Un serveur de sécurité est une instance du Serveur de connexion qui ajoute une couche supplémentaire de sécurité entre Internet et votre réseau interne. Vous pouvez installer un ou plusieurs serveurs de sécurité à connecter à une instance du Serveur de connexion.

Le logiciel du serveur de sécurité ne peut pas coexister sur une machine virtuelle ou physique sur laquelle sont installés d'autres composants logiciels d'Horizon 7, notamment un serveur réplica, un Serveur de connexion, View Composer, Horizon Agent ou Horizon Client.

Conditions préalables

  • Déterminez le type de topologie à utiliser. Par exemple, déterminez quelle solution d'équilibrage de charge utiliser. Décidez si les instances du Serveur de connexion couplées avec des serveurs de sécurité seront dédiées aux utilisateurs du réseau externe. Pour plus d'informations, consultez le document Planification de l'architecture Horizon 7.
    Important : Si vous utilisez un équilibrage de charge, il doit avoir une adresse IP qui ne change pas. Dans un environnement IPv4, configurez une adresse IP statique. Dans un environnement IPv6, les machines obtiennent automatiquement des adresses IP qui ne changent pas.
  • Vérifiez que votre installation satisfait aux exigences décrites dans la section Exigences du Serveur de connexion Horizon
  • Préparez votre environnement pour l'installation. Reportez-vous à la section Conditions préalables d'installation pour l'Horizon Connection Server.
  • Vérifiez que l'instance du Serveur de connexion à coupler avec le serveur de sécurité est installée et configurée et exécute une version du Serveur de connexion qui est compatible avec la version du serveur de sécurité. Reportez-vous à la section « Matrice de compatibilité des composantsHorizon 7 » dans le document Mises à niveau d'Horizon 7.
  • Vérifiez que l'instance du Serveur de connexion à coupler avec le serveur de sécurité est accessible à l'ordinateur sur lequel vous prévoyez d'installer le serveur de sécurité.
    Note : Après une mise à niveau du Serveur de connexion vers Horizon 7 version 7.5, les serveurs de sécurité sur lesquels le protocole IPsec est désactivé doivent être réinstallés. Si l'adresse IP d'un serveur de sécurité change, il doit être réinstallé. Le couplage de serveur de sécurité ne fonctionne pas correctement si le serveur de sécurité se trouve derrière le composant NAT dynamique.
  • Configurez un mot de passe de couplage de serveur de sécurité. Reportez-vous à la section Configurer un mot de passe de couplage de serveur de sécurité.
  • Familiarisez-vous avec le format des URL externes. Reportez-vous à la section Configuration d'URL externes pour Secure Gateway et les connexions par tunnel.
  • Vérifiez que le Pare-feu Windows avec sécurité avancée est défini sur activé dans les profils actifs. Il vous est recommandé de régler ce paramètre sur activé pour tous les profils. Par défaut, des règles IPsec régissent les connexions entre le serveur de sécurité et le serveur de connexion View et requièrent que le Pare-feu Windows avec sécurité avancée soit activé.
  • Familiarisez-vous avec les ports réseau qui doivent être ouverts sur le Pare-feu Windows pour un serveur de sécurité. Reportez-vous à la section Règles de pare-feu pour le Serveur de connexion Horizon.
  • Si votre topologie réseau inclut un pare-feu principal entre le serveur de sécurité et le Serveur de connexion, vous devez configurer le pare-feu pour qu'il prenne en charge IPsec. Reportez-vous à la section Configuration d'un pare-feu principal pour prendre en charge IPsec.
  • Si vous mettez à niveau le serveur de sécurité ou le réinstallez, vérifiez que les règles IPsec existantes du serveur de sécurité ont été supprimées. Reportez-vous à la section Supprimer des règles IPsec pour le serveur de sécurité.
  • Si vous installez Horizon 7 en mode FIPS, vous devez désélectionner le paramètre global Utiliser IPSec pour les connexions du serveur de sécurité dans Horizon Administrator, car il est nécessaire de configurer IPsec manuellement en mode FIPS après avoir installé un serveur de sécurité.

Procédure

  1. Téléchargez le fichier du programme d'installation du Serveur de connexion sur le site de téléchargement de VMware à l'adresse https://my.vmware.com/web/vmware/downloads.
    Sous Desktop & End-User Computing, sélectionnez le téléchargement de VMware Horizon 7, qui inclut le Serveur de connexion.

    Le nom de fichier du programme d'installation est VMware-viewconnectionserver-x86_64-y.y.y-xxxxxx.exe, où xxxxxx est le numéro de build et y.y.y le numéro de version.

  2. Pour démarrer le programme d'installation du Serveur de connexion, double-cliquez sur le fichier du programme d'installation.
  3. Acceptez les termes de licence VMware.
  4. Acceptez ou modifiez le dossier de destination.
  5. Sélectionnez l'option d'installation de Serveur de sécurité View.
  6. Sélectionnez la version du protocole Internet (IPv4 ou IPv6).
    Vous devez installer tous les composants Horizon 7 avec la même version IP.
  7. Sélectionnez si le mode FIPS doit être activé ou désactivé.
    Cette option n'est disponible que si le mode FIPS est activé dans Windows.
  8. Saisissez le nom de domaine complet ou l'adresse IP de l'instance du Serveur de connexion à coupler avec le serveur de sécurité dans la zone de texte Serveur.
    Le serveur de sécurité transmet le trafic réseau à cette instance du Serveur de connexion.
  9. Tapez le mot de passe de couplage du serveur de sécurité dans la zone de texte Mot de passe.
    Si le mot de passe a expiré, vous pouvez utiliser Horizon Administrator pour configurer un nouveau mot de passe et le saisir dans le programme d'installation.
  10. Dans la zone de texte URL externe, tapez l'URL externe du serveur de sécurité. Cela est requis pour tous les clients, quel que soit le protocole d'affichage qu'ils utilisent.
    L'URL doit contenir l'identifiant de protocole (https), le nom du serveur de sécurité résolvable par le client et le numéro de port (443).
    Par exemple : https://view.example.com:443
    Les clients compatibles avec le tunnel en dehors de votre réseau utilisent l'URL pour atteindre les machines à l'intérieur de votre réseau via le serveur de sécurité.
  11. Dans la zone de texte URL externe PCoIP, tapez l'URL externe de la passerelle PCoIP du serveur de sécurité. Cela est requis pour les clients qui utilisent le protocole d'affichage PCoIP pour se connecter à des postes de travail distants.
    L'URL relative au protocole doit contenir l'adresse IP du serveur de sécurité et le numéro de port (4172). Dans un environnement IPv4, utilisez une adresse IPv4. Dans un environnement IPv6, utilisez une adresse IPv6.
    Par exemple, dans un environnement IPv4 : 10.20.30.40:4172
    Les clients compatibles PCoIP en dehors de votre réseau utilisent l'URL pour atteindre les machines à l'intérieur de votre réseau via le serveur de sécurité.
    Note : Bien qu'une adresse IPv6 doive être entrée ici dans un environnement IPv6, elle peut être remplacée par un nom résolvable par le client après l'installation.
  12. Dans la zone de texte URL externe Blast, tapez l'URL externe de la passerelle Blast du serveur de sécurité. Cela est requis pour les clients qui utilisent le protocole d'affichage Blast ou HTML Access pour se connecter à des postes de travail distants.
    L'URL doit contenir l'identifiant de protocole (https), le nom de serveur de sécurité résolvable par le client et le numéro de port (8443).
    Par exemple : https://myserver.example.com:8443
    Les clients compatibles Blast et HTML Access en dehors de votre réseau utilisent l'URL pour atteindre les machines à l'intérieur de votre réseau via le serveur de sécurité.
  13. Choisissez comment configurer le service Pare-feu Windows.
    Option Action
    Configure Windows Firewall automatically (Configurer le Pare-feu Windows automatiquement) Laissez le programme d'installation configurer le Pare-feu Windows pour autoriser les connexions réseau requises.
    Do not configure Windows Firewall (Ne pas configurer le Pare-feu Windows) Configurez les règles de pare-feu Windows manuellement.

    Sélectionnez cette option uniquement si votre entreprise utilise ses propres règles prédéfinies pour la configuration du pare-feu Windows.

  14. Effectuez l'assistant d'installation pour terminer l'installation du serveur de sécurité.

Résultats

Les services du serveur de sécurité sont installés sur l'ordinateur Windows Server :

  • Serveur de sécurité VMware Horizon View
  • Composant de VMware Horizon View Framework
  • Composant VMware Horizon View Security Gateway
  • VMware Horizon View PCoIP Secure Gateway
  • VMware Blast Secure Gateway

Pour plus d'informations sur ces services, consultez le document Administration d'Horizon 7.

Le serveur de sécurité s'affiche dans le volet Serveurs de sécurité dans Horizon Administrator.

La règle Serveur de connexion VMware Horizon View (Blast-In) est activée sur le pare-feu Windows sur le serveur de sécurité. Cette règle de pare-feu permet aux navigateurs Web sur les périphériques client d'utiliser HTML Access pour se connecter au serveur de sécurité sur le port TCP 8443.

Note : Si l'installation est annulée ou abandonnée, il peut être nécessaire de supprimer les règles IPsec du serveur de sécurité avant d'effectuer l'installation de nouveau. Exécutez cette étape, même si vous avez déjà supprimé les règles IPsec avant de réinstaller le serveur de sécurité ou de le mettre à niveau. Pour plus d'instructions sur la suppression des règles IPsec, reportez-vous à la section Supprimer des règles IPsec pour le serveur de sécurité.

Que faire ensuite

Configurez un certificat de serveur SSL pour le serveur de sécurité. Reportez-vous à la section Configuration de certificats TLS pour des serveurs Horizon 7.

Il peut être nécessaire de configurer des paramètres de connexion client pour le serveur de sécurité, et vous pouvez optimiser les paramètres Windows Server pour prendre en charge un déploiement de grande envergure. Reportez-vous aux sections Configuration des connexions Horizon Client et Dimensionnement de paramètres de Windows Server pour prendre en charge votre déploiement.

Si vous réinstallez le serveur de sécurité et que vous possédez un ensemble de collecteur de données pour contrôler les données de performances, arrêtez l'ensemble de collecteur de données et redémarrez-le.