Un servidor de seguridad es una instancia del servidor de conexión que agrega una capa adicional de seguridad entre Internet y la red interna. Puede instalar uno o varios servidores de seguridad para conectarse a una instancia del servidor de conexión.

El software del servidor de seguridad no puede coexistir en la misma máquina virtual ni en el mismo equipo físico con cualquier otro componente de software de Horizon 7, como un servidor de réplica, un servidor de conexión, View Composer, Horizon Agent u Horizon Client.

Requisitos previos

  • Determine el tipo de topología que se debe utilizar. Por ejemplo, determine qué solución de equilibrio de carga se debe utilizar. Decida si las instancias del servidor de conexión que están emparejadas a los servidores de seguridad se dedicarán a los usuarios de la red externa. Para obtener más información, consulte el documento Planificación de la arquitectura de Horizon 7.
    Importante: Si utiliza un equilibrador de carga, este debe tener una dirección IP que no cambie. En un entorno IPv4, configure una dirección IP estática. En un entorno IPv6, los equipos obtienen automáticamente direcciones IP que no cambian.
  • Verifique que la instalación cumpla con los requisitos descritos en Requisitos del servidor de conexión de Horizon.
  • Prepare su entorno para la instalación. Consulte Requisitos de instalación del servidor de conexión de Horizon.
  • Compruebe que la instancia del servidor de conexión que debe estar conectada al servidor de seguridad esté instalada, configurada y ejecutando una versión del servidor de conexión compatible con la versión del servidor de seguridad. Consulte el apartado sobre la matriz de compatibilidad de los componentes de Horizon 7 en el documento Actualizaciones de Horizon 7.
  • Compruebe que se pueda acceder a la instancia del servidor de conexión que se conecta al servidor de seguridad desde el equipo en el que tiene planificado instalar el servidor de seguridad.
    Nota: Después de actualizar un servidor de conexión a la versión 7.5 de Horizon 7, los servidores de seguridad con IPSec deshabilitado se deben volver a instalar. Si la dirección IP de un servidor de seguridad cambia, se debe volver a instalar. El emparejamiento de los servidores de seguridad no funciona correctamente si el servidor de seguridad se encuentra tras un NAT dinámico.
  • Configure una contraseña de emparejamiento para el servidor de seguridad. Consulte Configurar una contraseña de emparejamiento para el servidor de seguridad.
  • Familiarícese con el formato de las URL externas. Consulte Configurar URL externas para conexiones seguras de puerta de enlace y túnel..
  • Verifique que el Firewall de Windows con seguridad avanzada esté activado en los perfiles activos. Se recomienda que esta opción esté activada en todos los perfiles. De forma predeterminada, las reglas IPsec rigen las conexiones entre el servidor de seguridad y el servidor de conexión de View y requieren que se habilite el Firewall de Windows con seguridad avanzada.
  • Familiarícese con los puertos de red que deben abrirse en el Firewall de Windows para un servidor de seguridad. Consulte Reglas de firewall para el servidor de conexión de Horizon.
  • Si la topología de la red incluye un firewall back-end entre un servidor de seguridad y la instancia del servidor de conexión, tiene que configurar el firewall para que sea compatible con IPsec. Consulte Configurar que un firewall back-end admita IPsec.
  • Si está actualizando o volviendo a instalar el servidor de seguridad, verifique que las reglas IPsec existentes para el servidor de seguridad se hayan suprimido. Consulte Eliminar las reglas IPsec del servidor de seguridad.
  • Si está instalando Horizon 7 en modo FIPS, debe anular la selección de la opción de configuración global Usar IPsec para las conexiones del servidor de seguridad en Horizon Administrator, ya que en modo FIPS, debe configurar IPsec manualmente tras instalar el servidor de seguridad.

Procedimiento

  1. Descargue el archivo instalador del servidor de conexión desde el sitio de descargas de VMware disponible en https://my.vmware.com/web/vmware/downloads.
    En el apartado de escritorios y equipos de usuarios finales, seleccione la descarga de VMware Horizon 7, que incluye el servidor de conexión.

    El nombre del archivo instalador es VMware-viewconnectionserver-x86_64-y.y.y-xxxxxx.exe, donde xxxxxx es el número de compilación y y.y.y es el número de la versión.

  2. Para iniciar el programa de instalación del servidor de conexión, haga doble clic en el archivo instalador.
  3. Acepte los términos de licencia de VMware.
  4. Acepte o cambie la carpeta de destino.
  5. Seleccione la opción de instalación Servidor de seguridad de View.
  6. Seleccione la versión del protocolo de Internet (IPv4 o IPv6).
    Debe instalar todos los componentes de Horizon 7 con la misma versión de IP.
  7. Seleccione si desea habilitar o deshabilitar el modo FIPS.
    Esta opción estará disponible solo si el modo FIPS está habilitado en Windows.
  8. Escriba el nombre de dominio completo o la dirección IP de la instancia del servidor de conexión para emparejar con el servidor de seguridad en el cuadro de texto Servidor.
    El servidor de seguridad reenvía el tráfico de red a dicha instancia del servidor de conexión.
  9. Escriba la contraseña de emparejamiento del servidor de seguridad en el cuadro de texto Contraseña.
    Si la contraseña caducó, puede utilizar Horizon Administrator para configurar una nueva contraseña y escribirla en el programa de instalación.
  10. En el cuadro de texto URL externa, escriba la URL externa del servidor de seguridad para endpoints cliente que utilicen protocolos de visualización RDP o PCoIP.
    La URL debe incluir el protocolo, un nombre de servidor de seguridad que pueda resolver el cliente y el número de puerto. Los clientes de túnel que se ejecuten fuera de la red utilizan esta URL para conectarse al servidor de seguridad.
    Por ejemplo: https://view.example.com:443
  11. En el cuadro de texto URL externa de PCoIP, escriba la URL externa del servidor de seguridad para endpoints cliente que utilicen protocolos de visualización PCoIP.
    En el caso de un entorno IPv4, especifique la URL externa de PCoIP como una dirección IP y el número de puerto 4172. En el caso de un entorno IPv6, puede especificar la dirección IP o el nombre de dominio plenamente cualificado y el número de puerto 4172. En ambos casos, no incluya el nombre del protocolo.
    Por ejemplo, en un entorno IPv4: 10.20.30.40:4172
    Los clientes deben poder usar la URL para alcanzar el servidor de seguridad.
  12. En el cuadro de texto URL externa de Blast, escriba la URL externa del servidor de seguridad para usuarios que utilicen HTML Access a fin de conectarse a escritorios remotos.
    La URL debe incluir el protocolo HTTPS, un nombre de host que pueda resolver el cliente y el número de puerto.
    Por ejemplo, https://myserver.example.com:8443
    De forma predeterminada, la URL incluye el FQDN de la URL externa del túnel seguro y el número del puerto predeterminado, 8443. La URL debe contener el FQDN y el número de puerto que un sistema cliente puede usar para alcanzar el servidor de seguridad.
  13. Elija cómo configurar el servicio del Firewall de Windows.
    Opción Acción
    Configurar el Firewall de Windows automáticamente Permita que el instalador configure el Firewall de Windows para autorizar las conexiones de red necesarias.
    No configurar el Firewall de Windows Configure las reglas del Firewall de Windows de forma manual.

    Seleccione esta opción solo si la organización utiliza sus propias reglas predefinidas para configurar el Firewall de Windows.

  14. Complete el asistente para finalizar la instalación del servidor de seguridad.

Resultados

Se instalan los servicios de los servidores de seguridad en el equipo Windows Server:

  • Servidor de seguridad de VMware Horizon View
  • Componente del marco de VMware Horizon View
  • Componente de puerta de enlace de seguridad de VMware Horizon View
  • Puerta de enlace segura PCoIP de VMware Horizon View
  • Puerta de enlace segura de VMware Blast

Para obtener más información sobre estos servicios, consulte el documento Administración de Horizon 7.

El servidor de seguridad aparece en el panel Servidores de seguridad en Horizon Administrator.

La regla Servidor de conexión de VMware Horizon View (integrado en Blast) está habilitada en el Firewall de Windows del servidor de seguridad. Esta regla del firewall permite a los navegadores web de los dispositivos cliente usar HTML Access para conectarse al servidor de seguridad en TCP puerto 8443.

Nota: Si se cancela o aborta la instalación, tendrá que eliminar las reglas IPsec para el servidor de seguridad antes de comenzarla de nuevo. Realice este paso incluso si ya eliminó las reglas IPsec antes de volver a instalar o actualizar el servidor de seguridad. Para obtener más instrucciones sobre cómo eliminar regla IPsec, consulte Eliminar las reglas IPsec del servidor de seguridad.

Qué hacer a continuación

Configure un certificado de servidor SSL para el servidor de seguridad. Consulte Configurar los certificados TLS de los servidores de Horizon 7.

Es posible que tenga que configurar las opciones de conexión de cliente para el servidor de seguridad y ajustar la configuración de Windows Server para permitir una implementación grande. Consulte Configurar conexiones de Horizon Client y Configuración de tamaño de Windows Server para admitir la implementación.

Si vuelve a instalar el servidor de seguridad y cuenta con un recopilador de datos configurado para supervisar los datos de rendimiento, detenga el recopilador y vuelva a iniciarlo.