Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway

Les scripts PowerShell préparent votre environnement avec tous les paramètres de configuration. Lorsque vous exécutez le script PowerShell pour déployer Unified Access Gateway, la solution est prête pour la production lors du premier démarrage système.

Important : Avec un déploiement PowerShell, vous pouvez fournir tous les paramètres dans le fichier INI, et l'instance d' Unified Access Gateway sera prête pour la production dès qu'elle sera démarrée. Si vous ne souhaitez pas modifier les paramètres après le déploiement, vous ne devez pas fournir le mot de passe de l'interface utilisateur d'administration.

Cependant, l'interface utilisateur d'administration et l'API ne sont pas disponibles si le mot de passe de l'interface utilisateur d'administration n'est pas fourni lors du déploiement.

Note :

Si vous ne fournissez pas le mot de passe de l'interface utilisateur d'administration au moment du déploiement, vous ne pouvez pas ajouter ultérieurement un utilisateur pour permettre l'accès à l'interface utilisateur d'administration ou à l'API. Vous devez redéployer votre instance Unified Access Gateway avec un mot de passe valide si vous souhaitez ajouter un utilisateur de l'interface utilisateur d'administration.
Unified Access Gateway 3.5 et versions ultérieures inclut une propriété INI sshEnabled facultative. Le paramètre sshEnabled=true dans la section [General] du fichier INI de PowerShell active automatiquement l'accès de ssh sur le dispositif déployé. VMware ne recommande généralement pas l'activation de ssh sur Unified Access Gateway, sauf dans certaines situations spécifiques et lorsque l'accès peut être limité. Cette capacité est principalement destinée aux déploiements d'Amazon AWS EC2 où l'accès à une console de remplacement n'est pas disponible.
Note : Pour plus d'informations sur Amazon AWS EC2, reportez-vous à la section Déploiement PowerShell du dispositif Unified Access Gateway sur Amazon Web Services.

Si sshEnabled=true n'est pas spécifiée ou est défini sur false, ssh n'est pas activé.

L'activation de l'accès de ssh sur les déploiements d'Unified Access Gateway pour vSphere, de Hyper-V ou de Microsoft Azure n'est généralement pas requise, car l'accès à la console avec ces plates-formes peut être utilisé. Si l'accès à la console racine est requis pour le déploiement d'Amazon AWS EC2, définissez sshEnabled=true. Dans les cas où ssh est activé, l'accès 22 du port TCP doit être restreint dans les pare-feu ou les groupes de sécurité aux adresses IP sources des administrateurs individuels. EC2 prend en charge cette restriction dans le groupe de sécurité EC2 associée aux interfaces réseau d'Unified Access Gateway.

Conditions préalables

Pour un déploiement Hyper-V, si vous mettez à niveau Unified Access Gateway avec une adresse IP statique, supprimez le dispositif antérieur avant de déployer l'instance d'Unified Access Gateway plus récente.
Vérifiez que la configuration système requise est appropriée et disponible.
Il s'agit d'un exemple de script pour déployer Unified Access Gateway dans votre environnement.

Figure 1. Exemple de script PowerShell

Procédure

Téléchargez le fichier OVA Unified Access Gateway à partir de My VMware sur votre ordinateur Windows.
Téléchargez les fichiers uagdeploy-XXX.zip dans un dossier sur la machine Windows.
Les fichiers ZIP sont disponibles à l'adresse https://communities.vmware.com/docs/DOC-30835.
Ouvrez un script PowerShell et modifiez le répertoire vers l'emplacement de votre script.

Créez un fichier de configuration INI pour le dispositif virtuel d'Unified Access Gateway.

Par exemple : déployez un nouveau dispositif Unified Access Gateway AP1. Le fichier de configuration s'appelle ap1.ini. Ce fichier contient tous les paramètres de configuration pour AP1. Vous pouvez utiliser les fichiers .INI fournis en exemple dans le fichier apdeploy.ZIP pour créer le fichier INI et modifier les paramètres en conséquence.

Note :

Vous pouvez disposer de fichiers INI uniques pour plusieurs déploiements d'Unified Access Gateway dans votre environnement. Vous devez modifier les adresses IP et les paramètres de nom dans le fichier INI de façon appropriée pour déployer plusieurs dispositifs.

Exemple de fichier INI à modifier.

[General]
netManagementNetwork=
netInternet=
netBackendNetwork=
name=
dns = 192.0.2.1 192.0.2.2
dnsSearch = example1.com example2.com
ip0=10.108.120.119
diskMode=
source=
defaultGateway=10.108.120.125
target=
ds=
deploymentOption=onenic
authenticationTimeout=300000
fipsEnabled=false
uagName=UAG1
locale=en_US
ipModeforNIC3=DHCPV4_DHCPV6
tls12Enabled=true
ipMode=DHCPV4_DHCPV6
requestTimeoutMsec=10000
ipModeforNIC2=DHCPV4_DHCPV6
tls11Enabled=true
clientConnectionIdleTimeout=180
tls10Enabled=false
adminCertRolledBack=false
honorCipherOrder=false
cookiesToBeCached=none
healthCheckUrl=/favicon.ico
quiesceMode=false
syslogUrl=10.108.120.108:514
isCiphersSetByUser=false
tlsPortSharingEnabled=true
ceipEnabled=true
bodyReceiveTimeoutMsec=15000
monitorInterval=60
cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
adminPasswordExpirationDays=90
httpConnectionTimeout=120
isTLS11SetByUser=false
sessionTimeout=36000000
ssl30Enabled=false
snmpEnabled= TRUE | FALSE
ntpServers=ipOrHostname1 ipOrHostname2
fallBackNtpServers=ipOrHostname1 ipOrHostname2

[WebReverseProxy1]
proxyDestinationUrl=https://10.108.120.21
trustedCert1=
instanceId=view
healthCheckUrl=/favicon.ico
userNameHeader=AccessPoint-User-ID
proxyPattern=/(.*)
landingPagePath=/
hostEntry1=10.108.120.21 HZNView.uagqe.auto.com

[Horizon]
proxyDestinationUrl=https://enterViewConnectionServerUrl
trustedCert1=
gatewayLocation=external
disableHtmlAccess=false
healthCheckUrl=/favicon.ico
proxyDestinationIPSupport=IPV4
smartCardHintPrompt=false
queryBrokerInterval=300
proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
matchWindowsUserName=false
windowsSSOEnabled=false

[Airwatch]
tunnelGatewayEnabled=true
apiServerUsername=domain\apiusername
apiServerPassword=*****
proxyDestinationUrl=https://null
ntlmAuthentication=false
healthCheckUrl=/favicon.ico
organizationGroupCode=
apiServerUrl=https://null
airwatchOutboundProxy=false
outboundProxyHost=1.2.3.4
outboundProxyPort=3128
outboundProxyUsername=proxyuser
outboundProxyPassword=****
reinitializeGatewayProcess=false
airwatchServerHostname=tunnel.acme.com
trustedCert1=c:\temp\CA-Cert-A.pem
hostEntry1=1.3.5.7 backend.acme.com

[AirwatchSecureEmailGateway]
memConfigurationId=abc123
apiServerUsername=domain\apiusername
healthCheckUrl=/favicon.ico
apiServerUrl=https://null
outboundProxyHost=1.2.3.4
outboundProxyPort=3128
outboundProxyUsername=proxyuser
outboundProxyPassword=****
reinitializeGatewayProcess=false
airwatchServerHostname=serverNameForSNI
apiServerPassword=****
trustedCert1=c:\temp\CA-Cert-A.pem
pfxCerts=C:\Users\admin\My Certs\mycacerts.pfx
hostEntry1=1.3.5.7 exchange.acme.com

[AirWatchContentGateway]
cgConfigId=abc123
apiServerUrl=https://null
apiServerUsername=domain\apiusername
apiServerPassword=*****
outboundProxyHost=
outboundProxyPort=
outboundProxyUsername=proxyuser
outboundProxyPassword=*****
airwatchOutboundProxy=false
hostEntry1=192.168.1.1 cgbackend.acme.com
trustedCert1=c:\temp\CA-Cert-A.pem
ntlmAuthentication=false
reinitializeGatewayProcess=false
airwatchServerHostname=cg.acme.com

[SSLCert]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

[SSLCertAdmin]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

[JWTSettings1]
publicKey1=
publicKey2=
publicKey3=
name=JWT_1

[JWTSettings2]
publicKey1=
publicKey2=
name=JWT_2

Pour vérifier que l'exécution du script n'est pas restreinte, saisissez la commande PowerShell set-executionpolicy.
```
set-executionpolicy -scope currentuser unrestricted
```
Vous n'avez besoin d'effectuer cette opération qu'une seule fois pour supprimer la restriction.
1. (Facultatif) S'il existe un avertissement pour le script, exécutez la commande suivante pour débloquer l'avertissement : unblock-file -path .\uagdeploy.ps1
Exécutez la commande pour démarrer le déploiement. Si vous ne spécifiez pas le fichier .INI, le script est défini par défaut sur ap.ini.
```
.\uagdeploy.ps1 -iniFile uag1.ini
```
Entrez les informations d'identification lorsque vous y êtes invité et terminez le script.

Note : Si vous êtes invité à ajouter l'empreinte numérique de la machine cible, entrez yes.

Le dispositif Unified Access Gateway est déployé et disponible pour la production.

Résultats

Pour plus d'informations sur les scripts PowerShell, consultez https://communities.vmware.com/docs/DOC-30835.

Que faire ensuite

Si vous souhaitez mettre à niveau Unified Access Gateway tout en conservant les paramètres existants, modifiez le fichier .ini pour utiliser la nouvelle version de la référence source, puis réexécutez le fichier .ini : uagdeploy.ps1 uag1.ini. Ce processus peut prendre jusqu'à 3 minutes.

[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

Si vous souhaitez procéder à la mise à niveau sans interruption de service, reportez-vous à la section Mettre à niveau sans interruption.