如果您的網路拓撲中的安全伺服器與連線伺服器執行個體之間包含後端防火牆,則必須在防火牆上設定特定通訊協定和連接埠以支援 IPsec。未經過適當的組態,在安全伺服器與連線伺服器執行個體之間傳送的資料將無法通過防火牆。

依預設,IPsec 規則會控管安全伺服器與連線伺服器執行個體之間的連線。若要支援 IPsec,連線伺服器安裝程式可在 Horizon 7 Server 安裝所在的 Windows Server 主機上設定 Windows 防火牆規則。至於後端防火牆,您必須自行設定規則。

備註: 強烈建議您使用 IPsec。或者,您可以停用 Horizon Administrator 全域設定 針對安全伺服器連線使用 IPsec

下列規則必須允許雙向流量。您可能需要在防火牆上指定不同的輸入和輸出流量規則。

不同的規則會分別套用到使用網路位址轉譯 (NAT) 和未使用 NAT 的防火牆。

表 1. 支援 IPsec 規則的非 NAT 防火牆需求
來源 通訊協定 連接埠 目的地 備註
安全伺服器 ISAKMP UDP 500 Horizon 連線伺服器 安全伺服器會使用 UDP 連接埠 500 交涉 IPsec 安全性。
安全伺服器 ESP N/A Horizon 連線伺服器 ESP 通訊協定會封裝 IPsec 加密流量。

您不需要在規則中指定 ESP 的連接埠。如有必要,您可以指定來源及目的地 IP 位址,以縮小規則的範圍。

下列規則會套用至使用 NAT 的防火牆。

表 2. 支援 IPsec 規則的 NAT 防火牆需求
來源 通訊協定 連接埠 目的地 備註
安全伺服器 ISAKMP UDP 500 Horizon 連線伺服器 安全伺服器會使用 UDP 連接埠 500 起始 IPsec 安全性交涉。
安全伺服器 NAT-T ISAKMP UDP 4500 Horizon 連線伺服器 安全伺服器會使用 UDP 連接埠 4500 周遊 NAT 並交涉 IPsec 安全性。