Horizon Client と PCoIP Secure Gateway の接続の問題

PCoIP を介して通信する外部ユーザーを認証するように PCoIP Secure Gateway が構成されている場合は、Horizon Client とセキュリティサーバホストまたは Horizon Connection Server ホストとの接続に関して、問題が発生することがあります。

問題

PCoIP を使用するクライアントが Horizon 7 デスクトップに接続または表示できません。セキュリティサーバまたは Connection Server インスタンスへの最初のログインは成功しますが、ユーザーが Horizon 7 デスクトップを選択すると接続が失敗します。この問題は、PCoIP Secure Gateway がセキュリティサーバホストまたは Connection Server ホスト上に構成されている場合に発生します。

注：通常、PCoIP Secure Gateway はセキュリティサーバ上で活用されます。外部クライアントが Horizon Connection Server ホストに直接接続するネットワーク構成では、PCoIP Secure Gateway も Connection Server 上に構成できます。

原因

PCoIP Secure Gateway との接続の問題は、さまざまな理由で発生する可能性があります。

Windows Firewall によって、PCoIP Secure Gateway に必要なポートが閉じられている。
PCoIP Secure Gateway がセキュリティサーバまたは Horizon Connection Server インスタンスで有効になっていない。
PCoIP 外部 URL 設定が正しく構成されていない。この設定は、クライアントがインターネットを介してアクセスできる外部 IP アドレスとして指定する必要があります。
PCoIP 外部 URL、安全なトンネルの外部 URL、Blast 外部 URL、および他のアドレスは、異なるセキュリティサーバまたは Connection Server ホストを指すように構成されます。これらのアドレスをセキュリティサーバまたは Connection Server ホストを構成するとき、すべてのアドレスでクライアントシステムが現在のホストに到達できる必要があります。
クライアントが、PCoIP Secure Gateway に必要なポートを閉じている外部 Web プロキシ経由で接続している。たとえば、ホテルネットワーク接続やパブリックワイヤレス接続での Web プロキシは必要なポートをブロックする可能性があります。

解決方法

セキュリティサーバホストまたは Connection Server ホストのファイアウォール上で、次のネットワークポートが開いていることを確認します。

ポート	説明
TCP 4172	Horizon Client からセキュリティサーバホストまたは Connection Server ホスト。
UDP 4172	Horizon Client とセキュリティサーバホストまたは Connection Server ホスト間（双方向）。注：クライアントが UDP トラフィックの送受信に選択するポート番号は、ポートの空き状況によって異なります（詳細は『セキュリティガイド』を参照）。ネットワークファイアウォールを構成する場合、スマートルールを使用して、任意のアドレス/ポートからポート 4172 への UDP トラフィックを許可し、ポート 4172 から開始アドレス/ポートへの逆方向フローを有効にする必要があります。ファイアウォールでスマートルールがサポートされていない場合は、クライアント側に ANY を指定した双方向ルールを設定するか、一方向のルールペアを設定します。ガイダンスについては、ファイアウォールのドキュメントを参照してください。
TCP 4172	セキュリティサーバホストまたは Connection Server ホストから Horizon 7 デスクトップ。
UDP 4172	セキュリティサーバホストまたは Connection Server ホストと Horizon 7 デスクトップ間（双方向）。注： Connection Server 上の PCoIP ゲートウェイ、セキュリティサーバ、UAG は、ポート 55000 でデスクトップへの UDP トラフィックを送受信します。詳細については、 Horizon 7 のセキュリティを参照してください。ネットワークファイアウォールを構成する場合は、両方のポートを指定する双方向ルールを指定するか、一方向ルールのペアを指定する必要があります。ガイダンスについては、ファイアウォールのドキュメントを参照してください。

Horizon Administrator で、PCoIP セキュアゲートウェイが有効であることを確認してください。
1. [View 構成] > [サーバ] をクリックします。
2. [Connection Server] タブで Connection Server インスタンスを選択し、[編集] をクリックします。
3. [マシンへの PCoIP 接続に PCoIP Secure Gateway を使用する] を選択します。
  デフォルトでは、PCoIP Secure Gateway は無効になっています。
4. [OK] をクリックします。
Horizon Administrator で、PCoIP 外部 URL が正しく構成されていることを確認してください。
1. [View 構成] > [サーバ] をクリックします。
2. 構成するホストを選択します。
  - ユーザーがセキュリティサーバで PCoIP セキュアゲートウェイに接続する場合、[セキュリティサーバ] タブでセキュリティサーバを選択します。
  - ユーザーが Connection Server インスタンスで PCoIP セキュアゲートウェイに接続する場合、[Connection Server] タブでインスタンスを選択します。
3. [編集] をクリックします。
4. [PCoIP 外部 URL] テキストボックスで、URL に、クライアントがインターネットを介してアクセスできるセキュリティサーバまたは Connection Server ホストの外部 IP アドレスが含まれていることを確認します。
  ポート 4172 を指定します。プロトコル名を含めないでください。
  例： 10.20.30.40:4172 
5. このダイアログのすべてのアドレスでクライアントシステムがこのホストに到達できることを確認します。
  
  [セキュリティサーバ設定を編集] ダイアログのすべてのアドレスで、クライアントシステムがこのセキュリティサーバホストに到達できる必要があります。[Connection Server 設定を編集] ダイアログのすべてのアドレスで、クライアントシステムがこの Connection Server インスタンスに到達できる必要があります。
6. [OK] をクリックします。
ユーザーが PCoIP Secure Gateway に接続する基盤となる、各セキュリティサーバおよび Connection Server インスタンスでこれらの手順を繰り返します。
ユーザーがネットワークの外部にある Web プロキシ経由で接続していて、そのプロキシが必要なポートをブロックしている場合は、ユーザーにネットワークの別の場所から接続するように指示します。