Utilizar PowerShell para implementar el dispositivo de Unified Access Gateway

Los scripts de PowerShell preparan su entorno con todas las opciones de configuración. Si ejecuta el script de PowerShell para implementar Unified Access Gateway, la solución estará lista para producción desde la primera vez que arranque el sistema.

Importante: Con una implementación de PowerShell, puede proporcionar toda la configuración en el archivo INI y la instancia de Unified Access Gateway queda lista para producción apenas arranca. Si no desea cambiar ninguna configuración posterior a la implementación, no es necesario que proporcione la contraseña de la IU del administrador.

Sin embargo, la IU del administrador y la API no estarán disponibles si no se proporcionó la contraseña de la IU del administrador durante la implementación.

Nota:

Si no proporciona la contraseña de la IU del administrador en el momento de la implementación, no podrá agregar un usuario posteriormente para habilitar el acceso a la IU del administrador o la API. Si desea agregar un usuario de la IU del administrador, debe volver a implementar la instancia de Unified Access Gateway con una contraseña válida.
Unified Access Gateway 3.5 y las versiones posteriores incluyen una propiedad INI sshEnabled opcional. Establecer sshEnabled=true en la sección [General] del archivo PowerShell INI habilita automáticamente el acceso ssh en el dispositivo implementado. En general, VMware no recomienda habilitar ssh en Unified Access Gateway, excepto en ciertas situaciones específicas y donde se pueda restringir el acceso. Esta capacidad sirve principalmente para implementaciones de Amazon AWS EC2 donde no hay disponible un acceso alternativo a la consola.
Nota: Para obtener más información sobre Amazon AWS EC2, consulte Implementación de PowerShell de Unified Access Gateway en Amazon Web Services.

Si no se especifica sshEnabled=true o está establecido en false, entonces ssh no está habilitado.

En general, no es necesario habilitar el acceso de ssh en Unified Access Gateway para vSphere, Hyper-V o las implementaciones de Microsoft Azure, ya que se puede usar el acceso a la consola con esas plataformas. Si se requiere acceso a la consola raíz para la implementación de Amazon AWS EC2, establezca sshEnabled=true. En casos donde está habilitado ssh, se debe restringir el acceso del puerto TCP 22 en firewalls o grupos de seguridad a direcciones IP de origen de administradores individuales. EC2 es compatible con esta restricción en el grupo de seguridad de EC2 asociado con las interfaces de red de Unified Access Gateway.

Requisitos previos

En el caso de una implementación de Hyper-V, y si va a actualizar Unified Access Gateway con una IP estática, elimine el dispositivo anterior antes de implementar la instancia más reciente de Unified Access Gateway.
Compruebe que los requisitos del sistema sean correctos y estén disponibles para su uso.
Este es un script de ejemplo para implementar Unified Access Gateway en su entorno.

Figura 1. Script de PowerShell de ejemplo

Procedimiento

Descargue el archivo OVA Unified Access Gateway en My VMware en el equipo Windows.
Descargue los archivos ap-deploy-XXX.zip en una carpeta del equipo Windows.
Los archivos ZIP están disponibles en la página de descargas de VMware para Unified Access Gateway.
Abra el script de PowerShell y cambie el directorio por la ubicación de su script.

Cree un archivo de configuración INI para el dispositivo virtual de Unified Access Gateway.

Por ejemplo, implemente un nuevo dispositivo de Unified Access Gateway AP1. El archivo de configuración se llama ap1.ini. Este archivo contiene todas las opciones de configuración de AP1. Puede utilizar los archivos INI de muestra incluidos en el archivo apdeploy.ZIP para crear el archivo INI y modificar la configuración correctamente.

Nota:

Puede tener archivos INI únicos para varias implementaciones de Unified Access Gateway en su entorno. Debe cambiar las direcciones IP y los parámetros del nombre en el archivo INI correctamente para poder implementar varios dispositivos.

Ejemplo del archivo INI para modificar.

[General]
netManagementNetwork=
netInternet=
netBackendNetwork=
name=
dns = 192.0.2.1 192.0.2.2
dnsSearch = example1.com example2.com
ip0=10.108.120.119
diskMode=
source=
defaultGateway=10.108.120.125
target=
ds=
deploymentOption=onenic
authenticationTimeout=300000
fipsEnabled=false
uagName=UAG1
locale=en_US
ipModeforNIC3=DHCPV4_DHCPV6
tls12Enabled=true
ipMode=DHCPV4_DHCPV6
requestTimeoutMsec=10000
ipModeforNIC2=DHCPV4_DHCPV6
tls11Enabled=false
clientConnectionIdleTimeout=180
tls10Enabled=false
adminCertRolledBack=false
cookiesToBeCached=none
healthCheckUrl=/favicon.ico
quiesceMode=false
syslogUrl=10.108.120.108:514
isCiphersSetByUser=false
tlsPortSharingEnabled=true
ceipEnabled=true
bodyReceiveTimeoutMsec=15000
monitorInterval=60
cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
adminPasswordExpirationDays=90
httpConnectionTimeout=120
isTLS11SetByUser=false
sessionTimeout=36000000
ssl30Enabled=false
snmpEnabled= TRUE | FALSE
ntpServers=ipOrHostname1 ipOrHostname2
fallBackNtpServers=ipOrHostname1 ipOrHostname2
sshEnabled=
sshPasswordAccessEnabled=
sshKeyAccessEnabled=
sshPublicKey1=

[WebReverseProxy1]
proxyDestinationUrl=https://10.108.120.21
trustedCert1=
instanceId=view
healthCheckUrl=/favicon.ico
userNameHeader=AccessPoint-User-ID
proxyPattern=/(.*)
landingPagePath=/
hostEntry1=10.108.120.21 HZNView.uagqe.auto.com

[Horizon]
proxyDestinationUrl=https://enterViewConnectionServerUrl
trustedCert1=
gatewayLocation=external
disableHtmlAccess=false
healthCheckUrl=/favicon.ico
proxyDestinationIPSupport=IPV4
smartCardHintPrompt=false
queryBrokerInterval=300
proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
matchWindowsUserName=false
windowsSSOEnabled=false

[Airwatch]
tunnelGatewayEnabled=true
tunnelProxyEnabled=true
pacFilePath=
pacFileURL=
credentialFilePath=
apiServerUsername=domain\apiusername
apiServerPassword=*****
proxyDestinationUrl=https://null
ntlmAuthentication=false
healthCheckUrl=/favicon.ico
organizationGroupCode=
apiServerUrl=https://null
airwatchOutboundProxy=false
outboundProxyHost=1.2.3.4
outboundProxyPort=3128
outboundProxyUsername=proxyuser
outboundProxyPassword=****
reinitializeGatewayProcess=false
airwatchServerHostname=tunnel.acme.com
trustedCert1=c:\temp\CA-Cert-A.pem
hostEntry1=1.3.5.7 backend.acme.com

[AirwatchSecureEmailGateway]
memConfigurationId=abc123
apiServerUsername=domain\apiusername
healthCheckUrl=/favicon.ico
apiServerUrl=https://null
outboundProxyHost=1.2.3.4
outboundProxyPort=3128
outboundProxyUsername=proxyuser
outboundProxyPassword=****
reinitializeGatewayProcess=false
airwatchServerHostname=serverNameForSNI
apiServerPassword=****
trustedCert1=c:\temp\CA-Cert-A.pem
pfxCerts=C:\Users\admin\My Certs\mycacerts.pfx
hostEntry1=1.3.5.7 exchange.acme.com

[AirWatchContentGateway]
cgConfigId=abc123
apiServerUrl=https://null
apiServerUsername=domain\apiusername
apiServerPassword=*****
outboundProxyHost=
outboundProxyPort=
outboundProxyUsername=proxyuser
outboundProxyPassword=*****
airwatchOutboundProxy=false
hostEntry1=192.168.1.1 cgbackend.acme.com
trustedCert1=c:\temp\CA-Cert-A.pem
ntlmAuthentication=false
reinitializeGatewayProcess=false
airwatchServerHostname=cg.acme.com

[SSLCert]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

[SSLCertAdmin]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

[JWTSettings1]
publicKey1=
publicKey2=
publicKey3=
name=JWT_1

[JWTSettings2]
publicKey1=
publicKey2=
name=JWT_2

Para asegurarse de que la ejecución del script no está restringida, escriba el comando set-executionpolicy de PowerShell.
```
set-executionpolicy -scope currentuser unrestricted
```
Solo es necesario realizar esta tarea una vez para eliminar la restricción.
1. (opcional) Si se muestra alguna advertencia relacionada con el script, ejecute el siguiente comando para desbloquearla: unblock-file -path .\uagdeploy.ps1
Ejecute el comando para iniciar la implementación. Si no especifica el archivo .INI, el script utilizará de forma predeterminada ap.ini.
```
.\uagdeploy.ps1 -iniFile uag1.ini
```
Introduzca las credenciales cuando se le soliciten y complete el script.

Nota: Si se le solicita que añada la huella digital del equipo de destino, introduzca yes.

El dispositivo de Unified Access Gateway ya está implementado y disponible para producción.

Resultados

Para obtener más información sobre los scripts de PowerShell, consulte https://communities.vmware.com/docs/DOC-30835.

Qué hacer a continuación

Si desea actualizar Unified Access Gateway y seguir conservando la configuración existente, edite el archivo .ini para cambiar la referencia de origen a la nueva versión y vuelva a ejecutar el archivo .ini: uagdeploy.ps1 uag1.ini. Este proceso puede tardar hasta 3 minutos.

[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

Si desea realizar la actualización sin ninguna interrupción del servicio, consulte Actualización sin tiempo de inactividad.