Unified Access Gateway | 2020 年 7 月 9 日發行

查閱版本說明中新增與更新的資訊。

版本說明中的內容

此版本說明涵蓋下列主題:

此版本的新增功能

VMware Unified Access Gateway 3.10 提供下列新功能和增強功能:

如需這些功能的詳細資訊,請參閱說明文件中心

  1. 透過管理員 UI 設定 Workspace ONE Edge 服務 VMware Tunnel、Content Gateway 和 Secure Email Gateway 時,現在會偵測到由於組態問題而發生的錯誤,並將錯誤訊息轉送至管理員 UI。系統會在記錄中擷取錯誤訊息。
     
  2. 新增了設定允許的 CPU 使用率上限以防止超載的支援。先前的版本會將此限制設為固定的 90%。超過此層級時,Unified Access Gateway 會對 HTTP 要求回應 503 錯誤,指出由於暫時性的超載而無法處理要求。此組態的支援會允許負載平衡器將新的工作階段配置給替代應用裝置。預設值為 100%,因此永遠不會超過,但您可以使用 PowerShell 或管理員 UI 在系統設定中設定較低的值。
     
  3. Horizon Client IP 通訊協定版本橋接的延伸支援。舊版支援使用 IPv6 和 IPv4 用戶端連線至 IPv4 Horizon 基礎結構。已新增支援,允許 IPv6 和 IPv4 用戶端也能連線至 IPv6 Horizon 基礎結構。
     
  4. 新增了 Web 反向 Proxy Edge 服務組態的功能,以代理一般用於本機 Unified Access Gateway 資源的要求。在 Horizon 雙躍點 DMZ 組態中使用 Unified Access Gateway 時,需要此功能才能支援下載 OPSWAT 隨選代理程式。若要支援此情況,Web 反向 Proxy Edge 服務上設定的 proxyPattern 必須包含 /gateway/resources/(.*),如此這些要求才能轉送至 Horizon Unified Access Gateway 應用裝置。 
     
  5. Unified Access Gateway 的 FIPS 版本現在支援對 Horizon Clients 進行憑證型驗證。這適用於智慧卡/CAC 和裝置憑證驗證。
     
  6. 通用 Unified Access Gateway SAML 2.0 增強功能可讓第三方身分識別提供者與 Horizon 驗證搭配使用。
     
  7. 已驗證的 Microsoft ADFS 和 Shibboleth 可作為用於進行 Horizon 驗證的其他 SAML 2.0 身分識別提供者。
     
  8. Horizon OPSWAT 裝置符合性檢查持續評估間隔現在可以設定為最少每隔 5 分鐘評估一次。過去,檢查之間的間隔最小值為 30 分鐘。依預設,持續評估間隔仍會設定為 0,表示已停用。在此情況下,不會執行持續檢查,但每次使用者啟動 Horizon 桌面平台或應用程式工作階段時仍會檢查。 
     
  9. 已新增支援,可設定管理員 UI 登入的登入免責聲明合約訊息。管理員使用者必須在登入前接受此合約訊息。管理員免責聲明文字可在管理員 UI 或 PowerShell .ini 檔案中設定。
     
  10. 以系統資訊延伸了收集的記錄,可進一步協助疑難排解。system_logs_archive 目錄具有下列記錄檔:cpu.info、mem.info、sysctl.log 和 journalctl_archive。
     
  11. 用於與 Horizon 連線伺服器要求搭配使用的來源標頭,現在可以選擇性地重新寫入以使用來自 proxyDestinationUrl 設定的主機名稱。在許多情況下,使用主機名稱重新寫入來源標頭時,您不需要在連線伺服器上設定 locked.properties 檔案,即可允許特定瀏覽器連線至 Horizon。
     
  12. 新增了用於 RADIUS 驗證的其他並行連線支援。在先前的版本中,與內部部署版本之 Microsoft Azure 多重要素驗證伺服器的特定組態搭配使用時,這可能會導致系統在尖峰登入頻率期間提示 Horizon 使用者輸入 RADIUS 認證時發生延遲。增加的並行連線可避免此延遲。
     
  13. 針對用於 Horizon 和 Web 反向 Proxy Edge 服務的 TCP 連接埠 443 上的連線,更新了 TLS 版本和預設密碼。這些值可供設定。現在這些 Edge 服務的非 FIPS Unified Access Gateway 版本預設值為:

    TLS 1.3
    TLS_AES_128_GCM_SHA256
    TLS_AES_256_GCM_SHA384
    TLS_CHACHA20_POLY1305_SHA256

    TLS 1.2
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    現在這些 Edge 服務的 FIPS Unified Access Gateway 版本預設值為:

    僅限 TLS 1.2
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
     
  14. TCP 連接埠 8443 上的 Horizon Blast 安全閘道元件不再使用 TLS 1.1。僅支援 TLS 1.2。 
     
  15.  Active Directory 用戶端憑證對應驗證的 Secure Email Gateway 支援。對於將用戶端憑證發佈至 Active Directory 中使用者物件的客戶,當憑證不存在 UPN 或 UPN 不符合 Active Directory 中的 UPN 值時,即可使用此功能。
     
  16. 對於 Secure Email Gateway,Java 版本已更新至 Zulu OpenJDK JRE,11.0.7 版。
     
  17. 支援在前端 Unified Access Gateway 中用於 Horizon、Web 反向 Proxy、VMware Tunnel、Content Gateway 和 Secure Email Gateway Edge 服務的 AVI Networks 負載平衡器。

國際化

Unified Access Gateway 使用者介面、線上說明和產品說明文件提供日文、法文、德文、西班牙文、巴西葡萄牙文、簡體中文、繁體中文及韓文版本。如需完整的說明文件,請前往說明文件中心

相容性注意事項

如需關於 VMware 產品互通性對照表的詳細資訊,請前往 http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

生命週期支援原則

如需 Unified Access Gateway 生命週期支援原則的相關資訊,請前往 https://kb.vmware.com/s/article/2147313

安裝和升級

若要下載 Unified Access Gateway,請參閱產品下載頁面。

大小調整選項

如需 Unified Access Gateway 大小調整建議,請前往 VMware 組態上限

技術資源

若要瞭解和掌握 Unified Access Gateway,請移至 https://techzone.vmware.com/mastering-unified-access-gateway

已解決的問題

  • 在舊版中將 Horizon SAML IDP 驗證與 Microsoft ADFS 搭配使用時,使用者可能會收到 HTTP 錯誤 500,除非來自 ADFS 的中繼資料在上傳至 Unified Access Gateway 之前已手動修改。3.10 版新增了對 Microsoft ADFS 的完整支援,因此不再需要進行此修改。

  • 使用 Horizon HTML Access 用戶端時,現在完整支援驗證逾時原則。

  • 在 Unified Access Gateway 管理員 UI 中,驗證方法下拉式方塊現在完整支援使用 Microsoft IE 和 Edge 瀏覽器。

  • 在 Horizon 連線伺服器上新增使用者驗證免責聲明文字並稍後移除時,Unified Access Gateway 上的此快取訊息現在會在 5 分鐘內自動移除,之後便不再會向使用者顯示。

  • 在 Unified Access Gateway 上啟用 Windows SSO 時,OPSWAT MetaAccess 隨選代理程式下載現在可正常運作。

  • 開機後,Unified Access Gateway 主控台畫面偶爾不會顯示根使用者登入提示。此問題已解決。

  • 對 Unified Access Gateway 的 haproxy 元件進行 TCP 連線時,可能會發生間歇性 TCP FIN_WAIT2 逾時問題。這些連線現在會在完成時自動移除。

  • 工作同步中的 Secure Email Gateway (SEG) Edge 服務超連結現在會正確轉換,以移除 Workspace ONE Web 的 AWB/AWBS。

  • 從電子郵件伺服器收到特定回應時,無法在 Unified Access Gateway 上設定 SEG 服務的問題已解決。

  • proxy.email.request.on.kerberos.error 參數設為 false 時,Kerberos 流程的 SEG 服務錯誤已解決。

已知問題

  • 設定管理員密碼、根密碼或 RADIUS 共用密碼時若使用反斜線 (\) 字元,則必須使用額外的反斜線字元將其逸出。因此 Secret\123 的密碼應由管理員指定為 Secret\\123

    因應措施: 首碼 \ 加上額外的反斜線 \ (例如 \\u)。

  • 在 Microsoft Azure 中使用 DHCP 配置的 IP 位址部署 Unified Access Gateway,且任何自訂靜態路由和 DHCP 指派的路由之間發生衝突時,則可以在套用靜態路由後將其移除。只有在 UAG 主機名稱與 Azure 根據虛擬機器名稱指派的主機名稱不符時,才會發生此問題。

    因應措施:確保根據主機名稱的 Azure 虛擬機器名稱符合部署 Unified Access Gateway 時設定的 uagName (主機名稱),使主機名稱變更不會執行。 

  • waagent.log 的位置為 /var/log/waagent.log,這是 /opt/waagent/log/waagent.log 的連結。不過,/opt/waagent 不存在,因此不會建立記錄檔。

    因應措施:記錄檔不是必要的,但如果需要的話,請以根使用者身分登入 Unified Access Gateway 主控台,然後使用下列命令移除連結:rm /var/log/waagent.log

  • 第一次開機時,Unified Access Gateway 會正確偵測到 Microsoft Hypervisor,而在 Hypervisor 內,根據 DHCP 設定,系統會偵測到 Azure 而非 Hyper-V。不過,在後續開機時,系統會不正確地將 Azure 偵測為 Hyper-V,且 waagent 會停止。

    因應措施:

  • 當靜態路由是使用其他 NIC 設定 (例如 IP 位址、網路遮罩和預設閘道) 變更時,修改的靜態路由項目不會新增至 Unified Access Gateway。

    因應措施: 

    1. 設定 Unified Access Gateway 的 IP 位址、網路遮罩和預設閘道,然後儲存。
    2. 設定靜態路由並儲存。
  • 當 Horizon SAML 2.0 與 Horizon True SSO 搭配使用以避免初始 AD 密碼提示時,如果工作階段已手動鎖定或因無活動而鎖定,則使用者必須輸入 AD 密碼才能將工作階段解除鎖定,或關閉用戶端並重新連線。Horizon True SSO 解除鎖定機制目前依賴 Workspace ONE Access。

    因應措施:

  • 如果在設定 UEM Edge 服務 (例如 Content Gateway 和 Secure Email Gateway) 後啟用或停用通道代理伺服器設定,則 TLS 連接埠共用對已設定的 UEM Edge 服務無法正常運作。

    因應措施:

    1. 設定通道代理伺服器,接著是其他 UEM Edge 服務,例如 Unified Access Gateway 上的 Content Gateway 和 Secure Email Gateway。
    2. 如果稍後停用或啟用通道代理伺服器,請在 Unified Access Gateway 管理員 UI 上再次儲存先前設定的 UEM Edge 服務設定。
check-circle-line exclamation-circle-line close-line
Scroll to top icon