PowerShell を使用した Unified Access Gateway アプライアンスのデプロイ

PowerShell スクリプトを使用すると、すべての構成を設定した環境を準備できます。PowerShell スクリプトを実行して Unified Access Gateway をデプロイすると、初めてシステムを起動したときからこのソリューションを本番環境で利用できるようになります。

重要： PowerShell デプロイでは、すべての設定を INI ファイルで提供することができ、 Unified Access Gateway インスタンスは起動するとすぐに本番環境で使用できるようになります。デプロイ後の設定を変更しない場合は、管理ユーザーインターフェイスのパスワードを入力する必要はありません。

ただし、管理ユーザーインターフェイスのパスワードがデプロイ時に入力されないと、管理ユーザーインターフェイスと API のいずれも使用できません。

注：

デプロイ時に管理ユーザーインターフェイスのパスワードを入力しておかないと、後からユーザーを追加して管理ユーザーインターフェイスや API へのアクセスを有効にすることはできません。管理ユーザーインターフェイスのユーザーを追加する場合は、Unified Access Gateway インスタンスを有効なパスワードで再デプロイする必要があります。
Unified Access Gateway 3.5 以降には、オプションの sshEnabled INI プロパティが含まれています。PowerShell INI ファイルの [General] セクションに sshEnabled=true を設定すると、デプロイされたアプライアンスでの ssh アクセスが自動的に有効になります。一般に、特定の状況においてアクセスが制限される場合を除き、 Unified Access Gateway で ssh を有効にすることはお勧めしません。この機能は主に、代替のコンソールアクセスがない Amazon AWS EC2 のデプロイを対象としています。
注： Amazon AWS EC2 の詳細については、 Amazon Web Services への Unified Access Gateway の PowerShell デプロイを参照してください。

sshEnabled=true が指定されていないか、false に設定されている場合、ssh は有効になりません。

コンソールアクセスが使用できるプラットフォーム vSphere、Hyper-V、Microsoft Azure のデプロイでは、通常の場合 Unified Access Gateway で ssh アクセスを有効にする必要はありません。Amazon AWS EC2 のデプロイに root コンソールアクセスが必要な場合は、sshEnabled=true を設定します。ssh が有効の場合は、ファイアウォールまたはセキュリティグループで TCP ポート 22 へのアクセスを個々の管理者の送信元 IP アドレスに制限する必要があります。この制限は、EC2 では Unified Access Gateway ネットワークインターフェイスに関連付けられている EC2 セキュリティグループでサポートしています。
Unified Access Gateway 2009 では、.INI ファイルに Syslog 構成を有効にするための sysLogType プロパティが含まれています。
Unified Access Gateway 2009 では、監視ロールを持つ、権限の低い管理者ユーザーを作成するために、INI ファイルにパラメータを含めることができます。スーパーユーザー管理者ユーザーの作成はサポートされていません。

前提条件

Hyper-V をデプロイするときに固定 IP アドレスを使用して Unified Access Gateway をアップグレードする場合は、Unified Access Gateway の新しいインスタンスをデプロイする前に古いアプライアンスを削除します。
システム要件を満たしており、利用可能であることを確認します。
これは、Unified Access Gateway を自社環境にデプロイするためのサンプルスクリプトです。

図 1. サンプルの PowerShell スクリプト

手順

My VMware から Windows マシンに Unified Access Gateway OVA をダウンロードします。
uagdeploy-XXX.zip ファイルを Windows マシンのフォルダにダウンロードします。
ZIP ファイルは、の [VMware ダウンロード] Unified Access Gateway ページにあります。
PowerShell スクリプトを開いて、ディレクトリをスクリプトの場所に変更します。

Unified Access Gateway 仮想アプライアンスの INI 構成ファイルを作成します。

例：新しい Unified Access Gateway アプライアンス UAG1 をデプロイします。構成ファイルの名前は、 uag1.ini です。このファイルには、UAG1 のすべての設定が含まれます。 uagdeploy.ZIP ファイルにあるサンプルの INI ファイルを使用して INI ファイルを作成し、設定を適切に変更できます。

注：

自社の複数の Unified Access Gateway デプロイ環境には一意の INI ファイルを関連付けることができます。複数のアプライアンスをデプロイするには、INI ファイルで IP アドレスと名前のパラメータを適切に変更する必要があります。
プライベートキーを PKCS8 から PKCS1 に変換する、つまり、「BEGIN PRIVATE KEY」形式から「BEGIN RSA PRIVATE KEY」形式に変換するには、次の openssl コマンドを実行します。
openssl rsa -in key.pem -out keyrsa.pem
PKCS#12 形式のファイルを p12 または .pfx のいずれかのファイル拡張子に変換し、キーが RSA キーであることを確認するには、次のコマンドを実行します。
openssl pkcs12 -in cert.pfx -nokeys -out cert.pem
openssl pkcs12 -in cert.pfx -nodes -nocerts -out key.pem
openssl rsa -in key.pem -check -out keyrsa.pem

変更する INI ファイルの例です。

[General]
netManagementNetwork=
netInternet=
netBackendNetwork=
name=
dns = 192.0.2.1 192.0.2.2
dnsSearch = example1.com example2.com
ip0=10.108.120.119
diskMode=
source=
defaultGateway=10.108.120.125
target=
ds=
deploymentOption=onenic
authenticationTimeout=300000
fipsEnabled=false
sysLogType=TCP
uagName=UAG1
locale=en_US
ipModeforNIC3=DHCPV4_DHCPV6
tls12Enabled=true
ipMode=DHCPV4_DHCPV6
requestTimeoutMsec=10000
ipModeforNIC2=DHCPV4_DHCPV6
tls11Enabled=false
clientConnectionIdleTimeout=180
tls10Enabled=false
adminCertRolledBack=false
cookiesToBeCached=none
healthCheckUrl=/favicon.ico
quiesceMode=false
syslogUrl=10.108.120.108:514
syslogSystemMessagesEnabled=false
isCiphersSetByUser=false
tlsPortSharingEnabled=true
ceipEnabled=true
bodyReceiveTimeoutMsec=15000
monitorInterval=60
cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
adminPasswordExpirationDays=90
httpConnectionTimeout=120
isTLS11SetByUser=false
sessionTimeout=36000000
ssl30Enabled=false
snmpEnabled= TRUE | FALSE
ntpServers=ipOrHostname1 ipOrHostname2
fallBackNtpServers=ipOrHostname1 ipOrHostname2
sshEnabled=
sshPasswordAccessEnabled=
sshKeyAccessEnabled=
sshPublicKey1=
adminDisclaimerText=

[WebReverseProxy1]
proxyDestinationUrl=https://10.108.120.21
trustedCert1=
instanceId=view
healthCheckUrl=/favicon.ico
userNameHeader=AccessPoint-User-ID
proxyPattern=/(.*)
landingPagePath=/
hostEntry1=10.108.120.21 HZNView.uagqe.auto.com

[Horizon]
proxyDestinationUrl=https://enterViewConnectionServerUrl
trustedCert1=
gatewayLocation=external
disableHtmlAccess=false
healthCheckUrl=/favicon.ico
proxyDestinationIPSupport=IPV4
smartCardHintPrompt=false
queryBrokerInterval=300
proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
matchWindowsUserName=false
windowsSSOEnabled=false

[Airwatch]
tunnelGatewayEnabled=true
tunnelProxyEnabled=true
pacFilePath=
pacFileURL=
credentialFilePath=
apiServerUsername=domain\apiusername
apiServerPassword=*****
proxyDestinationUrl=https://null
ntlmAuthentication=false
healthCheckUrl=/favicon.ico
organizationGroupCode=
apiServerUrl=https://null
airwatchOutboundProxy=false
outboundProxyHost=1.2.3.4
outboundProxyPort=3128
outboundProxyUsername=proxyuser
outboundProxyPassword=****
reinitializeGatewayProcess=false
airwatchServerHostname=tunnel.acme.com
trustedCert1=c:\temp\CA-Cert-A.pem
hostEntry1=1.3.5.7 backend.acme.com

[AirwatchSecureEmailGateway]
airwatchOutboundProxy=false
memConfigurationId=abc123
apiServerUsername=domain\apiusername
healthCheckUrl=/favicon.ico
apiServerUrl=https://null
outboundProxyHost=1.2.3.4
outboundProxyPort=3128
outboundProxyUsername=proxyuser
outboundProxyPassword=****
reinitializeGatewayProcess=false
airwatchServerHostname=serverNameForSNI
apiServerPassword=****
trustedCert1=c:\temp\CA-Cert-A.pem
pfxCerts=C:\Users\admin\My Certs\mycacerts.pfx
hostEntry1=1.3.5.7 exchange.acme.com

[AirWatchContentGateway]
cgConfigId=abc123
apiServerUrl=https://null
apiServerUsername=domain\apiusername
apiServerPassword=*****
outboundProxyHost=
outboundProxyPort=
outboundProxyUsername=proxyuser
outboundProxyPassword=*****
airwatchOutboundProxy=false
hostEntry1=192.168.1.1 cgbackend.acme.com
trustedCert1=c:\temp\CA-Cert-A.pem
ntlmAuthentication=false
reinitializeGatewayProcess=false
airwatchServerHostname=cg.acme.com

[SSLCert]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

[SSLCertAdmin]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

[JWTSettings1]
publicKey1=
publicKey2=
publicKey3=
name=JWT_1

[JWTSettings2]
publicKey1=
publicKey2=
name=JWT_2

[AdminUser1]
name=monitoringUser1
enabled=true

[AdminUser2]
name=monitoringUser2
enabled=true

[OutboundProxySettings1]
proxyUrl=
name=
proxyType=HTTP
includedHosts1=
includedHosts2=
trustedCert1=

[OutboundProxySettings2]
proxyUrl=
name=
proxyType=HTTP
includedHosts1=
includedHosts2=
trustedCert1=

注：監視ロールを持つ権限の低い管理者ユーザーのパスワードは、PowerShell スクリプトのパラメータとして提供されます。パスワードが指定されていない場合、ユーザーはパスワードを入力するように求められます。パラメータを newAdminUserPwd として指定し、パラメータ値を monitoringUser1:P@ssw0rd1;monitoringUser2:P@ssw0rd2 のように入力します。INI ファイルの enabled パラメータはオプションです。パラメータが使用できない場合は、デフォルトで true に設定されます。

スクリプト実行が制限されないようにするには、PowerShell の set-executionpolicy コマンドを入力します。
```
set-executionpolicy -scope currentuser unrestricted
```
制限を解除するには、これを 1 回行えば十分です。
1. （オプション） スクリプトの警告が表示される場合、次のコマンドを実行して、警告のブロックを解除します：unblock-file -path .\uagdeploy.ps1
このコマンドを実行してデプロイを開始します。.INI ファイルを指定しない場合、スクリプトはデフォルトで ap.ini を使用します。
```
.\uagdeploy.ps1 -iniFile uag1.ini
```
確認の画面が表示されたら、認証情報を入力し、スクリプトの実行を完了します。

注：ターゲットマシンのフィンガープリントを追加するように要求されたら、 [yes] と入力します。

Unified Access Gateway アプライアンスがデプロイされ、本番環境で利用できるようになります。

結果

PowerShell スクリプトの詳細については、 https://communities.vmware.com/docs/DOC-30835 を参照してください。

次のタスク

既存の設定を保持したまま Unified Access Gateway をアップグレードする場合は、 .ini ファイルを編集して、ソースの参照先を新しいバージョンに変更し、 .ini ファイルを再実行します： uagdeploy.ps1 uag1.ini。このプロセスには、最大で 3 分かかることがあります。

[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

サービスを中断せずにアップグレードする方法については、ダウンタイムなしのアップグレードを参照してください。