Los scripts de PowerShell preparan su entorno con todas las opciones de configuración. Si ejecuta el script de PowerShell para implementar Unified Access Gateway, la solución estará lista para producción desde la primera vez que arranque el sistema.

Importante:

Con una implementación de PowerShell, puede proporcionar toda la configuración en el archivo INI y la instancia de Unified Access Gateway queda lista para producción apenas arranca. Si no desea cambiar ninguna configuración posterior a la implementación, no es necesario que proporcione la contraseña de la IU del administrador.

Sin embargo, la IU del administrador y la API no estarán disponibles si no se proporcionó la contraseña de la IU del administrador durante la implementación.

Nota:

  • Si no proporciona la contraseña de la IU del administrador en el momento de la implementación, no podrá agregar un usuario posteriormente para habilitar el acceso a la IU del administrador o la API. Si desea agregar un usuario de la IU del administrador, debe volver a implementar la instancia de Unified Access Gateway con una contraseña válida.

  • Unified Access Gateway 3.5 y las versiones posteriores incluyen una propiedad INI sshEnabled opcional. Establecer sshEnabled=true en la sección [General] del archivo PowerShell INI habilita automáticamente el acceso ssh en el dispositivo implementado. En general, VMware no recomienda habilitar ssh en Unified Access Gateway, excepto en ciertas situaciones específicas y donde se pueda restringir el acceso. Esta capacidad sirve principalmente para implementaciones de Amazon AWS EC2 donde no hay disponible un acceso alternativo a la consola.

    Si no se especifica sshEnabled=true o está establecido en false, entonces ssh no está habilitado.

    En general, no es necesario habilitar el acceso de ssh en Unified Access Gateway para vSphere, Hyper-V o las implementaciones de Microsoft Azure, ya que se puede usar el acceso a la consola con esas plataformas. Si se requiere acceso a la consola raíz para la implementación de Amazon AWS EC2, establezca sshEnabled=true. En casos donde está habilitado ssh, se debe restringir el acceso del puerto TCP 22 en firewalls o grupos de seguridad a direcciones IP de origen de administradores individuales. EC2 es compatible con esta restricción en el grupo de seguridad de EC2 asociado con las interfaces de red de Unified Access Gateway.

Requisitos previos

  • En el caso de una implementación de Hyper-V, y si va a actualizar Unified Access Gateway con una IP estática, elimine el dispositivo anterior antes de implementar la instancia más reciente de Unified Access Gateway.

  • Compruebe que los requisitos del sistema sean correctos y estén disponibles para su uso.

    Este es un script de ejemplo para implementar Unified Access Gateway en su entorno.

    Figura 1. Script de PowerShell de ejemplo

Procedimiento

  1. Descargue el archivo OVA Unified Access Gateway en My VMware en el equipo Windows.
  2. Descargue los archivos ap-deploy-XXX.zip en una carpeta del equipo Windows.

    Los archivos ZIP están disponibles en https://communities.vmware.com/docs/DOC-30835.

  3. Abra el script de PowerShell y cambie el directorio por la ubicación de su script.
  4. Cree un archivo de configuración INI para el dispositivo virtual de Unified Access Gateway.

    Por ejemplo, implemente un nuevo dispositivo de Unified Access Gateway AP1. El archivo de configuración se llama ap1.ini. Este archivo contiene todas las opciones de configuración de AP1. Puede utilizar los archivos INI de muestra incluidos en el archivo apdeploy.ZIP para crear el archivo INI y modificar la configuración correctamente.

    Nota:

    • Puede tener archivos INI únicos para varias implementaciones de Unified Access Gateway en su entorno. Debe cambiar las direcciones IP y los parámetros del nombre en el archivo INI correctamente para poder implementar varios dispositivos.

    • No se admite el valor de favicon.ico de la configuración de healthCheckUrl para Content Gateway y VMware Tunnel.

    Ejemplo del archivo INI para modificar. 

    [General]
netManagementNetwork=
netInternet=
netBackendNetwork=
name=
dns=10.112.64.1
ip0=10.108.120.119
diskMode=
source=
defaultGateway=10.108.120.125
target=
ds=
authenticationTimeout=300000
fipsEnabled=false
uagName=trustedcert
locale=en_US
ipModeforNIC3=DHCPV4_DHCPV6
tls12Enabled=true
ipMode=DHCPV4_DHCPV6
requestTimeoutMsec=10000
ipModeforNIC2=DHCPV4_DHCPV6
tls11Enabled=true
clientConnectionIdleTimeout=180
tls10Enabled=false
adminCertRolledBack=false
honorCipherOrder=false
cookiesToBeCached=none
healthCheckUrl=/favicon.ico
quiesceMode=false
isCiphersSetByUser=false
tlsPortSharingEnabled=true
ceipEnabled=true
bodyReceiveTimeoutMsec=15000
monitorInterval=60
cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
adminPasswordExpirationDays=90
httpConnectionTimeout=120
isTLS11SetByUser=false
sessionTimeout=36000000
ssl30Enabled=false

[WebReverseProxy1]
proxyDestinationUrl=https://10.108.120.21
trustedCert1=
instanceId=view
healthCheckUrl=/favicon.ico
userNameHeader=AccessPoint-User-ID
proxyPattern=/(.*)
landingPagePath=/
hostEntry1=10.108.120.21 HZNView.uagqe.auto.com

[Horizon]
proxyDestinationUrl=https://enterViewConnectionServerUrl
trustedCert1=
gatewayLocation=external
disableHtmlAccess=false
healthCheckUrl=/favicon.ico
proxyDestinationIPSupport=IPV4
smartCardHintPrompt=false
queryBrokerInterval=300
proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
matchWindowsUserName=false
windowsSSOEnabled=false

[SSLCert]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

[SSLCertAdmin]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

  5. Para asegurarse de que la ejecución del script se realiza correctamente, escriba el comando set-executionpolicy de PowerShell. 
    set-executionpolicy -scope currentuser unrestricted

    Debe ejecutar este comando una vez y solo si está restringido actualmente.

    1. (opcional) Si se muestra alguna advertencia relacionada con el script, ejecute el siguiente comando para desbloquearla: unblock-file -path .\uagdeploy.ps1
  6. Ejecute el comando para iniciar la implementación. Si no especifica el archivo .INI, el script utilizará de forma predeterminada ap.ini. 
    .\uagdeploy.ps1 -iniFile uag1.ini
  7. Introduzca las credenciales cuando se le soliciten y complete el script.
    Nota:

    Si se le solicita que añada la huella digital del equipo de destino, introduzca yes.

    El dispositivo de Unified Access Gateway ya está implementado y disponible para producción.

Resultados

Para obtener más información sobre los scripts de PowerShell, consulte https://communities.vmware.com/docs/DOC-30835.

Qué hacer a continuación

Si desea actualizar Unified Access Gateway y seguir conservando la configuración existente, edite el archivo .ini para cambiar la referencia de origen a la nueva versión y vuelva a ejecutar el archivo .ini: uagdeploy.ps1 uag1.ini. Este proceso puede tardar hasta 3 minutos. 

[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

Si desea realizar la actualización sin ninguna interrupción del servicio, consulte Actualización sin tiempo de inactividad.