Un serveur de sécurité est une instance du Serveur de connexion qui ajoute une couche supplémentaire de sécurité entre Internet et votre réseau interne. Vous pouvez installer un ou plusieurs serveurs de sécurité à connecter à une instance du Serveur de connexion.
Le logiciel du serveur de sécurité ne peut pas coexister sur une machine virtuelle ou physique sur laquelle sont installés d'autres composants logiciels d'Horizon 7, notamment un serveur réplica, un Serveur de connexion, View Composer, Horizon Agent ou Horizon Client.
Conditions préalables
- Déterminez le type de topologie à utiliser. Par exemple, déterminez quelle solution d'équilibrage de charge utiliser. Décidez si les instances du Serveur de connexion couplées avec des serveurs de sécurité seront dédiées aux utilisateurs du réseau externe. Pour plus d'informations, consultez le document Planification de l'architecture Horizon 7.
Important : Si vous utilisez un équilibrage de charge, il doit avoir une adresse IP qui ne change pas. Dans un environnement IPv4, configurez une adresse IP statique. Dans un environnement IPv6, les machines obtiennent automatiquement des adresses IP qui ne changent pas.
- Vérifiez que votre installation satisfait aux exigences décrites dans la section Exigences du Serveur de connexion Horizon
- Préparez votre environnement pour l'installation. Reportez-vous à la section Conditions préalables d'installation pour l'Horizon Connection Server.
- Vérifiez que l'instance du Serveur de connexion à coupler avec le serveur de sécurité est installée et configurée et exécute une version du Serveur de connexion qui est compatible avec la version du serveur de sécurité. Reportez-vous à la section « Matrice de compatibilité des composantsHorizon 7 » dans le document Mises à niveau d'Horizon 7.
- Vérifiez que l'instance du Serveur de connexion à coupler avec le serveur de sécurité est accessible à l'ordinateur sur lequel vous prévoyez d'installer le serveur de sécurité.
Note : Après une mise à niveau du Serveur de connexion vers Horizon 7 version 7.5, les serveurs de sécurité sur lesquels le protocole IPsec est désactivé doivent être réinstallés. Si l'adresse IP d'un serveur de sécurité change, il doit être réinstallé. Le couplage de serveur de sécurité ne fonctionne pas correctement si le serveur de sécurité se trouve derrière le composant NAT dynamique.
- Configurez un mot de passe de couplage de serveur de sécurité. Reportez-vous à la section Configurer un mot de passe de couplage de serveur de sécurité.
- Familiarisez-vous avec le format des URL externes. Reportez-vous à la section Configuration d'URL externes pour Secure Gateway et les connexions par tunnel.
- Vérifiez que le Pare-feu Windows avec sécurité avancée est défini sur activé dans les profils actifs. Il vous est recommandé de régler ce paramètre sur activé pour tous les profils. Par défaut, des règles IPsec régissent les connexions entre le serveur de sécurité et le serveur de connexion View et requièrent que le Pare-feu Windows avec sécurité avancée soit activé.
- Familiarisez-vous avec les ports réseau qui doivent être ouverts sur le Pare-feu Windows pour un serveur de sécurité. Reportez-vous à la section Règles de pare-feu pour le Serveur de connexion Horizon.
- Si votre topologie réseau inclut un pare-feu principal entre le serveur de sécurité et le Serveur de connexion, vous devez configurer le pare-feu pour qu'il prenne en charge IPsec. Reportez-vous à la section Configuration d'un pare-feu principal pour prendre en charge IPsec.
- Si vous mettez à niveau le serveur de sécurité ou le réinstallez, vérifiez que les règles IPsec existantes du serveur de sécurité ont été supprimées. Reportez-vous à la section Supprimer des règles IPsec pour le serveur de sécurité.
- Si vous installez Horizon 7 en mode FIPS, vous devez désélectionner le paramètre global Utiliser IPSec pour les connexions du serveur de sécurité dans Horizon Administrator, car il est nécessaire de configurer IPsec manuellement en mode FIPS après avoir installé un serveur de sécurité.
Procédure
Résultats
Les services du serveur de sécurité sont installés sur l'ordinateur Windows Server :
- Serveur de sécurité VMware Horizon View
- Composant de VMware Horizon View Framework
- Composant VMware Horizon View Security Gateway
- VMware Horizon View PCoIP Secure Gateway
- VMware Blast Secure Gateway
Pour plus d'informations sur ces services, consultez le document Administration d'Horizon 7.
Le serveur de sécurité s'affiche dans le volet Serveurs de sécurité dans Horizon Administrator.
La règle Serveur de connexion VMware Horizon View (Blast-In) est activée sur le pare-feu Windows sur le serveur de sécurité. Cette règle de pare-feu permet aux navigateurs Web sur les périphériques client d'utiliser HTML Access pour se connecter au serveur de sécurité sur le port TCP 8443.
Que faire ensuite
Configurez un certificat de serveur SSL pour le serveur de sécurité. Reportez-vous à la section Configuration de certificats TLS pour des serveurs Horizon 7.
Il peut être nécessaire de configurer des paramètres de connexion client pour le serveur de sécurité, et vous pouvez optimiser les paramètres Windows Server pour prendre en charge un déploiement de grande envergure. Reportez-vous aux sections Configuration des connexions Horizon Client et Dimensionnement de paramètres de Windows Server pour prendre en charge votre déploiement.
Si vous réinstallez le serveur de sécurité et que vous possédez un ensemble de collecteur de données pour contrôler les données de performances, arrêtez l'ensemble de collecteur de données et redémarrez-le.