進行 Universal Broker 的設定

本文提供設定 Universal Broker 設定的詳細逐步指示，包括連線 FQDN 或 URL、雙因素驗證、工作階段逾時，以及 Horizon 功能原則。

您必須先進行某些設定，才能使用 Universal Broker 代理來自使用者指派的資源。

第一次設定 Universal Broker 時，組態精靈會自動開啟，如啟動 Universal Broker 設定中所述。

之後，如果您在持續使用服務期間發現需要修訂設定，則可以從主控台的 [代理] 頁面或 [開始使用] 頁面重新開啟此組態精靈。

關於此組態精靈中雙因素驗證設定的一些要點

根據設計，當設定為使用雙因素驗證設定時，Universal Broker 會形成驗證要求，並將其傳遞至外部 Unified Access Gateway 執行個體，然後該執行個體將與其設定中設定的實際驗證伺服器進行通訊。接下來，Unified Access Gateway 會將驗證服務的回應轉送回 Universal Broker。
根據其預設設計，系統將在租用戶範圍內套用相同的 Universal Broker 雙因素驗證設定，以將這些設定用於租用戶網繭機群中的每個網繭。若要將雙因素驗證用於 Universal Broker，您必須先在網繭機群中每個參與網繭內的每個外部 Unified Access Gateway 執行個體上設定適當的驗證。在參與的網繭內部和網繭之間，外部 Unified Access Gateway 執行個體的組態必須相同。
例如，如果具有同時包含 Horizon 網繭和 Horizon Cloud Pod 的混合網繭機群，且您想要使用 RADIUS 驗證，則可以在所有那些 Horizon 網繭和 Horizon Cloud Pod 中的每個外部 Unified Access Gateway 執行個體上均設定 RADIUS 服務。

必要條件

重要：如果您有任何要從網際網路進行連線的使用者，或者如果您要使用雙因素驗證，則請勿刪除網繭上的外部 Unified Access Gateway 執行個體。如果具有外部使用者，則需要使用外部 Unified Access Gateway，才能在使用 Universal Broker 對使用者用戶端進行驗證後從該用戶端成功啟動虛擬桌面或遠端應用程式。如果要進行雙因素驗證，則 Universal Broker 會比對雙因素驗證設定與外部 Unified Access Gateway，因此需要具有外部 Unified Access Gateway 組態。

根據網繭類型準備所需的系統元件。在完成租用戶第一次設定 Universal Broker 的精靈時，驗證這些先決條件尤為重要。

針對 Horizon 網繭 (以 Horizon Connection Server 技術為基礎)：

設定所需的連接埠，如Horizon 網繭 - Universal Broker 的 DNS、連接埠和通訊協定需求中所述。
Horizon 網繭 - 在連線伺服器上安裝 Universal Broker 外掛程式。
Horizon 網繭 - 設定與Universal Broker搭配使用的 Unified Access Gateway。如果您想讓 Universal Broker 針對 Horizon 網繭使用雙因素驗證，則也必須在每個參與網繭內的每個 Unified Access Gateway 執行個體上設定適當的雙因素驗證服務。如需詳細資訊，請參閱在 Universal Broker 環境中實作雙因素驗證時的最佳做法。
如果您只想為外部使用者啟用雙因素驗證，而要對內部使用者略過此驗證，請定義 Universal Broker 的內部網路範圍。
選取 Universal Broker，以作為 Horizon 網繭的租用戶範圍的連線代理，如啟動 Universal Broker 設定中所述。

針對 Horizon Cloud Pod (以 Horizon Cloud Pod 管理員技術為基礎)：

確認您的區域 Universal Broker執行個體所需的 DNS 名稱可供解析且可供連線。請參閱 Microsoft Azure 中 Horizon Cloud Pod 的 DNS 需求中的「網繭部署和作業 DNS 需求」表格。
組態所需的連接埠和通訊協定，如 Horizon Cloud Pod - 連接埠和通訊協定需求中〈Universal Broker 所需的連接埠和通訊〉一節中所述。
如果您想讓 Universal Broker 針對 Horizon Cloud Pod 使用雙因素驗證，請在每個參與網繭內的每個外部 Unified Access Gateway 執行個體上設定相同類型的驗證服務。請參閱在 Horizon Cloud Pod 閘道上啟用雙因素驗證與在 Universal Broker 環境中實作雙因素驗證時的最佳做法。
如果您只想為外部使用者啟用雙因素驗證，而要對內部使用者略過此驗證，請定義 Universal Broker 的內部網路範圍。
選取 Universal Broker 作為 Horizon Cloud Pod 的租用戶範圍連線代理，如使用 Horizon Universal Console 來啟動 Universal Broker 啟用程序中所述。

重要：在提交精靈的最後一個步驟之前，所有 Horizon Cloud Pod 都必須處於線上且健全狀況良好的就緒狀態。在套用設定期間， Universal Broker 服務必須與網繭通訊，並在網繭上執行某些組態步驟，才能完成設定程序。如果有任何網繭處於離線或無法使用，則 Universal Broker設定會失敗。

程序

開啟用來設定 Universal Broker 的組態精靈。

或者，您可以透過下列方法來直接開啟精靈：按一下設定 > 代理，然後按一下鉛筆圖示，以編輯組態。

如果您要在執行啟動 Universal Broker 設定中的步驟後，立即完成此精靈

在這種情況下，主控台通常已顯示該精靈，除非您在完成該精靈之前就先退出。如果您在完成該精靈之前就先退出，請透過下列方法來直接選取該精靈：導覽至設定 > 代理，然後按一下設定。

如果您要修訂已儲存的組態

透過下列方法來直接選取該精靈：導覽至設定 > 代理，然後按一下該組態旁的鉛筆圖示。

Universal Broker的組態精靈隨即顯示。在目前版本中，該精靈的各個區段對應至 FQDN 設定、驗證設定，以及一些適用於用戶端工作階段的預設設定。

在精靈的 FQDN 頁面中，設定 Universal Broker 服務之完整網域名稱 (FQDN) 的設定。這些設定會定義您的使用者將用來存取 Universal Broker 所代理資源的專用連線位址或 URL。

備註：當您修改子網域或 FQDN 設定時，變更可能需要一些時間才能在所有的 DNS 伺服器上生效。

針對類型，請選取 VMware 提供或客戶提供的完整網域名稱 (FQDN)。

為選取的 FQDN 類型指定其他設定。

VMware 提供

設定說明

設定	說明
子網域	在網路組態中輸入代表您公司或組織的有效子網域的唯一 DNS 名稱。此子網域會附加在 VMware 提供的網域前面，以形成代理 FQDN。備註：部分字串會由系統禁止或保留使用。此類別的字串包括一般文字如 `book`、知名公司擁有的詞彙如 `gmail`，以及通訊協定。程式碼和開放原始碼詞彙如 `php` 和 `sql`。系統也會禁止使用這些字串的模式類別，例如 `mail0`、 `mail1`、 `mail2` 等。但是，當您在此欄位中輸入禁止的名稱時，系統不會在此時驗證該輸入。只有在您到達精靈的最後摘要步驟時，系統才會驗證您在此處輸入的名稱，並在您的輸入符合其中一個禁止的名稱時顯示錯誤。如果發生該情況，請在此處輸入不同且更獨特的名稱。
代理 URL	此唯讀欄位會顯示已設定的 FQDN。FQDN 採用的格式為 https://`<您的子網域>`vmwarehorizon.com。將此 FQDN 提供給您的使用者，讓他們能夠使用 Horizon Client 連線至 Universal Broker服務。 Universal Broker會管理此 FQDN 的 DNS 和 SSL 驗證。

子網域

在網路組態中輸入代表您公司或組織的有效子網域的唯一 DNS 名稱。此子網域會附加在 VMware 提供的網域前面，以形成代理 FQDN。

備註：部分字串會由系統禁止或保留使用。此類別的字串包括一般文字如 book、知名公司擁有的詞彙如 gmail，以及通訊協定。程式碼和開放原始碼詞彙如 php 和 sql。系統也會禁止使用這些字串的模式類別，例如 mail0、 mail1、 mail2 等。

但是，當您在此欄位中輸入禁止的名稱時，系統不會在此時驗證該輸入。只有在您到達精靈的最後摘要步驟時，系統才會驗證您在此處輸入的名稱，並在您的輸入符合其中一個禁止的名稱時顯示錯誤。如果發生該情況，請在此處輸入不同且更獨特的名稱。

代理 URL

此唯讀欄位會顯示已設定的 FQDN。FQDN 採用的格式為 https://<您的子網域>vmwarehorizon.com。

將此 FQDN 提供給您的使用者，讓他們能夠使用 Horizon Client 連線至 Universal Broker服務。

Universal Broker會管理此 FQDN 的 DNS 和 SSL 驗證。

下列螢幕擷取畫面顯示組態精靈的範例，其中已填入「VMware 提供的 FQDN」的設定。

Universal Broker 組態精靈已填入 VMware 提供的 FQDN 設定。

客戶提供

設定	說明
代理 FQDN	輸入使用者將用來存取 Universal Broker服務的自訂 FQDN。您的自訂 FQDN 功能可作為自動產生之「VMware 提供的 FQDN」的別名，以完成服務的連線。您必須是自訂 FQDN 中所指定網域名稱的擁有者，並提供可驗證該網域的憑證。備註：您的自訂 FQDN (也稱為連線 URL) 代表您的公司或組織。確保您有適當的授權可使用此自訂 FQDN。備註：您的自訂 FQDN 必須是唯一的，並且與網繭內所有 Unified Access Gateway 執行個體的 FQDN 不同。重要：您必須在 DNS 伺服器上建立 CNAME 記錄，將自訂 FQDN 對應至代表 Universal Broker服務之內部連線位址的「VMware 提供的 FQDN」。例如，此記錄可能會將 `vdi.examplecompany.com` 對應至 `<自動產生的字串>.vmwarehorizon.com`。
憑證	按一下瀏覽，然後上傳對您代理 FQDN 進行驗證的憑證 (採用密碼保護的 PFX 格式)。憑證必須符合下列所有準則：憑證必須至少在 90 天內有效憑證必須由信任的 CA 簽署憑證的一般名稱 (SN) 或其任何主體別名 (SAN) 都必須符合 FQDN 憑證內容必須符合標準 X.509 格式 PFX 檔案必須包含整個憑證鏈結和私密金鑰：網域憑證、中繼憑證、根 CA 憑證、私密金鑰。 Universal Broker服務會使用此憑證建立用戶端的信任連線工作階段。備註：憑證可在 CN 或 SAN 欄位中包含萬用字元 FQDN。如果萬用字元是參考識別碼最左側子網域中的唯一字元，則只有符合該最左側子網域的 FQDN 才會由憑證進行驗證。例如，如果憑證包含萬用字元 FQDN `*.mycompany.com`，則比對規則會允許 `vdi.mycompany.com` 作為有效的代理 FQDN。但是， `test.vdi.mycompany.com` 不符合該參考識別碼，因此不被允許。
密碼	輸入 PFX 憑證檔案的密碼。
VMware 提供的 FQDN	此唯讀欄位會顯示針對代理服務自動產生且由 VMware 提供的 FQDN。FQDN 採用的格式為 https://`<自動產生的字串>`.vmwarehorizon.com。 VMware 提供的 FQDN 不會對使用者顯示，代表Universal Broker服務的內部連線位址。您的自訂 FQDN 可作為「VMware 提供的 FQDN」的別名。重要：您必須透過在 DNS 伺服器上建立 CNAME 記錄，將自訂 FQDN 對應至 VMware 提供的 FQDN，以設定別名關聯。例如，此記錄可能會將 `vdi.examplecompany.com` 對應至 `<自動產生的字串>.vmwarehorizon.com`。

下列螢幕擷取畫面顯示組態精靈的範例，其中已填入自訂 FQDN 的設定。

當您完成設定 FQDN 設定時，請按下一步以繼續前往精靈的下一頁。

(選用) 在精靈的驗證頁面中，設定雙因素驗證。

依預設， Universal Broker只會透過 Active Directory 使用者名稱和密碼來驗證使用者。您可以透過指定其他驗證方法來實作雙因素驗證。如需詳細資訊，請參閱在 Universal Broker 環境中實作雙因素驗證時的最佳做法。

設定	說明
雙因素驗證	若要使用雙因素驗證，請啟用此切換。此切換啟用時，您會看到用來設定雙因素驗證的其他選項。
維護使用者名稱	啟用此切換，可在對 Universal Broker進行驗證期間保有使用者的 Active Directory 使用者名稱。啟用時：對於其他驗證方法，使用者必須使用與其Universal Broker之 Active Directory 驗證相同的使用者名稱認證。使用者無法變更用戶端登入畫面中的使用者名稱。如果此切換設為關閉，則使用者將可在登入畫面中輸入不同的使用者名稱。
類型	除了 Active Directory 使用者名稱和密碼，還需指定 Universal Broker 應該用於使用者的驗證方法。使用者介面將顯示以下兩個選項：RADIUS 和 RSA SecurID。此設定適用於租用戶層面。使用者用戶端中的行為，將取決於租用戶網繭機群的構成方式，以及在網繭的閘道上設定了哪種雙因素驗證類型，如下所示：僅具有 Horizon Pod 您在此處所選取的類型，會是在用戶端中使用的類型。僅具有 Horizon Cloud Pod 選取與在網繭外部閘道上所設定之類型相符的類型。同時具有 Horizon 網繭和 Horizon Cloud on Microsoft Azure 部署在混合機群中，如果在此處選取了 RADIUS，則會透過這兩種網繭類型的 Unified Access Gateway 執行個體，嘗試傳送使用者的 RADIUS 驗證要求。在混合機群中，如果在此處選取了 RSA SecurID，則用戶端的行為，將取決於您的 Horizon Cloud on Microsoft Azure 部署是否在其外部閘道上設定了 RSA SecurID。如果您的 Horizon Cloud on Microsoft Azure 部署未在其閘道上設定 RSA SecurID 類型，且在此處選取了 RSA SecurID，則僅會透過 Horizon 網繭的 Unified Access Gateway 執行個體，嘗試傳送使用者的 RSA 驗證要求。系統會透過 Horizon 網繭或 Horizon Cloud Pod 的 Unified Access Gateway 執行個體來嘗試 Active Directory 使用者名稱和密碼驗證要求。如果 Horizon Cloud on Microsoft Azure 部署在其閘道上設定了 RSA SecurID 類型，則會同時透過這兩種網繭類型的 Unified Access Gateway 執行個體，嘗試傳送使用者的 RSA 驗證要求。
顯示提示文字	適用於 RADIUS 類型。啟用此切換按鈕，可設定會在用戶端登入畫面中顯示的文字字串，以便提示使用者針對其認證輸入其他驗證方法。
自訂提示文字	當您選取顯示提示文字時，會提供此欄位。適用於 RADIUS 類型。輸入您要在用戶端登入畫面中顯示的文字字串。指定的提示會向使用者顯示為 `Enter your DisplayHint user name and password`，其中的 `DisplayHint` 是您在此文字方塊中輸入的文字字串。備註： Universal Broker 不允許在自訂提示文字中使用下列字元： `& < > ' "` 如果您在提示文字中包含任何這些不允許的字元，使用者將無法連線至 Universal Broker FQDN。此提示可引導使用者輸入正確的認證。例如，輸入`以下的公司使用者名稱和網域密碼`之類的詞語，會對使用者產生顯示如下的提示：`Enter your Company user name and domain password below for user name and password`。
略過雙因素驗證	啟用此切換，可對連線至 Universal Broker 服務的內部網路使用者略過雙因素驗證。請確定您已指定屬於內部網路的公用 IP 範圍，如定義 Universal Broker 的內部網路範圍中所述。此切換啟用時，內部使用者必須輸入其 Active Directory 認證，才能向 Universal Broker 服務進行驗證。外部使用者必須同時輸入其 Active Directory 認證，及其用於額外驗證服務的認證。此切換關閉時，內部和外部使用者都必須輸入其 Active Directory 認證，及其用於額外驗證服務的認證。
公用 IP 範圍	當啟用跳過雙因素驗證時，此欄位會是可見的。如果已在 [代理] 頁面的 [網路範圍] 索引標籤上指定一或多個公用 IP 範圍，則此欄位是唯讀的，且會列出這些 IP 範圍。如果 [代理] 頁面的 [網路範圍] 索引標籤未指定公用 IP 範圍，您可以使用此欄位來指定代表您內部網路的公用 IP 範圍，從而跳過提示對來自這些範圍的流量進行雙因素驗證。Universal Broker 會將任何從其中一個範圍內的 IP 位址連線的使用者視為內部使用者。如需進一步瞭解指定這些範圍的用意，請參閱定義 Universal Broker 的內部網路範圍。

下列螢幕擷取畫面顯示一個組態精靈範例，其中已填入 RADIUS 類型的雙因素驗證設定。
Universal Broker 組態精靈已填入雙因素驗證設定

當您完成所做的選擇後，請按下一步，繼續移至精靈的下一頁。

在組態精靈的設定頁面中，為 Horizon Client 設定持續時間設定。

這些逾時設定適用於 Horizon Client 與 Universal Broker所配置的已指派桌面之間的連線工作階段。這些設定不適用於使用者對已指派桌面之客體作業系統的登入工作階段。當 Universal Broker偵測到這些設定所指定的逾時情況時，即會關閉使用者的 Horizon Client 連線工作階段。

設定	說明
用戶端活動訊號間隔	控制 Horizon Client 活動訊號之間的間隔 (以分鐘為單位)，以及使用者對 Universal Broker的連線狀態。這些活動訊號會向 Universal Broker報告在 Horizon Client 連線工作階段期間已經過多少閒置時間。當執行 Horizon Client 的端點裝置未發生任何互動時，即會測量閒置時間。使用者指派桌面之客體客體作業系統的登入工作階段中的閒置並不會影響此閒置時間。在大型桌面部署中，提高 Client 活動訊號間隔可能會降低網路流量而改善效能。
用戶端閒置使用者	Horizon Client 與 Universal Broker之間的連線工作階段期間允許的閒置時間上限 (以分鐘為單位)。達到時間上限時，使用者的驗證期間即到期，且 Universal Broker會關閉所有作用中的 Horizon Client 工作階段。若要重新開啟連線工作階段，使用者必須在 Universal Broker登入畫面上重新輸入其驗證認證。備註：若要避免意外中斷使用者與已指派桌面的連線，請將 Client 閒置使用者逾時值設定為 Client 活動訊號間隔的兩倍以上。
用戶端代理工作階段	使用者的驗證到期前允許 Horizon Client 連線工作階段的時間上限 (以分鐘為單位)。時間會在使用者向 Universal Broker進行驗證時開始起算。工作階段逾時發生時，使用者可繼續在其已指派的桌面中工作。但若他們執行需要與 Universal Broker通訊的動作 (例如變更設定)，Horizon Client 就會提示使用者重新輸入其 Universal Broker認證。備註： Client 代理工作階段逾時至少必須大於或等於 Client 活動訊號間隔值和 Client 閒置使用者逾時的總和。
用戶端認證快取逾時	此 Universal Broker 設定與具有以下標記的 Horizon Connection Server 設定的功能相似：其他用戶端。捨棄 SSO 認證。因此，此處針對此設定的說明，與該 Horizon Connection Server 設定和主控台工具提示中有關此設定的說明相符。此設定適用於不支援應用程式遠端處理的用戶端。在指定的分鐘數後捨棄 SSO 認證。在指定的分鐘數後，無論用戶端裝置上是否有任何使用者活動，使用者都必須重新登入以連線至桌面。預設值為 15 分鐘。

在組態精靈的設定頁面中，設定原則詳細資料。

原則詳細資料可控制使用者是否可以存取特定的 Horizon 功能 (如果這些功能在桌面和用戶端上可用)。

設定	說明
多媒體重新導向 (MMR)	啟用此切換，可讓您和使用者存取多媒體重新導向功能 (如果功能在桌面和用戶端上可用)。
USB 存取	啟用此切換，可讓您的使用者使用 USB 重新導向功能 (如果功能在桌面和用戶端上可用)。
在關閉索引標籤時清理 HTML Access 認證	啟用此設定，以在使用者於 Horizon HTML Access 用戶端中關閉連線至遠端桌面的索引標籤，或關閉連線至桌面選擇頁面的索引標籤時，從快取移除使用者的認證。啟用此設定時，系統在下列 HTML Access 用戶端案例中，也會從快取移除認證：使用者重新整理桌面選擇頁面或遠端工作階段頁面。伺服器出示自我簽署憑證、使用者啟動遠端桌面，以及使用者在安全性警告出現時接受憑證。使用者在包含遠端工作階段的索引標籤中執行 URI 命令。此設定切換為關閉時，認證會存留在快取中。
允許用戶端等待已關閉電源的虛擬機器	啟用此設定可允許 Horizon Client 將連線要求重試至目前無法使用的遠端桌面。例如，用戶端使用者可能會要求目前已關閉電源的桌面。啟用此設定之後，Horizon Client 可以重新傳送其連線要求，並在桌面電源開啟且可供使用時建立連線工作階段。

當您完成設定原則詳細資料時，按下一步以繼續進行精靈的下一個步驟。

在摘要頁面中檢閱您的設定，然後按一下完成以儲存並套用該組態。
取決於您的系統和網路狀況，由於 DNS 記錄會傳播至所有全域區域中的 DNS 伺服器，因此組態設定通常需要數分鐘到半小時才能在 Universal Broker 服務中完全生效。在這段期間內， Universal Broker服務將無法使用。當設定成功完成時，[開始使用] 頁面上的 [代理] 區段會顯示完成狀態，而設定 > 代理頁面會顯示已啟用狀態，並出現一個綠點。

重要：如果 Universal Broker設定失敗，則設定 > 代理頁面會顯示錯誤狀態與紅色警示圖示。若要修復組態失敗並設定 Universal Broker服務，請依照 VMware 知識庫 (KB) 文章 2006985 中所述連絡 VMware 支援。

下一步

如果您已為 Horizon 網繭設定了 Universal Broker，請將網繭變更為受管理狀態。請參閱使用 Horizon Universal Console 將雲端連線 Horizon 網繭變更為受管理狀態。
如果您已針對 Microsoft Azure 中的 Horizon Cloud Pod 設定了 Universal Broker，則無需再進行其他設定。您可以開始使用主控台來建立多網繭映像，然後根據這些映像，來建立使用者指派。