安全伺服器是連線伺服器的執行個體,可為網際網路與您的內部網路之間增加一層額外的安全性。您可以安裝一或多個要連線至連線伺服器執行個體的安全伺服器。

安全伺服器軟體無法與其他任何 Horizon 7 軟體元件 (包括複寫伺服器、連線伺服器、View Composer、Horizon Agent 或 Horizon Client) 共存於相同的虛擬或實體機器上。

必要條件

  • 決定要使用的拓撲類型。例如,決定要採用的負載平衡解決方案。決定與安全伺服器配對的連線伺服器執行個體是否供外部網路使用者專用。如需相關資訊,請參閱《Horizon 7 架構規劃》文件。
    重要: 如果您使用負載平衡器,它必須具有不會變更的 IP 位址。在 IPv4 環境中,請設定靜態 IP 位址。在 IPv6 環境中,機器會自動取得不會變更的 IP 位址。
  • 確認您的安裝滿足 Horizon 連線伺服器需求中所述的需求。
  • 準備您的環境進行安裝。請參閱Horizon 連線伺服器的安裝先決條件
  • 確認要與安全伺服器配對的連線伺服器執行個體已完成安裝和設定,並且執行與安全伺服器版本相容的連線伺服器版本。請參閱《Horizon 7 升級》文件中的〈Horizon 7 元件相容性對照表〉。
  • 確認要與安全伺服器配對的連線伺服器執行個體能夠存取您要在其中安裝安全伺服器的電腦。
    備註: 連線伺服器升級至 Horizon 7 (7.5 版) 後,停用 IPsec 的安全伺服器必須重新安裝。如果安全伺服器的 IP 位址發生變更,則必須重新安裝安全伺服器。如果安全伺服器位於動態 NAT 後方,則安全伺服器配對將無法正常運作。
  • 設定安全伺服器配對密碼。請參閱設定安全伺服器配對密碼
  • 熟悉外部 URL 的格式。請參閱設定安全閘道和通道連線的外部 URL
  • 確認使用中設定檔中的「具有進階安全性的 Windows 防火牆」設為開啟。建議您將所有設定檔的這個設定設為開啟。根據預設,IPsec 規則控管安全伺服器與 View 連線伺服器之間的連線,而且必須啟用「具有進階安全性的 Windows 防火牆」。
  • 熟悉必須在 Windows 防火牆上針對安全伺服器開放的網路連接埠。請參閱Horizon 連線伺服器的防火牆規則
  • 如果您的網路拓撲中的安全伺服器與連線伺服器之間包含後端防火牆,則必須設定防火牆以支援 IPsec。請參閱設定後端防火牆支援 IPsec
  • 如果您要升級或重新安裝安全伺服器,請確認已移除安全伺服器的現有 IPsec 規則。請參閱移除安全伺服器的 IPsec 規則
  • 若您以 FIPS 模式安裝 Horizon 7,您必須在 Horizon Administrator 中取消選取全域設定針對安全伺服器連線使用 IPSec,因為在 FIPS 模式中,您必須在安裝安全伺服器之後手動設定 IPsec。

程序

  1. 從 VMware 下載網站下載連線伺服器安裝程式檔案,網址為 https://my.vmware.com/web/vmware/downloads
    在 [桌面平台及使用者運算] 下,選取 VMware Horizon 7 下載,其中包含連線伺服器。

    安裝程式檔案名稱是 VMware-viewconnectionserver-x86_64-y.y.y-xxxxxx.exe,其中 xxxxxx 是組建編號,而 y.y.y 是版本號碼。

  2. 若要啟動連線伺服器安裝程式,請按兩下安裝程式檔案。
  3. 接受 VMware 授權條款。
  4. 接受或變更目的地資料夾。
  5. 選取 View 安全伺服器安裝選項。
  6. 選取網際網路通訊協定 (IP) 版本、IPv4IPv6
    您必須安裝具有相同 IP 版本的所有 Horizon 7 元件。
  7. 選取要啟用或停用 FIPS 模式。
    只有在 Windows 中啟用 FIPS 模式時才可使用此選項。
  8. 伺服器文字方塊中,輸入要與安全伺服器配對的連線伺服器執行個體的完整網域名稱或 IP 位址。
    安全伺服器會將網路流量轉送至此連線伺服器執行個體。
  9. 密碼文字方塊中,輸入安全伺服器配對密碼。
    如果密碼已過期,您可以使用 Horizon Administrator 設定新密碼,並且在安裝程式中輸入新密碼。
  10. 外部 URL 文字方塊中,針對使用 RDP 或 PCoIP 顯示通訊協定的用戶端端點輸入安全伺服器的外部 URL。
    URL 必須包含通訊協定、用戶端可解析的安全伺服器名稱,以及連接埠號碼。在您的網路外部執行的通道用戶端會使用此 URL 連線到安全伺服器。
    例如: https://view.example.com:443
  11. PCoIP 外部 URL 文字方塊中,針對使用 PCoIP 顯示通訊協定的用戶端端點輸入安全伺服器的外部 URL。
    在 IPv4 環境中,將包含連接埠號碼 4172 的 PCoIP 外部 URL 指定為 IP 位址。在 IPv6 環境中,您可以指定 IP 位址或完整網域名稱,以及連接埠號碼 4172。無論在哪種環境下,請勿包含通訊協定名稱。
    例如,在 IPv4 環境下,指定: 10.20.30.40:4172
    用戶端必須能夠使用 URL 連線安全伺服器。
  12. Blast 外部 URL 文字方塊中,針對使用 HTML Access 連線至遠端桌面平台的使用者輸入安全伺服器的外部 URL。
    URL 必須包含 HTTPS 通訊協定、用戶端可解析的主機名稱,以及連接埠號碼。
    例如: https://myserver.example.com:8443
    根據預設,URL 包含安全通道外部 URL 的 FQDN 以及預設連接埠號碼 8443。URL 必須包含用戶端系統可以用來聯繫安全伺服器的 FQDN 和連接埠號碼。
  13. 選擇如何設定 Windows 防火牆服務。
    選項 動作
    自動設定 Windows 防火牆 讓安裝程式設定 Windows 防火牆以允許必要的網路連線。
    不設定 Windows 防火牆 手動設定 Windows 防火牆規則。

    只有在組織使用自己預先定義的規則設定 Windows 防火牆時選取此選項。

  14. 完成安裝精靈,以完成安裝安全伺服器。

結果

安全伺服器服務會安裝在 Windows Server 電腦上:

  • VMware Horizon View 安全伺服器
  • VMware Horizon View Framework 元件
  • VMware Horizon View 安全閘道元件
  • VMware Horizon View PCoIP 安全閘道
  • VMware Blast 安全閘道

如需這些服務的相關資訊,請參閱《Horizon 7 管理》文件。

安全伺服器會出現在 Horizon Administrator 的 [安全伺服器] 窗格中。

已在安全伺服器上的 Windows 防火牆中啟用了 VMware Horizon View 連線伺服器 (Blast-In) 規則。此防火牆規則允許用戶端裝置上的網頁瀏覽器使用 HTML Access 透過 TCP 連接埠 8443 連線到安全伺服器。

備註: 如果已取消或中止安裝,您可能需要先移除安全伺服器的 IPsec 規則,才能再次開始安裝。即使您已在重新安裝或升級安全伺服器之前移除 IPsec 規則,仍要執行這個步驟。如需移除 IPsec 規則的指示,請參閱 移除安全伺服器的 IPsec 規則

後續步驟

設定安全伺服器的 SSL 伺服器憑證。請參閱設定 Horizon 7 Server 的 TLS 憑證

您可能需要設定安全伺服器的用戶端連線設定,而且您可以調整 Windows Server 設定以支援大型部署。請參閱設定 Horizon Client 連線調整 Windows Server 設定以支援您的部署

如果您要重新安裝安全伺服器,而且您已將資料收集器集合工具設定為監控效能資料,請停止資料收集器集合工具,然後重新將其啟動。