Horizon Cloud の継続的な運用のために、Microsoft Azure で 2019 年 9 月のリリースより前にデプロイされたポッドには、特定のポートとプロトコルの要件があります。これは、2019 年 9 月のリリースのマニフェスト バージョンでデプロイされたポッドや、2019 年 9 月のリリースのマニフェスト バージョンに更新されたポッドとは異なる要件です。2019 年 9 月のリリースより前にデプロイされたポッドのマニフェスト バージョンは、1493.1 より前になります。

重要:

ここで説明するポートとプロトコルに加えて、DNS の要件も満たす必要があります。詳細については、Microsoft の Horizon Cloud ポッドおよび関連サービス機能の DNS 要件を参照してください。

ポッドのマニフェストが 1600.x 以降の場合、ポートとプロトコルの要件は異なります。2019 年 9 月のリリースのマニフェスト以降の Horizon Cloud ポッドのポートとプロトコルの要件を参照してください。

マニフェスト バージョンのポッドの継続的な運用のために必要なポートとプロトコル

DNS の要件に加えて、デプロイ後に進行中の操作に関してポッドが正常に操作されるためには、次の表に記載されたポートおよびプロトコルが必要です。

注: このセクションの表では、マネージャ仮想マシンという用語はポッドのマネージャ仮想マシンを意味します。Microsoft Azure ポータルでは、この仮想マシンには vmw-hcs-podIDpodID はポッドの UUID)や node を含む名前が付けられます。
表 1. ポッドの操作に関するポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
マネージャ仮想マシン ドメイン コントローラ 389 TCP

UDP

LDAP サービス。Active Directory 構成内のドメイン コントローラの役割が含まれているサーバ。Active Directory へのポッドの登録が必要です。
マネージャ仮想マシン グローバル カタログ 3268 TCP LDAP サービス。Active Directory 構成内のグローバル カタログの役割が含まれているサーバ。Active Directory へのポッドの登録が必要です。
マネージャ仮想マシン ドメイン コントローラ 88 TCP

UDP

Kerberos サービス。Active Directory 構成内のドメイン コントローラの役割が含まれているサーバ。Active Directory へのポッドの登録が必要です。
マネージャ仮想マシン DNS サーバ 53 TCP

UDP

DNS サービス。
マネージャ仮想マシン NTP サーバ 123 UDP NTP サービス。NTP の時刻同期を提供するサーバ。
マネージャ仮想マシン True SSO 登録サーバ 32111 TCP True SSO 登録サーバ。ポッドで True SSO 登録サーバの機能を使用していない場合は省略できます。
マネージャ仮想マシン Workspace ONE Access サービス 443 HTTPS
注: この行は、シングルポッド ブローカ構成の環境に適用されます。この情報は、Universal Broker 構成の環境ではありません。シングルポッド ブローカによって構成された環境では、 Workspace ONE Access Connector はポッドと通信してエンド ユーザーの資格(割り当て)を取得しす。Universal Broker 機能は、マニフェスト 2298 以降のポッドでは使用できますが、以前のマニフェストでは使用できません。
Workspace ONE Access をポッドと統合していない場合は省略できます。シングルポッド ブローカによって構成された環境では、この接続を使用して、ポッドと Workspace ONE Access サービスの間に信頼関係が作成され、Workspace ONE Access Connector はポッドと同期されます。使用中の Workspace ONE Access 環境に対して、ポッドがポート 443 でアクセスできることを確認します。Workspace ONE Access クラウド サービスを使用している場合、Workspace ONE Access Connector およびポッドがアクセス権を持つ必要のある、Workspace ONE Access サービスの IP アドレスのリスト(VMware のナレッジベースの記事 KB2149884 にある)も参照してください。
一時的なジャンプ ボックス仮想マシン マネージャ仮想マシン 22 TCP ポッドのデプロイと更新中にポッドのジャンプ ボックスで必要となるポートとプロトコルで説明したように、一時的なジャンプ ボックスは、ポッドのデプロイおよびポッドの更新中に使用されます。進行中のプロセスがこれらのポートを必要としない場合でも、ポッドのデプロイおよびポッドの更新中は、このジャンプ ボックス仮想マシンはマネージャ仮想マシンのポート 22 への SSH を使用してポッドのマネージャ仮想マシンと通信する必要があります。ジャンプ ボックス仮想マシンでこの通信が必要になる場合の詳細については、ポッドのデプロイと更新中にポッドのジャンプ ボックスで必要となるポートとプロトコルを参照してください。

エンド ユーザーの接続によるトラフィックで、ポッドがプロビジョニングされた仮想デスクトップおよびリモート アプリケーションにアクセスするためにどのポートが開かれていなければならないかは、エンド ユーザーが接続する方法に関する選択内容によって異なります。

エンド ユーザーが Horizon Cloud ポッドで使用する可能性のあるさまざまな Horizon Client の詳細については、https://docs.vmware.com/jp/VMware-Horizon-Client/index.html にある Horizon Client のドキュメント ページを参照してください。

表 2. ポッドの構成に外部 Unified Access Gateway インスタンスがある場合の外部エンド ユーザー接続のポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP ログイン認証トラフィック。クライアント ドライブ リダイレクト (CDR)、マルチ メディア リダイレクト (MMR)、USB リダイレクト、および RDP トラフィックのトンネルも実行できます。

SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効化されています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。VMware Horizon Cloud Service 管理ガイド』で「URL コンテンツ リダイレクトについて」のトピックを参照してください。

Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 4172 TCP

UDP

Unified Access Gateway 上の PCoIP Secure Gateway を介した PCoIP
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 UDP データ トラフィック用の Unified Access Gateway を介した Blast Extreme。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 UDP データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme(アダプティブ トランスポート)。
ブラウザ これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP HTML Access
表 3. ポッドの構成に内部 Unified Access Gateway インスタンスがある場合の内部エンド ユーザー接続のポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP ログイン認証トラフィック。クライアント ドライブ リダイレクト (CDR)、マルチ メディア リダイレクト (MMR)、USB リダイレクト、および RDP トラフィックのトンネルも実行できます。

SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効化されています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。VMware Horizon Cloud Service 管理ガイド』で「URL コンテンツ リダイレクトについて」のトピックを参照してください。

Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 4172 TCP

UDP

Unified Access Gateway 上の PCoIP Secure Gateway を介した PCoIP
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 UDP データ トラフィック用の Unified Access Gateway を介した Blast Extreme。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 UDP データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme(アダプティブ トランスポート)。
ブラウザ これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP HTML Access
表 4. VPN を介するなどの直接ポッド接続を使用する場合の内部エンド ユーザー接続のポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
Horizon Client マネージャ仮想マシン 443 TCP ログイン認証トラフィック
Horizon Client デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent 4172 TCP

UDP

PCoIP
Horizon Client デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent 22443 TCP

UDP

Blast Extreme
Horizon Client デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent 32111 TCP USB リダイレクト
Horizon Client デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent 9427 TCP クライアント ドライブ リダイレクト (CDR) とマルチ メディア リダイレクト (MMR)
ブラウザ デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent 443 TCP HTML Access

Unified Access Gateway インスタンスで構成されているポッドを使用した接続では、トラフィックは次の表に記載されているようにポッドの Unified Access Gateway インスタンスからターゲットに対して許可される必要があります。ポッドのデプロイ中に、ネットワーク セキュリティ グループ (NSG) は、ポッドの Unified Access Gateway ソフトウェアによる使用に対応するために Microsoft Azure 環境に作成されます。

表 5. ポッドの Unified Access Gateway インスタンスからのトラフィックに関するポートの要件
ソース ターゲット ポート プロトコル 目的
Unified Access Gateway マネージャ仮想マシン 443 TCP ログイン認証トラフィック
Unified Access Gateway デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent 4172 TCP

UDP

PCoIP
Unified Access Gateway デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent 22443 TCP

UDP

Blast Extreme

デフォルトでは、Blast Extreme を使用する場合、クライアント ドライブ リダイレクト (CDR) トラフィックおよび USB トラフィックはこのポート内でサイド チャネルされます。好みに応じて、CDR トラフィックは TCP 9427 ポート上で、および USB リダイレクト トラフィックは TCP 32111 ポート上で分離できます。

Unified Access Gateway デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent 9427 TCP クライアント ドライブ リダイレクト (CDR) とマルチ メディア リダイレクト (MMR) トラフィックでは省略できます。
Unified Access Gateway デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent 32111 TCP USB リダイレクト トラフィックでは省略できます。
Unified Access Gateway RADIUS インスタンス 1812 UDP その Unified Access Gateway の構成に RADIUS 2 要素認証を使用する場合。RADIUS のデフォルト値はここに表示されます。

次のポートは、デスクトップ仮想マシンとファーム サーバ仮想マシンにインストールされている Horizon Agent に関連するソフトウェアからのトラフィックを許可する必要があります。

ソース ターゲット ポート プロトコル 目的
デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent マネージャ仮想マシン 4001 TCP エージェントがまだポッドとペアリングされていない場合に、仮想マシンのエージェントによって使用される Java Message Service(JMS、非 SSL)。エージェントはポッドと通信して、ポッドとのペアリングに必要な情報を取得します。エージェントがペアリングされた後、ポート 4002 を使用してポッドと通信します。
デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent マネージャ仮想マシン 4002 TCP エージェントがすでにポッドとペアリングされている場合に、ポッドと通信するためにエージェントによって使用される Java Message Service(JMS、SSL)。
デスクトップまたはファーム サーバ仮想マシンの FlexEngine エージェント(VMware Dynamic Environment Manager のエージェント) デスクトップまたはファーム サーバ仮想マシンで実行される FlexEngine エージェントによる使用のためにセットアップしたファイル共有 445 TCP VMware Dynamic Environment Manager 機能を使用している場合、SMB ファイル共有への FlexEngine エージェント アクセス。

ポッドのデプロイ プロセスの一環として、デプロイヤはデプロイされたすべての仮想マシンのネットワーク インターフェイス (NIC) にネットワーク セキュリティ グループ (NSG) を作成します。これらの NSG で定義されているルールの詳細については、『Horizon Cloud 管理ガイド』を参照してください。

注: DNS 名、IP アドレス、ポート、およびプロトコルを Horizon Cloud ナレッジベース (KB) の記事に記載する代わりに、コアの Horizon Cloud ドキュメントの一部としてここに提供しています。