Horizon 接続サーバのアップグレード処理には、特定の要件および制限事項があります。
- 接続サーバには最新リリース用の有効なライセンス キーが必要です。
- 接続サーバの新しいバージョンのインストールに使用するドメイン ユーザー アカウントは、接続サーバ ホスト上での管理者権限を持っている必要があります。接続サーバの管理者は、vCenter Server の管理者認証情報を持っている必要があります。
- インストーラを実行する場合は、Administrators アカウントを許可します。ローカル Administrators グループ、またはドメイン ユーザー/グループのアカウントを指定できます。Horizon 7 ではこのアカウントのみに、複製された接続サーバ インスタンスをインストールする権限を含むすべての Horizon 管理権限を割り当てます。ドメインのユーザーまたはグループを指定する場合は、インストーラを実行する前に、Active Directory でアカウントを作成する必要があります。
- 接続サーバをバックアップすると、View LDAP 構成が暗号化された LDIF データとしてエクスポートされます。暗号化されたバックアップ Horizon 7 構成を復元するには、データ リカバリ パスワードを入力する必要があります。パスワードは 1 文字から 128 文字の間にする必要があります。
セキュリティ関連の要件
- 接続サーバでは、認証局 (CA) によって署名され、クライアントが検証可能な TLS 証明書が必要です。接続サーバをインストールすると、認証局 (CA) 署名付き証明書がない場合にはデフォルトの自己署名証明書が生成されますが、デフォルトの自己署名証明書はできるだけ早く置き換える必要があります。自己署名証明書は、Horizon Administrator で無効として表示されます。
また、更新したクライアントでは、クライアントとサーバ間の TLS ハンドシェイクの一部としてサーバの証明書に関する情報をやりとりすることが予想されます。多くの場合、更新されたクライアントは、自己署名証明書を信頼しません。
セキュリティ証明書の要件に関する完全な情報については、『Horizon 7 のインストール』の「Horizon 7 Server 用の TLS 証明書の構成」を参照してください。また、『Horizon 7 の TLS 証明書設定のシナリオ』も参照してください。このドキュメントには、ロード バランシングと SSL 接続のオフロードなどのタスクを実行する中間サーバの設定方法が記載されています。
注: 元のサーバに認証局 (CA) によって署名された TLS 証明書がすでにある場合は、アップグレード中に、既存の認証局 (CA) 署名付き証明書を Horizon 7 が Windows Server の証明書ストアにインポートします。 - vCenter Server、View Composer、および Horizon 7 Server の証明書には、証明書失効リスト (CRL) が含まれている必要があります。詳細については、『Horizon 7 のインストール』の「サーバ証明書の証明書失効チェックの構成」を参照してください。
重要: 社内でインターネット アクセスのためにプロキシ設定を使用している場合、プロキシを使用するように接続サーバ ホストを構成する必要があります。この手順によって、サーバがインターネットの証明書失効チェック サイトにアクセスできることを保証します。Microsoft Netshell コマンドを使用して、接続サーバにプロキシ設定をインポートできます。詳細については、『 Horizon 7 の管理』の「Horizon 7 サーバ証明書失効チェックのトラブルシューティング」を参照してください。
- セキュリティ サーバをこの接続サーバ インスタンスとペアにする場合、[セキュリティが強化された Windows ファイアウォール] がアクティブなプロファイルで [オン] に設定されていることを確認します。この設定はすべてのプロファイルで [オン] にすることを推奨します。デフォルトでは、IPsec ルールはセキュリティ サーバと接続サーバ間の接続を制御し、[セキュリティが強化された Windows ファイアウォール] を有効にする必要があります。
- お使いのネットワーク トポロジにおいて、セキュリティ サーバと接続サーバ インスタンスとの間にファイアウォールがある場合には、IPsec をサポートするようにファイアウォールを構成する必要があります。『Horizon 7 のインストール』ドキュメントを参照してください。
- vSphere との互換性を引き続き維持するには、セキュリティ プロトコル構成を変更しなければならない場合があります。可能な場合は、接続サーバにアップグレードする前に、ESXi および vCenter Server にパッチを適用して、TLSv1.1 と TLSv1.2 をサポートするようにします。パッチを適用できない場合は、アップグレードの前に接続サーバで TLSv1.0 を再び有効にします。詳細については、Connection Server から vCenter 接続で TLSv1.0 を有効にするを参照してください。
- バージョン 6.2 より前の View Agent を使用する Horizon 7 Server を使用する場合は、PCoIP 接続向けに TLSv1.0 を有効にする必要があります。バージョン 6.2 よりも古い View Agent では、PCoIP 向けのセキュリティ プロトコル TLSv1.0 のみがサポートされます。接続サーバおよびセキュリティ サーバを含め、Horizon 7 Server ではデフォルトで TLSv1.0 が無効になっています。これらのサーバで PCoIP 接続向けに TLSv1.0 を有効にするには、http://kb.vmware.com/kb/2130798 の VMware ナレッジベース (KB) に記載の手順に従って操作します。
追加の物理マシンまたは仮想マシン上で接続サーバ インスタンスの新規インストールを予定している場合は、『Horizon 7 のインストール』でインストール要件の完全なリストを参照してください。