セキュリティ サーバは、インターネットと内部ネットワークの間に新しいセキュリティ レイヤーを追加する Connection Server のインスタンスです。1 つの Connection Server インスタンスに対し、1 台以上のセキュリティ サーバをインストールして接続できます。

セキュリティ サーバ ソフトウェアは、レプリカ サーバ、Connection Server、View Composer、Horizon Agent、または Horizon Client を含む他の Horizon 7 ソフトウェア コンポーネントと同じ仮想マシンまたは物理マシンにインストールすることができません。

前提条件

  • 使用するトポロジの種類を決定します。たとえば、使用するロード バランシング ソリューションを決定します。セキュリティ サーバとペアになっている Connection Server インスタンスを外部ネットワークのユーザー専用にするかどうかを判断します。詳細については、Horizon 7 アーキテクチャの計画を参照してください。
    重要: ロード バランサを使用する場合は、変更されない IP アドレスを持っている必要があります。IPv4 環境では、固定 IP アドレスを構成します。IPv6 環境では、変更されない IP アドレスがマシンによって自動的に取得されます。
  • Horizon Connection Server の要件で説明されている要件をインストールが満たしていることを確認します。
  • 環境をインストール用に準備します。Horizon Connection Server のインストールの前提条件を参照してください。
  • セキュリティ サーバとペアにされる Connection Server インスタンスがインストールおよび構成され、セキュリティ サーバ バージョンと互換性がある Connection Server バージョンが実行されていることを確認します。Horizon 7 のアップグレードドキュメントで「Horizon 7 コンポーネントの互換性マトリックス」を参照してください。
  • セキュリティ サーバとペアにする Connection Server のインスタンスが、セキュリティ サーバをインストールする予定のコンピュータからアクセスできることを確認します。
    注: Connection Server を Horizon 7 バージョン 7.5 にアップグレードした場合、IPsec が無効になっているセキュリティ サーバを再インストールする必要があります。セキュリティ サーバの IP アドレスが変更された場合、再インストールする必要があります。セキュリティ サーバが動的 NAT の背後にある場合、セキュリティ サーバのペアリングが正しく機能しません。
  • セキュリティ サーバのペアリング パスワードを構成します。セキュリティ サーバのペアリング パスワードを構成するを参照してください。
  • 外部 URL の形式を理解します。Secure Gateway 接続およびトンネル接続用の外部 URL の構成を参照してください。
  • セキュリティが強化された Windows ファイアウォール がアクティブなプロファイルで [オン] に設定されていることを確認します。この設定はすべてのプロファイルで [オン] にすることを推奨します。デフォルトでは、IPsec ルールはセキュリティ サーバと View Connection Server 間の接続を制御し、[セキュリティが強化された Windows ファイアウォール] を有効にする必要があります。
  • Windows ファイアウォールでセキュリティ サーバ用に開かれている必要があるネットワーク ポートについて理解します。Horizon Connection Server のファイアウォール ルールを参照してください。
  • ネットワーク トポロジにセキュリティ サーバと Connection Server 間のバックエンドのファイアウォールが含まれている場合、IPsec をサポートするようにファイアウォールを構成する必要があります。バックエンド ファイアウォールを構成して IPsec をサポートするを参照してください。
  • セキュリティ サーバをアップグレードまたは再インストールしている場合、セキュリティ サーバの既存の IPsec ルールが削除されていることを確認します。セキュリティ サーバの IPsec ルールの削除を参照してください。
  • Horizon 7 を FIPS モードでインストールしている場合は、Horizon Administrator のグローバル設定である [セキュリティ サーバへの接続に IPsec を使用する] の選択を解除する必要があります。これは、FIPS モードではセキュリティ サーバのインストール後に手動で IPsec を構成する必要があるためです。

手順

  1. VMware ダウンロード ページ (https://my.vmware.com/web/vmware/downloads) から、Connection Server インストーラ ファイルをダウンロードします。
    [Desktop & End-User Computing(デスクトップおよびエンドユーザー コンピューティング)] で VMware Horizon 7 のダウンロードを選択します。これには Connection Server ファイルが含まれます。

    インストーラのファイル名は、VMware-viewconnectionserver-x86_64-y.y.y-xxxxxx.exe です。xxxxxx は、ビルド番号であり、y.y.y はバージョン番号です。

  2. Connection Server のインストール プログラムを開始するには、インストーラ ファイルをダブルクリックします。
  3. VMware のライセンス条件に同意します。
  4. インストール先フォルダを受け入れるか、変更します。
  5. [View セキュリティ サーバ] インストール オプションを選択します。
  6. インターネット プロトコル (IP) バージョンとして、[IPv4] または [IPv6] を選択します。
    すべての Horizon 7 コンポーネントを同じ IP バージョンでインストールする必要があります。
  7. FIPS モードを有効にするか無効にするかを選択します。
    このオプションは、Windows で FIPS モードが有効になっている場合にのみ使用可能です。
  8. セキュリティ サーバとペアにする Connection Server インスタンスの完全修飾ドメイン名または IP アドレスを、[サーバ] テキスト ボックスに入力します。
    セキュリティ サーバは、ネットワーク トラフィックをこの Connection Server インスタンスに転送します。
  9. セキュリティ サーバのペアリング パスワードを [パスワード] テキスト ボックスに入力します。
    パスワードの有効期限が切れている場合は、Horizon Administrator を使用して新しいパスワードを構成した後、新しいパスワードをインストール プログラムに入力できます。
  10. [外部 URL] テキストボックスに、RDP または PCoIP 表示プロトコルを使用するクライアント エンドポイント用の、セキュリティ サーバの外部 URL を入力します。
    URL には、プロトコル、クライアントが解決可能なセキュリティ サーバ名、およびポート番号が含まれている必要があります。ネットワークの外部で実行しているトンネル クライアントは、この URL を使用してセキュリティ サーバに接続します。
    例: https://view.example.com:443
  11. [PCoIP 外部 URL] テキストボックスに、PCoIP 表示プロトコルを使用するクライアント エンドポイント用の、セキュリティ サーバの外部 URL を入力します。
    IPv4 環境では、PCoIP 外部 URL を IP アドレスとポート番号 4172 で指定します。IPv6 環境では、IP アドレスまたは完全修飾ドメイン名とポート番号 4172 を指定できます。いずれの場合も、プロトコル名を含めないでください。
    IPv4 環境の例: 10.20.30.40:4172
    クライアントは URL を使用してセキュリティ サーバにアクセスできる必要があります。
  12. [Blast 外部 URL] テキスト ボックスに、HTML Access を使用してリモート デスクトップに接続するユーザー用の、セキュリティ サーバの外部 URL を入力します。
    URL には、HTTPS プロトコル、クライアントが解決可能なホスト名、およびポート番号が含まれている必要があります。
    例: https://myserver.example.com:8443
    デフォルトでは、URL に安全な外部 URL の FQDN とデフォルトのポート番号 8443 が含まれています。URL には、このセキュリティ サーバに到達するためにクライアント システムで使用できる FQDN とポート番号を含める必要があります。
  13. Windows ファイアウォール サービスを構成する方法を選択します。
    オプション アクション
    Configure Windows Firewall automatically(Windows ファイアウォールを自動的に構成する) インストーラで、必要なネットワーク接続を許可するように Windows ファイアウォールを構成します。
    Do not configure Windows Firewall(Windows ファイアウォールを構成しない) Windows ファイアウォール ルールを手動で構成します。

    このオプションを選択するのは、組織が Windows ファイアウォールを構成するために独自の事前定義ルールを使用している場合のみです。

  14. インストール ウィザードに従って、セキュリティ サーバのインストールを終了します。

結果

セキュリティ サーバの以下のサービスが Windows Server コンピュータにインストールされます。

  • VMware Horizon View セキュリティ サーバ
  • VMware Horizon View Framework コンポーネント
  • VMware Horizon View Security Gateway コンポーネント
  • VMware Horizon View PCoIP Secure Gateway
  • VMware Blast Secure Gateway

これらのサービスについては、Horizon 7 の管理ドキュメントを参照してください。

セキュリティ サーバが Horizon Administrator の セキュリティ サーバ ペインに表示されます。

[VMware Horizon View Connection Server (Blast-In)] ルールは、セキュリティ サーバの Windows ファイアウォールで有効にします。このファイアウォール ルールにより、クライアント デバイス上の Web ブラウザは HTML Access を使用して、TCP ポート 8443 でセキュリティ サーバにアクセスできるようになります。

注: インストールがキャンセルまたは中断された場合は、インストールをもう一度開始する前にセキュリティ サーバの IPsec ルールを削除する必要があります。IPsec ルールをすでに削除した場合であっても、セキュリティ サーバの再インストールまたはアップグレードの前に、この手順を行ってください。IPsec ルールの削除手順については、 セキュリティ サーバの IPsec ルールの削除を参照してください。

次のタスク

セキュリティ サーバ用の SSL サーバ証明書を構成します。Horizon 7 Server 用の TLS 証明書の設定を参照してください。

セキュリティ サーバ用のクライアント接続設定の構成が必要な場合があり、大規模な展開をサポートするように Windows Server 設定を調整できます。Horizon Client 接続の構成および 展開の規模に合わせた Windows Server 設定の調整を参照してください。

セキュリティ サーバを再インストールしていて、パフォーマンス データを監視するようにデータ コレクタ セットを構成してある場合は、データ コレクタ セットを停止して再起動してください。