Cette rubrique vous guide à travers les étapes de planification, de préparation et d'achèvement de la transition vers Universal Broker. Reportez-vous à la procédure suivante pour apprendre à configurer le service Universal Broker, à définir une date et une heure de début pour la transition, et à franchir les étapes du processus pour une transition réussie.

Une bannière de notification avec un bouton Planifier apparaît en haut de la page Horizon Universal Console lorsque la transition du broker est prête à être planifiée.

Note : Si la bannière affiche une condition d'erreur empêchant la planification de la transition, vous n'avez probablement pas pu satisfaire une ou plusieurs des conditions préalables à la transition. Cliquez sur Afficher les erreurs dans la bannière, puis cliquez sur l'icône d'erreur à côté du lien Transition requise dans la page Broker pour afficher les détails de la condition d'erreur. Vous devez prendre les mesures nécessaires pour effacer la condition d'erreur avant de pouvoir planifier la transition.

Conditions préalables

Vérifiez que votre environnement répond à toutes les conditions préalables répertoriées dans la section Configuration système requise pour la transition vers Universal Broker.

Procédure

  1. Cliquez sur Planifier dans la bannière de notification pour la transition du broker.

    Bannière de notification pour planifier la transition du broker.
    Cette action vous redirige vers la page du broker. Cette page indique que le broker à espace unique est actuellement activé pour votre locataire et fournit un lien pour planifier la transition du broker.

    Page Broker avant la transition.
  2. Dans la page Broker, cliquez sur le lien Planifier.
    L'assistant de configuration pour Universal Broker s'affiche. Vous devez suivre les étapes de cet assistant pour configurer Universal Broker pour vos espaces dans Microsoft Azure et pour planifier la transition vers Universal Broker.

    Assistant de configuration d'Universal Broker
  3. Sur la page Nom de domaine complet de l'assistant, configurez les paramètres du nom de domaine complet de la connexion d'intermédiation. Ces paramètres définissent l'adresse de connexion dédiée que vos utilisateurs finaux utiliseront pour accéder aux ressources allouées par Universal Broker.
    Note : Lorsque vous modifiez un paramètre de sous-domaine ou de nom de domaine complet, la modification peut prendre un certain temps à s'appliquer sur tous vos serveurs DNS.
    1. Pour Type, sélectionnez un nom de domaine complet fourni par VMware ou personnalisé.
    2. Spécifiez des paramètres supplémentaires pour le type de nom de domaine complet sélectionné.
      • Si vous avez sélectionné le type Fourni par VMware, spécifiez les paramètres comme suit.
        Paramètre Description
        Sub Domain Entrez le nom DNS unique d'un sous-domaine valide dans votre configuration réseau qui représente votre société ou organisation. Ce sous-domaine est ajouté en préfixe au domaine fourni par VMware pour former le nom de domaine complet d'intermédiation.
        Note : Certaines chaînes ne sont pas autorisées ou sont réservées par le système. Cette catégorie de chaînes inclut des mots génériques tels que book, des termes bien connus appartenant à des entreprises, tels que gmail, ainsi que le chiffrement du protocole et des termes open source comme php et sql. Le système interdit également une catégorie de modèles de ces chaînes comme mail0, mail1, mail2, etc.

        Cependant, lorsque vous saisissez un nom non autorisé dans ce champ, le système ne valide pas l'entrée à ce moment-là. Lorsque vous atteignez l'étape de résumé final de l'assistant, le système valide le nom que vous avez entré ici et affiche une erreur si votre entrée correspond à l'un des noms non autorisés. Si c'est le cas, entrez un nom différent et un nom unique.

        Brokering FQDN Ce champ en lecture seule affiche le nom de domaine complet configuré. Le nom de domaine complet utilise le format https://<votre sous-domaine>.vmwarehorizon.com.

        Fournissez ce nom de domaine complet à vos utilisateurs finaux pour qu'ils puissent se connecter au service Universal Broker en utilisant Horizon Client.

        Universal Broker gère la validation DNS et SSL de ce nom de domaine complet.
      • Si vous avez sélectionné le type Personnalisé, spécifiez les paramètres comme suit.
        Paramètre Description
        Brokering FQDN Entrez le nom de domaine complet personnalisé que vos utilisateurs finaux utiliseront pour accéder au service Universal Broker. Votre nom de domaine complet personnalisé fonctionne comme un alias du nom de domaine complet fourni par VMware généré, qui établit la connexion au service.

        Vous devez être propriétaire du nom de domaine spécifié dans votre nom de domaine complet personnalisé et fournir un certificat qui peut valider ce domaine.

        Note : Votre nom de domaine complet personnalisé, également appelé URL de connexion, représente votre société ou organisation. Assurez-vous que vous disposez de l'autorisation adéquate pour utiliser ce nom de domaine complet personnalisé.
        Note : Votre nom de domaine complet personnalisé doit être unique et distinct des FQDN de toutes les instances d' Unified Access Gateway dans vos espaces.
        Important : Vous devez créer un enregistrement CNAME sur votre serveur DNS qui mappe votre nom de domaine complet personnalisé au nom de domaine complet fourni par VMware qui représente l'adresse de connexion interne du service Universal Broker. Par exemple, l'enregistrement peut mapper vdi.examplecompany.com à <chaîne générée automatiquement>.vmwarehorizon.com.
        Certificate

        Cliquez sur Parcourir et téléchargez le certificat (au format PFX protégé par mot de passe) qui valide votre nom de domaine complet d'intermédiation. Le certificat doit être signé par une autorité de certification (CA) de confiance. Le nom commun (CN) du certificat ou l'un de ses noms alternatifs de sujet (SAN) doit correspondre au nom de domaine complet. Le contenu du certificat doit être conforme au format X.509 standard.

        Le fichier PFX doit contenir toute la chaîne de certificats et la clé privée : certificat de domaine, certificats intermédiaires, certificat d'autorité de certification racine et clé privée.

        Le service Universal Broker utilise ce certificat pour établir des sessions de connexion approuvées avec des clients.

        Password Entrez le mot de passe du fichier de certificats PFX.
        VMware Provided FQDN Ce champ en lecture seule affiche le nom de domaine complet fourni par VMware, généré automatiquement pour le service d'intermédiation. Le nom de domaine complet prend le format https://<chaîne générée automatiquement>.vmwarehorizon.com.

        Le nom de domaine complet fourni par VMware n'est pas visible pour les utilisateurs finaux et représente l'adresse de connexion interne du service Universal Broker. Votre nom de domaine complet personnalisé fonctionne comme alias du nom de domaine complet fourni par VMware.

        Important : Vous devez configurer une association d'alias en créant un enregistrement CNAME sur votre serveur DNS qui mappe votre nom de domaine complet personnalisé à celui fourni par VMware. Par exemple, l'enregistrement peut mapper vdi.examplecompany.com à <chaîne générée automatiquement>.vmwarehorizon.com.

        Assistant de configuration d'Universal Broker avec les paramètres renseignés du nom de domaine complet personnalisé
    3. Lorsque vous avez terminé la configuration des paramètres de nom de domaine complet, cliquez sur Suivant pour passer à la page suivante de l'assistant.
  4. (Facultatif) Sur la page Authentification de l'assistant, configurez l'authentification à deux facteurs.
    Par défaut, Universal Broker authentifie les utilisateurs uniquement via leur nom d'utilisateur et leur mot de passe Active Directory. Vous pouvez mettre en place l'authentification à deux facteurs en spécifiant une méthode d'authentification supplémentaire. Pour plus d'informations, reportez-vous à la section Meilleures pratiques lors de l'implémentation de l'authentification à deux facteurs dans un environnement Universal Broker.
    Important : Pour utiliser l'authentification à deux facteurs pour Universal Broker, vous devez d'abord configurer le service d'authentification approprié sur chaque instance externe d' Unified Access Gateway de tous les espaces participants. Les configurations des instances externes d' Unified Access Gateway doivent être identiques dans et entre les espaces participants.

    Pour utiliser, par exemple, l'authentification RADIUS, vous devez configurer le service RADIUS sur chaque instance externe d'Unified Access Gateway de tous les espaces Horizon participants et espaces dans Microsoft Azure.

    Ne supprimez pas les instances d'Unified Access Gateway dans les espaces participants. Étant donné qu'Universal Broker repose sur Unified Access Gateway pour le trafic de protocole entre Horizon Client et les ressources virtuelles, les utilisateurs ne peuvent pas accéder aux ressources provisionnées à partir d'un espace participant si vous supprimez l'instance d'Unified Access Gateway sur cet espace.

    Paramètre Description
    2 Factor Authentication

    Pour utiliser l'authentification à deux facteurs, activez cette option.

    Lorsque vous activez cette option, vous voyez des options supplémentaires pour configurer l'authentification à deux facteurs.

    Maintain User Name Activez cette option pour conserver le nom Active Directory de l'utilisateur lors de l'authentification dans Universal Broker. Lorsque cette option est activée :
    • L'utilisateur doit disposer d'informations d'identification de nom d'utilisateur pour la méthode d'authentification supplémentaire identiques à celles utilisées pour son authentification Active Directory dans Universal Broker.
    • L'utilisateur ne peut pas modifier le nom d'utilisateur dans l'écran de connexion client.

    Si cette option est désactivée, l'utilisateur peut entrer un nom d'utilisateur différent dans l'écran de connexion.

    Type

    Spécifiez la méthode d'authentification à utiliser en plus du nom d'utilisateur et du mot de passe Active Directory.

    • Pour utiliser l'authentification à deux facteurs dans vos espaces Horizon et espaces dans Microsoft Azure, sélectionnez RADIUS.
    • Pour utiliser l'authentification à deux facteurs pour vos espaces Horizon uniquement, sélectionnez RSA SecurID.
    Note : Dans cette version, RSA SecurID est pris en charge sur les espaces Horizon, mais pas sur les espaces dans Microsoft Azure. Si vous sélectionnez RSA SecurID, les demandes d'authentification RSA des utilisateurs sont tentées via les instances d' Unified Access Gateway de vos espaces Horizon uniquement. Les demandes d'authentification par nom d'utilisateur et mot de passe Active Directory sont tentées via les instances d' Unified Access Gateway pour les espaces Horizon ou les espaces dans Microsoft Azure.
    Show Hint Text Activez cette option pour configurer une chaîne de texte qui s'affiche dans l'écran de connexion client afin d'inviter l'utilisateur à entrer ses informations d'identification conformément à la méthode d'authentification supplémentaire.
    Custom Hint Text

    Entrez la chaîne de texte que vous souhaitez afficher dans l'écran de connexion client. L'astuce spécifiée apparaît à l'utilisateur final sous la forme Enter your DisplayHint user name and password, où DisplayHint est la chaîne de texte que vous entrez dans cette zone de texte.

    Note : Universal Broker n'autorise pas les caractères suivants dans le texte d'astuce personnalisé : & < > ' "

    Si vous incluez l'un de ces caractères non autorisés dans le texte de l'astuce, les connexions des utilisateurs au nom de domaine complet Universal Broker échoueront.

    Cette astuce peut guider les utilisateurs afin qu'ils entrent les informations d'identification appropriées. Par exemple, l'entrée d'une phrase semblable à Nom d'utilisateur de société et de mot de passe de domaine ci-dessous génère un message à l'utilisateur final qui indique : Enter your Company user name and domain password below for user name and password.

    Skip Two-Factor Authentication

    Activez cette option pour contourner l'authentification à deux facteurs pour les utilisateurs du réseau interne qui se connectent au service Universal Broker. Assurez-vous que vous avez spécifié les plages d'adresses IP publiques appartenant à votre réseau interne, comme décrit dans la section Définir les plages réseau internes pour Universal Broker.

    • Lorsque cette option est activée, les utilisateurs internes doivent entrer uniquement leurs informations d'identification Active Directory pour s'authentifier auprès du service Universal Broker. Les utilisateurs externes doivent entrer leurs informations d'identification Active Directory et leurs informations d'identification pour le service d'authentification supplémentaire.
    • Lorsque cette option est désactivée, les utilisateurs internes et externes doivent entrer leurs informations d'identification Active Directory et leurs informations d'identification pour le service d'authentification supplémentaire.
    Public IP Ranges

    Ce champ en lecture seule répertorie les plages d'adresses IP publiques qui représentent votre réseau interne. Universal Broker considère que tout utilisateur qui se connecte à partir d'une adresse IP comprise dans l'une de ces plages est un utilisateur interne.

    Pour plus d'informations, reportez-vous à la rubrique Définir les plages réseau internes pour Universal Broker.

    Lorsque vous avez terminé la configuration de l'authentification à deux facteurs, cliquez sur Suivant pour passer à la page suivante de l'assistant.
  5. Sur la page Paramètres de l'assistant de configuration, configurez les paramètres de Durées pour Horizon Client.
    Ces paramètres de délai d'expiration s'appliquent à la session de connexion entre Horizon Client et le poste de travail attribué alloué par Universal Broker. Ces paramètres ne s'appliquent pas à la session de connexion de l'utilisateur au système d'exploitation invité du poste de travail attribué. Lorsque Universal Broker détecte les conditions de délai d'expiration spécifiées par ces paramètres, il ferme la session de connexion à Horizon Client de l'utilisateur.
    Paramètre Description
    Client Heartbeat Interval Contrôle l'intervalle, en minutes, entre les pulsations d'Horizon Client et l'état de la connexion de l'utilisateur à Universal Broker. Ces pulsations signalent à Universal Broker la durée d'inactivité qui s'est écoulée pendant la session de connexion à Horizon Client.

    La durée d'inactivité est mesurée lorsqu'aucune interaction ne se produit avec le point de terminaison exécutant Horizon Client. Cette durée d'inactivité n'est pas affectée par une éventuelle inactivité au sein de la session de connexion au système d'exploitation invité sous-jacent au poste de travail attribué à l'utilisateur.

    Dans les grands déploiements de postes de travail, l'augmentation de l'intervalle de pulsation de Client peut réduire le trafic réseau et améliorer les performances.

    Client Idle User Durée d'inactivité maximale, en minutes, autorisée pendant une session de connexion entre Horizon Client et Universal Broker.

    Lorsque la durée maximale est atteinte, la période d'authentification de l'utilisateur expire et Universal Broker ferme toutes les sessions Horizon Client actives. Pour rouvrir une session de connexion, l'utilisateur doit entrer de nouveau ses informations d'identification d'authentification sur l'écran de connexion à Universal Broker.

    Note : Pour éviter de déconnecter les utilisateurs de manière inattendue de leurs postes de travail attribués, définissez le délai d'expiration Utilisateur inactif de Client sur une valeur au moins égale au double de celle de l' intervalle de pulsation de Client.
    Client Broker Session Durée maximale, en minutes, autorisée pour une session de connexion Horizon Client avant l'expiration de l'authentification de l'utilisateur. La durée commence lorsque l'utilisateur s'authentifie dans Universal Broker. Lorsque le délai d'expiration de la session est écoulé, l'utilisateur peut continuer à travailler sur le poste de travail qui lui est attribué. Cependant, s'ils exécutent une action (telle que la modification de paramètres) qui nécessite une communication avec Universal Broker, Horizon Client les invite à entrer de nouveau ses informations d'identification d'Universal Broker.
    Note : Le délai d'expiration Session broker de Client doit être supérieur ou égal à la somme de la valeur Intervalle de pulsation de Client et du délai d'expiration Utilisateur inactif de Client.
    Client Credential Cache Détermine si les informations d'identification de connexion de l'utilisateur doivent être stockées dans le cache du système client. Entrez 1 pour stocker les informations d'identification de l'utilisateur dans le cache. Entrez 0 si vous ne souhaitez pas stocker les informations d'identification de l'utilisateur dans le cache.
    Lorsque vous avez terminé la configuration des paramètres de durée, cliquez sur Suivant pour passer à la page suivante de l'assistant.
  6. Dans la page Planifier de l'assistant, utilisez les contrôles pour spécifier une Date et une Heure de début pour la transition du broker.

    Assistant de configuration d'Universal Broker, page Planifier.
    Vous pouvez planifier une heure de début postérieure d'au moins une heure par rapport à votre heure locale actuelle, et jusqu'à 3 mois par rapport à la date actuelle. L'heure de début doit se situer en haut de l'heure.
    Lorsque vous définissez l'heure de début, prévoyez suffisamment de temps pour que la transition se déroule sans interruption.
    Lorsque vous avez terminé, cliquez sur Suivant pour passer à l'étape suivante de l'assistant de configuration d' Universal Broker.
    Note : Si la console affiche un message indiquant que l'heure de début spécifiée n'est pas disponible, retournez aux paramètres Date et Heure de début pour spécifier une autre heure pour votre transition.
  7. Vérifiez vos paramètres sur la page Résumé, puis cliquez sur Terminer pour enregistrer les paramètres de configuration et de planification d'Universal Broker.
    Un message s'affiche pour confirmer que vous avez planifié la transition correctement.

    Bannière de notification et page du broker après la planification de la transition.
    Une fois la transition planifiée :
    • La page Broker affiche les détails de la transition à venir. Si l'heure de début est prévue dans plus d'une heure, vous pouvez replanifier la transition en cliquant sur le lien Planifier.
    • Si vous souhaitez annuler une transition planifiée ou replanifier une transition qui commence dans moins d'une heure, vous devez contacter le Support VMware. Notez que le support VMware ne peut pas annuler ou replanifier une transition qui commence dans moins de 15 minutes.
    • La console continue d'afficher une bannière de notification sur la transition à venir jusqu'à ce que l'heure de début soit atteinte. En cliquant sur Afficher les détails dans la bannière, vous êtes redirigé vers la page Broker.
    • Les messages de notification et de rappel concernant la transition à venir sont envoyés au compte de messagerie principal enregistré pour votre locataire.
  8. Assurez-vous d'effectuer les tâches de préparation suivantes au moins 15 minutes avant l'heure de début prévue de la transition. Pendant la transition, vous ne pouvez accéder à aucune des opérations de modification de la console.
    • Terminez toutes les opérations en cours dans la console et enregistrez les modifications que vous souhaitez conserver.
    • Fermez tous les assistants de configuration et boîtes de dialogue.
    Important : Assurez-vous que tous vos espaces Horizon Cloud dans Microsoft Azure sont en ligne et qu'ils sont à l'état sain et prêt pour la durée de la transition. Le service Universal Broker doit communiquer avec les espaces et effectuer des étapes de configuration sur ceux-ci pour terminer la préparation du broker pour la transition. Si l'un des espaces est hors ligne ou indisponible, la transition échoue.
    Important : Si vous disposez d'un environnement hybride composé à la fois d'espaces Horizon Cloud dans Microsoft Azure et d'espaces Horizon sur une plate-forme SDDC VMware, le service Universal Broker est indisponible pour vos espaces Horizon pendant la durée de la transition. De plus, vous ne pouvez pas changer l'état d'un espace Horizon de surveillé à géré pendant cette période.
  9. Peu avant le début de la transition, suivez les instructions de l'invite à l'écran pour vous déconnecter de la console et vous reconnecter.

    Invitation à se déconnecter immédiatement avant la transition planifiée du broker.
  10. Autorisez la première étape de la transition à continuer sans interruption.
    Pendant cette étape de la transition :
    • Vous ne pouvez accéder à aucun contrôle de modification de la console et la console affiche une bannière indiquant que la transition est en cours.
      Bannière de la console lorsque la transition du broker est en cours.
    • Tous vos espaces dans Microsoft Azure sont ajoutés à un site nommé Default-Site.
    • Vos attributions de postes de travail VDI sont converties en attributions multicloud réparties par Universal Broker. Dans les paramètres d'attribution par défaut, l'affinité de connexion est définie sur le Site le plus proche et la portée est définie sur Dans le site.
    • Vos attributions de postes de travail et d'applications basés sur une session restent inchangées. Après la transition, les ressources de ces attributions sont réparties par Universal Broker.
    • Toutes les attributions restent disponibles pour vos utilisateurs finaux, et toutes les sessions d'utilisateurs actives restent ouvertes et pleinement opérationnelles pendant cette période.
    Note : Cette étape de la transition dure généralement environ 10 minutes, mais peut prendre plus de temps si votre environnement de locataire contient un grand nombre d'attributions. Vous pouvez suivre la progression en cliquant sur Afficher l'état dans la bannière de notification. Si cette étape n'est pas terminée dans l'heure qui suit, la transition est interrompue et marquée comme un échec.
    Le message suivant s'affiche lorsque cette étape de la transition est terminée.
    Message de confirmation après la transition du broker.
    Note : Si une défaillance se produit au cours de cette étape de la transition, le Support VMware reçoit une notification automatique et va enquêter et remédier à la cause de la défaillance. Vous pouvez consulter plus d'informations sur la page Broker et dans les messages de notification envoyés au compte e-mail principal enregistré pour votre locataire. Une fois que le Support VMware a remédié à la cause de la panne, vous pouvez utiliser le lien de la page Broker pour replanifier la transition.
  11. Après vous être reconnecté à la console, laissez le service Universal Broker terminer son processus d'installation et devenir totalement opérationnel.
    En général, jusqu'à 30 minutes sont nécessaires pour que les paramètres de configuration prennent effet intégralement dans le service Universal Broker, car les enregistrements DNS sont propagés sur les serveurs DNS dans toutes les régions globales. Cependant, selon les conditions de votre système et de votre réseau et le nombre total d'attributions et de mappages utilisateur-poste de travail dédiés dans votre environnement, ce processus peut prendre plusieurs heures. Si le processus n'est pas terminé dans les quatre heures, la transition est interrompue et marquée comme un échec.

    Pendant cette étape de la transition, vous pouvez accéder à toutes les opérations de modification dans la console, à l'exception de la création et de la modification d'attributions. De plus, le service Universal Broker est indisponible pendant cette période pour la répartition des attributions.

    Lorsque la configuration est terminée avec succès, un message de notification s'affiche dans la console sous l'icône de cloche et la page Paramètres > Broker affiche l'état Activé avec un point vert.

    Vos attributions sont maintenant réparties par Universal Broker et la transition est terminée.


    Page Broker avec Universal Broker activé
    Important : Si la configuration d' Universal Broker échoue, la page Paramètres > Broker affiche l'état Erreur avec l'icône d'alerte rouge. Pour corriger l'échec de la configuration et configurer le service Universal Broker, contactez le support VMware, comme décrit dans l' article 2006985 de la base de connaissances VMware.

Que faire ensuite