversion vom Oktober 2021 bereitgestellt wurde, ist in der Konfiguration in der Unified Access Gateway-Verwaltungseinstellung normalerweise der Port 443 im Feld Externe Blast-URL festgelegt.
Hinweis: Port 8443 wird bevorzugt, da er effizienter ist, eine bessere Leistung bietet und weniger Ressourcen auf den
Unified Access Gateway-Instanzen verwendet. Port 443 ist weniger effizient und weniger leistungsfähig. Die Verwendung von Port 443 führt zu einer Überlastung der CPU in den Instanzen. Port 443 würde in Ihrer Bereitstellung nur dann verwendet werden, wenn Ihre Organisation clientseitige Beschränkungen festgelegt hat, z. B. wenn Ihre Organisation nur 443 für ausgehende Verbindungen zulässt und nicht 8443.
|
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 443 | UDP | Blast Extreme über das Unified Access Gateway für den Datenverkehr. |
| Horizon Client | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 8443 | UDP | Blast Extreme über Blast Secure Gateway auf Unified Access Gateway für den Datenverkehr (adaptiver Datenverkehr). |
| Browser | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 443 | TCP | Traffic zur Anmelde-Authentifizierung. Kann auch Client Drive Redirection (CDR), Multimedia Redirection (MMR), USB-Umleitung und getunnelten RDP-Traffic übertragen. SSL (HTTPS-Zugang) ist standardmäßig für Clientverbindungen aktiviert. Port 80 (HTTP-Zugriff) kann in einigen Fällen verwendet werden. |
| Browser | Microsoft Azure-Lastausgleich für diese Unified Access Gateway-Instanzen | 8443 oder 443, je nachdem, was in Ihrer Bereitstellung festgelegt wurde | TCP | Blast Extreme über Blast Secure Gateway auf Unified Access Gateway für den Datenverkehr vom Horizon HTML Access-Client (Webclient). Für einen Horizon Cloud-Pod wird dieser Port über das Menü Blast Extreme TCP-Port im Bereitstellungsassistenten ausgewählt. Stellen Sie sicher, dass Ihr Netzwerk den Clients den ausgehenden Zugriff auf den von Ihnen für das externe Gateway angegebenen ermöglicht. Diese URL wird vom Horizon HTML Access-Client im Browser verwendet, um die Horizon Blast-Sitzung für die Unified Access Gateway-Instanzen über den Lastausgleichsdienst einzurichten, der sich vor diesen Instanzen befindet. Ab der Dienstversion vom Oktober 2021 bietet der Bereitsteller für neue Bereitstellungen einer Gateway-Konfiguration die Möglichkeit, entweder 8443 oder 443 für den Blast Extreme-TCP-Port auszuwählen, den der Bereitsteller in der entsprechenden Unified Access Gateway-Konfiguration konfiguriert. Zuvor konfigurierte der Bereitsteller standardmäßig 443, ohne eine Wahlmöglichkeit zu bieten. Wenn Ihre Gateway-Konfiguration vor dem Datum der Dienstversion vom Oktober 2021 bereitgestellt wurde, ist in der Konfiguration in der Unified Access Gateway-Verwaltungseinstellung normalerweise der Port 443 im Feld Externe Blast-URL festgelegt.
Hinweis: Port 8443 wird bevorzugt, da er effizienter ist, eine bessere Leistung bietet und weniger Ressourcen auf den
Unified Access Gateway-Instanzen verwendet. Port 443 ist weniger effizient und weniger leistungsfähig. Die Verwendung von Port 443 führt zu einer Überlastung der CPU in den Instanzen. Port 443 würde in Ihrer Bereitstellung nur dann verwendet werden, wenn Ihre Organisation clientseitige Beschränkungen festgelegt hat, z. B. wenn Ihre Organisation nur 443 für ausgehende Verbindungen zulässt und nicht 8443.
|
| Quelle | Ziel | Port | Protokoll | Zweck |
|---|---|---|---|---|
| Horizon Client | Microsoft Azure-Pod-Lastausgleich | 443 | TCP | Traffic zur Anmelde-Authentifizierung. Der Datenverkehr von den Clients erreicht die Manager-VMs des Pods über den Lastausgleich des Pods. |
| Horizon Client | Horizon Agent in den Desktop- oder Farm-RDSH-VMs | 4172 | TCP UDP |
PCoIP |
| Horizon Client | Horizon Agent in den Desktop- oder Farm-RDSH-VMs | 22443 | TCP UDP |
Blast Extreme |
| Horizon Client | Horizon Agent in den Desktop- oder Farm-RDSH-VMs | 32111 | TCP | USB-Umleitung |
| Horizon Client | Horizon Agent in den Desktop- oder Farm-RDSH-VMs | 9427 | TCP | Client-Drive-Umleitung (CDR) und Multimedia-Umleitung (MMR) |
| Browser | Horizon Agent in den Desktop- oder Farm-RDSH-VMs | 443 | TCP | HTML Access |
Anforderungen an Port und Protokolle für den Datenverkehr von in der Basis-VM installierten Agents, in VDI-Desktop-VMs und Farm-RDSH-VMs
Die folgenden Ports müssen den Datenverkehr zwischen der in den Basis-VMs, Desktop-VMs und Farm-RDSH-VMs installierten Agent-bezogenen Software und den Manager-VMs des Pods zulassen.
| Quelle | Ziel | Port | Protokoll | Zweck |
|---|---|---|---|---|
| Horizon Agent in der Basis-Import-VM, in Golden Images, Desktop-VMs, Farm-RDSH-VMs | Manager-VM | 4001 | TCP | Java Message Service (JMS, Nicht-SSL), der vom Agenten in der VM zur Kommunikation mit dem Pod als Teil der Verifizierung des Zertifikatfingerabdrucks und zum Austausch verwendet wird, um eine SSL-Verbindung mit dem Pod zu sichern. Nachdem die Schlüssel ausgehandelt und zwischen der VM und dem Pod-Manager ausgetauscht wurden, verwendet der Agent Port 4002, um eine gesicherte SSL-Verbindung zu erstellen. Beispielsweise erfordert die Aktion Agentenpaarung zurücksetzen auf der Seite „Importierte VMs“ die Kommunikation über Port 4001 für den Workflow zur Agentenpaarbildung zwischen der Basis-Import-VM und dem Pod.
Hinweis: Die beiden Ports 4001 und 4002 sind für Vorgänge mit einem stabilen Zustand erforderlich. Es gibt Zeiten, in denen der Agent möglicherweise eine erneute Schlüsselerstellung für den Pod benötigt, sodass Port 4001 offen gehalten werden muss.
|
| Horizon Agent in der Basis-Import-VM, die Golden Images, Desktop-VMs, Farm-RDSH-VMs | Manager-VM | 4002 | TCP | Java Message Service (JMS, SSL), der vom Agenten in diesen VMs verwendet wird, um über eine gesicherte SSL-Verbindung mit dem Pod zu kommunizieren. |
| FlexEngine-Agent (der Agent für VMware Dynamic Environment Manager) auf den Desktop- oder Farm-RDSH-VMs | Die Dateifreigaben, die Sie für die Verwendung durch den FlexEngine-Agent eingerichtet haben, der in Desktop- oder Farm-RDSH-VMs ausgeführt wird | 445 | TCP | FlexEngine-Agent-Zugriff auf Ihre SMB-Dateifreigaben, wenn Sie die VMware Dynamic Environment Manager-Funktionen verwenden. |
Für App Volumes-Funktionen erforderliche Ports und Protokolle
Wie in App Volumes-Anwendungen für Horizon Cloud on Microsoft Azure – Überblick und Voraussetzungen angegeben, müssen Sie, um die Verwendung der App Volumes-Funktionen zu unterstützen, die für die Verwendung mit einem Horizon Cloud-Pod unterstützt werden, Port 445 für den TCP-Protokollverkehr im Mandanten-Subnetz des Pods konfigurieren. Port 445 ist der KMU-Standardport für den Zugriff auf eine KMU-Dateifreigabe unter Microsoft Windows. Die AppStacks werden in einer SMB-Dateifreigabe gespeichert, die sich in derselben Ressourcengruppe wie die Pod-Manager-VMs befindet.
| Quelle | Ziel | Port | Protokoll | Zweck |
|---|---|---|---|---|
| App Volumes-Agent in der Basis-Import-VM, die Golden Images, Desktop-VMs, Farm-RDSH-VMs | SMB-Dateifreigabe in der Ressourcengruppe des Pod-Managers | 445 | TCP | Im Mandanten-Subnetz des Pods, für den Zugriff auf die App Volumes-AppStacks, die in der SMB-Dateifreigabe gespeichert sind. |
Integration mit Workspace ONE Assist for Horizon – DNS, Ports und Protokollanforderungen
Workspace ONE Assist for Horizon ist ein Produkt aus der Workspace ONE UEM-Produktfamilie. Wenn bestimmte Anforderungen erfüllt sind, können Sie ab der Horizon Cloud-Version vom August 2021 die Verwendung dieses Produkts in VDI-Desktops integrieren, die über die Pods Ihres Horizon Cloud-Mandanten bereitgestellt werden. Ausführliche Informationen zu den Anforderungen finden Sie im Dokument Workspace ONE für Horizon und Horizon Cloud.
Die Verwendung der Unterstützungsfunktionen erfordert ausgehende Kommunikation zwischen den VDI-Desktop-VMs und dem Workspace ONE Assist-Server, der die Integration mit Ihrem Horizon Cloud-Mandanten unterstützt.
- DNS-Anforderungen
- Stellen Sie sicher, dass der DNS-Name Ihres Workspace ONE Assist-Servers über die Mandantensubnetze des Pods, in denen sich die VDI-Desktop-VMs befinden, auflösbar und erreichbar ist. Das Dokument Workspace ONE für Horizon und Horizon Cloud enthält die DNS-Namen der Workspace ONE Assist-Server.
- Ports und Protokollanforderungen
- Ausgehender Datenverkehr über Port 443, TCP und HTTPS, muss von den VDI-Desktop-VMs zugelassen werden, auf denen die Workspace ONE Assist for Horizon-Anwendung installiert ist.
Visuell ansprechende Netzwerkdiagramme
Eine übersichtliche Darstellung der Beziehungen zwischen diesen Komponenten, Ports und Protokollen finden Sie in den Netzwerkdiagrammen und Beschreibungen der VMware Digital Workspace Tech Zone unter https://techzone.vmware.com/resource/vmware-horizon-cloud-service-microsoft-azure-network-ports-diagrams.
