本主題將介紹 Horizon Cloud 租用戶的代理轉換程序,以及執行轉換可帶來的好處。請瞭解單一網繭代理與 Universal Broker 環境之間的差異,以及在進行代理轉換之前、期間和之後會發生的情況。

什麼是代理轉換程序?

完成代理轉換後,您的 Horizon Cloud 租用戶環境會從使用單一網繭代理變更為使用 Universal Broker 來代理使用者指派中的資源。作為新的租用戶範圍代理,Universal Broker 會管理使用者的連線要求,並將其路由至所要求指派中的最佳可用資源。

代理轉換程序會對您的使用者指派進行下列變更。

  • VDI 桌面指派會轉換為由 Universal Broker 代理的多雲端指派。多雲端指派可包含來自多個網繭的 VDI 桌面。
  • 工作階段型桌面和應用程式指派會保持不變。工作階段型桌面或應用程式指派只能包含來自單一網繭的資源,但此時指派會由 Universal Broker 所代理。

如果您的環境目前使用單一網繭代理,且符合Horizon Cloud - 轉換為 Universal Broker 的系統需求中說明的先決條件,則適用轉換功能。

為何要轉換為 Universal Broker

轉換為使用 Universal Broker (VMware 最新的雲端式代理技術) 後,將可獲得下列幾項主要好處。

使用者指派可包含來自多個網繭的 VDI 桌面
使用單一網繭代理時,VDI 指派中的所有桌面必須來自相同的網繭。桌面代理是針對個別的網繭來完成的。

透過 Universal Broker,您可以建立來自多個網繭的 VDI 桌面指派,也稱為多雲端指派。使用者可從該指派中包含的任何網繭存取指派及接收桌面。如需詳細資訊,請參閱VMware Horizon Service Universal Broker 簡介及其副主題。

您也可以像往常一樣繼續使用工作階段型桌面和應用程式指派。不同之處在於,這些指派中的工作階段型桌面和應用程式將會由 Universal Broker 代理,而非個別的網繭代理。

所有遠端資源均適用的單一連線 FQDN
使用單一網繭代理時,使用者必須分別連線至每個網繭的完整網域名稱 (FQDN),才能存取來自該網繭的指派。代理是針對個別的網繭來完成的。

使用 Universal Broker 時,使用者只需連線至一個 FQDN (如您在 Universal Broker 組態設定中所定義) 即可存取所有指派。透過單一 FQDN,使用者可從環境中的任何站台,存取所有參與網繭中的指派 (包括 Microsoft Azure 中的 Horizon Cloud Pod 和 VMware SDDC 型平台上的 Horizon 網繭)。您的網繭之間不需要內部網路功能。


此圖顯示 Universal Broker 的單一 FQDN 連線
可達到最佳效能的全域網繭連線與感知
Universal Broker與參與多雲端指派的每個網繭保持直接連線,並留意每個網繭的可用性狀態。因此, Universal Broker 可以管理使用者的連線要求,並直接從這些網繭將其路由至虛擬資源。不需要全域伺服器負載平衡 (GSLB),或任何可能會導致效能降低和延遲問題的網繭間網路通訊。
智慧型代理
Universal Broker 會根據地理站台和網繭拓撲的感知,以最短的網路路由,將來自指派的資源代理給使用者。

是否有任何不進行轉換的原因?

此版本的 Universal Broker 具有一些功能限制。如果您的使用案例需要使用 Universal Broker 不支援的功能,則應考慮讓租用戶環境維持使用單一網繭代理,直到 Universal Broker 支援該功能為止。如需目前的 Universal Broker 限制清單,請參閱Universal Broker - 功能考量事項和已知限制

在代理轉換期間會發生什麼情況?

轉換工作流程包含幾個階段。如需執行轉換的詳細逐步指示,請參閱排程並完成從單一網繭代理轉換為 Universal Broker 的作業

以下提供轉換之前和期間所執行程序的高階概觀。

  1. 若要起始工作流程,您必須先排程執行轉換的日期和時間。除了這項排程工作,請定義轉換期間用來設定 Universal Broker 服務的組態選項。
  2. 排程的開始時間之前的 15 分鐘以內,在主控台中完成所有進行中的作業,並儲存您想要保留的任何變更。關閉所有組態精靈和對話方塊。此外,確保您在 Microsoft Azure 中的所有網繭都處於線上、健全狀況良好且為就緒狀態。
  3. 在轉換即將開始時,系統會提示您先登出主控台再重新登入。
  4. 在轉換的第一個階段期間,預期會發生下列情況:
    • 您無法存取主控台的任何編輯控制項,且主控台會顯示一個橫幅,指出轉換正在進行中。
    • 您在 Microsoft Azure 中的所有網繭都會新增至名為 Default-Site 的站台。
    • 您的 VDI 桌面指派會轉換為由 Universal Broker 代理的多雲端指派。在預設指派設定中,連線相似性會設定為最接近的站台,而範圍會設定為站台內
    • 您的工作階段型桌面和應用程式指派會保持不變。轉換後,這些指派中的資源將會由 Universal Broker 代理。
    • 在此期間,所有指派仍可供使用者使用,且所有作用中使用者工作階段仍會保持開啟且正常運作。
    備註: 此轉換階段通常需執行約 10 分鐘,但如果您的租用戶環境包含大量指派,則最多可能需要 1 小時。

    此轉換階段完成時,系統會提示您先登出主控台再重新登入。

  5. 在轉換的第二個階段中,Universal Broker 服務會完成其設定程序並完全啟用。您可以在主控台中存取所有編輯作業,但建立和編輯指派除外。
    備註: 此轉換階段通常會在 30 分鐘內完成。不過,根據您的系統與網路條件,以及環境中的指派總數和專用的使用者到桌面對應,此階段可能需要數小時才能完成。

    此轉換階段完成後,設定 > 代理頁面會顯示已啟用狀態,並出現一個綠點。

    此時,整個代理轉換程序即告完成。

代理轉換之後預期會發生什麼情況?

如需代理轉換之後對租用戶環境所做變更的詳細清單,請參閱您的租用戶環境在轉換為 Universal Broker 之後的新功能

完成轉換後,您即可開始運用 Universal Broker 環境所提供優勢。下面清單可讓您一睹後續動作,並提供指向詳細頁面的連結。

  • 修改站台和多雲端 VDI 指派設定,以充分利用 Universal Broker 功能。例如,您可以將更多網繭新增至現有的指派,或調整站台設定以微調 Universal Broker 將資源配置給使用者的方式。如需詳細資訊,請參閱在 Universal Broker 環境中建立及管理指派在 Universal Broker環境中使用站台
  • 如果您的 Horizon Cloud 租用戶與 Workspace ONE Access 之間有現有的整合,則必須更新該整合以利使用 Universal Broker。如需完整指示,請參閱Horizon Cloud 環境與 Universal Broker - 整合租用戶與 Workspace ONE Access 和 Intelligent Hub 服務
    備註:VMware Workspace ONE Access 產品團隊確認,將 Universal BrokerHorizon Cloud on Microsoft Azure 部署搭配使用時,該組態不支援 VMware Workspace ONE Access 產品的「虛擬應用程式集合」功能。這是因為, Universal Broker 是比舊式每一網繭代理更新的代理技術,這表示 Universal BrokerWorkspace ONE Access 的整合將不再需要對 Horizon Cloud on Microsoft Azure 部署使用舊版每一網繭的虛擬應用程式集合。因此, Universal Broker 根本沒有對 Horizon Cloud on Microsoft Azure 部署使用虛擬應用程式集合的概念,從而導致不支援將虛擬應用程式集合用於 Universal BrokerHorizon Cloud on Microsoft Azure 組態。

    如果為 Horizon Cloud on Microsoft Azure 部署設定了 Universal Broker,且您計劃將 Workspace ONE Access 和 Intelligent Hub 服務與這些 Horizon Cloud on Microsoft Azure 部署搭配使用,則在整合程序期間中,當您在執行主控台的清理動作時,需要清理這些部署可能具有的任何現有「虛擬應用程式集合」。完成清理活動,相同的應用程式將透過使用整合的 Universal Broker 以及 Workspace ONE Access 和 Intelligent Hub 服務的新功能,繼續在 Workspace ONE Access 和 Intelligent Hub 服務中執行。

Horizon Cloud - 轉換為 Universal Broker 的系統需求

本文說明您的 Horizon Cloud 租用戶環境必須符合哪些需求,您才能排程及完成租用戶從使用單一網繭代理到使用 Universal Broker 的轉換。此外也會引導您完成為 Universal Broker 支援新連線 FQDN 的規劃和準備步驟。

若要支援轉換程序,以及轉換完成後由 Universal Broker 所代理多雲端指派的進行中作業,請確認您的租用戶環境符合下列需求。

注意: 如果您的租用戶網繭機群中包含已使用 Universal BrokerHorizon 網繭,以及使用單一網繭代理的 Horizon Cloud Pod,則必須特別注意使已設定 Universal Broker 設定中的雙因素驗證設定與 Horizon Cloud Pod 相符。
  • 除非您的 Horizon Cloud Pod 符合租用戶環境中「最低網繭資訊清單」和「啟用 RSA SecurID 選項」的準則,否則這些網繭僅支援 RADIUS 驗證。(如需詳細資訊,請參閱在 Universal Broker 環境中實作雙因素驗證時的最佳做法。)
  • Horizon Cloud Pod 不符合在其外部閘道上設定 RSA SecurID 的準則時,如果您想對機群中的所有網繭 (Horizon 網繭和 Horizon Cloud Pod) 使用雙因素驗證,則每個網繭必須具有一個外部 Unified Access Gateway,並在該閘道上設定 RADIUS 雙因素驗證。

Horizon Cloud Pod 的需求

確認 Microsoft Azure 中的 Horizon Cloud Pod 符合下列需求。

  • 您的租用戶至少有一個 Horizon Cloud Pod。Horizon Cloud Pod 以在 Microsoft Azure 中執行的網繭管理員技術為基礎。
  • 您租用戶的所有 Horizon Cloud Pod 皆執行網繭資訊清單 2298.0 或更新版本。下列需求也適用特定使用案例。
    • 如果您的 Horizon Cloud 租用戶與 Workspace ONE Access 之間有現有的整合,則所有網繭都必須執行資訊清單 2474.0 或更新版本。完成代理轉換後,您必須更新整合以便使用 Universal Broker,如Horizon Cloud 環境與 Universal Broker - 整合租用戶與 Workspace ONE Access 和 Intelligent Hub 服務中所述。
    • 如果您在代理轉換完成後想要使用工作取消功能或刪除保護功能,您所有的 Horizon Cloud Pod 皆必須執行資訊清單 2474.0 或更新版本。如果您的網繭執行早於資訊清單 2474.0 的版本,則不支援這些功能。
    重要: 確保您的所有 Horizon Cloud Pod 都處於線上、健全狀況良好且為就緒狀態。 Universal Broker 服務必須與那些網繭通訊,並在網繭上執行某些組態步驟,才能完成轉換程序。如果其中有任何網繭離線或無法使用,您將無法排程轉換。如果您排程轉換,但有任何網繭稍後在轉換進行期間離線或變得無法使用,則 Universal Broker 設定將會失敗。
  • 轉換期間不會排程任何同時執行的網繭升級。
  • 網繭的位置是透過在網繭組態精靈的功能表選項中選取有效位置來設定。如果藉由在文字欄位中手動輸入位置,來設定網繭位置,則轉換將會失敗。
    備註: 如果網繭是在 2019 年 3 月 (服務版本 1.9) 之前初次部署,可能會出現這種涉及手動輸入位置的問題。從 2019 年 3 月版本開始,必須使用功能表,從系統的全球城市名稱資料庫內的值中選取位置。

    若要降低因設定給網繭的位置而導致轉換失敗的可能性,請導覽至主控台的 [容量] 頁面,然後檢查每個 Horizon Cloud Pod 的 [位置] 資料行的值。如果 [位置] 資料行的值看似手動輸入的名稱,請使用網繭上的編輯動作,移至網繭詳細資料步驟,然後編輯位置欄位,將其值設定為系統的某個城市名稱值。

  • 在轉換工作流程期間,如果您的租用戶尚未從網繭機群中的任何 Horizon 網繭進行 Universal Broker 設定,則主控台將提示您進行 Universal Broker 設定。當您計劃在 Universal Broker 設定中設定雙因素驗證設定時,每個網繭必須具有一個外部 Unified Access Gateway 執行個體,且必須為該執行個體設定適當的雙因素驗證類型。(如需背景相關資訊,請參閱在 Universal Broker 環境中實作雙因素驗證時的最佳做法。)

    這些需求取決於您的 Horizon Cloud Pod 是否符合在其外部閘道上設定 RSA SecurID 類型的準則:

    • 如果您的 Horizon Cloud Pod 符合租用戶環境中「最低網繭資訊清單」和「啟用 RSA SecurID 選項」的準則,則需要將所有網繭中的所有外部 Unified Access Gateway 執行個體設定成使用相同的驗證服務。這包括處於受管理狀態的所有租用戶的 Horizon 網繭。最終的結果是讓所有執行個體使用的驗證類型都一致:全都使用 RADIUS,或全都使用 RSA SecurID。
    • Horizon Cloud Pod 不符合在其外部閘道上設定 RSA SecurID 的準則時,如果您想對機群中的所有網繭 (Horizon 網繭和 Horizon Cloud Pod) 使用雙因素驗證,則必須將所有網繭中的所有外部 Unified Access Gateway 執行個體設定成使用相同的 RADIUS 驗證服務。這包括處於受管理狀態的所有租用戶的 Horizon 網繭。
備註: 如果網繭僅包含內部 Unified Access Gateway 執行個體,則 Universal Broker 會覆寫在 [代理] 頁面的 網路範圍索引標籤上定義的網路原則,並將所有使用者路由至該 Unified Access Gateway 執行個體,無論其 IP 位址為何。

支援 Universal Broker 的 DNS、連接埠和通訊協定需求

確認下列需求。

支援 Universal Broker 的 FQDN 需求

使用單一網繭代理時,使用者必須分別連線至每個網繭的完整網域名稱 (FQDN),才能存取來自該網繭的指派。

轉換為 Universal Broker 之後,使用者只要連線至 Universal Broker 雲端服務的一個 FQDN,即可從您環境內任何站台中的任何網繭存取任何指派。Universal Broker 會將每個使用者要求路由至最可能滿足要求之網繭的個別 FQDN。

您可以在 Universal Broker 組態設定中指定 Universal Broker FQDN,如排程並完成從單一網繭代理轉換為 Universal Broker 的作業中所述。您可以在標準 VMware 提供的網域前面附加有效的子網域以建立 FQDN,也可以設定完全自訂的 FQDN。

備註: 如果您選擇設定自訂 FQDN,請注意此 FQDN 將代表您的公司或組織。請確定您是自訂 FQDN 中指定之網域名稱的擁有者、可提供驗證該網域的憑證,以及具有使用自訂 FQDN 的適當授權。 Universal Broker 的自訂 FQDN 必須是唯一的,並且與網繭內所有 Unified Access Gateway 執行個體的 FQDN 不同。

規劃和準備代理轉換

由於代理轉換涉及對網路和指派工作流程進行重要變更,請務必採取必要的動作,為環境和使用者準備新的工作流程。請參閱下列規劃指南,以根據您的轉換使用案例進行適當的準備和變更管理步驟。

轉換使用案例 規劃和準備步驟
您的環境包含單一網繭,且您想要使用該網繭的現有 FQDN 作為 Universal Broker FQDN
  1. 轉換排程程序的組態階段中,請將網繭的現有 FQDN 指定為 Universal Broker 服務的自訂 FQDN。
  2. 將轉換作業排程在最不會干擾到使用者指派工作負載的日期和時間。
  3. 通知您的使用者,請他們為即將進行的轉換做好準備。在即將進行轉換時,請提醒他們儲存工作,並登出其作用中連線工作階段。
  4. 在即將進行轉換前,將新的 IP 位址和 FQDN 指派給網繭。
  5. 轉換完成之後,通知您的使用者他們可以使用網繭先前的 FQDN (現在為 Universal Broker FQDN) 繼續進行連線工作階段。
您的環境包含多個網繭,且您想要將新的 FQDN 設定為 Universal Broker FQDN
  1. 更新您的 Runbook,以納入在轉換程序之前、期間和之後應遵循的必要程序。
  2. 轉換排程程序的組態階段期間,為 Universal Broker 服務設定新的 FQDN。
  3. 將轉換作業排程在最不會干擾到使用者指派工作負載的日期和時間。請根據網繭部署的規模,預留足夠的時間來進行使用者訓練和用戶端軟體的重新設定。
  4. 通知您的使用者,請他們為即將進行的轉換做好準備。在即將進行轉換時,請提醒他們儲存工作,並登出其作用中連線工作階段。
  5. 在轉換期間或完成之後,在使用者的用戶端系統上重新設定 Horizon Client,以連線至新的 Universal Broker FQDN,而非個別網繭的 FQDN。
  6. 通知您的使用者現在必須使用新的代理連線 FQDN,並藉此取得您環境中所有網繭的通用存取權。

排程並完成從單一網繭代理轉換為 Universal Broker 的作業

本主題將引導您完成轉換為 Universal Broker 的排程、準備和執行步驟。請參閱下列程序,以瞭解如何設定 Universal Broker 服務、定義轉換的開始日期和時間,以及順暢地導覽各階段的程序,以成功完成轉換。

在做好排程代理轉換的準備後,Horizon Universal Console 頂端會出現一個含有排程按鈕的通知橫幅。

備註: 如果橫幅顯示使轉換無法排程的錯誤狀況,表示您可能不符合轉換的一或多個先決條件。請按一下橫幅中的 檢視錯誤,然後在 代理頁面中按一下 需要轉換連結旁的錯誤圖示,以檢視錯誤狀況的詳細資料。您必須採取必要的步驟以清除錯誤情況,然後才能排程轉換。

必要條件

確認您的租用戶環境符合 Horizon Cloud - 轉換為 Universal Broker 的系統需求中列出的所有先決條件。

程序

  1. 在代理轉換的通知橫幅中按一下排程

    排程代理轉換的通知橫幅。
    此動作會將您重新導向至 [代理] 頁面。此頁面會指出目前已為您的租用戶啟用單一網繭代理,並提供排程代理轉換的連結。

    轉換前的代理頁面。
  2. 代理頁面中,按一下排程連結。
    Universal Broker的組態精靈隨即顯示。您必須完成此精靈的步驟,為您 Microsoft Azure 中的網繭設定 Universal Broker,並排程轉換為 Universal Broker 的作業。

    Universal Broker 組態精靈
  3. 在此精靈的 FQDN 頁面中,設定代理連線 FQDN 的設定。這些設定會定義您的使用者將用來存取 Universal Broker 所配置資源的專用連線位址。
    備註: 當您修改子網域或 FQDN 設定時,變更可能需要一些時間才能在所有的 DNS 伺服器上生效。
    1. 針對 [類型],請選取 VMware 提供自訂的完整網域名稱 (FQDN)。
    2. 為選取的 FQDN 類型指定其他設定。
      • 如果選取了 VMware 提供類型,請依照下列方式指定設定。
        設定 說明
        Sub Domain 在網路組態中輸入代表您公司或組織的有效子網域的唯一 DNS 名稱。此子網域會附加在 VMware 提供的網域前面,以形成代理 FQDN。
        備註: 部分字串會由系統禁止或保留使用。此類別的字串包括一般文字如 book、知名公司擁有的詞彙如 gmail,以及通訊協定。程式碼和開放原始碼詞彙如 phpsql。系統也會禁止使用這些字串的模式類別,例如 mail0mail1mail2 等。

        但是,當您在此欄位中輸入禁止的名稱時,系統不會在此時驗證該輸入。只有在您到達精靈的最後摘要步驟時,系統才會驗證您在此處輸入的名稱,並在您的輸入符合其中一個禁止的名稱時顯示錯誤。如果發生該情況,請在此處輸入不同且更獨特的名稱。

        Brokering FQDN 此唯讀欄位會顯示已設定的 FQDN。FQDN 採用的格式為 https://<您的子網域>vmwarehorizon.com

        將此 FQDN 提供給您的使用者,讓他們能夠使用 Horizon Client 連線至 Universal Broker服務。

        Universal Broker會管理此 FQDN 的 DNS 和 SSL 驗證。
      • 如果選取了自訂類型,請依照下列方式指定設定。
        設定 說明
        Brokering FQDN 輸入使用者將用來存取 Universal Broker服務的自訂 FQDN。您的自訂 FQDN 功能可作為自動產生之「VMware 提供的 FQDN」的別名,以完成服務的連線。

        您必須是自訂 FQDN 中所指定網域名稱的擁有者,並提供可驗證該網域的憑證。

        備註: 您的自訂 FQDN (也稱為連線 URL) 代表您的公司或組織。確保您有適當的授權可使用此自訂 FQDN。
        備註: 您的自訂 FQDN 必須是唯一的,並且與網繭內所有 Unified Access Gateway 執行個體的 FQDN 不同。
        重要: 您必須在 DNS 伺服器上建立 CNAME 記錄,將自訂 FQDN 對應至代表 Universal Broker服務之內部連線位址的「VMware 提供的 FQDN」。例如,此記錄可能會將 vdi.examplecompany.com 對應至 <自動產生的字串>.vmwarehorizon.com
        Certificate

        按一下瀏覽,然後上傳對您代理 FQDN 進行驗證的憑證 (採用密碼保護的 PFX 格式)。憑證必須符合下列所有準則:

        • 憑證必須至少在 90 天內有效
        • 憑證必須由信任的 CA 簽署
        • 憑證的一般名稱 (SN) 或其任何主體別名 (SAN) 都必須符合 FQDN
        • 憑證內容必須符合標準 X.509 格式

        PFX 檔案必須包含整個憑證鏈結和私密金鑰:網域憑證、中繼憑證、根 CA 憑證、私密金鑰。

        Universal Broker服務會使用此憑證建立用戶端的信任連線工作階段。

        Password 輸入 PFX 憑證檔案的密碼。
        VMware Provided FQDN 此唯讀欄位會顯示針對代理服務自動產生且由 VMware 提供的 FQDN。FQDN 採用的格式為 https://<自動產生的字串>.vmwarehorizon.com

        VMware 提供的 FQDN 不會對使用者顯示,代表Universal Broker服務的內部連線位址。您的自訂 FQDN 可作為「VMware 提供的 FQDN」的別名。

        重要: 您必須透過在 DNS 伺服器上建立 CNAME 記錄,將自訂 FQDN 對應至 VMware 提供的 FQDN,以設定別名關聯。例如,此記錄可能會將 vdi.examplecompany.com 對應至 <自動產生的字串>.vmwarehorizon.com

        Universal Broker 組態精靈已填入自訂 FQDN 設定。

    3. 當您完成設定 FQDN 設定時,請按下一步以繼續前往精靈的下一頁。
  4. (選用) 在精靈的驗證頁面中,設定雙因素驗證。
    依預設, Universal Broker只會透過 Active Directory 使用者名稱和密碼來驗證使用者。您可以透過指定其他驗證方法來實作雙因素驗證。如需詳細資訊,請參閱 在 Universal Broker 環境中實作雙因素驗證時的最佳做法
    重要: 若要將雙因素驗證用於 Universal Broker,您必須先在每個參與網繭內的每個外部 Unified Access Gateway 執行個體上設定適當的驗證。在參與的網繭內部和網繭之間,外部 Unified Access Gateway 執行個體的組態必須相同。

    例如,如果您想要使用 RADIUS 驗證,則必須在 Microsoft Azure 中所有參與的 Horizon 網繭和 Microsoft Azure 中的網繭之間每個外部 Unified Access Gateway 執行個體上設定 RADIUS 服務。

    請勿刪除參與網繭內的任何 Unified Access Gateway 執行個體。由於 Universal Broker 需仰賴 Unified Access Gateway 來處理 Horizon Client 與虛擬資源之間的通訊協定流量,因此,如果您刪除該網繭上的 Unified Access Gateway 執行個體,使用者便無法從參與的網繭存取已佈建的資源。

    設定 說明
    Two-Factor Authentication

    若要使用雙因素驗證,請啟用此切換。

    此切換啟用時,您會看到用來設定雙因素驗證的其他選項。

    Maintain User Name 啟用此切換,可在對 Universal Broker進行驗證期間保有使用者的 Active Directory 使用者名稱。啟用時:
    • 對於其他驗證方法,使用者必須使用與其Universal Broker之 Active Directory 驗證相同的使用者名稱認證。
    • 使用者無法變更用戶端登入畫面中的使用者名稱。

    如果此切換設為關閉,則使用者將可在登入畫面中輸入不同的使用者名稱。

    Type

    除了 Active Directory 使用者名稱和密碼,還需指定 Universal Broker 應該用於使用者的驗證方法。使用者介面將顯示以下兩個選項:RADIUSRSA SecurID

    此設定適用於租用戶層面。使用者用戶端中的行為,將取決於租用戶網繭機群的構成方式,以及在網繭的閘道上設定了哪種雙因素驗證類型,如下所示:

    僅具有 Horizon 網繭
    您在此處所選取的類型,會是在用戶端中使用的類型。
    僅具有 Horizon Cloud Pod
    • 選取與在網繭外部閘道上所設定之類型相符的類型。
    同時具有 Horizon 網繭和 Horizon Cloud on Microsoft Azure 部署
    在混合機群中,如果在此處選取了 RADIUS,則會透過這兩種網繭類型的 Unified Access Gateway 執行個體,嘗試傳送使用者的 RADIUS 驗證要求。

    在混合機群中,如果在此處選取了 RSA SecurID,則用戶端的行為,將取決於您的 Horizon Cloud on Microsoft Azure 部署是否在其外部閘道上設定了 RSA SecurID。

    • 如果您的 Horizon Cloud on Microsoft Azure 部署未在其閘道上設定 RSA SecurID 類型,且在此處選取了 RSA SecurID,則僅會透過 Horizon 網繭的 Unified Access Gateway 執行個體,嘗試傳送使用者的 RSA 驗證要求。系統會透過 Horizon 網繭或 Horizon Cloud Pod 的 Unified Access Gateway 執行個體來嘗試 Active Directory 使用者名稱和密碼驗證要求。
    • 如果 Horizon Cloud on Microsoft Azure 部署在其閘道上設定了 RSA SecurID 類型,則會同時透過這兩種網繭類型的 Unified Access Gateway 執行個體,嘗試傳送使用者的 RSA 驗證要求。
    Show Hint Text 啟用此切換按鈕,可設定會在用戶端登入畫面中顯示的文字字串,以便提示使用者針對其認證輸入其他驗證方法。
    Custom Hint Text

    輸入您要在用戶端登入畫面中顯示的文字字串。指定的提示會向使用者顯示為 Enter your DisplayHint user name and password,其中的 DisplayHint 是您在此文字方塊中輸入的文字字串。

    備註: Universal Broker 不允許在自訂提示文字中使用下列字元: & < > ' "

    如果您在提示文字中包含任何這些不允許的字元,使用者將無法連線至 Universal Broker FQDN。

    此提示可引導使用者輸入正確的認證。例如,輸入以下的公司使用者名稱和網域密碼之類的詞語,會對使用者產生顯示如下的提示:Enter your Company user name and domain password below for user name and password

    Skip Two-Factor Authentication

    啟用此切換,可對連線至 Universal Broker 服務的內部網路使用者略過雙因素驗證。請確定您已指定屬於內部網路的公用 IP 範圍,如定義 Universal Broker 的內部網路範圍中所述。

    • 此切換啟用時,內部使用者必須輸入其 Active Directory 認證,才能向 Universal Broker 服務進行驗證。外部使用者必須同時輸入其 Active Directory 認證,及其用於額外驗證服務的認證。
    • 此切換關閉時,內部和外部使用者都必須輸入其 Active Directory 認證,及其用於額外驗證服務的認證。
    Public IP Ranges

    當啟用跳過雙因素驗證時,此欄位會是可見的。

    如果已在 [代理] 頁面的 [網路範圍] 索引標籤上指定一或多個公用 IP 範圍,則此欄位是唯讀的,且會列出這些 IP 範圍。

    如果 [代理] 頁面的 [網路範圍] 索引標籤未指定公用 IP 範圍,您可以使用此欄位來指定代表您內部網路的公用 IP 範圍,從而跳過提示對來自這些範圍的流量進行雙因素驗證。Universal Broker 會將任何從其中一個範圍內的 IP 位址連線的使用者視為內部使用者。

    如需進一步瞭解指定這些範圍的用意,請參閱定義 Universal Broker 的內部網路範圍

    當您完成設定雙因素驗證時,請按 下一步以繼續前往精靈的下一頁。
  5. 在組態精靈的設定頁面中,為 Horizon Client 設定持續時間設定。
    這些逾時設定適用於 Horizon ClientUniversal Broker所配置的已指派桌面之間的連線工作階段。這些設定不適用於使用者對已指派桌面之客體作業系統的登入工作階段。當 Universal Broker偵測到這些設定所指定的逾時情況時,即會關閉使用者的 Horizon Client 連線工作階段。
    設定 說明
    Client Heartbeat Interval 控制 Horizon Client 活動訊號之間的間隔 (以分鐘為單位),以及使用者對 Universal Broker的連線狀態。這些活動訊號會向 Universal Broker報告在 Horizon Client 連線工作階段期間已經過多少閒置時間。

    當執行 Horizon Client 的端點裝置未發生任何互動時,即會測量閒置時間。使用者指派桌面之客體客體作業系統的登入工作階段中的閒置並不會影響此閒置時間。

    在大型桌面部署中,提高 Client 活動訊號間隔可能會降低網路流量而改善效能。

    Client Idle User Horizon ClientUniversal Broker之間的連線工作階段期間允許的閒置時間上限 (以分鐘為單位)。

    達到時間上限時,使用者的驗證期間即到期,且 Universal Broker會關閉所有作用中的 Horizon Client 工作階段。若要重新開啟連線工作階段,使用者必須在 Universal Broker登入畫面上重新輸入其驗證認證。

    備註: 若要避免意外中斷使用者與已指派桌面的連線,請將 Client 閒置使用者逾時值設定為 Client 活動訊號間隔的兩倍以上。
    Client Broker Session 使用者的驗證到期前允許 Horizon Client 連線工作階段的時間上限 (以分鐘為單位)。時間會在使用者向 Universal Broker進行驗證時開始起算。工作階段逾時發生時,使用者可繼續在其已指派的桌面中工作。但若他們執行需要與 Universal Broker通訊的動作 (例如變更設定),Horizon Client 就會提示使用者重新輸入其 Universal Broker認證。
    備註: Client 代理工作階段逾時至少必須大於或等於 Client 活動訊號間隔值和 Client 閒置使用者逾時的總和。
    Client Credential Cache 控制是否將使用者登入認證儲存在用戶端系統快取中。輸入 1 會將使用者認證儲存在快取中。如果不想將使用者認證儲存在快取中,請輸入 0
    當您完成 [持續時間] 設定時,請按 下一步以繼續移至精靈的下一頁。
  6. 在精靈的排程頁面中,使用控制項指定執行代理轉換的日期開始時間

    Universal Broker 組態精靈的排程頁面。

    您可以將開始時間排程為比目前的當地時間早至少一個小時,而最多比目前的日期早 3 個月。開始時間必須為整點。
    設定開始時間時,請讓轉換有足夠的時間繼續執行而不會中斷。
    在完成後請按 下一步,以繼續進行 Universal Broker 組態精靈的下一個步驟。
    備註: 如果主控台顯示訊息指出指定的開始時間無法使用,請返回 日期開始時間設定,以為轉換指定不同的時間。
  7. 摘要頁面中檢閱您的設定,然後按一下完成以儲存 Universal Broker 組態和排程設定。
    此時會顯示一則確認訊息,指出您已成功排程轉換。

    排程轉換後的通知橫幅和代理頁面。

    排程轉換之後:
    • [代理] 頁面會顯示與即將進行轉換有關的詳細資訊。如果距離開始時間一個小時以上,您可以按一下排程連結以重新排程轉換。
    • 如果您想要在轉換即將開始的一小時內取消已排程的轉換或重新排程轉換,則必須連絡 VMware 支援。請注意,VMware 支援無法取消或重新排程即將在 15 分鐘內開始的轉換。
    • 在到達開始時間前,主控台會持續針對即將進行的轉換顯示通知橫幅。在橫幅中按一下檢視詳細資料後會將您重新導向至 [代理] 頁面。
    • 與即將進行的轉換有關的通知和提醒訊息,會傳送至您為租用戶登錄的主要電子郵件帳戶。
  8. 確定您在排程開始轉換的至少 15 分鐘前完成下列準備工作。在轉換期間,您無法存取主控台的任何編輯作業。
    • 在主控台中完成所有進行中的作業,並儲存您要保留的任何變更。
    • 關閉所有組態精靈和對話方塊。
    重要: 確定 Microsoft Azure 中的所有 Horizon Cloud Pod 在轉換期間都處於線上、健全狀況良好且準備就緒的狀態。 Universal Broker 服務必須與網繭通訊,並在網繭上執行某些組態步驟,才能完成轉換的代理啟用階段。如果有任何網繭處於離線或無法使用,則轉換會失敗。
    重要: 如果您的混合環境同時包含 Microsoft Azure 中的 Horizon Cloud Pod 和 VMware SDDC 型平台上的 Horizon 網繭,則在轉換期間, Universal Broker 服務無法供您的 Horizon 網繭使用。此外,您也無法在此期間將 Horizon 網繭的狀態從受監控變更為受管理。
  9. 在轉換即將開始前,請依照畫面上的提示先登出主控台再重新登入。

    排程的代理轉換執行前一刻的登出提示。

  10. 讓轉換的第一個階段繼續執行而不中斷。
    在此轉換階段期間:
    • 您無法存取主控台的任何編輯控制項,且主控台會顯示一個橫幅,指出轉換正在進行中。
      代理轉換執行中時的主控台橫幅。

    • 您在 Microsoft Azure 中的所有網繭都會新增至名為 Default-Site 的站台。
    • 您的 VDI 桌面指派會轉換為由 Universal Broker 代理的多雲端指派。在預設指派設定中,連線相似性會設定為最接近的站台,而範圍會設定為站台內
    • 您的工作階段型桌面和應用程式指派會保持不變。轉換後,這些指派中的資源將會由 Universal Broker 代理。
    • 在此期間,所有指派仍可供使用者使用,且所有作用中使用者工作階段仍會保持開啟且正常運作。
    備註: 此轉換階段通常需執行約 10 分鐘,但如果您的租用戶環境包含大量指派,則可能需要更多時間。您可以在通知橫幅中按一下 檢視狀態以監控進度。如果此階段未在一小時內完成,轉換即會逾時,並標示為失敗。
    轉換階段完成時會顯示下列訊息。
    代理轉換完成後的確認訊息。

    備註: 如果在此轉換階段中發生失敗,VMware 支援將會收到自動通知,並調查及修復失敗的原因。您可以在 代理頁面和通知訊息 (傳送至您為租用戶登錄的主要電子郵件帳戶) 中檢視詳細資訊。在 VMware 支援修復失敗的原因後,您可以使用 代理頁面中的連結來重新排程轉換。
  11. 在重新登入主控台後,允許 Universal Broker 服務完成其設定程序並完全啟用。
    通常最多只需要 30 分鐘,組態設定即可在 Universal Broker 服務中完全生效,因為 DNS 記錄會散佈至所有全域區域中的 DNS 伺服器上。不過,根據您的系統與網路條件,以及環境中的指派總數和專用的「使用者-桌面」對應,此程序可能需要數小時才能完成。如果此程序未在四小時內完成,轉換即會逾時,並標示為失敗。

    在此轉換階段中,您可以在主控台中存取所有編輯作業,但建立和編輯指派除外。此外,Universal Broker 服務在此期間無法供代理指派之用。

    設定成功完成後,主控台中會有一則通知訊息顯示在鈴鐺圖示下方,且設定 > 代理頁面會顯示已啟用狀態,並出現一個綠點。

    您的指派會由 Universal Broker 代理,而轉換即為完成。


    已啟用 Universal Broker 的代理頁面。
    重要: 如果 Universal Broker設定失敗,則 設定 > 代理頁面會顯示 錯誤狀態與紅色警示圖示。若要修復組態失敗並設定 Universal Broker服務,請依照 VMware 知識庫 (KB) 文章 2006985 中所述連絡 VMware 支援。

下一步

您的租用戶環境在轉換為 Universal Broker 之後的新功能

本文說明在您成功完成從單一網繭代理轉換為 Universal Broker 的作業後,您在 Horizon Cloud 租用戶環境中預期會看到的變更。變更包含一些新功能行為和一些功能限制。

如需 Universal Broker 環境中關於特定功能限制的詳細資訊,請參閱Universal Broker - 功能考量事項和已知限制

使用者指派的變更

  • 您在 Microsoft Azure 中的所有網繭都會新增至名為 Default-Site 的站台。
  • VDI 桌面指派會轉換為由 Universal Broker 代理的多雲端指派。在預設指派設定中,連線相似性會設定為最接近的站台,而範圍會設定為站台內
    備註: 即使指派包含來自多個網繭的桌面,一個特定使用者最多只能從由 Universal Broker 代理的專用指派接收最多一個指派的桌面。
    重要: 如果使用者先前從單一網繭代理環境中的專用指派接收到多個已指派的桌面,則在轉換為 Universal Broker 環境後,他們將無法存取這些桌面。若要存取已指派的桌面,使用者可以直接連線至網繭的 FQDN,而非使用 Universal Broker FQDN。
  • 工作階段型桌面和應用程式指派現在皆由 Universal Broker 代理。

具有相同名稱之桌面集區的變更

如果在代理轉換之前,您的網繭之間有任何桌面集區具有相同名稱,系統會將這些集區編輯為不同的名稱。此變更可確保您能夠將不同網繭中具有唯一名稱的桌面集區新增至 Universal Broker 所代理的單一指派。

例如,假設您在代理轉換之前有下列案例:

  • Pod1 包含名為 TestPoolName 的集區。
  • Pod2 包含也名為 TestPoolName 的集區。

轉換後,範例集區名稱將變更如下:

  • 在 Pod1 中,集區名稱會保持為 TestPoolName
  • 在 Pod2 中,集區會重新命名為 TestPoolName1

虛擬機器名稱前置詞的變更

在轉換前的單一網繭代理環境中,集區的虛擬機器名稱前置詞最多可以有 11 個可自訂字元。為了形成集區名稱,會在包含 11 個字元的首碼後面附加一個序號 (最多 4 位數)。

轉換為 Universal Broker 後,虛擬機器名稱前置詞最多可包含 9 個可自訂字元。轉換後,任何先前長度超過 9 個字元的虛擬機器名稱前置詞都會自動截斷。

若要在 Universal Broker 環境中形成集區名稱,請在包含 9 個字元的首碼後面附加下列字元:兩個隨機英數字元或字母字元,其後尾隨一個序號 (最多 4 位數)。

如果有多個指派使用相同的虛擬機器名稱前置詞,當您嘗試編輯其中一個指派時,可能會遇到錯誤。若要解決此錯誤,請在編輯精靈中變更指派的虛擬機器名稱前置詞。

備註: 如果在設定桌面集區時將 桌面數目上限選項設定為 0,虛擬機器名稱前置詞和集區名稱於轉換後在 Horizon Universal Console 中將保持不變。若要更新主控台以顯示新的虛擬機器名稱前置詞和集區名稱,請使用 [編輯] 精靈來更新轉換的指派。

轉換後的功能考量事項

轉換為 Universal Broker 後,針對特定功能有下列考量事項。

  • 不支援自訂指派 (也稱為 URL 重新導向指派)。
  • 如果您的網繭執行早於資訊清單 2474.0 的版本,則不支援工作取消功能。若要使用此功能,您必須將網繭升級至資訊清單 2474.0 或更新版本。
  • 如果 Horizon Cloud on Microsoft Azure 部署在現有轉換前已與 Workspace ONE Access 整合,則必須將該整合更新為轉換後狀態以因應 Universal Broker 的使用。如需完整指示,請參閱Horizon Cloud 環境與 Universal Broker - 整合租用戶與 Workspace ONE Access 和 Intelligent Hub 服務

    請注意,在更新該整合時,您必須使用 Horizon Universal Console 清理工作流程來清理這些部署可能具有的任何現有虛擬應用程式集合。清理工作流程將使相同的應用程式透過使用整合的 Universal Broker 以及 Workspace ONE Access 和 Intelligent Hub 服務的新功能 (非舊版、每一網繭虛擬應用程式集合功能),繼續在 Workspace ONE Access 和 Intelligent Hub 服務中執行。經 VMware Workspace ONE Access 產品團隊確認,將 Universal BrokerHorizon Cloud on Microsoft Azure 部署搭配使用時,該組態不支援 VMware Workspace ONE Access 產品的「虛擬應用程式集合」功能。這是因為,Universal Broker 是比舊式每一網繭代理更新的代理技術,這表示 Universal BrokerWorkspace ONE Access 的整合將不再需要使用舊版每一網繭虛擬應用程式集合。因此,Universal Broker 根本沒有對 Horizon Cloud on Microsoft Azure 部署使用虛擬應用程式集合的概念。

重要: 如果您的網繭執行早於資訊清單 2474.0 的版本,則不支援詳細目錄中斷的刪除保護功能。若要使用此功能,您必須將網繭升級至資訊清單 2474.0 或更新版本。

例如,如果您的網繭執行早於資訊清單 2474.0 的版本,且在轉換前已啟用刪除保護功能,則該功能在轉換後將會停止運作。如果您後續將網繭升級至資訊清單 2474.0 或更新版本,則刪除保護功能便會重新恢復運作。