このトピックでは、Universal Broker への移行のスケジューリング、準備、完了の手順をご案内します。Universal Broker サービスを設定し、移行の開始日時を定義し、プロセスの各段階を円滑に移動して移行を成功する方法については、次の手順を参照してください。

ブローカの移行をスケジューリングする準備が整っている場合、[スケジュール] ボタンを含む通知バナーが Horizon Universal Console の上部に表示されます。

注: バナーにエラー状態が表示され、移行のスケジューリングができない場合は、移行の前提条件の 1 つ以上を満たすことができなかった可能性があります。バナーの [エラーの表示] をクリックし、 [ブローカ] ページの [移行が必要です] リンクの横にあるエラー アイコンをクリックして、エラー状態の詳細を表示します。移行をスケジューリングする前に、エラー状態をクリアするための必要な手順を実行する必要があります。

前提条件

テナント環境が Universal Broker に移行するためのシステム要件に概要を記載したすべての前提条件を満たしていることを確認します。

手順

  1. ブローカ移行の通知バナーの [スケジュール] をクリックします。

    ブローカの移行をスケジューリングする通知バナー。
    このアクションよって、ブローカ ページへリダイレクトされます。このページは、現在、テナントでシングル ポッド ブローカが有効であることを示し、ブローカ移行をスケジューリングするリンクを提供します。

    移行前の [ブローカ] ページ。
  2. [ブローカ] ページで、[スケジュール] をクリックします。
    Universal Broker の構成ウィザードが表示されます。このウィザードの手順を実行して、Microsoft Azure のポッド用の Universal Brokerを設定し、 Universal Broker への移行をスケジューリングします。

    Universal Broker 構成ウィザード
  3. ウィザードの [FQDN] ページで、仲介接続の FQDN を構成します。これらの設定は、エンド ユーザーが Universal Broker によって割り当てられるリソースにアクセスするために使用する専用接続アドレスを定義します。
    注: サブドメインまたは FQDN 設定を変更すると、すべての DNS サーバで変更が有効になるまでに時間がかかる場合があります。
    1. [タイプ] には、[VMware が提供] または [カスタム] の完全修飾ドメイン名 (FQDN) を選択します。
    2. 選択した FQDN タイプの追加設定を指定します。
      • [VMware が提供] タイプを選択した場合、次のように設定を指定します。
        設定 説明
        Sub Domain 会社または組織を表すネットワーク構成内の有効なサブドメインの一意の DNS 名を入力します。このサブドメインは、仲介の FQDN を形成するために、VMware が提供するドメインの先頭に付けられます。
        注: 一部の文字列は、システムによって禁止または予約されています。そのような文字列のカテゴリには、 book のような一般的な語句、 gmail のような有名企業が所有している既知の用語、プロトコル、コーディング、オープンソースの用語(たとえば phpsql)などがあります。またシステムは、 mail0mail1mail2 など、これらの文字列のパターンのカテゴリを禁止します。

        ただし、このフィールドに禁止されている名前を入力すると、システムはその時点での入力を検証しません。ウィザードの最終サマリ ステップに到達した時点で初めて、システムはここで入力した名前を検証し、入力が禁止された名前のいずれかに一致した場合はエラーが表示されます。その場合は、より一意の名前をここで入力します。

        Brokering FQDN この読み取り専用フィールドには、構成された FQDN が表示されます。FQDN は https://<your sub-domain>vmwarehorizon.com の形式を使用します。

        この FQDN をエンド ユーザーに提供し、Horizon Client を使用して Universal Broker サービスに接続できるようにします。

        Universal Broker は、この FQDN の DNS および SSL 検証を管理します。
      • [カスタム] タイプを選択した場合、次のように設定を指定します。
        設定 説明
        Brokering FQDN エンド ユーザーが Universal Broker サービスへのアクセスに使用するカスタムの FQDN を入力します。カスタム FQDN は、サービスへの接続を完了する自動生成された VMware 提供の FQDN のエイリアスとして機能します。

        カスタム FQDN 内で指定されたドメイン名の所有者であること、またそのドメインを検証できる証明書を指定することが必要です。

        注: カスタム FQDN は、接続 URL とも呼ばれ、会社または組織を表します。このカスタム FQDN を使用するための適切な権限があることを確認します。
        注: カスタム FQDN は、ポッド内のすべての Unified Access Gateway インスタンスの FQDN とは異なる一意の値でなければなりません。
        重要: カスタム FQDN を Universal Broker サービスの内部接続アドレスを表す VMware 提供の FQDN にマッピングする CNAME レコードを DNS サーバに作成する必要があります。たとえば、レコードは vdi.examplecompany.com<自動生成文字列>.vmwarehorizon.com にマッピングすることがあります。
        Certificate

        [参照] をクリックして、仲介の FQDN を検証する証明書(パスワード保護された PFX 形式)をアップロードします。証明書は信頼できる CA によって署名されている必要があり、証明書の共通名 (CN) またはそのサブジェクト代替名 (SAN) のいずれかが FQDN と一致し、証明書の内容が標準の X.509 形式に準拠している必要があります。

        PFX ファイルに、ドメイン証明書、中間証明書、ルート CA 証明書、プライベート キーを含む、完全な証明書チェーンが含まれている必要があります。

        Universal Broker サービスは、この証明書を使用して、クライアントとの信頼された接続セッションを確立します。

        Password PFX 証明書ファイルのパスワードを入力します。
        VMware Provided FQDN この読み取り専用フィールドには、仲介サービス用に自動的に作成される VMware 提供の FQDN が表示されます。FQDN は https://<auto-generated string>.vmwarehorizon.com の形式を使用します。

        VMware 提供の FQDN はエンド ユーザーには表示されず、Universal Broker サービスの内部接続アドレスを表します。カスタム FQDN は、VMware 提供の FQDN のエイリアスとして機能します。

        重要: カスタム FQDN を VMware 提供の FQDN にマッピングする CNAME レコードを DNS サーバに作成して、エイリアスの関連付けを設定する必要があります。たとえば、レコードは vdi.examplecompany.com<自動生成文字列>.vmwarehorizon.com にマッピングすることがあります。

        カスタム FQDN 設定が入力された Universal Broker 構成ウィザード
    3. FQDN 設定の構成が完了したら、[次へ] をクリックしてウィザードの次のページに進みます。
  4. (オプション)ウィザードの [認証] ページで、2 要素認証を構成します。
    デフォルトでは、 Universal Broker は Active Directory のユーザー名とパスワードのみを使用してユーザーを認証します。追加の認証方法を指定することで、2 要素認証を実装できます。詳細については、 Universal Broker 環境で 2 要素認証を実装する際のベスト プラクティスを参照してください。
    重要: Universal Broker に 2 要素認証を使用するには、まず、参加しているすべてのポッドの各外部 Unified Access Gateway インスタンスで適切な認証サービスを構成する必要があります。外部 Unified Access Gateway インスタンスの構成は、参加しているポッド内およびポッド間で同一でなければなりません。

    たとえば RADIUS 認証を使用する場合は、参加しているすべての Horizon ポッドおよび Microsoft Azure のポッドにわたって、各外部 Unified Access Gateway インスタンスに RADIUS サービスを構成する必要があります。

    参加しているポッド内の Unified Access Gateway インスタンスを削除しないでください。Universal Broker は、Horizon Client と仮想リソース間のプロトコル トラフィックの Unified Access Gateway に依存しているため、参加しているポッドの Unified Access Gateway インスタンスを削除すると、ユーザーはそのポッドからプロビジョニングされたリソースにアクセスできません。

    設定 説明
    2 Factor Authentication

    2 要素認証を使用するには、このトグルを有効にします。

    トグルを有効にすると、2 要素認証を構成するための追加オプションが表示されます。

    Maintain User Name Universal Broker への認証中にユーザーの Active Directory ユーザー名を維持する場合はこのトグルを有効にします。有効になっている場合:
    • ユーザーは、Universal Broker に対する Active Directory 認証の場合と同じユーザー名認証情報を追加の認証方法でも利用できる必要があります。
    • ユーザーは、クライアント ログイン画面でユーザー名を変更することができません。

    このトグルがオフになると、ユーザーはログイン画面で別のユーザー名を入力することができます。

    Type

    Active Directory のユーザー名とパスワードに加えて使用する認証方法を指定します。

    • Horizon ポッドおよび Microsoft Azure のポッドの両方で 2 要素認証を使用するには、[RADIUS] を選択します。
    • Horizon ポッドにのみ 2 要素認証を使用するには、[RSA SecurID] を選択します。
    注: 今回のリリースでは、RSA SecurID は Horizon ポッドではサポートされていますが、Microsoft Azure のポッドではサポートされていません。 [RSA SecurID] を選択した場合、ユーザーの RSA 認証要求は、Horizon ポッドの Unified Access Gateway インスタンスを通じてのみ試行されます。Active Directory のユーザー名とパスワードの認証要求は、Horizon ポッドまたは Microsoft Azure のポッドの Unified Access Gateway インスタンスを通じて試行されます。
    Show Hint Text このトグルを有効にすると、クライアントのログイン画面に表示されるテキスト文字列を構成して、ユーザーに追加の認証方法に対する認証情報の入力を求めることができます。
    Custom Hint Text

    クライアントのログイン画面に表示するテキスト文字列を入力します。指定されたヒントは、Enter your DisplayHint user name and password としてエンド ユーザーに表示されます。ここで、DisplayHint はこのテキスト ボックスで指定するテキスト文字列です。

    注: Universal Broker のヒント テキストに、 & < > ' " の文字を含めることはできません。

    これらの許可されていない文字のいずれかをヒント テキストに含めると、ユーザーは Universal Broker FQDN への接続に失敗します。

    このヒントを参考にして、ユーザーは正しい認証情報を入力することができます。たとえば、Company user name and domain password below for のようなフレーズを入力すると、Enter your Company user name and domain password below for user name and password というプロンプトがエンド ユーザーに表示されます。

    Skip Two-Factor Authentication

    Universal Broker サービスに接続している内部ネットワーク ユーザーの 2 要素認証をバイパスするには、このトグルを有効にします。Universal Broker の内部ネットワーク範囲の定義の説明に従って、内部ネットワークに属しているパブリック IP アドレス範囲を指定していることを確認します。

    • このトグルが有効になると、内部ユーザーは、Universal Broker サービスに対して認証するために、Active Directory の認証情報のみを入力する必要があります。外部ユーザーは、Active Directory の認証情報と、追加の認証サービスの認証情報の両方を入力する必要があります。
    • このトグルがオフになると、内部および外部の両方のユーザーは、Active Directory の認証情報と、追加の認証サービスの認証情報を入力する必要があります。
    Public IP Ranges

    この読み取り専用フィールドには、内部ネットワークを表すパブリック IP アドレス範囲が一覧表示されます。Universal Broker は、これらのいずれかの範囲内の IP アドレスから接続しているユーザーを、内部ユーザーと見なします。

    詳細については、Universal Broker の内部ネットワーク範囲の定義を参照してください。

    2 要素認証の構成が完了したら、 [次へ] をクリックしてウィザードの次のページに進みます。
  5. 構成ウィザードの [設定] ページで、Horizon Client[期間] 設定を構成します。
    これらのタイムアウト設定は、 Horizon ClientUniversal Broker によって割り当てられた割り当て済みのデスクトップ間の接続セッションに適用されます。これらの設定は、割り当てられたデスクトップのゲスト OS へのユーザーのログイン セッションには適用されません。 Universal Broker がこれらの設定で指定されたタイムアウト状態を検出すると、ユーザーの Horizon Client 接続セッションを閉じます。
    設定 説明
    Client Heartbeat Interval Horizon Client ハートビートの間隔(分)と、ユーザーの Universal Broker への接続状態を制御します。これらのハートビートは、Horizon Client 接続セッション中に経過したアイドル時間を Universal Broker にレポートします。

    Horizon Client を実行しているエンドポイント デバイスとの相互作用が発生しない場合、アイドル時間が測定されます。このアイドル時間は、ユーザーに割り当てられたデスクトップの基盤となるゲスト OS へのログイン セッションがアクティブでない状態であることの影響を受けません。

    大規模なデスクトップ デプロイでは、[クライアントのハートビート間隔] を増やすとネットワーク トラフィックが減少し、パフォーマンスが向上する場合があります。

    Client Idle User Horizon ClientUniversal Broker 間の接続セッションで許可される最大アイドル時間(分)。

    最大時間に達すると、ユーザーの認証期間が期限切れになり、Universal Broker はすべてのアクティブな Horizon Client セッションを閉じます。接続セッションを再度開くには、ユーザーは Universal Broker ログイン画面で認証情報を再入力する必要があります。

    注: 割り当てられたデスクトップからユーザーが予期せず切断されないようにするには、 [クライアントのアイドル ユーザー] タイムアウトを [クライアントのハートビート間隔] の少なくとも 2 倍の値に設定します。
    Client Broker Session ユーザーの認証の有効期限が切れるまでの Horizon Client 接続セッションの最大許容時間(分)。この時間はユーザーが Universal Broker に対して認証されると開始します。セッションのタイムアウトが発生すると、ユーザーは割り当てられたデスクトップで作業を続行できます。ただし、Universal Broker との通信を必要とする設定の変更などのアクションを実行すると、Horizon Client によって Universal Broker の認証情報を再入力するように求められます。
    注: [クライアントのブローカ セッション] のタイムアウトは、少なくとも [クライアントのハートビート間隔] 値と [クライアントのアイドル ユーザー] のタイムアウトの合計値以上にする必要があります。
    Client Credential Cache ユーザーのログイン認証情報をクライアント システム キャッシュに保存するかどうかを制御します。キャッシュにユーザー認証情報を保存するには、1 と入力します。キャッシュにユーザー認証情報を保存しない場合は、0 と入力します。
    期間設定の構成が完了したら、 [次へ] をクリックしてウィザードの次のページに進みます。
  6. ウィザードの [スケジュール] ページで、コントロールを使用して、ブローカの移行を行う [日付] および [開始時刻] を指定します。

    Universal Broker 構成ウィザードの [スケジュール] ページ。
    現在の現地時間より少なくとも 1 時間早く、現在の日付から 3 か月前までの開始時刻をスケジュールリングできます。開始時刻は、正時に発生する必要があります。
    開始時刻を設定するときは、移行が中断することなく進行できるよう十分な時間をとってください。
    開始時刻の設定が完了したら、 [次へ] をクリックして、 Universal Broker 構成ウィザードの次の手順に進みます。
    注: 指定した開始時刻が使用できないことを示すメッセージがコンソールに表示される場合は、 [日付] および [開始時刻] 設定に戻り、移行の別の時間を指定します。
  7. [サマリ] ページで設定を確認し、[終了] をクリックして Universal Broker 構成を保存して適用します。
    移行が正常にスケジューリングされたことを示すメッセージが表示されます。

    スケジュールリング完了後の通知バナーと [ブローカ] ページ。
    移行がスケジューリングされた後:
    • [ブローカ] ページには、今後の移行に関する詳細が表示されます。開始時刻が 1 時間以上離れている場合は、[スケジュール] リンクをクリックして移行のスケジュールを変更できます。
    • スケジュールリングされた移行をキャンセルする場合、または 1 時間以内に開始する移行のスケジュール変更を行う場合は、VMware のサポートにお問い合わせください。VMware のサポートでは、15 分以内に開始される移行をキャンセルまたは再スケジューリングすることはできませんのでご注意ください。
    • 開始時刻に達するまで、コンソールには今後の移行に関する通知バナーが表示されます。[詳細の表示] をクリックすると、[ブローカ] ページにリダイレクトされます。
    • 今後の移行に関する通知メッセージとリマインダ メッセージは、テナントに登録されているプライマリ E メール アカウントに送信されます。
  8. 移行が開始する少なくとも 15 分前に、次の準備タスクを完了してください。移行中は、コンソールの編集操作にアクセスできません。
    • コンソールで進行中のすべての操作を完了し、保持する変更を保存します。
    • すべての構成ウィザードとダイアログ ボックスを閉じます。
    重要: 移行期間中、Microsoft Azure のすべての Horizon Cloud ポッドがオンラインであり、正常で準備が整った状態であるようにしてください。 Universal Broker サービスは、ポッドと通信し、ポッドでいくつかの構成手順を実行して、移行のブローカ有効化段階を完了する必要があります。いずれかのポッドがオフラインまたは使用できない場合、移行は失敗します。
    重要: Microsoft Azure の Horizon Cloud ポッドと VMware SDDC ベースのプラットフォームの Horizon ポッドの両方で構成されるハイブリッド環境がある場合、移行中は、Horizon ポッドで Universal Broker サービスを利用できません。また、この間、Horizon ポッドの状態を監視対象から管理対象に変更することはできません。
  9. 移行が始まる少し前に、画面のプロンプトの指示に従ってコンソールからログアウトし、再度ログインします。

    ブローカ移行の直前のログアウト プロンプト。
  10. 移行の最初の段階を中断せずに続行できます。
    移行のこの段階では、次の条件が発生します。
    • コンソールの編集コントロールにアクセスできません。コンソールには、移行が進行中であることを示すバナーが表示されます。
      ブローカの移行が進行中のときのバナー。
    • Microsoft Azure のすべてのポッドは、[Default-Site] という名前のサイトに追加されます。
    • VDI デスクトップ割り当ては、Universal Broker によって仲介されるマルチクラウド割り当てに変換されます。デフォルトの割り当て設定では、接続アフィニティは [最も近いサイト] に設定され、範囲は [サイト内] に設定されます。
    • セッションベースのデスクトップとアプリケーションの割り当ては変更されません。移行後、これらの割り当て内のリソースは、Universal Broker によって仲介されます。
    • この間、すべての割り当てはエンドユーザーが引き続き利用でき、すべてのアクティブなユーザーセッションは開いたままで完全に機能します。
    注: 移行のこの段階には通常約 10 分かかりますが、テナント環境に多数の割り当てが含まれている場合はさらに長くかかることがあります。進行状況を監視するには、通知バナーの [View のステータス] をクリックします。この段階が 1 時間以内に完了しない場合、移行はタイムアウトになり、障害としてマークされます。
    移行のこの段階が完了すると、次のメッセージが表示されます。
    ブローカの移行完了後の確認メッセージ。
    注: 移行のこの段階で障害が発生した場合、VMware のサポートが自動通知を受け取り、障害の原因を調査して修正します。詳細について、 [ブローカ] ページと、テナントに登録されているプライマリ E メール アカウントに送信される通知メッセージで確認できます。VMware のサポートが原因を修正した後、 [ブローカ] ページのリンクを使用して移行を再スケジュールできます。
  11. コンソールに再度ログインしたら、Universal Broker サービスがセットアップ プロセスを完了し、完全に有効になります。
    すべてのグローバル リージョンの DNS サーバ間で DNS レコードが伝達されるため、通常、構成設定が Universal Broker サービスで完全に有効になるまでに最大 30 分かかります。ただし、システムとネットワークの状態、および環境内の割り当ての総数と専用のユーザーからデスクトップへのマッピングによっては、このプロセスが完了するまでに数時間かかる場合があります。このプロセスが 4 時間以内に完了しない場合、移行はタイムアウトになり、障害としてマークされます。

    移行のこの段階では、割り当ての作成と編集を除いた、コンソールのすべての編集操作にアクセスできます。また、割り当ての仲介を行っているこの時間において、Universal Broker サービスを使用することはできません。

    セットアップが正常に完了すると、コンソールのベル アイコンの下に通知メッセージが表示され、[設定] > [ブローカ] ページに [有効] ステータスが緑色のドットで表示されます。

    これで、割り当ては Universal Broker によって仲介されるようになり、移行が完了します。


    Universal Broker が有効な [ブローカ] ページ。
    重要: Universal Broker のセットアップが失敗した場合、 [設定] > [ブローカ] 画面には赤のアラート アイコンで [エラー] ステータスが表示されます。構成エラーを修正し、 Universal Broker サービスをセットアップするには、 VMware ナレッジベースの記事 KB2006985の説明に従って、VMware サポートにお問い合わせください。

次のタスク