Unified Access Gateway | 2020 年 7 月 9 日リリース

各リリース ノートで、追加または更新された情報をご確認ください。

リリース ノートの内容

このリリース ノートでは、次のトピックについて説明します。

本リリースの新機能

VMware Unified Access Gateway 3.10 は、次の新機能および機能強化を提供します。

これらの機能の詳細については、ドキュメント センターを参照してください。

  1. 管理ユーザー インターフェイスを使用して VMware Tunnel、Content Gateway、および Secure Email Gateway などの Workspace ONE Edge サービスを設定すると、設定の問題によるエラーが検出され、エラー メッセージが管理ユーザー インターフェイスに送信されるようになりました。エラー メッセージはログに記録されます。
     
  2. 過負荷を回避するために、許容 CPU 使用率の最大値を設定するサポートを追加しました。以前のバージョンでは、この制限は固定の 90% に設定されています。このレベルを超えると、Unified Access Gateway は HTTP 要求に 503 エラーを返し、一時的な過負荷が原因で要求を処理できないことを示します。この設定のサポートにより、ロード バランサは新しいセッションを代替アプライアンスに割り当てることができます。デフォルト値は 100% であるため、これを超えることはできませんが、PowerShell または管理ユーザー インターフェイスを使用してシステム設定で低い値を設定することができます。
     
  3. Horizon Client の IP プロトコル バージョン ブリッジングのサポートを拡張しました。以前のバージョンでは、IPv6 および IPv4 のクライアントが IPv4 の Horizon インフラストラクチャに接続することがサポートされていました。現在、IPv6 および IPv4 のクライアントが IPv6 の Horizon インフラストラクチャにも接続できるようにするためのサポートが追加されました。
     
  4. ローカルの Unified Access Gateway リソースに対して通常使用されるプロキシ要求に、Web リバース プロキシの Edge サービス構成の機能を追加しました。この機能は、Horizon ダブルホップ DMZ 構成で Unified Access Gateway を使用している場合に、OPSWAT オンデマンド エージェントのダウンロードをサポートするために必要でした。このケースをサポートするために、Web リバース プロキシの Edge サービスで設定された proxyPattern には、これらの要求が Horizon Unified Access Gateway アプライアンスに転送されるように、/gateway/resources/(.*) が含まれている必要があります。 
     
  5. Unified Access Gateway の FIPS バージョンで、Horizon Client の証明書ベースの認証がサポートされるようになりました。これは、スマート カード/CAC およびデバイス証明書による認証に使用されます。
     
  6. Horizon 認証に使用されるサードパーティの ID プロバイダ向けの Unified Access Gateway SAML 2.0 の全般的な機能強化。
     
  7. Horizon 認証用の追加の SAML 2.0 ID プロバイダとして Microsoft ADFS と Shibboleth が検証されました。
     
  8. Horizon OPSWAT デバイスのコンプライアンス チェックの継続的な評価間隔を、最低 5 分ごとに設定できるようになりました。以前は、チェックの最小間隔は 30 分でした。デフォルトでは、継続的な評価間隔は引き続き 0、つまり無効に設定されています。この場合、継続チェックは実行されませんが、ユーザーが Horizon デスクトップまたはアプリケーション セッションを開始するたびにチェックされます。 
     
  9. 管理ユーザー インターフェイスにログインするためのログイン免責事項の合意メッセージを設定するためのサポートが追加されました。管理者ユーザーは、ログインする前にこの合意メッセージに同意する必要があります。管理者免責事項のテキストは、管理ユーザー インターフェイスまたは PowerShell の .ini ファイルで設定できます。
     
  10. トラブルシューティングをさらに支援するように、システム情報で収集されたログを拡張しました。system_logs_archive ディレクトリには、cpu.info、mem.info、sysctl.log、および journalctl_archive というログ ファイルがあります。
     
  11. Connection Server への Horizon 要求で使用される送信元ヘッダーをオプションで proxyDestinationUrl 設定のホスト名を使用するように書き換えられるようになりました。多くの場合、特定のブラウザが Horizon に接続できるようにするために、ホスト名を使用して送信元ヘッダーを書き換えることで、Connection Server で locked.properties ファイルを設定する必要がなくなります。
     
  12. RADIUS 認証のための追加の同時接続がサポートされるようになりました。以前のバージョンでは、オンプレミス バージョンの Microsoft Azure Multi-Factor Authentication Server の特定の構成で使用した場合、ピーク ログイン レート中に Horizon ユーザーが RADIUS 認証情報の入力を求められる際に遅延が発生する可能性がありました。同時接続が増えると、この遅延が回避されます。
     
  13. Horizon および Web リバース プロキシの Edge サービスの TCP ポート 443 での接続の TLS バージョンとデフォルトの暗号を更新しました。値は設定可能です。現在、これらの Edge サービスの FIPS 以外の Unified Access Gateway バージョンのデフォルトは次のとおりです。

    TLS 1.3
    TLS_AES_128_GCM_SHA256
    TLS_AES_256_GCM_SHA384
    TLS_CHACHA20_POLY1305_SHA256

    TLS 1.2
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    現在、これらの Edge サービスの FIPS の Unified Access Gateway バージョンのデフォルトは次のとおりです。

    TLS 1.2 のみ
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
     
  14. TCP ポート 8443 上の Horizon Blast Secure Gateway コンポーネントは、TLS 1.1 を使用しなくなりました。TLS 1.2 のみをサポートします。 
     
  15.  Active Directory クライアント証明書マッピング認証のための Secure Email Gateway サポート。クライアント証明書を Active Directory のユーザー オブジェクトに発行するユーザーの場合、この機能は、証明書に UPN が存在しないか、UPN が Active Directory の UPN 値と一致しない場合に使用できます。
     
  16. Secure Email Gateway の場合、Java のバージョンは、Zulu OpenJDK JRE、バージョン 11.0.7 に更新されています。
     
  17. Horizon、Web リバース プロキシ、VMware Tunnel、Content Gateway、Secure Email Gateway などの Edge サービスのフロントエンドの Unified Access Gateway での AVI Networks ロード バランサのサポートが認定されました。

利用可能な言語

Unified Access Gateway のユーザー インターフェイス、オンライン ヘルプ、製品ドキュメントは、日本語、フランス語、ドイツ語、スペイン語、ポルトガル語(ブラジル)、簡体字中国語、繁体字中国語、韓国語でご利用いただけます。完全なドキュメントについては、ドキュメント センターを参照してください。

互換性に関する注意

VMware 製品の相互運用性マトリックスの詳細については、http://www.vmware.com/resources/compatibility/sim/interop_matrix.php を参照してください。

ライフサイクル サポート ポリシー

Unified Access Gateway ライフサイクル サポート ポリシーの詳細については、https://kb.vmware.com/s/article/2147313 を参照してください。

インストールとアップグレード

Unified Access Gateway のダウンロードについては、製品ダウンロード ページを参照してください。

サイズ調整オプション

Unified Access Gateway サイズ調整の推奨事項については、VMware Configuration Maximums を参照してください。

テクニカル リソース

Unified Access Gateway について学んでマスターするには、https://techzone.vmware.com/mastering-unified-access-gateway を参照してください。

解決した問題

  • 旧バージョンで Microsoft ADFS による Horizon SAML IDP 認証を使用している場合、ADFS からのメタデータが Unified Access Gateway にアップロードされる前に手動で変更されていないと、ユーザーは HTTP ERROR 500 を受け取る可能性があります。バージョン 3.10 では、Microsoft ADFS の完全なサポートが追加されているため、この変更は不要になりました。

  • Horizon HTML Access クライアントを使用するときに、認証タイムアウト ポリシーが完全にサポートされるようになりました。

  • Unified Access Gateway 管理ユーザー インターフェイスで、[認証方法] ドロップダウンが Microsoft IE および Edge ブラウザで完全にサポートされるようになりました。

  • ユーザー認証の免責事項テキストが Horizon Connection Server に追加され、後で削除されると、Unified Access Gateway 上のこのキャッシュされたメッセージは 5 分以内に自動的に削除され、ユーザーには表示されなくなります。

  • Unified Access Gateway で Windows SSO が有効になっている場合、OPSWAT MetaAccess オンデマンド エージェントのダウンロードが機能するようになりました。

  • Unified Access Gateway コンソール画面で、起動後に root ログイン プロンプトが表示されないことがありました。この問題は解決されました。

  • Unified Access Gateway の haproxy コンポーネントへの TCP 接続で断続的な TCP FIN_WAIT2 タイムアウトの問題が発生する場合があります。これらの接続は、完了すると自動的に削除されるようになりました。

  • タスクの同期に含まれる Secure Email Gateway (SEG) Edge サービスのハイパーリンクが正しく変換され、Workspace ONE Web の AWB/AWBS が削除されるようになりました。

  • メール サーバから特定の応答を受信したときに、Unified Access Gateway で SEG サービスを設定できない問題が解決されました。

  • proxy.email.request.on.kerberos.error パラメータを false に設定するときの Kerberos フローの SEG サービス エラーが解決されました。

既知の問題

  • 管理者パスワード、root パスワード、または RADIUS 共有シークレット キーを設定するときにバックスラッシュ (\) 文字が使用されている場合は、追加のバックスラッシュ文字を使用してエスケープする必要があります。したがって、Secret\123 のパスワードは、管理者によって Secret\\123 として指定する必要があります。

    回避策: \ の前にバックスラッシュ \ を追加します(例:\\u)。

  • DHCP によって割り当てられた IP アドレスを使用して Microsoft Azure に Unified Access Gateway がデプロイされていて、カスタム スタティック ルートと DHCP によって割り当てられたルートの間に競合がある場合、スタティック ルートが適用後に削除されることがあります。これは、UAG ホスト名と、仮想マシン名に基づいて Azure によって割り当てられたホスト名との間に不一致がある場合にのみ発生します。

    回避策:ホスト名の変更が実行されないように、Azure の仮想マシン名ベースのホスト名が Unified Access Gateway のデプロイ時に設定された uagName (hostname) と一致していることを確認します。 

  • waagent.log の場所は /var/log/waagent.log で、これは /opt/waagent/log/waagent.log へのリンクです。ただし、/opt/waagent は存在しないため、ログ ファイルは作成されません。

    回避策:ログ ファイルは必要ありませんが、必要な場合は Unified Access Gateway コンソールに root としてログインし、rm /var/log/waagent.log コマンドを使用してリンクを削除します。

  • 最初の起動時に、Microsoft ハイパーバイザーは Unified Access Gateway によって正しく検出され、ハイパーバイザー内で、DHCP の設定に基づいて、Hyper-V の代わりに Azure が検出されます。ただし、その後の起動では、Azure は誤って Hyper-V として検出され、waagent が停止します。

    回避策:なし

  • IP アドレス、ネットマスク、デフォルト ゲートウェイなどの NIC 設定を使用してスタティック ルートを変更すると、変更されたスタティック ルート エントリは Unified Access Gateway に追加されません。

    回避策: 

    1. Unified Access Gateway の IP アドレス、ネットマスク、およびデフォルト ゲートウェイを設定して保存します。
    2. スタティック ルートを設定して保存します。
  • 最初の Active Directory パスワード プロンプトを回避するために Horizon SAML 2.0 を Horizon True SSO とともに使用しているときに、セッションが手動でロックされている場合、または非アクティブであるためにロックされている場合、ユーザーは Active Directory パスワードを入力してセッションのロックを解除するか、クライアントを閉じて再接続する必要があります。現在、Horizon True SSO のロック解除メカニズムは Workspace ONE Access に依存しています。

    回避策:なし

  • Content Gateway、Secure Email Gateway などの UEM Edge サービスを構成した後でトンネル プロキシ設定が有効または無効になっている場合、構成済みの UEM Edge サービスで TLS ポート共有は機能しません。

    回避策:

    1. Unified Access Gateway 上でトンネル プロキシを構成し、次に Content Gateway および Secure Email Gateway などの他の UEM Edge サービスを構成します。
    2. トンネル プロキシが後で無効または有効にされた場合は、以前に構成した UEM Edge サービス設定を Unified Access Gateway 管理ユーザー インターフェイスで再度保存します。
check-circle-line exclamation-circle-line close-line
Scroll to top icon