Un servidor de seguridad es una instancia del servidor de conexión que agrega una capa adicional de seguridad entre Internet y la red interna. Puede instalar uno o varios servidores de seguridad para conectarse a una instancia del servidor de conexión.

El software del servidor de seguridad no puede coexistir en la misma máquina virtual ni en el mismo equipo físico con cualquier otro componente de software de Horizon 7, como un servidor de réplica, un servidor de conexión, View Composer, Horizon Agent u Horizon Client.

Requisitos previos

  • Determine el tipo de topología que se debe utilizar. Por ejemplo, determine qué solución de equilibrio de carga se debe utilizar. Decida si las instancias del servidor de conexión que están emparejadas a los servidores de seguridad se dedicarán a los usuarios de la red externa. Para obtener más información, consulte el documento Planificación de la arquitectura de Horizon 7.
    Importante: Si utiliza un equilibrador de carga, este debe tener una dirección IP que no cambie. En un entorno IPv4, configure una dirección IP estática. En un entorno IPv6, los equipos obtienen automáticamente direcciones IP que no cambian.
  • Verifique que la instalación cumpla con los requisitos descritos en Requisitos del servidor de conexión de Horizon.
  • Prepare su entorno para la instalación. Consulte Requisitos de instalación de Horizon Connection Server.
  • Compruebe que la instancia del servidor de conexión que debe estar conectada al servidor de seguridad esté instalada, configurada y ejecutando una versión del servidor de conexión compatible con la versión del servidor de seguridad. Consulte el apartado sobre la matriz de compatibilidad de los componentes de Horizon 7 en el documento Actualizaciones de Horizon 7.
  • Compruebe que se pueda acceder a la instancia del servidor de conexión que se conecta al servidor de seguridad desde el equipo en el que tiene planificado instalar el servidor de seguridad.
    Nota: Después de actualizar un servidor de conexión a la versión 7.5 de Horizon 7, los servidores de seguridad con IPSec deshabilitado se deben volver a instalar. Si la dirección IP de un servidor de seguridad cambia, se debe volver a instalar. El emparejamiento de los servidores de seguridad no funciona correctamente si el servidor de seguridad se encuentra tras un NAT dinámico.
  • Configure una contraseña de emparejamiento para el servidor de seguridad. Consulte Configurar una contraseña de emparejamiento para el servidor de seguridad.
  • Familiarícese con el formato de las URL externas. Consulte Configurar URL externas para conexiones seguras de puerta de enlace y túnel..
  • Verifique que el Firewall de Windows con seguridad avanzada esté activado en los perfiles activos. Se recomienda que esta opción esté activada en todos los perfiles. De forma predeterminada, las reglas IPsec rigen las conexiones entre el servidor de seguridad y el servidor de conexión de View y requieren que se habilite el Firewall de Windows con seguridad avanzada.
  • Familiarícese con los puertos de red que deben abrirse en el Firewall de Windows para un servidor de seguridad. Consulte Reglas de firewall para el servidor de conexión de Horizon.
  • Si la topología de la red incluye un firewall back-end entre un servidor de seguridad y la instancia del servidor de conexión, tiene que configurar el firewall para que sea compatible con IPsec. Consulte Configurar que un firewall back-end admita IPsec.
  • Si está actualizando o volviendo a instalar el servidor de seguridad, verifique que las reglas IPsec existentes para el servidor de seguridad se hayan suprimido. Consulte Eliminar las reglas IPsec del servidor de seguridad.
  • Si está instalando Horizon 7 en modo FIPS, debe anular la selección de la opción de configuración global Usar IPsec para las conexiones del servidor de seguridad en Horizon Administrator, ya que en modo FIPS, debe configurar IPsec manualmente tras instalar el servidor de seguridad.

Procedimiento

  1. Descargue el archivo instalador del servidor de conexión desde el sitio de descargas de VMware disponible en https://my.vmware.com/web/vmware/downloads.
    En el apartado de escritorios y equipos de usuarios finales, seleccione la descarga de VMware Horizon 7, que incluye el servidor de conexión.

    El nombre del archivo instalador es VMware-viewconnectionserver-x86_64-y.y.y-xxxxxx.exe, donde xxxxxx es el número de compilación y y.y.y es el número de la versión.

  2. Para iniciar el programa de instalación del servidor de conexión, haga doble clic en el archivo instalador.
  3. Acepte los términos de licencia de VMware.
  4. Acepte o cambie la carpeta de destino.
  5. Seleccione la opción de instalación Servidor de seguridad de View.
  6. Seleccione la versión del protocolo de Internet (IPv4 o IPv6).
    Debe instalar todos los componentes de Horizon 7 con la misma versión de IP.
  7. Seleccione si desea habilitar o deshabilitar el modo FIPS.
    Esta opción estará disponible solo si el modo FIPS está habilitado en Windows.
  8. Escriba el nombre de dominio completo o la dirección IP de la instancia del servidor de conexión para emparejar con el servidor de seguridad en el cuadro de texto Servidor.
    El servidor de seguridad reenvía el tráfico de red a dicha instancia del servidor de conexión.
  9. Escriba la contraseña de emparejamiento del servidor de seguridad en el cuadro de texto Contraseña.
    Si la contraseña caducó, puede utilizar Horizon Administrator para configurar una nueva contraseña y escribirla en el programa de instalación.
  10. En el cuadro de texto URL externa, escriba la URL externa del servidor de seguridad. Esto es necesario para todos los clientes, independientemente del protocolo de visualización que usen.
    La URL debe incluir el identificador de protocolo (https), el nombre de servidor de seguridad que pueda resolver el cliente y el número de puerto (443).
    Por ejemplo: https://view.example.com:443
    Los clientes compatibles con el túnel que estén fuera de la red utilizarán la URL para acceder a las máquinas que están dentro de la red a través del servidor de seguridad.
  11. En el cuadro de texto URL externa de PCoIP, escriba la URL externa de la puerta de enlace PCoIP del servidor de seguridad. Esto es necesario para los clientes que usan el protocolo de visualización PCoIP para conectarse a escritorios remotos.
    La URL relativa al protocolo debe contener la dirección IP del servidor de seguridad y el número de puerto (4172). En entornos IPv4, utilice una dirección IPv4. En entornos IPv6, utilice una dirección IPv6.
    Por ejemplo, en un entorno IPv4: 10.20.30.40:4172
    Los clientes compatibles con PCoIP que estén fuera de la red utilizarán la URL para acceder a las máquinas que están dentro de la red a través del servidor de seguridad.
    Nota: Aunque debe introducirse aquí una dirección IPv6 cuando se encuentre en un entorno IPv6, se puede reemplazar por un nombre que el cliente pueda resolver después de la instalación.
  12. En el cuadro de texto URL externa de Blast, escriba la URL externa de la puerta de enlace Blast del servidor de seguridad. Esto es necesario para los clientes que usan el protocolo de visualización Blast o HTML Access para conectarse a escritorios remotos.
    La URL debe incluir el identificador de protocolo (https), el nombre de servidor de seguridad que pueda resolver el cliente y el número de puerto (8443).
    Por ejemplo, https://myserver.example.com:8443
    Los clientes de HTML Access y compatibles con Blast que estén fuera de la red utilizarán la URL para acceder a las máquinas que están dentro de la red a través del servidor de seguridad.
  13. Elija cómo configurar el servicio Firewall de Windows.
    Opción Acción
    Configurar el Firewall de Windows automáticamente Permita que el instalador configure el Firewall de Windows para autorizar las conexiones de red necesarias.
    No configurar el Firewall de Windows Configure las reglas del Firewall de Windows de forma manual.

    Seleccione esta opción solo si la organización utiliza sus propias reglas predefinidas para configurar el Firewall de Windows.

  14. Complete el asistente para finalizar la instalación del servidor de seguridad.

Resultados

Se instalan los servicios de los servidores de seguridad en el equipo Windows Server:

  • Servidor de seguridad de VMware Horizon View
  • Componente del marco de VMware Horizon View
  • Componente de puerta de enlace de seguridad de VMware Horizon View
  • Puerta de enlace segura PCoIP de VMware Horizon View
  • Puerta de enlace segura de VMware Blast

Para obtener más información sobre estos servicios, consulte el documento Administración de Horizon 7.

El servidor de seguridad aparece en el panel Servidores de seguridad en Horizon Administrator.

La regla Servidor de conexión de VMware Horizon View (integrado en Blast) está habilitada en el Firewall de Windows del servidor de seguridad. Esta regla del firewall permite a los navegadores web de los dispositivos cliente usar HTML Access para conectarse al servidor de seguridad en TCP puerto 8443.

Nota: Si se cancela o aborta la instalación, tendrá que eliminar las reglas IPsec para el servidor de seguridad antes de comenzarla de nuevo. Realice este paso incluso si ya eliminó las reglas IPsec antes de volver a instalar o actualizar el servidor de seguridad. Para obtener más instrucciones sobre cómo eliminar regla IPsec, consulte Eliminar las reglas IPsec del servidor de seguridad.

Qué hacer a continuación

Configure un certificado de servidor SSL para el servidor de seguridad. Consulte Configurar los certificados TLS de los servidores de Horizon 7.

Es posible que tenga que configurar las opciones de conexión de cliente para el servidor de seguridad y ajustar la configuración de Windows Server para permitir una implementación grande. Consulte Configurar conexiones de Horizon Client y Configuración de tamaño de Windows Server para admitir la implementación.

Si vuelve a instalar el servidor de seguridad y cuenta con un recopilador de datos configurado para supervisar los datos de rendimiento, detenga el recopilador y vuelva a iniciarlo.