若要使用 Universal Broker 代理來自使用者指派的資源,您必須先設定某些設定。本文提供設定 Universal Broker 設定的詳細逐步指示,包括連線 FQDN 或 URL、雙因素驗證、工作階段逾時,以及 Horizon 功能原則。

在您第一次選取 Universal Broker 作為租用戶範圍的連線代理之後,Universal Broker 的組態精靈即會自動開啟。您也可以手動開啟組態精靈。

必要條件

根據網繭類型準備所需的系統元件。

VMware SDDC 型平台上的 Horizon 網繭:

Microsoft Azure 中的 Horizon Cloud Pod:

重要: 確保您在 Microsoft Azure 中的所有 Horizon Cloud Pod 都處於線上、健全狀況良好且為就緒狀態。 Universal Broker 服務必須與網繭通訊,並在網繭上執行某些組態步驟,才能完成設定程序。如果有任何網繭處於離線或無法使用,則 Universal Broker設定會失敗。

程序

  1. 如有需要,請開啟組態精靈以設定Universal Broker
    • 開始使用頁面中,移至一般設定 > 代理,按一下執行。然後按一下設定以指定新的組態,或按一下鉛筆圖示以編輯組態。
    • 選取設定 > 代理。然後按一下設定以指定新的組態,或按一下鉛筆圖示以編輯組態。
    Universal Broker的組態精靈隨即顯示。
  2. 在精靈的 FQDN 頁面中,設定 Universal Broker 服務之完整網域名稱 (FQDN) 的設定。這些設定會定義您的使用者將用來存取 Universal Broker 所代理資源的專用連線位址或 URL。
    備註: 當您修改子網域或 FQDN 設定時,變更可能需要一些時間才能在所有的 DNS 伺服器上生效。
    1. 針對 [類型],請選取 VMware 提供自訂的完整網域名稱 (FQDN)。
    2. 為選取的 FQDN 類型指定其他設定。
      • 如果選取了 VMware 提供類型,請依照下列方式指定設定。
        設定 說明
        Sub Domain 在網路組態中輸入代表您公司或組織的有效子網域的唯一 DNS 名稱。此子網域會附加在 VMware 提供的網域前面,以形成代理 FQDN。
        備註: 部分字串會由系統禁止或保留使用。此類別的字串包括一般文字如 book、知名公司擁有的詞彙如 gmail,以及通訊協定。程式碼和開放原始碼詞彙如 phpsql。系統也會禁止使用這些字串的模式類別,例如 mail0mail1mail2 等。

        但是,當您在此欄位中輸入禁止的名稱時,系統不會在此時驗證該輸入。只有在您到達精靈的最後摘要步驟時,系統才會驗證您在此處輸入的名稱,並在您的輸入符合其中一個禁止的名稱時顯示錯誤。如果發生該情況,請在此處輸入不同且更獨特的名稱。

        Brokering FQDN 此唯讀欄位會顯示已設定的 FQDN。FQDN 採用的格式為 https://<您的子網域>vmwarehorizon.com

        將此 FQDN 提供給您的使用者,讓他們能夠使用 Horizon Client 連線至 Universal Broker服務。

        Universal Broker會管理此 FQDN 的 DNS 和 SSL 驗證。

        下列螢幕擷取畫面顯示組態精靈的範例,其中已填入「VMware 提供的 FQDN」的設定。


        Universal Broker 組態精靈已填入 VMware 提供的 FQDN 設定。
      • 如果選取了自訂類型,請依照下列方式指定設定。
        設定 說明
        Brokering FQDN 輸入使用者將用來存取 Universal Broker服務的自訂 FQDN。您的自訂 FQDN 功能可作為自動產生之「VMware 提供的 FQDN」的別名,以完成服務的連線。

        您必須是自訂 FQDN 中所指定網域名稱的擁有者,並提供可驗證該網域的憑證。

        備註: 您的自訂 FQDN (也稱為連線 URL) 代表您的公司或組織。確保您有適當的授權可使用此自訂 FQDN。
        備註: 您的自訂 FQDN 必須是唯一的,並且與網繭內所有 Unified Access Gateway 執行個體的 FQDN 不同。
        重要: 您必須在 DNS 伺服器上建立 CNAME 記錄,將自訂 FQDN 對應至代表 Universal Broker服務之內部連線位址的「VMware 提供的 FQDN」。例如,此記錄可能會將 vdi.examplecompany.com 對應至 <自動產生的字串>.vmwarehorizon.com
        Certificate

        按一下瀏覽,然後上傳對您代理 FQDN 進行驗證的憑證 (採用密碼保護的 PFX 格式)。憑證必須由受信任的 CA 簽署,憑證的通用名稱 (CN) 或其任何主體別名 (SAN) 必須符合 FQDN,且憑證的內容必須符合標準 X.509 格式。

        PFX 檔案必須包含整個憑證鏈結和私密金鑰:網域憑證、中繼憑證、根 CA 憑證、私密金鑰。

        Universal Broker服務會使用此憑證建立用戶端的信任連線工作階段。

        Password 輸入 PFX 憑證檔案的密碼。
        VMware Provided FQDN 此唯讀欄位會顯示針對代理服務自動產生且由 VMware 提供的 FQDN。FQDN 採用的格式為 https://<自動產生的字串>.vmwarehorizon.com

        VMware 提供的 FQDN 不會對使用者顯示,代表Universal Broker服務的內部連線位址。您的自訂 FQDN 可作為「VMware 提供的 FQDN」的別名。

        重要: 您必須透過在 DNS 伺服器上建立 CNAME 記錄,將自訂 FQDN 對應至 VMware 提供的 FQDN,以設定別名關聯。例如,此記錄可能會將 vdi.examplecompany.com 對應至 <自動產生的字串>.vmwarehorizon.com

        下列螢幕擷取畫面顯示組態精靈的範例,其中已填入自訂 FQDN 的設定。


        Universal Broker 組態精靈已填入自訂 FQDN 設定
    3. 當您完成設定 FQDN 設定時,請按下一步以繼續前往精靈的下一頁。
  3. (選用) 在精靈的驗證頁面中,設定雙因素驗證。
    依預設, Universal Broker只會透過 Active Directory 使用者名稱和密碼來驗證使用者。您可以透過指定其他驗證方法來實作雙因素驗證。如需詳細資訊,請參閱 在 Universal Broker 環境中實作雙因素驗證時的最佳做法
    重要: 若要將雙因素驗證用於 Universal Broker,您必須先在每個參與網繭內的每個外部 Unified Access Gateway 執行個體上設定適當的驗證。在參與的網繭內部和網繭之間,外部 Unified Access Gateway 執行個體的組態必須相同。

    例如,如果您想要使用 RADIUS 驗證,則必須在 Microsoft Azure 中所有參與的 Horizon 網繭和 Microsoft Azure 中的網繭之間每個外部 Unified Access Gateway 執行個體上設定 RADIUS 服務。

    請勿刪除參與網繭內的任何 Unified Access Gateway 執行個體。由於 Universal Broker 需仰賴 Unified Access Gateway 來處理 Horizon Client 與虛擬資源之間的通訊協定流量,因此,如果您刪除該網繭上的 Unified Access Gateway 執行個體,使用者便無法從參與的網繭存取已佈建的資源。

    設定 說明
    2 Factor Authentication

    若要使用雙因素驗證,請啟用此切換。

    此切換啟用時,您會看到用來設定雙因素驗證的其他選項。

    Maintain User Name 啟用此切換,可在對 Universal Broker進行驗證期間保有使用者的 Active Directory 使用者名稱。啟用時:
    • 對於其他驗證方法,使用者必須使用與其Universal Broker之 Active Directory 驗證相同的使用者名稱認證。
    • 使用者無法變更用戶端登入畫面中的使用者名稱。

    如果此切換設為關閉,則使用者將可在登入畫面中輸入不同的使用者名稱。

    Type

    指定除了 Active Directory 使用者名稱和密碼以外您要使用的驗證方法。

    • 若要在 Horizon 網繭與 Microsoft Azure 中網繭之間使用雙因素驗證,請選取 RADIUS
    • 若要僅將雙因素驗證用於您的 Horizon 網繭,請選取 RSA SecurID
    備註: 在此版本中,RSA SecurID 支援 Horizon 網繭,但不支援 Microsoft Azure 中的網繭。如果您選取 RSA SecurID,使用者的 RSA 驗證要求將只會透過您 Horizon 網繭的 Unified Access Gateway 執行個體來進行。系統會透過 Horizon 網繭或 Microsoft Azure 中網繭的 Unified Access Gateway 執行個體來嘗試 Active Directory 使用者名稱和密碼驗證要求。
    Show Hint Text 啟用此切換按鈕,可設定會在用戶端登入畫面中顯示的文字字串,以便提示使用者針對其認證輸入其他驗證方法。
    Custom Hint Text

    輸入您要在用戶端登入畫面中顯示的文字字串。指定的提示會向使用者顯示為 Enter your DisplayHint user name and password,其中的 DisplayHint 是您在此文字方塊中輸入的文字字串。

    備註: Universal Broker 不允許在自訂提示文字中使用下列字元: & < > ' "

    如果您在提示文字中包含任何這些不允許的字元,使用者將無法連線至 Universal Broker FQDN。

    此提示可引導使用者輸入正確的認證。例如,輸入以下的公司使用者名稱和網域密碼之類的詞語,會對使用者產生顯示如下的提示:Enter your Company user name and domain password below for user name and password

    Skip Two-Factor Authentication

    啟用此切換,可對連線至 Universal Broker 服務的內部網路使用者略過雙因素驗證。請確定您已指定屬於內部網路的公用 IP 範圍,如定義 Universal Broker 的內部網路範圍中所述。

    • 此切換啟用時,內部使用者必須輸入其 Active Directory 認證,才能向 Universal Broker 服務進行驗證。外部使用者必須同時輸入其 Active Directory 認證,及其用於額外驗證服務的認證。
    • 此切換關閉時,內部和外部使用者都必須輸入其 Active Directory 認證,及其用於額外驗證服務的認證。
    Public IP Ranges

    此唯讀欄位會列出代表您內部網路的公用 IP 範圍。Universal Broker 會將任何從其中一個範圍內的 IP 位址連線的使用者視為內部使用者。

    如需詳細資訊,請參閱定義 Universal Broker 的內部網路範圍

    下列螢幕擷取畫面顯示已填入雙因素驗證設定的組態精靈範例。

    Universal Broker 組態精靈已填入雙因素驗證設定
    當您完成設定雙因素驗證時,請按 下一步以繼續前往精靈的下一頁。
  4. 在組態精靈的設定頁面中,為 Horizon Client 設定持續時間設定。
    這些逾時設定適用於 Horizon ClientUniversal Broker所配置的已指派桌面之間的連線工作階段。這些設定不適用於使用者對已指派桌面之客體作業系統的登入工作階段。當 Universal Broker偵測到這些設定所指定的逾時情況時,即會關閉使用者的 Horizon Client 連線工作階段。
    設定 說明
    Client Heartbeat Interval 控制 Horizon Client 活動訊號之間的間隔 (以分鐘為單位),以及使用者對 Universal Broker的連線狀態。這些活動訊號會向 Universal Broker報告在 Horizon Client 連線工作階段期間已經過多少閒置時間。

    當執行 Horizon Client 的端點裝置未發生任何互動時,即會測量閒置時間。使用者指派桌面之客體客體作業系統的登入工作階段中的閒置並不會影響此閒置時間。

    在大型桌面部署中,提高 Client 活動訊號間隔可能會降低網路流量而改善效能。

    Client Idle User Horizon ClientUniversal Broker之間的連線工作階段期間允許的閒置時間上限 (以分鐘為單位)。

    達到時間上限時,使用者的驗證期間即到期,且 Universal Broker會關閉所有作用中的 Horizon Client 工作階段。若要重新開啟連線工作階段,使用者必須在 Universal Broker登入畫面上重新輸入其驗證認證。

    備註: 若要避免意外中斷使用者與已指派桌面的連線,請將 Client 閒置使用者逾時值設定為 Client 活動訊號間隔的兩倍以上。
    Client Broker Session 使用者的驗證到期前允許 Horizon Client 連線工作階段的時間上限 (以分鐘為單位)。時間會在使用者向 Universal Broker進行驗證時開始起算。工作階段逾時發生時,使用者可繼續在其已指派的桌面中工作。但若他們執行需要與 Universal Broker通訊的動作 (例如變更設定),Horizon Client 就會提示使用者重新輸入其 Universal Broker認證。
    備註: Client 代理工作階段逾時至少必須大於或等於 Client 活動訊號間隔值和 Client 閒置使用者逾時的總和。
    Client Credential Cache 控制是否將使用者登入認證儲存在用戶端系統快取中。輸入 1 會將使用者認證儲存在快取中。如果不想將使用者認證儲存在快取中,請輸入 0
  5. 在組態精靈的設定頁面中,設定原則詳細資料
    原則詳細資料可控制使用者是否可以存取特定的 Horizon 功能 (如果這些功能在桌面和用戶端上可用)。
    設定 說明
    Multimedia Redirection (MMR) 啟用此切換,可讓您和使用者存取多媒體重新導向功能 (如果功能在桌面和用戶端上可用)。
    USB Access 啟用此切換,可讓您的使用者使用 USB 重新導向功能 (如果功能在桌面和用戶端上可用)。
    Clean Up HTML Access Credentials When Tab is Closed

    啟用此設定,以在使用者於 HTML Access 用戶端中關閉連線至遠端桌面的索引標籤,或關閉連線至桌面選擇頁面的索引標籤時,從快取移除使用者的認證。

    啟用此設定時,系統在下列 HTML Access 用戶端案例中,也會從快取移除認證:

    • 使用者重新整理桌面選擇頁面或遠端工作階段頁面。
    • 伺服器出示自我簽署憑證、使用者啟動遠端桌面,以及使用者在安全性警告出現時接受憑證。
    • 使用者在包含遠端工作階段的索引標籤中執行 URI 命令。

    此設定切換為關閉時,認證會存留在快取中。

    Allow Client to Wait for Powered-Off VM 啟用此設定可允許 Horizon Client 將連線要求重試至目前無法使用的遠端桌面。

    例如,用戶端使用者可能會要求目前已關閉電源的桌面。啟用此設定之後,Horizon Client 可以重新傳送其連線要求,並在桌面電源開啟且可供使用時建立連線工作階段。

    當您完成設定原則詳細資料時,按 下一步以繼續進行精靈的下一個步驟。
  6. 摘要頁面中檢閱您的設定,然後按一下完成以儲存並套用該組態。
    取決於您的系統和網路狀況,由於 DNS 記錄會傳播至所有全域區域中的 DNS 伺服器,因此組態設定通常需要數分鐘到半小時才能在 Universal Broker 服務中完全生效。在這段期間內, Universal Broker服務將無法使用。當設定成功完成時,[開始使用] 頁面上的 [代理] 區段會顯示 完成,而 設定 > 代理頁面會顯示 已啟用狀態與綠色點。

    已啟用 Universal Broker 的代理頁面
    重要: 如果 Universal Broker設定失敗,則 設定 > 代理頁面會顯示 錯誤狀態與紅色警示圖示。若要修復組態失敗並設定 Universal Broker服務,請依照 VMware 知識庫 (KB) 文章 2006985 中所述連絡 VMware 支援。

後續步驟