ネットワーク トポロジにセキュリティ サーバと Connection Server インスタンス間のバックエンド ファイアウォールが含まれている場合、IPsec をサポートするにはファイアウォールに対して特定のプロトコルとポートを構成する必要があります。適切な構成が存在しない場合、セキュリティ サーバと Connection Server インスタンス間に送信されるデータはファイアウォールを通過できません。
デフォルトでは、セキュリティ サーバと Connection Server インスタンス間の接続は IPsec ルールによって制御されます。IPsec をサポートするために、Connection Server インストーラは、Horizon 7 サーバがインストールされる Windows Server ホストで Windows ファイアウォールのルールを構成できます。バック エンド ファイアウォールについては、ユーザー自身でルールを構成する必要があります。
注: IPsec の使用を強くお勧めします。代わりに、Horizon Administrator グローバル設定、
[セキュリティ サーバの接続に IPsec を使用] を無効にするという方法もあります。
次のルールでは双方向のトラフィックを可能にします。ファイアウォールの受信トラフィックと送信トラフィックに対して別々のルールの指定が必要になる場合もあります。
各種ルールは、ネットワーク アドレス変換(NAT)を使用するファイアウォールおよび NAT を使用しないファイアウォールに適用されます。
| ソース | プロトコル | ポート | 送信先 | 注 |
|---|---|---|---|---|
| セキュリティ サーバ | ISAKMP | UDP 500 | Horizon Connection Server | セキュリティ サーバは UDP ポート 500 を使用して IPsec セキュリティ をネゴシエートします。 |
| セキュリティ サーバ | ESP | 該当なし | Horizon Connection Server | ESP プロトコルは、IPsec で暗号化されたトラフィックをカプセル化します。 ESP 用のポートをルールの一部として指定する必要はありません。必要に応じて、 ソースとターゲットの IP アドレスを指定して ルールの範囲を狭めることができます。 |
次のルールは、NAT を使用するファイアウォールに適用されます。
| ソース | プロトコル | ポート | 送信先 | 注 |
|---|---|---|---|---|
| セキュリティ サーバ | ISAKMP | UDP 500 | Horizon Connection Server | セキュリティ サーバは UDP ポート 500 を使用して IPsec セキュリティ ネゴシエーションを開始します。 |
| セキュリティ サーバ | NAT-T ISAKMP | UDP 4500 | Horizon Connection Server | セキュリティ サーバは、UDP ポート 4500 を使用して NAT をたどって IPsec セキュリティをネゴシエートします。 |
