セキュリティ サーバは、インターネットと内部ネットワークの間に新しいセキュリティ レイヤーを追加する Connection Server のインスタンスです。1 つの Connection Server インスタンスに対し、1 台以上のセキュリティ サーバをインストールして接続できます。

セキュリティ サーバ ソフトウェアは、レプリカ サーバ、Connection Server、View Composer、Horizon Agent、または Horizon Client を含む他の Horizon 7 ソフトウェア コンポーネントと同じ仮想マシンまたは物理マシンにインストールすることができません。

前提条件

  • 使用するトポロジの種類を決定します。たとえば、使用するロード バランシング ソリューションを決定します。セキュリティ サーバとペアになっている Connection Server インスタンスを外部ネットワークのユーザー専用にするかどうかを判断します。詳細については、『Horizon 7 アーキテクチャの計画』を参照してください。
    重要: ロード バランサを使用する場合は、変更されない IP アドレスを持っている必要があります。IPv4 環境では、固定 IP アドレスを構成します。IPv6 環境では、変更されない IP アドレスがマシンによって自動的に取得されます。
  • Horizon Connection Server の要件で説明されている要件をインストールが満たしていることを確認します。
  • 環境をインストール用に準備します。Horizon Connection Server のインストールの前提条件を参照してください。
  • セキュリティ サーバとペアにされる Connection Server インスタンスがインストールおよび構成され、セキュリティ サーバ バージョンと互換性がある Connection Server バージョンが実行されていることを確認します。『Horizon 7 のアップグレード』ドキュメントで「Horizon 7 コンポーネントの互換性マトリックス」を参照してください。
  • セキュリティ サーバとペアにする Connection Server のインスタンスが、セキュリティ サーバをインストールする予定のコンピュータからアクセスできることを確認します。
    注: Connection Server を Horizon 7 バージョン 7.5 にアップグレードした場合、IPsec が無効になっているセキュリティ サーバを再インストールする必要があります。セキュリティ サーバの IP アドレスが変更された場合、再インストールする必要があります。セキュリティ サーバが動的 NAT の背後にある場合、セキュリティ サーバのペアリングが正しく機能しません。
  • セキュリティ サーバのペアリング パスワードを構成します。セキュリティ サーバのペアリング パスワードを構成するを参照してください。
  • 外部 URL の形式を理解します。Secure Gateway 接続およびトンネル接続用の外部 URL の構成を参照してください。
  • セキュリティが強化された Windows ファイアウォール がアクティブなプロファイルで [オン] に設定されていることを確認します。この設定はすべてのプロファイルで [オン] にすることを推奨します。デフォルトでは、IPsec ルールはセキュリティ サーバと View Connection Server 間の接続を制御し、[セキュリティが強化された Windows ファイアウォール] を有効にする必要があります。
  • Windows ファイアウォールでセキュリティ サーバ用に開かれている必要があるネットワーク ポートについて理解します。Horizon Connection Server のファイアウォール ルールを参照してください。
  • ネットワーク トポロジにセキュリティ サーバと Connection Server 間のバックエンドのファイアウォールが含まれている場合、IPsec をサポートするようにファイアウォールを構成する必要があります。バックエンド ファイアウォールを構成して IPsec をサポートするを参照してください。
  • セキュリティ サーバをアップグレードまたは再インストールしている場合、セキュリティ サーバの既存の IPsec ルールが削除されていることを確認します。セキュリティ サーバの IPsec ルールの削除を参照してください。
  • Horizon 7 を FIPS モードでインストールしている場合は、Horizon Administrator のグローバル設定である [セキュリティ サーバへの接続に IPsec を使用する] の選択を解除する必要があります。これは、FIPS モードではセキュリティ サーバのインストール後に手動で IPsec を構成する必要があるためです。

手順

  1. VMware ダウンロード ページ (https://my.vmware.com/web/vmware/downloads) から、Connection Server インストーラ ファイルをダウンロードします。
    [Desktop & End-User Computing(デスクトップおよびエンドユーザー コンピューティング)] で VMware Horizon 7 のダウンロードを選択します。これには Connection Server ファイルが含まれます。

    インストーラのファイル名は、VMware-viewconnectionserver-x86_64-y.y.y-xxxxxx.exe です。xxxxxx は、ビルド番号であり、y.y.y はバージョン番号です。

  2. Connection Server のインストール プログラムを開始するには、インストーラ ファイルをダブルクリックします。
  3. VMware のライセンス条件に同意します。
  4. インストール先フォルダを受け入れるか、変更します。
  5. [View セキュリティ サーバ] インストール オプションを選択します。
  6. インターネット プロトコル (IP) バージョンとして、[IPv4] または [IPv6] を選択します。
    すべての Horizon 7 コンポーネントを同じ IP バージョンでインストールする必要があります。
  7. FIPS モードを有効にするか無効にするかを選択します。
    このオプションは、Windows で FIPS モードが有効になっている場合にのみ使用可能です。
  8. セキュリティ サーバとペアにする Connection Server インスタンスの完全修飾ドメイン名または IP アドレスを、[サーバ] テキスト ボックスに入力します。
    セキュリティ サーバは、ネットワーク トラフィックをこの Connection Server インスタンスに転送します。
  9. セキュリティ サーバのペアリング パスワードを [パスワード] テキスト ボックスに入力します。
    パスワードの有効期限が切れている場合は、Horizon Administrator を使用して新しいパスワードを構成した後、新しいパスワードをインストール プログラムに入力できます。
  10. [外部 URL] テキスト ボックスに、セキュリティ サーバの外部 URL を入力します。これは、使用している表示プロトコルに関係なく、すべてのクライアントで必要になります。
    URL には、プロトコル識別子 (https)、クライアントが解決可能なセキュリティ サーバ名、ポート番号 (443) が含まれている必要があります。
    例: https://view.example.com:443
    ネットワークの外部にあるトンネル対応クライアントは、この URL を使用して、セキュリティ サーバ経由でネットワーク内のマシンに接続します。
  11. [PCoIP 外部 URL] テキスト ボックスに、セキュリティ サーバの PCoIP ゲートウェイの外部 URL を入力します。これは、PCoIP 表示プロトコルを使用するクライアントがリモート デスクトップに接続する場合に必要になります。
    プロトコル相対 URL には、セキュリティ サーバの IP アドレスとポート番号 (4172) が含まれている必要があります。IPv4 環境では、IPv4 アドレスを使用します。IPv6 環境では、IPv6 アドレスを使用します。
    IPv4 環境の例: 10.20.30.40:4172
    ネットワークの外部にある PCoIP 対応クライアントは、この URL を使用して、セキュリティ サーバ経由でネットワーク内のマシンに接続します。
    注: IPv6 環境の場合、ここに IPv6 アドレスを入力する必要がありますが、インストール後に、クライアントで解決可能な名前に置き換えることができます。
  12. [Blast 外部 URL] テキスト ボックスに、セキュリティ サーバの Blast ゲートウェイの外部 URL を入力します。これは、Blast 表示プロトコルまたは HTML Access を使用するクライアントがリモート デスクトップに接続する場合に必要になります。
    URL には、プロトコル識別子 (https)、クライアントが解決可能なセキュリティ サーバ名、ポート番号 (8443) が含まれている必要があります。
    例: https://myserver.example.com:8443
    ネットワークの外部にある Blast 対応の HTML Access クライアントは、この URL を使用して、セキュリティ サーバ経由でネットワーク内のマシンに接続します。
  13. Windows ファイアウォール サービスを構成する方法を選択します。
    オプション アクション
    Configure Windows Firewall automatically(Windows ファイアウォールを自動的に構成する) インストーラで、必要なネットワーク接続を許可するように Windows ファイアウォールを構成します。
    Do not configure Windows Firewall(Windows ファイアウォールを構成しない) Windows ファイアウォール ルールを手動で構成します。

    このオプションを選択するのは、組織が Windows ファイアウォールを構成するために独自の事前定義ルールを使用している場合のみです。

  14. インストール ウィザードに従って、セキュリティ サーバのインストールを終了します。

結果

セキュリティ サーバの以下のサービスが Windows Server コンピュータにインストールされます。

  • VMware Horizon View セキュリティ サーバ
  • VMware Horizon View Framework コンポーネント
  • VMware Horizon View Security Gateway コンポーネント
  • VMware Horizon View PCoIP Secure Gateway
  • VMware Blast Secure Gateway

これらのサービスについては、『Horizon 7 の管理』ドキュメントを参照してください。

セキュリティ サーバが Horizon Administrator の セキュリティ サーバ ペインに表示されます。

[VMware Horizon View Connection Server (Blast-In)] ルールは、セキュリティ サーバの Windows ファイアウォールで有効にします。このファイアウォール ルールにより、クライアント デバイス上の Web ブラウザは HTML Access を使用して、TCP ポート 8443 でセキュリティ サーバにアクセスできるようになります。

注: インストールがキャンセルまたは中断された場合は、インストールをもう一度開始する前にセキュリティ サーバの IPsec ルールを削除する必要があります。IPsec ルールをすでに削除した場合であっても、セキュリティ サーバの再インストールまたはアップグレードの前に、この手順を行ってください。IPsec ルールの削除手順については、 セキュリティ サーバの IPsec ルールの削除を参照してください。

次のタスク

セキュリティ サーバ用の SSL サーバ証明書を構成します。Horizon 7 Server 用の TLS 証明書の設定を参照してください。

セキュリティ サーバ用のクライアント接続設定の構成が必要な場合があり、大規模な展開をサポートするように Windows Server 設定を調整できます。Horizon Client 接続の構成および 展開の規模に合わせた Windows Server 設定の調整を参照してください。

セキュリティ サーバを再インストールしていて、パフォーマンス データを監視するようにデータ コレクタ セットを構成してある場合は、データ コレクタ セットを停止して再起動してください。