Los scripts de PowerShell preparan su entorno con todas las opciones de configuración. Si ejecuta el script de PowerShell para implementar Unified Access Gateway, la solución estará lista para producción desde la primera vez que arranque el sistema.

Importante: Con una implementación de PowerShell, puede proporcionar toda la configuración en el archivo INI y la instancia de Unified Access Gateway queda lista para producción apenas arranca. Si no desea cambiar ninguna configuración posterior a la implementación, no es necesario que proporcione la contraseña de la IU del administrador.

Sin embargo, la IU del administrador y la API no estarán disponibles si no se proporcionó la contraseña de la IU del administrador durante la implementación.

Nota:
  • Si no proporciona la contraseña de la IU del administrador en el momento de la implementación, no podrá agregar un usuario posteriormente para habilitar el acceso a la IU del administrador o la API. Si desea agregar un usuario de la IU del administrador, debe volver a implementar la instancia de Unified Access Gateway con una contraseña válida.
  • Unified Access Gateway 3.5 y las versiones posteriores incluyen una propiedad INI sshEnabled opcional. Establecer sshEnabled=true en la sección [General] del archivo PowerShell INI habilita automáticamente el acceso ssh en el dispositivo implementado. En general, VMware no recomienda habilitar ssh en Unified Access Gateway, excepto en ciertas situaciones específicas y donde se pueda restringir el acceso. Esta capacidad sirve principalmente para implementaciones de Amazon AWS EC2 donde no hay disponible un acceso alternativo a la consola.
    Nota: Para obtener más información sobre Amazon AWS EC2, consulte Implementación de PowerShell de Unified Access Gateway en Amazon Web Services.

    Si no se especifica sshEnabled=true o está establecido en false, entonces ssh no está habilitado.

    En general, no es necesario habilitar el acceso de ssh en Unified Access Gateway para vSphere, Hyper-V o las implementaciones de Microsoft Azure, ya que se puede usar el acceso a la consola con esas plataformas. Si se requiere acceso a la consola raíz para la implementación de Amazon AWS EC2, establezca sshEnabled=true. En casos donde está habilitado ssh, se debe restringir el acceso del puerto TCP 22 en firewalls o grupos de seguridad a direcciones IP de origen de administradores individuales. EC2 es compatible con esta restricción en el grupo de seguridad de EC2 asociado con las interfaces de red de Unified Access Gateway.

Requisitos previos

  • En el caso de una implementación de Hyper-V, y si va a actualizar Unified Access Gateway con una IP estática, elimine el dispositivo anterior antes de implementar la instancia más reciente de Unified Access Gateway.
  • Compruebe que los requisitos del sistema sean correctos y estén disponibles para su uso.

    Este es un script de ejemplo para implementar Unified Access Gateway en su entorno.

    Figura 1. Script de PowerShell de ejemplo

Procedimiento

  1. Descargue el archivo OVA Unified Access Gateway en My VMware en el equipo Windows.
  2. Descargue los archivos ap-deploy-XXX.zip en una carpeta del equipo Windows.
    Los archivos ZIP están disponibles en https://communities.vmware.com/docs/DOC-30835.
  3. Abra el script de PowerShell y cambie el directorio por la ubicación de su script.
  4. Cree un archivo de configuración INI para el dispositivo virtual de Unified Access Gateway.
    Por ejemplo, implemente un nuevo dispositivo de Unified Access Gateway AP1. El archivo de configuración se llama ap1.ini. Este archivo contiene todas las opciones de configuración de AP1. Puede utilizar los archivos INI de muestra incluidos en el archivo apdeploy.ZIP para crear el archivo INI y modificar la configuración correctamente.
    Nota:
    • Puede tener archivos INI únicos para varias implementaciones de Unified Access Gateway en su entorno. Debe cambiar las direcciones IP y los parámetros del nombre en el archivo INI correctamente para poder implementar varios dispositivos.
    Ejemplo del archivo INI para modificar.
    [General]
    netManagementNetwork=
    netInternet=
    netBackendNetwork=
    name=
    dns = 192.0.2.1 192.0.2.2
    dnsSearch = example1.com example2.com
    ip0=10.108.120.119
    diskMode=
    source=
    defaultGateway=10.108.120.125
    target=
    ds=
    deploymentOption=onenic
    authenticationTimeout=300000
    fipsEnabled=false
    uagName=UAG1
    locale=en_US
    ipModeforNIC3=DHCPV4_DHCPV6
    tls12Enabled=true
    ipMode=DHCPV4_DHCPV6
    requestTimeoutMsec=10000
    ipModeforNIC2=DHCPV4_DHCPV6
    tls11Enabled=true
    clientConnectionIdleTimeout=180
    tls10Enabled=false
    adminCertRolledBack=false
    honorCipherOrder=false
    cookiesToBeCached=none
    healthCheckUrl=/favicon.ico
    quiesceMode=false
    syslogUrl=10.108.120.108:514
    isCiphersSetByUser=false
    tlsPortSharingEnabled=true
    ceipEnabled=true
    bodyReceiveTimeoutMsec=15000
    monitorInterval=60
    cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
    adminPasswordExpirationDays=90
    httpConnectionTimeout=120
    isTLS11SetByUser=false
    sessionTimeout=36000000
    ssl30Enabled=false
    snmpEnabled= TRUE | FALSE
    ntpServers=ipOrHostname1 ipOrHostname2
    fallBackNtpServers=ipOrHostname1 ipOrHostname2
    
    [WebReverseProxy1]
    proxyDestinationUrl=https://10.108.120.21
    trustedCert1=
    instanceId=view
    healthCheckUrl=/favicon.ico
    userNameHeader=AccessPoint-User-ID
    proxyPattern=/(.*)
    landingPagePath=/
    hostEntry1=10.108.120.21 HZNView.uagqe.auto.com
    
    [Horizon]
    proxyDestinationUrl=https://enterViewConnectionServerUrl
    trustedCert1=
    gatewayLocation=external
    disableHtmlAccess=false
    healthCheckUrl=/favicon.ico
    proxyDestinationIPSupport=IPV4
    smartCardHintPrompt=false
    queryBrokerInterval=300
    proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
    matchWindowsUserName=false
    windowsSSOEnabled=false
    
    [Airwatch]
    tunnelGatewayEnabled=true
    apiServerUsername=domain\apiusername
    apiServerPassword=*****
    proxyDestinationUrl=https://null
    ntlmAuthentication=false
    healthCheckUrl=/favicon.ico
    organizationGroupCode=
    apiServerUrl=https://null
    airwatchOutboundProxy=false
    outboundProxyHost=1.2.3.4
    outboundProxyPort=3128
    outboundProxyUsername=proxyuser
    outboundProxyPassword=****
    reinitializeGatewayProcess=false
    airwatchServerHostname=tunnel.acme.com
    trustedCert1=c:\temp\CA-Cert-A.pem
    hostEntry1=1.3.5.7 backend.acme.com
    
    [AirwatchSecureEmailGateway]
    memConfigurationId=abc123
    apiServerUsername=domain\apiusername
    healthCheckUrl=/favicon.ico
    apiServerUrl=https://null
    outboundProxyHost=1.2.3.4
    outboundProxyPort=3128
    outboundProxyUsername=proxyuser
    outboundProxyPassword=****
    reinitializeGatewayProcess=false
    airwatchServerHostname=serverNameForSNI
    apiServerPassword=****
    trustedCert1=c:\temp\CA-Cert-A.pem
    pfxCerts=C:\Users\admin\My Certs\mycacerts.pfx
    hostEntry1=1.3.5.7 exchange.acme.com
    
    [AirWatchContentGateway]
    cgConfigId=abc123
    apiServerUrl=https://null
    apiServerUsername=domain\apiusername
    apiServerPassword=*****
    outboundProxyHost=
    outboundProxyPort=
    outboundProxyUsername=proxyuser
    outboundProxyPassword=*****
    airwatchOutboundProxy=false
    hostEntry1=192.168.1.1 cgbackend.acme.com
    trustedCert1=c:\temp\CA-Cert-A.pem
    ntlmAuthentication=false
    reinitializeGatewayProcess=false
    airwatchServerHostname=cg.acme.com
    
    [SSLCert]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    [SSLCertAdmin]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    [JWTSettings1]
    publicKey1=
    publicKey2=
    publicKey3=
    name=JWT_1
    
    [JWTSettings2]
    publicKey1=
    publicKey2=
    name=JWT_2
  5. Para asegurarse de que la ejecución del script no está restringida, escriba el comando set-executionpolicy de PowerShell.
    set-executionpolicy -scope currentuser unrestricted
    Solo es necesario realizar esta tarea una vez para eliminar la restricción.
    1. (opcional) Si se muestra alguna advertencia relacionada con el script, ejecute el siguiente comando para desbloquearla: unblock-file -path .\uagdeploy.ps1
  6. Ejecute el comando para iniciar la implementación. Si no especifica el archivo .INI, el script utilizará de forma predeterminada ap.ini.
    .\uagdeploy.ps1 -iniFile uag1.ini
  7. Introduzca las credenciales cuando se le soliciten y complete el script.
    Nota: Si se le solicita que añada la huella digital del equipo de destino, introduzca yes.
    El dispositivo de Unified Access Gateway ya está implementado y disponible para producción.

Resultados

Para obtener más información sobre los scripts de PowerShell, consulte https://communities.vmware.com/docs/DOC-30835.

Qué hacer a continuación

Si desea actualizar Unified Access Gateway y seguir conservando la configuración existente, edite el archivo .ini para cambiar la referencia de origen a la nueva versión y vuelva a ejecutar el archivo .ini: uagdeploy.ps1 uag1.ini. Este proceso puede tardar hasta 3 minutos.
[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

Si desea realizar la actualización sin ninguna interrupción del servicio, consulte Actualización sin tiempo de inactividad.