Vous pouvez rencontrer des problèmes de connexion entre Horizon Client et un hôte du serveur de sécurité ou du Serveur de connexion Horizon lorsque PCoIP Secure Gateway est configuré pour authentifier des utilisateurs externes qui communiquent sur PCoIP.

Problème

Les clients qui utilisent PCoIP ne peuvent pas se connecter à des postes de travail Horizon 7 ni les afficher. La connexion initiale à une instance du serveur de sécurité ou du Serveur de connexion réussit, mais la connexion échoue lorsque l'utilisateur sélectionne un poste de travail Horizon 7. Ce problème se produit lorsque PCoIP Secure Gateway est configuré sur un hôte du serveur de sécurité ou du Serveur de connexion.

Note : En général, PCoIP Secure Gateway est exploité sur un serveur de sécurité. Dans une configuration de réseau dans laquelle des clients externes se connectent directement à un hôte du Serveur de connexion Horizon, PCoIP Secure Gateway peut également être configuré sur le Serveur de connexion.

Cause

Des problèmes de connexion à PCoIP Secure Gateway peuvent se produire pour différentes raisons.

  • Le pare-feu Windows a fermé un port requis pour PCoIP Secure Gateway.
  • PCoIP Secure Gateway n'est pas activé sur l'instance du serveur de sécurité ou du Serveur de connexion Horizon.
  • Le paramètre PCoIP External URL (URL externe PCoIP) est mal configuré. Ce paramètre doit spécifier l'adresse IP externe à laquelle les clients ont accès sur Internet.
  • L'URL externe PCoIP, l'URL externe du tunnel sécurisé, l'URL externe Blast ou une autre adresse est configurée pour pointer vers un hôte du serveur de sécurité ou du Serveur de connexion différent. Lorsque vous configurez ces adresses sur un hôte du serveur de sécurité ou du Serveur de connexion, toutes les adresses doivent permettre aux systèmes clients d'atteindre l'hôte actuel.
  • Le client se connecte via un proxy Web externe qui a fermé un port requis pour PCoIP Secure Gateway. Par exemple, un proxy Web sur le réseau d'un hôtel ou une connexion publique sans fil peut bloquer les ports requis.

Solution

  • Vérifiez que les ports réseau suivants sont ouverts sur le pare-feu pour l'hôte du serveur de sécurité ou du Serveur de connexion.
    Port Description
    TCP 4172 D'Horizon Client vers l'hôte du serveur de sécurité ou du Serveur de connexion.
    UDP 4172 Entre Horizon Client et l'hôte du serveur de sécurité ou du Serveur de connexion, bidirectionnel.
    Note : Le numéro de port choisi par le client pour l'envoi et la réception du trafic UDP n'est pas prévisible, car il dépend des ports qui sont libres (pour plus d'informations, consultez le Guide de sécurité). Lors de la configuration d'un pare-feu réseau, les règles doivent être intelligentes, ce qui autorise le trafic UDP à partir de n'importe quelle adresse et n'importe quel port vers 4172. Elles doivent également permettre de revenir en arrière de 4172 vers l'adresse et le port initiateurs. Si votre pare-feu ne prend pas en charge les règles Smart, vous pouvez configurer une règle bidirectionnelle avec le client final défini sur ANY ou une paire de règles unidirectionnelles. Consultez la documentation de votre pare-feu pour obtenir des instructions.
    TCP 4172 De l'hôte du serveur de sécurité ou du Serveur de connexion vers le poste de travail Horizon 7.
    UDP 4172 Entre l'hôte du serveur de sécurité ou du Serveur de connexion et le poste de travail Horizon 7, bidirectionnel.
    Note : Les passerelles PCoIP sur le Serveur de connexion, le serveur de sécurité et l'UAG envoient et reçoivent le trafic UDP vers les postes de travail sur le port 55000. Pour plus d'informations, reportez-vous au document Sécurité d'Horizon 7. Lors de la configuration d'un pare-feu réseau, vous avez besoin d'une règle bidirectionnelle spécifiant les deux ports ou d'une paire de règles unidirectionnelles. Consultez la documentation de votre pare-feu pour obtenir des instructions.
  • Dans Horizon Administrator, assurez-vous que le service PCoIP Secure Gateway est activé.
    1. Cliquez sur Configuration de View > Serveurs.
    2. Dans l'onglet Serveurs de connexion, sélectionnez l'instance du Serveur de connexion et cliquez sur Modifier.
    3. Cochez la case Utiliser PCoIP Secure Gateway pour les connexions PCoIP à la machine.
      Par défaut, PCoIP Secure Gateway est désactivé.
    4. Cliquez sur OK.
  • Dans Horizon Administrator, assurez-vous que l'URL PCoIP externe est correctement configurée.
    1. Cliquez sur Configuration de View > Serveurs.
    2. Sélectionnez l'hôte à configurer.
      • Si vos utilisateurs se connectent à PCoIP Secure Gateway sur un serveur de sécurité, sélectionnez le serveur de sécurité dans l'onglet Serveurs de sécurité.
      • Si vos utilisateurs se connectent à PCoIP Secure Gateway sur une instance du Serveur de connexion, sélectionnez cette instance dans l'onglet Serveurs de connexion.
    3. Cliquez sur Modifier.
    4. Dans la zone de texte URL externe PCoIP, assurez-vous que l'URL contient l'adresse IP externe de l'hôte du serveur de sécurité ou du Serveur de connexion auquel les clients ont accès sur Internet.
      Spécifiez le port 4172. N'incluez pas de nom de protocole.

      Par exemple : 10.20.30.40:4172

    5. Assurez-vous que toutes les adresses de cette boîte de dialogue permettent aux systèmes clients d'atteindre cet hôte.

      Toutes les adresses de la boîte de dialogue Modifier les paramètres du serveur de sécurité doivent permettre aux systèmes clients d'atteindre cet hôte du serveur de sécurité. Toutes les adresses dans la boîte de dialogue Modifier les paramètres du Serveur de connexion doivent permettre aux systèmes clients d'atteindre cette instance du Serveur de connexion.

    6. Cliquez sur OK.
    Répétez ces étapes pour chaque instance du serveur de sécurité et du Serveur de connexion sur laquelle les utilisateurs se connectent à PCoIP Secure Gateway.
  • Si l'utilisateur se connecte via un proxy Web se trouvant à l'extérieur de votre réseau, et que le proxy bloque un port requis, demandez à l'utilisateur de se connecter à partir d'un emplacement réseau différent.