本主題將引導您完成轉換為 Universal Broker 的排程、準備和執行步驟。請參閱下列程序,以瞭解如何設定 Universal Broker 服務、定義轉換的開始日期和時間,以及順暢地導覽各階段的程序,以成功完成轉換。

在做好排程代理轉換的準備後,Horizon 通用主控台 頂端會出現一個含有排程按鈕的通知橫幅。

備註: 如果橫幅顯示使轉換無法排程的錯誤狀況,表示您可能不符合轉換的一或多個先決條件。請按一下橫幅中的 檢視錯誤,然後在 代理頁面中按一下 需要轉換連結旁的錯誤圖示,以檢視錯誤狀況的詳細資料。您必須採取必要的步驟以清除錯誤情況,然後才能排程轉換。

必要條件

確認您的租用戶環境符合 轉換為 Universal Broker 的系統需求中列出的所有先決條件。

程序

  1. 在代理轉換的通知橫幅中按一下排程

    排程代理轉換的通知橫幅。
    此動作會將您重新導向至 [代理] 頁面。此頁面會指出目前已為您的租用戶啟用單一網繭代理,並提供排程代理轉換的連結。

    轉換前的代理頁面。
  2. 代理頁面中,按一下排程連結。
    Universal Broker的組態精靈隨即顯示。您必須完成此精靈的步驟,為您 Microsoft Azure 中的網繭設定 Universal Broker,並排程轉換為 Universal Broker 的作業。

    Universal Broker 組態精靈
  3. 在此精靈的 FQDN 頁面中,設定代理連線 FQDN 的設定。這些設定會定義您的使用者將用來存取 Universal Broker 所配置資源的專用連線位址。
    備註: 當您修改子網域或 FQDN 設定時,變更可能需要一些時間才能在所有的 DNS 伺服器上生效。
    1. 針對 [類型],請選取 VMware 提供自訂的完整網域名稱 (FQDN)。
    2. 為選取的 FQDN 類型指定其他設定。
      • 如果選取了 VMware 提供類型,請依照下列方式指定設定。
        設定 說明
        Sub Domain 在網路組態中輸入代表您公司或組織的有效子網域的唯一 DNS 名稱。此子網域會附加在 VMware 提供的網域前面,以形成代理 FQDN。
        備註: 部分字串會由系統禁止或保留使用。此類別的字串包括一般文字如 book、知名公司擁有的詞彙如 gmail,以及通訊協定。程式碼和開放原始碼詞彙如 phpsql。系統也會禁止使用這些字串的模式類別,例如 mail0mail1mail2 等。

        但是,當您在此欄位中輸入禁止的名稱時,系統不會在此時驗證該輸入。只有在您到達精靈的最後摘要步驟時,系統才會驗證您在此處輸入的名稱,並在您的輸入符合其中一個禁止的名稱時顯示錯誤。如果發生該情況,請在此處輸入不同且更獨特的名稱。

        Brokering FQDN 此唯讀欄位會顯示已設定的 FQDN。FQDN 採用的格式為 https://<您的子網域>vmwarehorizon.com

        將此 FQDN 提供給您的使用者,讓他們能夠使用 Horizon Client 連線至 Universal Broker服務。

        Universal Broker會管理此 FQDN 的 DNS 和 SSL 驗證。
      • 如果選取了自訂類型,請依照下列方式指定設定。
        設定 說明
        Brokering FQDN 輸入使用者將用來存取 Universal Broker服務的自訂 FQDN。您的自訂 FQDN 功能可作為自動產生之「VMware 提供的 FQDN」的別名,以完成服務的連線。

        您必須是自訂 FQDN 中所指定網域名稱的擁有者,並提供可驗證該網域的憑證。

        備註: 您的自訂 FQDN (也稱為連線 URL) 代表您的公司或組織。確保您有適當的授權可使用此自訂 FQDN。
        備註: 您的自訂 FQDN 必須是唯一的,並且與網繭內所有 Unified Access Gateway 執行個體的 FQDN 不同。
        重要: 您必須在 DNS 伺服器上建立 CNAME 記錄,將自訂 FQDN 對應至代表 Universal Broker服務之內部連線位址的「VMware 提供的 FQDN」。例如,此記錄可能會將 vdi.examplecompany.com 對應至 <自動產生的字串>.vmwarehorizon.com
        Certificate

        按一下瀏覽,然後上傳對您代理 FQDN 進行驗證的憑證 (採用密碼保護的 PFX 格式)。憑證必須由受信任的 CA 簽署,憑證的通用名稱 (CN) 或其任何主體別名 (SAN) 必須符合 FQDN,且憑證的內容必須符合標準 X.509 格式。

        PFX 檔案必須包含整個憑證鏈結和私密金鑰:網域憑證、中繼憑證、根 CA 憑證、私密金鑰。

        Universal Broker服務會使用此憑證建立用戶端的信任連線工作階段。

        Password 輸入 PFX 憑證檔案的密碼。
        VMware Provided FQDN 此唯讀欄位會顯示針對代理服務自動產生且由 VMware 提供的 FQDN。FQDN 採用的格式為 https://<自動產生的字串>.vmwarehorizon.com

        VMware 提供的 FQDN 不會對使用者顯示,代表Universal Broker服務的內部連線位址。您的自訂 FQDN 可作為「VMware 提供的 FQDN」的別名。

        重要: 您必須透過在 DNS 伺服器上建立 CNAME 記錄,將自訂 FQDN 對應至 VMware 提供的 FQDN,以設定別名關聯。例如,此記錄可能會將 vdi.examplecompany.com 對應至 <自動產生的字串>.vmwarehorizon.com

        Universal Broker 組態精靈已填入自訂 FQDN 設定。
    3. 當您完成設定 FQDN 設定時,請按下一步以繼續前往精靈的下一頁。
  4. (選用) 在精靈的驗證頁面中,設定雙因素驗證。
    依預設, Universal Broker只會透過 Active Directory 使用者名稱和密碼來驗證使用者。您可以透過指定其他驗證方法來實作雙因素驗證。如需詳細資訊,請參閱 在 Universal Broker 環境中實作雙因素驗證時的最佳做法
    重要: 若要將雙因素驗證用於 Universal Broker,您必須先在每個參與網繭內的每個外部 Unified Access Gateway 執行個體上設定適當的驗證。在參與的網繭內部和網繭之間,外部 Unified Access Gateway 執行個體的組態必須相同。

    例如,如果您想要使用 RADIUS 驗證,則必須在 Microsoft Azure 中所有參與的 Horizon 網繭和 Microsoft Azure 中的網繭之間每個外部 Unified Access Gateway 執行個體上設定 RADIUS 服務。

    請勿刪除參與網繭內的任何 Unified Access Gateway 執行個體。由於 Universal Broker 需仰賴 Unified Access Gateway 來處理 Horizon Client 與虛擬資源之間的通訊協定流量,因此,如果您刪除該網繭上的 Unified Access Gateway 執行個體,使用者便無法從參與的網繭存取已佈建的資源。

    設定 說明
    2 Factor Authentication

    若要使用雙因素驗證,請啟用此切換。

    此切換啟用時,您會看到用來設定雙因素驗證的其他選項。

    Maintain User Name 啟用此切換,可在對 Universal Broker進行驗證期間保有使用者的 Active Directory 使用者名稱。啟用時:
    • 對於其他驗證方法,使用者必須使用與其Universal Broker之 Active Directory 驗證相同的使用者名稱認證。
    • 使用者無法變更用戶端登入畫面中的使用者名稱。

    如果此切換設為關閉,則使用者將可在登入畫面中輸入不同的使用者名稱。

    Type

    指定除了 Active Directory 使用者名稱和密碼以外您要使用的驗證方法。

    • 若要在 Horizon 網繭與 Microsoft Azure 中網繭之間使用雙因素驗證,請選取 RADIUS
    • 若要僅將雙因素驗證用於您的 Horizon 網繭,請選取 RSA SecurID
    備註: 在此版本中,RSA SecurID 支援 Horizon 網繭,但不支援 Microsoft Azure 中的網繭。如果您選取 RSA SecurID,使用者的 RSA 驗證要求將只會透過您 Horizon 網繭的 Unified Access Gateway 執行個體來進行。系統會透過 Horizon 網繭或 Microsoft Azure 中網繭的 Unified Access Gateway 執行個體來嘗試 Active Directory 使用者名稱和密碼驗證要求。
    Show Hint Text 啟用此切換按鈕,可設定會在用戶端登入畫面中顯示的文字字串,以便提示使用者針對其認證輸入其他驗證方法。
    Custom Hint Text

    輸入您要在用戶端登入畫面中顯示的文字字串。指定的提示會向使用者顯示為 Enter your DisplayHint user name and password,其中的 DisplayHint 是您在此文字方塊中輸入的文字字串。

    備註: Universal Broker 不允許在自訂提示文字中使用下列字元: & < > ' "

    如果您在提示文字中包含任何這些不允許的字元,使用者將無法連線至 Universal Broker FQDN。

    此提示可引導使用者輸入正確的認證。例如,輸入以下的公司使用者名稱和網域密碼之類的詞語,會對使用者產生顯示如下的提示:Enter your Company user name and domain password below for user name and password

    Skip Two-Factor Authentication

    啟用此切換,可對連線至 Universal Broker 服務的內部網路使用者略過雙因素驗證。請確定您已指定屬於內部網路的公用 IP 範圍,如定義 Universal Broker 的內部網路範圍中所述。

    • 此切換啟用時,內部使用者必須輸入其 Active Directory 認證,才能向 Universal Broker 服務進行驗證。外部使用者必須同時輸入其 Active Directory 認證,及其用於額外驗證服務的認證。
    • 此切換關閉時,內部和外部使用者都必須輸入其 Active Directory 認證,及其用於額外驗證服務的認證。
    Public IP Ranges

    此唯讀欄位會列出代表您內部網路的公用 IP 範圍。Universal Broker 會將任何從其中一個範圍內的 IP 位址連線的使用者視為內部使用者。

    如需詳細資訊,請參閱定義 Universal Broker 的內部網路範圍

    當您完成設定雙因素驗證時,請按 下一步以繼續前往精靈的下一頁。
  5. 在組態精靈的設定頁面中,為 Horizon Client 設定持續時間設定。
    這些逾時設定適用於 Horizon ClientUniversal Broker所配置的已指派桌面之間的連線工作階段。這些設定不適用於使用者對已指派桌面之客體作業系統的登入工作階段。當 Universal Broker偵測到這些設定所指定的逾時情況時,即會關閉使用者的 Horizon Client 連線工作階段。
    設定 說明
    Client Heartbeat Interval 控制 Horizon Client 活動訊號之間的間隔 (以分鐘為單位),以及使用者對 Universal Broker的連線狀態。這些活動訊號會向 Universal Broker報告在 Horizon Client 連線工作階段期間已經過多少閒置時間。

    當執行 Horizon Client 的端點裝置未發生任何互動時,即會測量閒置時間。使用者指派桌面之客體客體作業系統的登入工作階段中的閒置並不會影響此閒置時間。

    在大型桌面部署中,提高 Client 活動訊號間隔可能會降低網路流量而改善效能。

    Client Idle User Horizon ClientUniversal Broker之間的連線工作階段期間允許的閒置時間上限 (以分鐘為單位)。

    達到時間上限時,使用者的驗證期間即到期,且 Universal Broker會關閉所有作用中的 Horizon Client 工作階段。若要重新開啟連線工作階段,使用者必須在 Universal Broker登入畫面上重新輸入其驗證認證。

    備註: 若要避免意外中斷使用者與已指派桌面的連線,請將 Client 閒置使用者逾時值設定為 Client 活動訊號間隔的兩倍以上。
    Client Broker Session 使用者的驗證到期前允許 Horizon Client 連線工作階段的時間上限 (以分鐘為單位)。時間會在使用者向 Universal Broker進行驗證時開始起算。工作階段逾時發生時,使用者可繼續在其已指派的桌面中工作。但若他們執行需要與 Universal Broker通訊的動作 (例如變更設定),Horizon Client 就會提示使用者重新輸入其 Universal Broker認證。
    備註: Client 代理工作階段逾時至少必須大於或等於 Client 活動訊號間隔值和 Client 閒置使用者逾時的總和。
    Client Credential Cache 控制是否將使用者登入認證儲存在用戶端系統快取中。輸入 1 會將使用者認證儲存在快取中。如果不想將使用者認證儲存在快取中,請輸入 0
    當您完成 [持續時間] 設定時,請按 下一步以繼續前往精靈的下一頁。
  6. 在精靈的排程頁面中,使用控制項指定執行代理轉換的日期開始時間

    Universal Broker 組態精靈的排程頁面。
    您可以將開始時間排程為比目前的當地時間早至少一個小時,而最多比目前的日期早 3 個月。開始時間必須為整點。
    設定開始時間時,請讓轉換有足夠的時間繼續執行而不會中斷。
    在完成後請按 下一步,以繼續進行 Universal Broker 組態精靈的下一個步驟。
    備註: 如果主控台顯示訊息指出指定的開始時間無法使用,請返回 日期開始時間設定,以為轉換指定不同的時間。
  7. 摘要頁面中檢閱您的設定,然後按一下完成以儲存 Universal Broker 組態和排程設定。
    此時會顯示一則確認訊息,指出您已成功排程轉換。

    排程轉換後的通知橫幅和代理頁面。
    排程轉換之後:
    • [代理] 頁面會顯示與即將進行轉換有關的詳細資訊。如果距離開始時間一個小時以上,您可以按一下排程連結以重新排程轉換。
    • 如果您想要在轉換即將開始的一小時內取消已排程的轉換或重新排程轉換,則必須連絡 VMware 支援。請注意,VMware 支援無法取消或重新排程即將在 15 分鐘內開始的轉換。
    • 在到達開始時間前,主控台會持續針對即將進行的轉換顯示通知橫幅。在橫幅中按一下檢視詳細資料後會將您重新導向至 [代理] 頁面。
    • 與即將進行的轉換有關的通知和提醒訊息,會傳送至您為租用戶登錄的主要電子郵件帳戶。
  8. 確定您在排程開始轉換的至少 15 分鐘前完成下列準備工作。在轉換期間,您無法存取主控台的任何編輯作業。
    • 在主控台中完成所有進行中的作業,並儲存您要保留的任何變更。
    • 關閉所有組態精靈和對話方塊。
    重要: 確定 Microsoft Azure 中的所有 Horizon Cloud Pod 在轉換期間都處於線上、健全狀況良好且準備就緒的狀態。 Universal Broker 服務必須與網繭通訊,並在網繭上執行某些組態步驟,才能完成轉換的代理啟用階段。如果有任何網繭處於離線或無法使用,則轉換會失敗。
    重要: 如果您的混合環境同時包含 Microsoft Azure 中的 Horizon Cloud Pod 和 VMware SDDC 型平台上的 Horizon 網繭,則在轉換期間, Universal Broker 服務無法供您的 Horizon 網繭使用。此外,您也無法在此期間將 Horizon 網繭的狀態從受監控變更為受管理。
  9. 在轉換即將開始前,請依照畫面上的提示先登出主控台再重新登入。

    排程的代理轉換執行前一刻的登出提示。
  10. 讓轉換的第一個階段繼續執行而不中斷。
    在此轉換階段期間:
    • 您無法存取主控台的任何編輯控制項,且主控台會顯示一個橫幅,指出轉換正在進行中。
      代理轉換執行中時的主控台橫幅。
    • 您在 Microsoft Azure 中的所有網繭都會新增至名為 Default-Site 的站台。
    • 您的 VDI 桌面指派會轉換為由 Universal Broker 代理的多雲端指派。在預設指派設定中,連線相似性會設定為最接近的站台,而範圍會設定為站台內
    • 您的工作階段型桌面和應用程式指派會保持不變。轉換後,這些指派中的資源將會由 Universal Broker 代理。
    • 在此期間,所有指派仍可供使用者使用,且所有作用中使用者工作階段仍會保持開啟且正常運作。
    備註: 此轉換階段通常需執行約 10 分鐘,但如果您的租用戶環境包含大量指派,則可能需要更多時間。您可以在通知橫幅中按一下 檢視狀態以監控進度。如果此階段未在一小時內完成,轉換即會逾時,並標示為失敗。
    轉換階段完成時會顯示下列訊息。
    代理轉換完成後的確認訊息。
    備註: 如果在此轉換階段中發生失敗,VMware 支援將會收到自動通知,並調查及修復失敗的原因。您可以在 代理頁面和通知訊息 (傳送至您為租用戶登錄的主要電子郵件帳戶) 中檢視詳細資訊。在 VMware 支援修復失敗的原因後,您可以使用 代理頁面中的連結來重新排程轉換。
  11. 在重新登入主控台後,允許 Universal Broker 服務完成其設定程序並完全啟用。
    通常最多只需要 30 分鐘,組態設定即可在 Universal Broker 服務中完全生效,因為 DNS 記錄會散佈至所有全域區域中的 DNS 伺服器上。不過,根據您的系統與網路條件,以及環境中的指派總數和專用的「使用者-桌面」對應,此程序可能需要數小時才能完成。如果此程序未在四小時內完成,轉換即會逾時,並標示為失敗。

    在此轉換階段中,您可以在主控台中存取所有編輯作業,但建立和編輯指派除外。此外,Universal Broker 服務在此期間無法供代理指派之用。

    設定成功完成後,主控台中會有一則通知訊息顯示在鈴鐺圖示下方,且設定 > 代理頁面會顯示已啟用狀態,並出現一個綠點。

    您的指派會由 Universal Broker 代理,而轉換即為完成。


    已啟用 Universal Broker 的代理頁面。
    重要: 如果 Universal Broker設定失敗,則 設定 > 代理頁面會顯示 錯誤狀態與紅色警示圖示。若要修復組態失敗並設定 Universal Broker服務,請依照 VMware 知識庫 (KB) 文章 2006985 中所述連絡 VMware 支援。

後續步驟