2019 年 7 月 2 Unified...Unified Access Gateway...

部署和配置 VMwareUnified Access Gateway

2019 年 7 月 2 日Unified Access Gateway 3.6

您可以从 VMware 网站下载新的技术文档：

https://docs.vmware.com/cn/。

如果您对本文档有任何意见或建议，请将反馈信息发送至：

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

威睿信息技术（中国）有限公司北京办公室北京市朝阳区新源南路 8 号启皓北京东塔 8 层 801www.vmware.com/cn

上海办公室上海市淮海中路 333 号瑞安大厦 804-809 室www.vmware.com/cn

广州办公室广州市天河路 385 号太古汇一座 3502 室www.vmware.com/cn

版权所有 © 2019 VMware, Inc. 保留所有权利。版权和商标信息

部署和配置 VMware Unified Access Gateway

VMware, Inc. 2

https://docs.vmware.com/cn/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

目录

部署和配置 VMware Unified Access Gateway 6

1 准备部署 VMware Unified Access Gateway 7将 Unified Access Gateway 作为安全网关 7

使用 Unified Access Gateway 代替虚拟专用网络 8

Unified Access Gateway 系统和网络要求 8

基于 DMZ 的 Unified Access Gateway 设备的防火墙规则 10

使用 Unified Access Gateway 部署 VMware Tunnel 的系统要求 16

VMware Tunnel 代理的端口要求 17

VMware 每应用隧道的端口要求 20

网络接口连接要求 24

Unified Access Gateway 负载平衡拓扑 24

Unified Access Gateway 高可用性 26

配置高可用性设置 28

配置了 Horizon 的 Unified Access Gateway 29

具有基本配置的 VMware Tunnel（每应用 VPN）连接 30

级联模式的 VMware Tunnel（每应用 VPN）连接 31

Content Gateway 基本配置 32

具有中继和端点配置的 Content Gateway 33

具有多个网卡的 Unified Access Gateway 的 DMZ 设计 34

零停机时间升级 37

不使用网络协议配置文件 (NPP) 部署 Unified Access Gateway 39

加入或退出客户体验改进计划 39

2 部署 Unified Access Gateway 设备 40使用 OVF 模板向导部署 Unified Access Gateway 40

使用 OVF 模板向导部署 Unified Access Gateway 41

从管理配置页面中配置 Unified Access Gateway 46

配置 Unified Access Gateway 系统设置 47

更改网络设置 49

配置用户帐户设置 50

配置 JSON Web 令牌设置 53

更新 SSL 服务器签名证书 53

3 使用 PowerShell 部署 Unified Access Gateway 55使用 PowerShell 部署 Unified Access Gateway 的系统要求 55

使用 PowerShell 部署 Unified Access Gateway 设备 56

VMware, Inc. 3

4 Unified Access Gateway 部署用例 61使用 Horizon 和 Horizon Cloud with On-Premises Infrastructure 进行部署 61

为 Horizon 基础架构提供 IPv4 和 IPv6 双模式支持 65

高级 Edge 服务设置 65

配置 Horizon 设置 67

Blast TCP 和 UDP 外部 URL 配置选项 72

Horizon 的端点合规性检查 72

作为反向代理部署 73

使用 VMware Identity Manager 配置反向代理 75

内部部署的旧版 Web 应用程序的单点登录访问部署 78

身份桥接部署方案 79

配置身份桥接设置 81

Unified Access Gateway 上的 Workspace ONE UEM 组件 94

在 Unified Access Gateway 上部署 VMware Tunnel 94

关于 TLS 端口共享 105

Unified Access Gateway 上的 Content Gateway 106

Unified Access Gateway 上的 Secure Email Gateway 110

其他部署用例 111

5 使用 TLS/SSL 证书配置 Unified Access Gateway 113为 Unified Access Gateway 设备配置 TLS/SSL 证书 113

选择正确的证书类型 113

将证书文件转换为单行 PEM 格式 114

更改用于 TLS 或 SSL 通信的安全协议和密码套件 116

6 在 DMZ 中配置身份验证 118在 Unified Access Gateway 设备上配置证书或智能卡身份验证 118

在 Unified Access Gateway 上配置证书身份验证 119

获取证书颁发机构证书 120

在 Unified Access Gateway 中配置 RSA SecurID 身份验证 121

为 Unified Access Gateway 配置 RADIUS 122

配置 RADIUS 身份验证 123

在 Unified Access Gateway 中配置 RSA 自适应身份验证 124

在 Unified Access Gateway 中配置 RSA 自适应身份验证 125

生成 Unified Access Gateway SAML 元数据 126

创建由其他服务提供程序使用的 SAML 身份验证器 127

将服务提供程序 SAML 元数据复制到 Unified Access Gateway 127

7 Unified Access Gateway 部署故障排除 129监控 Edge 服务会话统计信息 130


VMware, Inc. 4

监控会话统计信息 API 131

监控已部署服务的运行状况 133

部署错误故障排除 133

错误故障排除：身份桥接 135

错误故障排除：Cert-to-Kerberos 137

端点合规性故障排除 138

管理 UI 中的证书验证故障排除 139

防火墙和连接问题故障排除 140

以 root 用户身份登录问题故障排除 141

关于 Grub2 密码 143

从 Unified Access Gateway 设备收集日志 143

导出 Unified Access Gateway 设置 146

导入 Unified Access Gateway 设置 146

错误故障排除：Content Gateway 146

高可用性故障排除 147

安全性故障排除：佳实践 148


VMware, Inc. 5

部署和配置 VMware Unified AccessGateway

《部署和配置 Unified Access Gateway》介绍了如何设计 VMware Horizon®、VMware Identity Manager™

和 Workspace ONE UEM 部署，以使用 VMware Unified Access Gateway™ 对组织的应用程序进行安全外

部访问。这些应用程序可能是 Windows 应用程序、软件即服务 (Software As A Service, SaaS) 应用程序以

及桌面。本指南还提供了部署 Unified Access Gateway 虚拟设备以及在部署后更改配置设置的说明。

目标读者

本指南中的信息面向任何需要部署和使用 Unified Access Gateway 设备的人员。该信息是为熟悉虚拟机技

术和数据中心操作且经验丰富的 Linux 和 Windows 系统管理员编写的。

VMware, Inc. 6

准备部署 VMware Unified AccessGateway 1对于要从企业防火墙外部访问远程桌面和应用程序的用户，Unified Access Gateway 用作一个安全网关。

注 VMware Unified Access Gateway® 以前称为 VMware Access Point。

本章讨论了以下主题：

n 将 Unified Access Gateway 作为安全网关

n 使用 Unified Access Gateway 代替虚拟专用网络

n Unified Access Gateway 系统和网络要求

n 基于 DMZ 的 Unified Access Gateway 设备的防火墙规则

n 使用 Unified Access Gateway 部署 VMware Tunnel 的系统要求

n Unified Access Gateway 负载平衡拓扑

n Unified Access Gateway 高可用性

n 具有多个网卡的 Unified Access Gateway 的 DMZ 设计

n 零停机时间升级

n 不使用网络协议配置文件 (NPP) 部署 Unified Access Gateway

n 加入或退出客户体验改进计划

将 Unified Access Gateway 作为安全网关

Unified Access Gateway 是通常安装在隔离区 (DMZ) 中的设备。Unified Access Gateway 用于确保仅经过

严格身份验证的远程用户产生的流量进入企业数据中心。

Unified Access Gateway 将身份验证请求发送到相应的服务器，并丢弃任何未经过身份验证的请求。用户

只能访问被授权访问的资源。

Unified Access Gateway 还确保可以将经过身份验证的用户产生的通信只重定向到用户实际有权访问的桌

面和应用程序资源。该保护级别包括具体检查桌面协议以及协调可能快速变化的策略和网络地址以准确地

控制访问。

Unified Access Gateway 可作为公司受信任网络中用于连接的代理主机。这种设计禁止从面向公众的

Internet 中访问虚拟桌面、应用程序主机和服务器，从而提供一个额外的安全层。

VMware, Inc. 7

Unified Access Gateway 专为 DMZ 而设计。它实施了以下强化设置。

n 新的 Linux 内核和软件修补程序

n 针对 Internet 和内联网流量的多网卡支持

n 禁用了 SSH

n 禁用了 FTP、Telnet、Rlogin 或 Rsh 服务

n 禁用了不需要的服务

使用 Unified Access Gateway 代替虚拟专用网络

Unified Access Gateway 与常规 VPN 解决方案类似，因为它们都确保仅将经过严格身份验证的用户产生的

流量转发到内部网络。

Unified Access Gateway 优于常规 VPN 的方面包括。

n 访问控制管理器。Unified Access Gateway 自动应用访问规则。Unified Access Gateway 可识别进行

内部连接所需的用户授权和寻址。VPN 同样如此，因为大部分 VPN 允许管理员为每个用户或用户组单

独配置网络连接规则。一开始，使用 VPN 没有什么问题，但需要投入大量的管理工作以维护所需的规

则。

n 用户界面。Unified Access Gateway 并未改变简单直观的 Horizon Client 用户界面。通过使用 UnifiedAccess Gateway，在启动 Horizon Client 后，经过身份验证的用户位于其 Horizon Connection Server环境中，并且可以控制对其桌面和应用程序的访问。VPN 要求在启动 Horizon Client 之前，必须首先

设置 VPN 软件并单独进行身份验证。

n 性能。Unified Access Gateway 从设计上大限度提高安全性和性能。在 Unified Access Gateway中，可以保证 PCoIP、HTML Access 和 WebSocket 协议的安全性，无需进行额外封装。VPN 作为

SSL VPN 来实施。该实现满足安全要求，在启用传输层安全 (Transport Layer Security, TLS) 的情况下

被视为是安全的，但具有 SSL/TLS 的基础协议仅基于 TCP。现代的视频远程协议利用基于 UDP 的无

连接传输，强制使用基于 TCP 的传输时，性能优势将受到极大影响。这并不适用于所有 VPN 技术，

因为那些可以使用 DTLS 或 IPsec（而不是 SSL/TLS）的 VPN 也可以很好地使用 Horizon ConnectionServer 桌面协议。

Unified Access Gateway 系统和网络要求

要部署 Unified Access Gateway 设备，请确保系统满足硬件和软件要求。

支持的 VMware 产品版本

您必须使用特定版本的 VMware 产品，并且该产品应包含特定版本的 Unified Access Gateway。请参阅产

品发行说明以了解有关兼容性的新信息，同时还请参阅《VMware 产品互操作性列表》，其网址为 http://www.vmware.com/resources/compatibility/sim/interop_matrix.php。


VMware, Inc. 8

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

ESXi Server 的硬件要求

部署 Unified Access Gateway 设备的 VMware vSphere 版本必须分别与 VMware 产品和版本支持的版本

相同。

如果您打算使用 vSphereWeb client，请确认安装了客户端集成插件。有关更多信息，请参阅 vSphere 文

档。如果在启动部署向导之前未安装该插件，该向导将提示您安装该插件。这需要关闭浏览器并退出该向

导。

注可以在 Unified Access Gateway 设备上配置时钟 (UTC) 以使设备具有正确的时间。例如，在 UnifiedAccess Gateway 虚拟机上打开控制台窗口，并使用箭头按钮选择正确的时区。还要确认 ESXi 主机时间与

NTP 服务器进行同步，并且在设备虚拟机中运行的 VMware Tools 将虚拟机上的时间与 ESXi 主机上的时

间进行同步。

虚拟设备要求

Unified Access Gateway 设备的 OVF 软件包自动选择 Unified Access Gateway 所需的虚拟机配置。虽然

您可以更改这些设置，但 VMware 建议您不要将 CPU、内存或磁盘空间更改为小于默认 OVF 设置的值。

n CPU 低要求为 2000 MHz

n 小内存为 4 GB

确保用于设备的数据存储具有足够的可用磁盘空间并满足其他系统要求。

n 虚拟设备下载文件大小为 1.8 GB

n 精简置备的磁盘低要求为 2.6 GB

n 厚置备的磁盘低要求为 20 GB

部署虚拟设备需要以下信息。

n 静态 IP 地址（推荐）

n DNS 服务器的 IP 地址

n root 用户的密码

n admin 用户的密码

n Unified Access Gateway 设备指向的负载平衡器的服务器实例的 URL

Unified Access Gateway 大小调整选项

n 标准：此配置是部署 Horizon 的建议配置，支持多达 2000 个 Horizon 连接，符合连接服务器的容量要

求。它还是部署 Workspace ONE UEM（移动用例）的建议配置，支持多达 10,000 个并发连接。


VMware, Inc. 9

n 大型：此配置是部署其中的 Unified Access Gateway 需要支持超过 10,000 个并发连接的 WorkspaceONE UEM 的建议配置。此大小允许 Content Gateway、每应用隧道和代理，以及反向代理使用同一

Unified Access Gateway 设备。

注标准和大部署的虚拟机选项：

n 标准 - 2 个内核和 4 GB RAM

n 大 - 4 个内核和 16 GB RAM

支持的浏览器版本

支持启动管理 UI 的浏览器包括：Chrome、Firefox 和 Internet Explorer。请使用新版本的浏览器。

使用 Windows Hyper-V 服务器的硬件要求

在使用 Unified Access Gateway 进行 Workspace ONE UEM 每应用隧道部署时，您可以在 MicrosoftHyper-V 服务器上安装 Unified Access Gateway 设备。

受支持的 Microsoft 服务器为 Windows Server 2012 R2 和 Windows Server 2016。

网络配置要求

您可以使用一个、两个或三个网络接口，并且 Unified Access Gateway 要求每个接口具有单独的静态 IP地址。许多 DMZ 实施使用不同的网络保护不同的流量类型。根据 Unified Access Gateway 部署所在的

DMZ 的网络设计对其进行配置。

n 一个网络接口适用于概念证明 (Proof Of Concept, POC) 或测试。在使用一个网卡时，外部、内部和管

理流量均位于同一子网中。

n 在使用两个网络接口时，外部流量位于一个子网中，内部和管理流量位于另一个子网中。

n 使用三个网络接口是安全的选项。在使用三个网卡时，外部、内部和管理流量均位于自己的子网中。

日志保留要求

默认情况下，系统会将日志文件配置为使用一定量的空间，此空间小于汇总中的总磁盘大小。默认情况

下，将轮换 Unified Access Gateway 的日志。您必须使用 syslog 来保留这些日志条目。请参阅从 UnifiedAccess Gateway 设备收集日志。

基于 DMZ 的 Unified Access Gateway 设备的防火墙规则

基于 DMZ 的 Unified Access Gateway 设备要求在前端防火墙和后端防火墙上使用特定的防火墙规则。安

装过程中，Unified Access Gateway 服务的默认设置是在特定网络端口进行侦听。

基于 DMZ 的 Unified Access Gateway 设备部署通常包含两个防火墙：

n 需要部署一个面向外部网络的前端防火墙，用于保护 DMZ 和内部网络。您需要将该防火墙配置为允许

外部网络流量到达 DMZ。


VMware, Inc. 10

n 需要在 DMZ 和内部网络之间部署一个后端防火墙，用于提供第二层安全保障。您需要将该防火墙配置

为仅接受 DMZ 内的服务产生的流量。

防火墙策略可严格控制来自 DMZ 服务的入站通信，这样将大幅降低内部网络受到威胁的风险。

下表列出了 Unified Access Gateway 内不同服务的端口要求。

注所有 UDP 端口均要求允许转发数据报和回复数据报。

表 1-1. Horizon 连接服务器的端口要求

端口协议源目标说明

443 TCP Internet Unified Access Gateway 适用于 Web 流量、Horizon Client XML -API、Horizon 隧道和 Blast Extreme

443 UDP Internet Unified Access Gateway UDP 443 在内部转发到 Unified AccessGateway 中的 UDP 隧道服务器服务上的

UDP 9443。

8443 UDP Internet Unified Access Gateway Blast Extreme（可选）

8443 TCP Internet Unified Access Gateway Blast Extreme（可选）

4172 TCP 和UDP

Internet Unified Access Gateway PCoIP（可选）

443 TCP Unified Access Gateway Horizon 连接服务器 Horizon Client XML-API、Blast ExtremeHTML Access、Horizon Air 控制台访问

(Horizon Air Console Access, HACA)

22443 TCP 和UDP

Unified Access Gateway 桌面和 RDS 主机 Blast Extreme

4172 TCP 和UDP

Unified Access Gateway 桌面和 RDS 主机 PCoIP（可选）

32111 TCP Unified Access Gateway 桌面和 RDS 主机 USB 重定向的框架通道

9427 TCP Unified Access Gateway 桌面和 RDS 主机 MMR 和 CDR

注要允许外部客户端设备连接到 DMZ 中的 Unified Access Gateway 设备，前端防火墙必须允许特定端

口上的流量。默认情况下，外部客户端设备和外部 Web 客户端 (HTML Access) 会使用 TCP 端口 443 连接到 DMZ 中的 Unified Access Gateway 设备。如果您使用 Blast 协议，则必须在防火墙中打开端口

8443，但是您也可以为 Blast 配置端口 443。

表 1-2. Web 反向代理的端口要求


443 TCP Internet Unified Access Gateway 适用于 Web 流量

任意 TCP Unified Access Gateway Intranet 站点 Intranet 正在侦听的任何已配置的自定义端

口。例如，80、443、8080 等。


VMware, Inc. 11


88 TCP Unified Access Gateway KDC 服务器/AD 服务器如果配置了 SAML 到 Kerberos/证书到

Kerberos，则需要使用此端口进行身份桥接

来访问 AD。

88 UDP Unified Access Gateway KDC 服务器/AD 服务器如果配置了 SAML 到 Kerberos/证书到

Kerberos，则需要使用此端口进行身份桥接

来访问 AD。

表 1-3. 管理 UI 的端口要求


9443 TCP 管理 UI Unified Access Gateway 管理界面

表 1-4. Content Gateway 基本端点配置的端口要求


443* 或任何大于

1024 的端口

HTTPS 设备（从 Internet 和 Wi-Fi）

Unified Access GatewayContent Gateway 端点

如果使用 443，Content Gateway 将侦听端

口 10443。


1024 的端口

HTTPS Workspace ONE UEM 设备

服务



1024 的端口

HTTPS Workspace ONE UEMConsole



口 10443。

存储库正

在侦听的

任何端

口。

HTTP 或HTTPS


基于 Web 的内容存储库，例

如 SharePoint/WebDAV/CMIS 等

Intranet 站点正在侦听的任何已配置的自定

义端口。

137 - 139和 445

CIFS 或SMB


基于网络共享的存储库

（Windows 文件共享）

Intranet 共享

表 1-5. Content Gateway 中继端点配置的端口要求



1024 的端口

HTTP/HTTPS

Unified Access Gateway 中继服务器（ContentGateway 中继）



口 10443。


1024 的端口

HTTPS 设备（从 Internet 和 Wi-Fi）

Unified Access Gateway 中继服务器（Content Gateway中继）


口 10443。


VMware, Inc. 12



1024 的端口

TCP Workspace ONE UEM 设备

服务

Unified Access Gateway 中继服务器（Content Gateway中继）


口 10443。


1024 的端口

HTTPS Workspace ONE UEMConsole

存储库正

在侦听的

任何端

口。

HTTP 或HTTPS


基于 Web 的内容存储库，例

如 SharePoint/WebDAV/CMIS 等

Intranet 站点正在侦听的任何已配置的自定

义端口。


1024 的端口

HTTPS Unified Access Gateway（Content Gateway 中继）



口 10443。

137 - 139和 445

CIFS 或SMB


基于网络共享的存储库

（Windows 文件共享）

Intranet 共享

注由于 Content Gateway 服务在 Unified Access Gateway 中以非 root 用户身份运行，Content Gateway无法在系统端口上运行，因此，自定义端口应大于 1024。

表 1-6. VMware Tunnel 的端口要求

端口协议源目标验证

注释（请参阅页面底

部的“注释”部分）

2020 * HTTPS

设备（从 Internet 和Wi-Fi）

VMware Tunnel 代理安装后，运行以下命令：netstat

-tlpn | grep [Port]

8443 * TCP 设备（从 Internet 和Wi-Fi）

VMware Tunnel 每应用

隧道

安装后，运行以下命令：netstat

-tlpn | grep [Port]

1


VMware, Inc. 13

表 1-7. VMware Tunnel 基本端点配置




SaaS：443

：2001*

HTTPS

VMware Tunnel Workspace ONE UEMCloud Messaging 服务

器

curl -Ivv https://<AWCM

URL>:<port>/awcm/status/

ping

预期响应为“HTTP 200 正常”

(HTTP 200 OK)。

2

SaaS：443

内部部

署：80或 443

HTTP或

HTTPS

VMware Tunnel Workspace ONE UEMREST API 端点

n SaaS：https://

asXXX.awmdm.

com 或 https://asXXX.

airwatchportals

.com

n 内部部署：您常

用的 DS 或控制台

服务器

curl -Ivv https://<API

URL>/api/mdm/ping

预期响应为“HTTP 401 未授权”

(HTTP 401 unauthorized)。

5

80、

443、

任何

TCP

HTTP、

HTTPS 或TCP

VMware Tunnel 内部资源确认 VMware Tunnel 可以通过所

需端口访问内部资源。

4

514 * UDP VMware Tunnel Syslog 服务器

内部部

署：

2020

HTTPS

Workspace ONE UEMConsole

VMware Tunnel 代理内部部署用户可使用以下 telnet命令来测试连接：telnet

<Tunnel Proxy URL> <port>

6

表 1-8. VMware Tunnel 级联配置




SaaS：443

内部部

署：

2001 *

TLSv1.2

VMware Tunnel 前端 Workspace ONE UEMCloud Messaging 服务

器

通过对 https://<AWCMURL>:<port>/awcm/status 使用

wget，并确保收到 HTTP 200 响应来进行验证。

2

8443 TLSv1.2

VMware Tunnel 前端 VMware Tunnel 后端使用 Telnet 通过端口从 VMwareTunnel 前端连接到 VMwareTunnel 后端服务器

3

SaaS：443

内部部

署：

2001

TLSv1.2

VMware Tunnel 后端 Workspace ONE UEMCloud Messaging 服务

器

通过对 https://<AWCMURL>:<port>/awcm/status 使用

wget，并确保收到 HTTP 200 响应来进行验证。

2


VMware, Inc. 14




80 或443

TCP VMware Tunnel 后端内部网站/Web 应用程

序

4

80、

443、

任何

TCP

TCP VMware Tunnel 后端内部资源 4

80 或443

HTTPS

VMware Tunnel 前端

和后端

Workspace ONE UEMREST API 端点

n SaaS：https://

asXXX.awmdm.


airwatchportals

.com



服务器


URL>/api/mdm/ping



5

表 1-9. VMware Tunnel 前端和后端配置




SaaS：443

内部部

署：

2001

HTTP或

HTTPS

VMware Tunnel 前端 Workspace ONE UEMCloud Messaging 服务

器

curl -Ivv https://<AWCM

URL>:<port>/awcm/status/

ping

预期响应为“HTTP 200 正常”

(HTTP 200 OK)。

2

80 或443

HTTP或

HTTPS

VMware Tunnel 后端

和前端

Workspace ONE UEMREST API 端点

n SaaS：https://

asXXX.awmdm.


airwatchportals

.com



服务器


URL>/api/mdm/ping



VMware Tunnel 端点仅在初始部署

期间需要访问 REST API 端点。

5

2010 * HTTPS

VMware Tunnel 前端 VMware Tunnel 后端使用 Telnet 通过端口从 VMwareTunnel 前端连接到 VMwareTunnel 后端服务器

3

80、

443、

任何

TCP

HTTP、

HTTPS 或TCP

VMware Tunnel 后端内部资源确认 VMware Tunnel 可以通过所

需端口访问内部资源。

4


VMware, Inc. 15




514 * UDP VMware Tunnel Syslog 服务器

内部部

署：

2020

HTTPS

Workspace ONE UEM VMware Tunnel 代理内部部署用户可使用以下 telnet命令来测试连接：telnet

<Tunnel Proxy URL> <port>

6

注以下几点对于 VMware Tunnel 要求有效。

* - 如果需要，可以根据您环境的限制更改此端口。

1 如果使用端口 443，每应用隧道将侦听端口 8443。

注在同一设备上同时启用了 VMware Tunnel 和 Content Gateway 服务，并且还启用了 TLS 端口共

享时，DNS 名称对于每项服务必须是唯一的。如果未启用 TLS，则只有一个 DNS 名称可用于这两项

服务，因为端口将区分入站流量。（对于 Content Gateway，如果使用端口 443，Content Gateway 将侦听端口 10443。）

2 用于使 VMware Tunnel 查询 Workspace ONE UEM Console 来实现合规和进行跟踪。

3 用于使 VMware Tunnel 前端拓扑将设备请求仅转发到内部 VMware Tunnel 后端。

4 适用于使用 VMware Tunnel 访问内部资源的应用程序。

5 VMware Tunnel 必须与 API 通信以进行初始化。确保在 REST API 和 VMware Tunnel 服务器之间建

立了连接。导航到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设置 REST API 服务器 URL。

SaaS 客户无法访问此页面。适用于 SaaS 客户的 REST API URL 是您常用的控制台或设备服务的

服务器 URL。

6 要使从 Workspace ONE UEM Console 到 VMware Tunnel 代理之间的“测试连接”操作获得成功，需

要使用此端口。此要求为可选项，如果不满足也不会导致设备功能缺失。对于 SaaS 客户，由于端口

2020 上具有入站 Internet 要求，因此，Workspace ONE UEM Console 可能已经通过端口 2020 与VMware Tunnel 代理建立了入站连接。

使用 Unified Access Gateway 部署 VMware Tunnel 的系统要求

要使用 Unified Access Gateway 部署 VMware Tunnel，请确保系统满足以下要求：

管理程序要求

部署 VMware Tunnel 的 Unified Access Gateway 需要使用管理程序来部署虚拟设备。您必须拥有一个具

有完整特权的专用管理员帐户才能部署 OVF。


VMware, Inc. 16

支持的管理程序

n VMware vSphere Web Client

注您必须使用特定版本的 VMware 产品，并且该产品应包含特定版本的 Unified Access Gateway。部署 Unified Access Gateway 设备的 VMware vSphere 版本必须分别与 VMware 产品和版本支持的版

本相同。

n Windows Server 2012 R2 或 Windows Server 2016 上的 Microsoft Hyper-V

软件要求

确保您具有新版本的 Unified Access Gateway。VMware Tunnel 支持 Unified Access Gateway 和Workspace ONE UEM Console 之间的向后兼容性。向后兼容性允许您在升级 Workspace ONE UEMConsole 后不久升级 VMware Tunnel 服务器。要确保 Workspace ONE UEM Console 和 VMware Tunnel之间的奇偶校验，请考虑规划提早升级。

硬件要求

Unified Access Gateway 的 OVF 软件包会自动选择 VMware Tunnel 所需的虚拟机配置。虽然您可以更改

这些设置，但不要将 CPU、内存或磁盘空间更改为小于默认 OVF 设置的值。

要更改默认设置，请关闭 vCenter 中虚拟机的电源。右键单击虚拟机，然后选择编辑设置。

默认配置使用 4 GB RAM 和 2 个 CPU。您必须更改默认配置以满足硬件要求。要处理所有设备负载和维

护要求，请考虑少运行两个 VMware Tunnel 服务器。

表 1-10. 硬件要求

设备数量多 40000 40000-80000 80000-120000 120000-160000

服务器数量 2 3 4 5

CPU 内核 4 个 CPU 内核* 每服务器 4 个 CPU 内核

每服务器 4 个 CPU 内核

每服务器 4 个 CPU 内核

RAM (GB) 8 8 8 8

硬盘空间 (GB) 分发包需要 10 GB（仅限 Linux）

安装程序需要 400 MB

日志文件空间约需要 10 GB**

*可以在小型部署中仅部署一个 VMware Tunnel 设备。但是，为了确保正常运行时间和提高性能，无论设备数量如何，都请考虑至

少部署两个负载平衡服务器，且每服务器四个 CPU 内核。

**典型部署需要 10 GB。可根据日志使用情况和存储日志的要求来扩展日志文件大小。

VMware Tunnel 代理的端口要求

可以使用以下两种配置模型之一来配置 VMware Tunnel 代理：

n 使用 VMware Tunnel 代理端点的基本端点（单层）

n 使用 VMware Tunnel 代理中继和 VMware Tunnel 代理端点的中继端点（多层）


VMware, Inc. 17

表 1-11. VMware Tunnel 代理基本端点配置的端口要求

源目标协议端口验证说明


VMware Tunnel 代理端点

HTTPS 2020* 安装后，运行以下

命令： netstat

-tlpn | grep

[Port]

设备在指定端口上连

接到为 VMwareTunnel 配置的公共

DNS。


Workspace ONEUEM CloudMessaging 服务器

HTTPS SaaS：443

内部部署：2001*

curl -Ivv

https://<AWCM

URL>:<port>/

awcm/status/

ping

预期响应为 HTTP200 OK。

用于使 VMwareTunnel 代理查询

Workspace ONEUEM Console 来实

现合规和进行跟踪。

这需要至少支持 TLS1.2。


UEM REST API

n SaaS‡：https://asXXX.awmdm.com 或https://asXXX.airwatchportals.com

n 内部部署†：

常用的设备服

务或控制台服

务器

HTTP 或 HTTPS SaaS：443


curl -Ivv

https://<API

URL>/api/mdm/

ping 预期响应为

HTTP 401

unauthorized

VMware Tunnel 代理必须与 UEMREST API 通信以进

行初始化。在

Workspace ONEUEM Console 中，

转到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设

置 REST APIURL。WorkspaceONE UEM SaaS 客户无法访问此页面。

对于 WorkspaceONE UEM SaaS 客户，REST API URL是常用的控制台

URL 或设备服务

URL。


内部资源 HTTP、HTTPS 或TCP

80、443、任何

TCP确认 VMwareTunnel 代理端点可

以通过所需端口访

问内部资源。

适用于使用 VMwareTunnel 代理访问内

部资源的应用程序。

确切的端点或端口取

决于这些资源所在的

位置。


Syslog 服务器 UDP 514*

Workspace ONEUEM Console


HTTPS 2020* 内部部署†客户可使

用 telnet 命令来测

试连接：telnet

<Tunnel

ProxyURL><port>

要使从 WorkspaceONE UEM Console到 VMware Tunnel代理之间的“测试连

接”操作获得成功，

需要使用此端口。


VMware, Inc. 18

表 1-12. VMware Tunnel 代理中继端点配置的端口要求



VMware Tunnel 代理中继

HTTPS 2020* 安装后，运行以下

命令： netstat

-tlpn | grep

[Port]



DNS。


Workspace ONEUEM CloudMessaging 服务器



curl -Ivv

https://<AWCM

URL>:<port>/

awcm/status/

ping

预期响应为 HTTP200 OK。

用于使 VMwareTunnel 代理查询





UEM REST API



常用的设备服

务或控制台服

务器



curl -Ivv

https://<API

URL>/api/mdm/


HTTP 401

unauthorized

VMware Tunnel 代理中继在初始部署

期间需要访问 UEMREST API。


行初始化。在





URL 或设备服务

URL。


UEM REST API



常用的设备服

务或控制台服

务器



curl -Ivv

https://<API

URL>/api/mdm/


HTTP 401

unauthorized

VMware Tunnel 代理中继在初始部署

期间需要访问 UEMREST API。


行初始化。在





URL 或设备服务

URL。


VMware, Inc. 19




HTTPS 2010* 使用 Telnet 通过端

口 2010 从VMware Tunnel 代理中继连接到

VMware Tunnel 代理端点。

将设备请求从中继转

发到端点服务器。这

需要至少支持 TLS1.2。


内部资源 HTTP、HTTPS 或TCP

80、443、任何

TCP确认 VMwareTunnel 代理端点可

以通过所需端口访

问内部资源。

适用于使用 VMwareTunnel 代理访问内

部资源的应用程序。

确切的端点或端口取

决于这些资源所在的

位置。


Syslog 服务器 UDP 514*

Workspace ONEUEM Console


HTTPS 2020* 内部部署†客户可使

用 telnet 命令来测

试连接：telnet

<Tunnel

ProxyURL><port>

要使从 WorkspaceONE UEM Console到 VMware Tunnel代理中继之间的“测

试连接”操作获得成

功，需要使用此端

口。

注意

n * 可以根据您环境的限制来更改此端口。

n † 内部部署是指 Workspace ONE UEM Console 的位置。

n ‡ 对于需要将出站通信添加到白名单的 SaaS 客户，请参阅以下 VMware 知识库文章，其中列出了

新的 IP 范围：https://support.workspaceone.com/articles/115001662168-。

VMware 每应用隧道的端口要求

可以使用以下两种配置模型之一来配置 VMware 每应用隧道：

n 使用 VMware 每应用隧道基本端点的基本端点（单层）

n 使用 VMware 每应用隧道前端和 VMware 每应用隧道后端的级联（多层）


VMware, Inc. 20

https://support.workspaceone.com/articles/115001662168-

表 1-13. VMware 每应用隧道基本端点配置的端口要求


设备（从 Internet 和 Wi-Fi）

VMware 每应

用隧道基本端

点

TCP、UDP 8443* 安装后，运行以下

命令： netstat -

tlpn | grep

[Port]



DNS。如果使用

443，每应用隧道组

件将侦听端口

8443。

VMware 每应用隧道基本

端点

WorkspaceONE UEMCloudMessaging 服务器

HTTPS SaaS：443


通过对 https://<AWCM

URL>:<port>/

awcm/status 使用

wget，并确保收到

HTTP 200 响应来进

行验证。

用于使 VMware 每应用隧道查询



这需要至少支持

TLS 1.2。


端点

内部网

站/Web 应用

程序/资源

HTTP、HTTPS 或TCP

80、443、任何所

需 TCP适用于使用 VMware每应用隧道访问内部

资源的应用程序。确

切的端点或端口取决

于这些资源所在的位

置。


端点

UEM RESTAPI


n 内部部署

†：常

用的设备

服务或控

制台服务

器

HTTP 或 HTTPS 80 或 443 curl -Ivv

https://<API

URL>/api/mdm/


HTTP 401

unauthorized

VMware 每应用隧道

必须与 UEM RESTAPI 通信以进行初始

化。在 WorkspaceONE UEM Console中，转到组与设置 >所有设置 > 系统 >高级 > 网站 URL 以设置 REST APIURL。WorkspaceONE UEM SaaS 客户无法访问此页面。


URL 或设备服务

URL。


VMware, Inc. 21

表 1-14. VMware 每应用隧道级联配置的端口要求


设备（从 Internet 和 Wi-Fi）

VMware 每应

用隧道前端

TCP、UDP 8443* 安装后，运行以下

命令： netstat

-tlpn | grep

[Port]



DNS。如果使用

443，每应用隧道组

件将侦听端口

8443。

VMware 每应用隧道前端 WorkspaceONE UEMCloudMessaging 服务器

HTTPS SaaS：443



URL>:<port>/

awcm/status 使用


HTTP 200 响应来

进行验证。

用于使 VMware 每应

用隧道查询




VMware 每应用隧道前端 VMware 每应

用隧道后端

TCP 8443 使用 Telnet 通过端

口 8443 从VMware 每应用隧

道前端连接到

VMware 每应用隧

道后端。

将设备请求从前端转

发到后端服务器。这

需要至少支持 TLS1.2。

VMware 每应用隧道后端 WorkspaceONE UEMCloudMessaging 服务器

HTTPS SaaS：443



URL>:<port>/

awcm/status 使用


HTTP 200 响应来

进行验证。

用于使 VMware 每应

用隧道查询




VMware Tunnel 后端内部网

站/Web 应用

程序/资源

HTTP、HTTPS 或TCP

80、443、任何所

需 TCP适用于使用 VMware每应用隧道访问内部

资源的应用程序。确

切的端点或端口取决

于这些资源所在的位

置。


VMware, Inc. 22


VMware 每应用隧道前端 UEM RESTAPI


n 内部部署

†：常

用的设备

服务或控

制台服务

器


https://<API

URL>/api/mdm/


HTTP 401

unauthorized





URL 或设备服务

URL。

VMware 每应用隧道后端 UEM RESTAPI


n 内部部署

†：常

用的设备

服务或控

制台服务

器


https://<API

URL>/api/mdm/


HTTP 401

unauthorized





URL 或设备服务

URL。

注意

n * 可以根据您环境的限制来更改此端口。

n † 内部部署是指 Workspace ONE UEM Console 的位置。

n ‡ 对于需要将出站通信添加到白名单的 SaaS 客户，请参阅以下 VMware 知识库文章，其中列出了

新的 IP 范围：https://support.workspaceone.com/articles/115001662168-）。

对于需要将出站通信添加到白名单的 SaaS 客户，请参阅以下知识库文章，其中列出了 VMware 当前拥有

的新 IP 范围：SaaS 数据中心的 VMware Workspace ONE IP 范围。


VMware, Inc. 23



网络接口连接要求

您可以使用一个、两个或三个网络接口。每个接口都应具有单独的 IP 地址。许多安全的 DMZ 实施使用不

同的网络来隔离不同的流量类型。

根据虚拟设备部署所在的 DMZ 的网络设计对其进行配置。有关网络 DMZ 的信息，请咨询您的网络管理

员。

n 在使用一个网络接口时，外部、内部和管理流量均位于同一子网中。

n 在使用两个网络接口时，外部流量位于一个子网中，内部和管理流量位于另一个子网中。

n 在使用三个网络接口时，外部、内部和管理流量均位于自身的子网中。

注对于多网络接口部署，每个网络接口都必须位于单独的子网中。

Unified Access Gateway 负载平衡拓扑

可以将 DMZ 中的 Unified Access Gateway 设备配置为指向一个服务器，或指向一组服务器前面的负载平

衡器。Unified Access Gateway 设备可以使用为 HTTPS 配置的标准第三方负载平衡解决方案。

如果 Unified Access Gateway 设备指向服务器前面的负载平衡器，则会动态选择服务器实例。例如，负载

平衡器可能会根据可用性以及负载平衡器识别的每个服务器实例上的当前会话数进行选择。位于企业防火

墙内部的服务器实例通常具有负载平衡器以支持内部访问。在使用 Unified Access Gateway 时，您可以将

Unified Access Gateway 设备指向通常已使用的该相同负载平衡器。

或者，您也可以将一个或多个 Unified Access Gateway 设备指向单个服务器实例。在这两种方法中，将在

DMZ 中的一个或多个 Unified Access Gateway 设备前面使用负载平衡器。


VMware, Inc. 24

图 1-1. 位于负载平衡器后面的多个 Unified Access Gateway 设备

HorizonClient

Unified AccessGateway 设备

DMZ

VMware vSphere

Internet

Horizon 桌面和 RDS 主机

Horizon连接

服务器

负载平衡器

CS CS

Horizon 协议

在 Horizon Client 用户连接到 Horizon 环境时，将使用几种不同的协议。第一个连接始终是通过 HTTPS 的主 XML-API 协议。在成功进行身份验证后，还会使用一个或多个辅助协议。

n 主 Horizon 协议

用户在 Horizon Client 中输入主机名，这会启动主 Horizon 协议。这是用于身份验证、授权和会话管理

的控制协议。该协议通过 HTTPS 使用 XML 结构化消息。该协议有时称为 Horizon XML-API 控制协

议。在负载平衡环境中（如“位于负载平衡器后面的多个 Unified Access Gateway 设备”图中所

示），负载平衡器将该连接路由到其中的一个 Unified Access Gateway 设备。负载平衡器通常先根据

可用性选择设备，然后根据少当前会话数从可用设备中路由流量。该配置在一组可用的 UnifiedAccess Gateway 设备之间平均分配来自不同客户端的流量。

n 辅助 Horizon 协议

在 Horizon Client 与其中的一个 Unified Access Gateway 设备建立安全通信后，将对用户进行身份验

证。如果该身份验证尝试成功，则从 Horizon Client 中建立一个或多个辅助连接。这些辅助连接可能包

括：

n 用于封装 TCP 协议（例如，RDP、MMR/CDR）和客户端框架通道的 HTTPS 隧道。(TCP 443)

n Blast Extreme 显示协议（TCP 443、TCP 8443、UDP 443 和 UDP 8443）


VMware, Inc. 25

n PCoIP 显示协议（TCP 4172、UDP 4172）

必须将这些辅助 Horizon 协议路由到将主 Horizon 协议路由到的同一 Unified Access Gateway 设备。然

后，Unified Access Gateway 可以根据经过身份验证的用户会话授权辅助协议。Unified Access Gateway的一个重要安全功能是，只有在流量是经过身份验证的用户产生的流量时，Unified Access Gateway 才会

将流量转发到企业数据中心。如果错误地将辅助协议路由到与主协议设备不同的 Unified Access Gateway设备，则用户不会授权这些协议并在 DMZ 中丢弃。连接将失败。如果未正确配置负载平衡器，则通常会出

现错误地路由辅助协议的问题。

有关 Content Gateway 和隧道代理的负载平衡注意事项

当您对 Content Gateway 和隧道代理使用负载平衡器时，请牢记以下注意事项：

n 将负载平衡器配置为“发送原始 HTTP 标头”，以避免出现设备连接问题。Content Gateway 和隧道

代理使用请求的 HTTP 标头中的信息来对设备进行身份验证。

n 每应用隧道组件在建立连接后需要对每个客户端进行身份验证。连接后，会为客户端创建一个会话并存

储在内存中。然后使用同一个会话处理每一条客户端数据，以便能够使用相同的密钥对这些数据进行加

密和解密。设计负载平衡解决方案时，必须将负载平衡器配置为启用基于 IP/会话的持久性。备用解决

方案可以是在客户端上使用 DNS 循环，这意味着客户端可以为每个连接选择不同的服务器。

运行状况监控

负载平衡器通过定期发送 HTTPS GET /favicon.ico 请求来监控每个 Unified Access Gateway 设备的运行

状况。例如，https://uag1.myco-dmz.com/favicon.ico。此项监控在负载平衡器上进行配置。负载平衡器

将执行此 HTTPS GET，并预期从 Unified Access Gateway 获得 "HTTP/1.1 200 OK" 响应，以知晓其运行状

况“正常”。如果获得的响应不是 "HTTP/1.1 200 OK" 或者未获得任何响应，负载平衡器会将特定的

Unified Access Gateway 设备标记为已关闭，并且不会尝试将客户端请求路由到该设备。负载平衡器将继

续轮询，以便在设备再次可用时可以检测到该设备。

Unified Access Gateway 可以置于“静默”模式，之后它将不会使用 "HTTP/1.1 200 OK" 来响应负载平衡

器运行状况监控请求。它而是将使用 "HTTP/1.1 503" 进行响应，以指示 Unified Access Gateway 服务暂

时不可用。此设置通常在 Unified Access Gateway 设备的计划维护、计划重新配置或计划升级之前使用。

在此模式下，负载平衡器不会将新会话定向到该设备，因为该设备将被标记为不可用，但是它可以允许现

有会话继续运行，直到用户断开连接或达到大会话时间为止。因此，此操作不会中断现有用户会话。在

达到整个会话计时器的大值（通常为 10 小时）后，将可对设备进行维护。此功能可用于通过使服务实现

零用户停机时间的策略，对一组 Unified Access Gateway 设备执行滚动升级。

Unified Access Gateway 高可用性

在 Workspace ONE 和 VMware Horizon 内部部署中，用于终端用户计算产品和服务的 Unified AccessGateway 需要具有高可用性。但是，使用第三方负载平衡器会提高部署和故障排除流程的复杂性。此解决

方案减少了在 DMZ 前端 Unified Access Gateway 中使用第三方负载平衡器的需求。

注此解决方案不是通用目的的负载平衡器。


VMware, Inc. 26

对于倾向于采用此部署模式的用户，Unified Access Gateway 将继续支持在前端使用第三方负载平衡器。

有关更多信息，请参阅 Unified Access Gateway 负载平衡拓扑。Amazon AWS 和 Microsoft Azure 部署不

支持 Unified Access Gateway 高可用性。

实施

Unified Access Gateway 需要管理员提供 IPv4 虚拟 IP 地址和一个组 ID。Unified Access Gateway 将虚拟

IP 地址仅分配给群集中一个配置了相同虚拟 IP 地址和组 ID 的节点。如果持有该虚拟 IP 地址的 UnifiedAccess Gateway 发生故障，则会自动将该虚拟 IP 地址重新分配给群集中的一个可用节点。将在群集中配

置了相同组 ID 的节点之间进行 HA 和负载分发。

对于从同一个源 IP 地址发出的多个连接，将发送至处理来自 Horizon 和 Web 反向代理客户端的第一个连

接的同一 Unified Access Gateway。此解决方案支持在群集中有 10,000 个并发连接。

注这些情况需要使用会话关联性。

对于 VMware Tunnel（每应用 VPN）和 Content Gateway 服务，使用少连接算法来完成 HA 和负载分

发。

注这些是无状态连接，不需要会话关联性。

模式和关联性

不同的 Unified Access Gateway 服务需要不同的算法。

n 对于 VMware Horizon 和 Web 反向代理 - 在循环算法使用源 IP 关联性来进行负载分发。

n 对于 VMware Tunnel（每应用 VPN）和 Content Gateway - 不存在任何会话关联性，使用少连接算

法来进行负载分发。

可用于分发入站流量的方法：

1 源 IP 关联性：保持客户端连接和 Unified Access Gateway 节点之间的关联性。具有相同源 IP 地址的

所有连接将发送至同一个 Unified Access Gateway 节点。

2 循环模式下的高可用性：按顺序在一组 Unified Access Gateway 节点间分发入站连接请求。

3 少连接模式下的高可用性：新连接请求将发送至当前客户端连接数少的 Unified Access Gateway节点。

注仅当每个客户端连接的入站连接 IP 是唯一的时，源 IP 关联性才会起作用。示例：如果多个客户端与

Unified Access Gateway 之间有一个网络组件（例如 SNAT 网关），则源 IP 关联性将不起作用，这是因为

从多个不同客户端流向 Unified Access Gateway 的入站流量具有相同的源 IP 地址。

注虚拟 IP 地址必须与 eth0 接口属于同一子网。


VMware, Inc. 27

必备条件

n 用于 HA 的虚拟 IP 地址必须是唯一且可用的。Unified Access Gateway 不会在配置过程中验证此地址

的唯一性。该 IP 地址可能会显示为已分配，然而如果将虚拟机或物理机与该 IP 地址相关联，该地址

可能无法访问。

n 组 ID 在指定的子网中必须是唯一的。如果组 ID 不是唯一的，则组中分配的虚拟 IP 地址可能不一致。

例如，终可能会有两个或更多 Unified Access Gateway 节点试图获取同一个虚拟 IP 地址。这可能会

导致虚拟 IP 地址在多个 Unified Access Gateway 节点之间进行切换。

n 要为 Horizon 或 Web 反向代理设置 HA，请确保所有 Unified Access Gateway 节点上的 TLS 服务器

证书都是相同的。

限制

n 浮动虚拟 IP 地址支持 IPv4。不支持 IPv6。

n 仅支持 TCP 高可用性。

n 不支持 UDP 高可用性。

n 在 VMware Horizon 用例中，只有流向 Horizon 连接服务器的 XML API 流量使用高可用性。对于协议

（显示）流量，如 Blast、PCoIP、RDP，不使用高可用性来分发负载。因此，除了虚拟 IP 地址外，

Unified Access Gateway 节点的各个 IP 地址也必须可供 VMware Horizon Client 访问。

每个 Unified Access Gateway 上 HA 所需的配置

有关在 Unified Access Gateway 上配置 HA 的信息，请参阅配置高可用性设置。

配置高可用性设置

要使用 Unified Access Gateway 高可用性，您需要在管理员用户界面中启用并配置高可用性设置。

步骤

1 在管理 UI 的手动配置部分中，单击选择。

2 在高级设置部分，单击高可用性设置齿轮箱图标。

3 在高可用性设置页面中，将已禁用更改为已启用，以启用高可用性。


VMware, Inc. 28

4 配置相关参数。

选项说明

虚拟 IP 地址 HA 使用的有效虚拟 IP 地址。

注用于 HA 的虚拟 IP 地址必须是唯一且可用的。如果设置的 IP 地址不是唯一的，

则该地址可能会显示为已分配，然而如果将虚拟机或物理机与该地址相关联，该地

址可能无法访问。

组 ID HA 的组 ID。输入介于 1 到 255 之间的数值。

注组 ID 在指定的子网中必须是唯一的。如果未设置唯一的组 ID，则可能会导致组

中分配的虚拟 IP 地址不一致。例如，Unified Access Gateway 上终可能会有两个

或更多网关的 IP 地址试图获取同一个虚拟 IP 地址。

5 单击保存。

n 高可用性设置的不同状态分别指示以下情况：

n 未配置：指示未配置高可用性设置。

n 正在处理：指示正在处理高可用性设置，以使其生效。

n 主节点：指示节点被选作群集中的主节点，并由它来分配流量。

n 备用：指示节点在群集中处于备用状态。

n 故障：指示节点的 HA 代理配置可能存在故障。

配置了 Horizon 的 Unified Access Gateway为多个 Unified Access Gateway 配置相同的 Horizon 设置，并在每个 Unified Access Gateway 上启用高可

用性。

提供一个常用的外部主机名用于 XML API 协议。此常用的外部主机名将映射到在 Unified Access Gateway节点上的 HA 设置中配置的浮动 IP。桌面流量不会使用高可用性而且也不会分发负载，因此，此解决方案

需要为 Horizon 提供 N + 1 个 VIP，其中 N 表示已部署的 Unified Access Gateway 节点的数量。在每个

Unified Access Gateway 上，Blast、PCoIP 和隧道外部 URL 必须是映射到相应 Unified Access Gatewayeth0 IP 地址的外部 IP 地址或主机名。如果客户端通过较差的网络连接，并对 XML API 使用 UDP 连接，

则它们将进入处理第一个 UDP XML API 连接的同一 Unified Access Gateway。


VMware, Inc. 29

图 1-2. 配置了 Horizon 的 Unified Access Gateway

客户端 1

HA 组件

Blast/PCoIP 网关

Blast/PCoIP 网关

Edge ServiceManager

Edge ServiceManager

外部负载平衡器

连接服务器 1

连接服务器 2

Horizon 桌面

客户端 2

UAG1 IP 上的桌面协议 (Blast)

浮动 IP 端口 443 上的 XML API 流量

UAG2 IP 上的桌面协议 (Blast)

客户端 2 XML API

客户端 1 XML API

UAG 2

UAG 1（主）

模式和关联性：关联性取决于源 IP 地址。来自客户端的首次连接使用循环机制进行分发。但是，来自同一

个客户端的后续连接将发送至处理第一个连接的同一 Unified Access Gateway。

具有基本配置的 VMware Tunnel（每应用 VPN）连接

在 Workspace ONE UEM Console 中为 VMware Tunnel（每应用 VPN）配置基本设置。

在 Workspace ONE UEM Console 中为 VMware Tunnel（每应用 VPN）设置配置的隧道服务器主机名可

解析为在 Unified Access Gateway 中为 HA 配置的浮动 IP 地址。此浮动 IP 地址上的连接将在 UnifiedAccess Gateway 上的配置节点之间进行分发。


VMware, Inc. 30

图 1-3. 具有基本配置的 VMware Tunnel（每应用 VPN）连接

客户端 1

HA 组件VMware Tunnel 服务

VMware Tunnel 服务

后端服务器

客户端 2

使用隧道主机名访问后端服务器

流入后端服务器的客户端 2 流量

UAG 2

UAG 1（主）

流入后端服务器的客户端 1 流量

模式和关联性：用于 HA 和负载分发的少连接算法。新请求会发送到当前与客户端连接少的服务器。

因为它们是无状态连接，因此不需要会话关联性。

级联模式的 VMware Tunnel（每应用 VPN）连接

在 Workspace ONE UEM Console 中为 VMware Tunnel（每应用 VPN）配置级联设置。

在 Workspace ONE UEM Console 中配置两个隧道服务器主机名，分别供前端和后端使用。我们可以在

Unified Access Gateway 上分别为前端和后端部署两组节点。

为 Unified Access Gateway 上的前端节点配置前端隧道服务器主机名。为 Unified Access Gateway 上前端

节点的 HA 设置配置外部浮动 IP 地址。前端隧道服务器主机名将解析为该外部浮动 IP 地址。此外部浮动

IP 地址上的连接将在 Unified Access Gateway 上的前端节点之间进行分发。

为 Unified Access Gateway 上的后端节点配置后端隧道服务器主机名。为 Unified Access Gateway 上后端

节点的 HA 设置配置内部浮动 IP 地址。Unified Access Gateway 前端节点上的 VMware Tunnel（每应用

VPN）服务使用后端隧道服务器主机名将流量转发到后端。后端隧道服务器主机名将解析为该内部浮动 IP地址。此内部浮动 IP 地址上的连接将在 Unified Access Gateway 上的后端节点之间进行分发。


VMware, Inc. 31

图 1-4. 级联模式的 VMware Tunnel（每应用 VPN）连接

客户端 1

HA 组件

VMwareTunnel服务


后端服务器

客户端 2

使用前端隧道主机名建立的隧道

前端 UAG 后端 UAG

客户端 2 流量

UAG 2

UAG 1（主）

转发到后端隧道主机名的客户端 1 流量

转发到后端隧道主机名的客户端 2 流量

客户端 1 流量

HA 组件



客户端 2 流量

UAG 1

UAG 2（主）

客户端 1 流量



Content Gateway 基本配置

在 Workspace ONE UEM Console 中为 Content Gateway 配置基本设置。

在 Workspace ONE UEM Console 中为 Content Gateway 设置配置的 Content Gateway 服务器主机名可

解析为在 Unified Access Gateway 中为 HA 配置的浮动 IP 地址。此浮动 IP 上的连接将在 Unified AccessGateway 上的配置节点之间进行负载平衡。


VMware, Inc. 32

图 1-5. Content Gateway 基本配置

客户端 1

HA 组件Content Gateway

服务

Content Gateway

服务

内部存储库

客户端 2

使用 CG 主机名访问存储库

流入内部存储库的客户端 2流量

UAG 2

UAG 1（主）

流入内部存储库的

客户端 1 流量



具有中继和端点配置的 Content Gateway在 Workspace ONE UEM Console 中为 Content Gateway 配置中继和端点配置。

在 Workspace ONE UEM Console 中为中继和端点配置两个 Content Gateway 服务器主机名。在 UnifiedAccess Gateway 上为中继和端点署两组节点。

为 Unified Access Gateway 上的中继节点配置中继 Content Gateway 服务器主机名。为 Unified AccessGateway 上中继节点的 HA 设置配置外部浮动 IP 地址。中继 Content Gateway 服务器主机名将解析为该

外部浮动 IP 地址。此外部浮动 IP 上的连接将在 Unified Access Gateway 上的中继节点之间进行负载平

衡。

为 Unified Access Gateway 上的端点节点配置端点隧道服务器主机名。为 Unified Access Gateway 上端点

节点的 HA 设置配置内部浮动 IP 地址。前端 Unified Access Gateway 上的 Content Gateway 服务使用端

点 Content Gateway 服务器主机名将流量转发到端点。端点 Content Gateway 服务器主机名将解析为内部

浮动 IP 地址。此内部浮动 IP 地址上的连接将在 Unified Access Gateway 上的端点节点之间进行负载平

衡。


VMware, Inc. 33

图 1-6. 具有中继和端点配置的 Content Gateway

客户端 1

HA 组件

Content Gateway

服务

Content Gateway

服务

内部存储库

客户端 2

使用 CG 中继主机名访问存储库

中继

客户端 2 流量

UAG 2

UAG 1（主）

转发到 CG端点主机名的客户端 1 流量

转发到 CG端点主机名的客户端 2 流量

客户端 1 流量

HA 组件

Content Gateway

服务

Content Gateway

服务

端点

客户端 2 流量

UAG 1

UAG 2（主）

客户端 1 流量



具有多个网卡的 Unified Access Gateway 的 DMZ 设计

其中的一个 Unified Access Gateway 配置设置是使用的虚拟网卡 (Network Interface Card, NIC) 数。在部

署 Unified Access Gateway 时，请为您的网络选择一个部署配置。

您可以指定单、双或三网卡设置，分别指定为 onenic、twonic 和 threenic。

如果减少在每个虚拟 LAN 上打开的端口数并将不同类型的网络流量分开，则可以显著提高安全性。优点主

要在于在深度防御 DMZ 安全设计策略中将不同类型的网络流量分开并隔离。可以在 DMZ 中实施单独的物

理交换机，在 DMZ 中使用多个虚拟 LAN 或作为完整 VMware NSX 管理的 DMZ 的一部分以实现该功能。


VMware, Inc. 34

典型单网卡 DMZ 部署

简单的 Unified Access Gateway 部署是使用单个网卡，所有网络流量将合并到单个网络上。来自面向

Internet 防火墙的流量将传送到某个可用的 Unified Access Gateway 设备。然后，Unified AccessGateway 将授权的流量通过内部防火墙转发到内部网络上的资源。Unified Access Gateway 将放弃未授权

的流量。

图 1-7. Unified Access Gateway 单网卡选项

合并前端、后端和管理流量管理流量的单网卡

Unified AccessGateway设备

单个组合网络

Unified Access Gateway 设备

DMZ

内部网络

内部防火墙

面向 Internet 的防火墙

负载平衡器

Internet

将未验证的用户流量与后端和管理流量分开

单网卡部署的替代选项是指定两个网卡。第一个网卡仍用于面向 Internet 的未验证访问，但将验证的后端

流量和管理流量拆分到不同的网络上。


VMware, Inc. 35

图 1-8. Unified Access Gateway 双网卡选项

将未验证的前端流量与管理流量和经过身份验证的后端流量分开的双网卡


前端网络


后端和管理组合网络

DMZ

内部网络

内部防火墙


负载平衡器

Internet

在双网卡部署中，Unified Access Gateway 必须对通过内部防火墙进入内部网络的流量进行授权。未授权

的流量不会传送到该后端网络上。管理流量（如用于 Unified Access Gateway 的 REST API）仅位于该第

二个网络上。

如果未验证的前端网络上的设备（如负载平衡器）受到安全威胁，则无法在该双网卡部署中重新配置该设

备以绕过 Unified Access Gateway。它将第 4 层防火墙规则与第 7 层 Unified Access Gateway 安全功能合

并在一起。同样，如果错误地将面向 Internet 的防火墙配置为允许 TCP 端口 9443 通过，这仍然不会向

Internet 用户公开 Unified Access Gateway 管理 REST API。深度防御原则使用多层保护，因此，单个配

置错误或系统攻击不一定会产生整体漏洞。

在双网卡部署中，可以在 DMZ 中的后端网络上放置额外的基础架构系统（如 DNS 服务器、RSA SecurIDAuthentication Manager 服务器），以便在面向 Internet 的网络上看不到这些服务器。通过将基础架构系统

放置在 DMZ 中，可以防范从受到威胁的前端系统中的面向 Internet 的 LAN 发出的第 2 层攻击，并有效地

减少总体攻击面。

大多数 Unified Access Gateway 网络流量是用于 Blast 和 PCoIP 的显示协议。在使用单个网卡时，流入和

流出 Internet 的显示协议流量与流入和流出后端系统的流量合并在一起。在使用两个或更多网卡时，流量

分布在前端和后端网卡和网络上。这会减少单个网卡的潜在瓶颈并提高性能。

Unified Access Gateway 还允许将管理流量拆分到特定管理 LAN 上以支持进一步的隔离。这样，到端口

9443 的 HTTPS 管理流量只能来自于管理 LAN。


VMware, Inc. 36

图 1-9. Unified Access Gateway 三网卡选项

将未经身份验证的前端流量、经过身份验证的后端流量和管理流量完全分开的三网卡Unified

Access Gateway 设备

前端网络


后端网络

DMZ

内部网络

内部防火墙


负载平衡器

Internet

管理网络

零停机时间升级

通过使用零停机时间升级，您可以在用户没有任何停机的情况下升级 Unified Access Gateway。

如果静默模式值为“是”，则 Unified Access Gateway 设备在负载平衡器检查其运行状况时显示为不可

用。传到负载平衡器的请求将被发送到负载平衡器背后的下一 Unified Access Gateway 设备。

前提条件

n 在负载平衡器后面配置了两个或更多 Unified Access Gateway 设备。

n 为运行状况检查 URL 设置配置了一个 URL，负载平衡器连接到该 URL 以检查 Unified AccessGateway 设备的运行状况。

n 在负载平衡器中检查设备的运行状况。键入 REST API 命令 GET https://UAG-IP-Address:443/favicon.ico。


VMware, Inc. 37

如果静默模式设置为“否”，则响应为 HTTP/1.1 200 OK，或者如果静默模式设置为“是”，则响应为

HTTP/1.1 503。

注 n 请勿使用 GET https://UAG-IP-Address:443/favicon.ico 以外的任何其他 URL。否则，会导

致不正确的状态响应和资源泄漏。

n 如果启用高可用性设置，那么静默模式（零停机时间）仅适用于 Web 反向代理和 Horizon。

n 如果使用第三方负载平衡器，则仅当这些负载平衡器配置为使用 GET /favicon.ico 执行运行状

况检查时，静默模式（零停机时间）才适用。

步骤

1 在管理 UI 的“手动配置”部分中，单击选择。

2 在“高级设置”部分中，单击系统配置齿轮箱图标。

3 在静默模式行中，启用是以暂停 Unified Access Gateway 设备。

在设备停止后，由该设备提供服务的现有会话将保持 10 小时，在这之后会话将关闭。

4 单击保存。

传送到负载平衡器的新请求将发送到下一个 Unified Access Gateway 设备。

后续步骤

n 对于 vSphere 部署：

a 导出 JSON 文件以备份该文件。

b 删除旧的 Unified Access Gateway 设备。

c 部署新版本的 Unified Access Gateway 设备。

d 导入以前导出的 JSON 文件。

n 对于 PowerShell 部署：

a 删除 Unified Access Gateway 设备。

b 使用在首次部署期间使用的相同 INI 文件重新部署 Unified Access Gateway。请参阅使用

PowerShell 部署 Unified Access Gateway 设备。

注如果您在重新启用负载平衡器后看到隧道服务器证书错误消息，请应用之前在 Unified AccessGateway 设备上所用的相同 SSL 服务器证书和专用密钥 PEM 文件。之所以需要这样做是因为，出于安全

原因专用密钥无法导出，所以 JSON 或 INI 文件不能包含与 SSL 服务器证书关联的专用密钥。进行

PowerShell 部署时，系统会自动完成此操作，您无需重新应用证书。


VMware, Inc. 38

不使用网络协议配置文件 (NPP) 部署 Unified Access Gateway新版本的 Unified Access Gateway 不接受网络协议配置文件中的网络掩码或前以及默认网关设置。

您必须在部署 Unified Access Gateway 实例时提供该网络信息。

对于静态部署，在配置 Unified Access Gateway 实例时，请指定 IPv4 或 IPv6 地址、相应网卡的网络掩码

或前以及 IPv4/IPv6 默认网关。如果未提供该信息，则 IP 地址分配默认为 DHCPV4+DHCPV6。

在配置网络属性时，请注意以下事项：

n 如果为网卡的 IPMode 选择 STATICV4，您必须为该网卡指定 IPv4 地址和网络掩码。

n 如果为网卡的 IPMode 选择 STATICV6，您必须为该网卡指定 IPv6 地址和网络掩码。

n 如果为网卡的 IPMode 同时选择 STATICV4 和 STATICV6，您必须为该网卡指定 IPv4 和 IPv6 地址以

及网络掩码。

n 如果未提供地址和网络掩码信息，DHCP 服务器将分配这些值。

n IPv4 和 IPv6 默认网关属性是可选的；如果 Unified Access Gateway 需要与不在 Unified AccessGateway 中的任何网卡的本地网段上的 IP 地址进行通信，则必须指定这些属性。

有关配置网络属性的详细信息，请参阅使用 OVF 模板向导部署 Unified Access Gateway。

加入或退出客户体验改进计划

VMware 客户体验改进计划 (Customer Experience Improvement Program, CEIP) 提供的信息可供

VMware 用于改进其产品和服务，解决问题，以及向您建议 VMware 产品的佳部署和使用方式。

此产品参与 VMware 客户体验改进计划（“CEIP”）。“信任与保证中心”（网址为 https://www.vmware.com/cn/solutions/trustvmware/ceip.html）详细阐述了通过 CEIP 收集的数据以及 VMware 将此数据用于何种用途。

您可以随时通过管理 UI 加入或退出此产品的 CEIP。

步骤

1 从高级设置 > 系统配置中选择“是”或“否”。

如果选择“是”，将显示“客户体验改进计划”对话框，其中的复选框处于选中状态，以指示您要加入

该计划。

2 查看对话框中的信息，然后单击关闭。

3 单击“系统配置”页面中的保存以保存您所做的更改。


VMware, Inc. 39

https://www.vmware.com/cn/solutions/trustvmware/ceip.html

https://www.vmware.com/cn/solutions/trustvmware/ceip.html

部署 Unified Access Gateway 设备 2Unified Access Gateway 打包为 OVF，并作为预配置的虚拟设备部署到 vSphere ESX 或 ESXi 主机上。

可以使用两种主要方法在 vSphere ESX 或 ESXi 主机上安装 Unified Access Gateway 设备。支持

Microsoft Server 2012 和 2016 Hyper-V 角色。

n 可以使用 vSphere Client 或 vSphere Web Client 部署 Unified Access Gateway OVF 模板。将提示您

输入基本设置，包括网卡部署配置、IP 地址和管理界面密码。在部署 OVF 后，请登录到 UnifiedAccess Gateway 管理用户界面以配置 Unified Access Gateway 系统设置，在多种用例中设置安全

Edge 服务，然后在 DMZ 中配置身份验证。请参阅使用 OVF 模板向导部署 Unified AccessGateway。

n 可以使用 PowerShell 脚本部署 Unified Access Gateway，并在多种用例中设置安全 Edge 服务。请下

载 ZIP 文件，为您的环境配置 PowerShell 脚本，然后运行该脚本以部署 Unified Access Gateway。请

参阅使用 PowerShell 部署 Unified Access Gateway 设备。

注对于每应用隧道和代理用例，可以将 Unified Access Gateway 部署在 ESXi 或 Microsoft Hyper-V 环境

中。

注在上述两种部署方法中，如果未提供管理 UI 密码，则以后将无法通过添加用户来启用对管理 UI 或API 的访问权限。如果您想要添加管理 UI 用户，则必须使用有效的密码重新部署 Unified Access Gateway实例。


n 使用 OVF 模板向导部署 Unified Access Gateway

n 从管理配置页面中配置 Unified Access Gateway

n 更新 SSL 服务器签名证书

使用 OVF 模板向导部署 Unified Access Gateway要部署 Unified Access Gateway，请使用 vSphere Client 或 vSphere Web Client 部署 OVF 模板，打开设

备的电源，然后配置相应设置。

在部署 OVF 时，您可以配置所需的网络接口（网卡）数和 IP 地址以及设置管理员和根密码。

VMware, Inc. 40

在部署了 Unified Access Gateway 之后，请转到管理用户界面 (UI) 设置 Unified Access Gateway 环境。

在管理 UI 中，配置桌面和应用程序资源与身份验证方法以在 DMZ 中使用它们。要登录到管理 UI 页面，

请转到 https://<mycoUnifiedGatewayAppliance>.com:9443/admin/index.html。

使用 OVF 模板向导部署 Unified Access Gateway您可以登录到 vCenter Server 并使用“部署 OVF 模板”向导部署 Unified Access Gateway 设备。

有两个版本的 Unified Access Gateway OVA 可用：标准 OVA 和 FIPS 版本的 OVA。

OVA 的 FIPS 版本支持以下 Edge 服务：

n Horizon（仅限直通身份验证）

n VMware 每应用隧道

重要事项 FIPS 140-2 版本通过一组 FIPS 认证的密码和哈希来运行，并启用了支持 FIPS 认证库的限制性

服务。在 FIPS 模式中部署 Unified Access Gateway 时，无法将设备更改为标准 OVA 部署模式。

Unified Access Gateway 大小调整选项

为了简化将 Unified Access Gateway 设备部署为 Workspace ONE 安全网关的过程，向设备的部署配置中

添加了大小调整选项。新的部署配置允许在标准虚拟机和大型虚拟机之间进行选择。

n 标准：此配置是部署 Horizon 的建议配置，支持多达 2000 个 Horizon 连接，符合连接服务器的容量要

求。它还是部署 Workspace ONE UEM（移动用例）的建议配置，支持多达 10,000 个并发连接。

n 大型：此配置是部署其中的 Unified Access Gateway 需要支持超过 10,000 个并发连接的 WorkspaceONE UEM 的建议配置。此大小允许 Content Gateway、每应用隧道和代理，以及反向代理使用同一

Unified Access Gateway 设备。




前提条件

n 查看向导中可用的部署选项。请参阅 Unified Access Gateway 系统和网络要求。

n 确定要为 Unified Access Gateway 设备配置的网络接口和静态 IP 地址数。请参阅网络配置要求。

n 从 VMware 网站 (https://my.vmware.com/web/vmware/downloads) 下载 Unified Access Gateway 设备

的 .ova 安装程序文件，或确定要使用的 URL，例如，http://example.com/vapps/euc-access-

point-Y.Y.0.0-xxxxxxx_OVF10.ova，其中 Y.Y 是版本号，xxxxxxx 是内部版本号。

n 对于 Hyper-V 部署以及具有静态 IP 的 Unified Access Gateway 升级，请在部署新的 Unified AccessGateway 实例之前删除旧设备。

n 要在用户没有任何停机的情况下将旧设备升级到新的 Unified Access Gateway 实例，请参阅零停机时

间升级一节。


VMware, Inc. 41

https://my.vmware.com/web/vmware/downloads

步骤

1 使用本机 vSphere Client 或 vSphere Web Client 登录到 vCenter Server 实例。

对于 IPv4 网络，请使用本机 vSphere Client 或 vSphere Web Client。对于 IPv6 网络，请使用

vSphere Web Client。

2 选择一个菜单命令以启动部署 OVF 模板向导。

选项菜单命令

vSphere Client 选择文件 > 部署 OVF 模板。

vSphere Web Client 选择作为虚拟机的有效父对象的任何清单对象（如数据中心、文件夹、群集、资源

池或主机），然后从操作菜单中选择部署 OVF 模板。

3 在“选择源”页中，浏览到下载的 .ova 文件或输入一个 URL，然后单击下一步。

查看产品详细信息、版本和大小要求。

4 按照提示进行操作，并在完成向导时遵循以下准则。ESXi 和 Hyper-V 部署通过两种方法为 UnifiedAccess Gateway 分配 IP。对于 Hyper-V，如果要进行升级，请删除具有相同 IP 地址的旧设备，然后

再部署具有新地址的设备。对于 ESXi，您可以关闭旧设备，然后使用静态分配部署具有相同 IP 地址

的新设备。

选项说明

名称和位置为 Unified Access Gateway 虚拟设备输入一个名称。该名称必须是清单文件夹内唯

一的。名称区分大小写。

为虚拟设备选择一个位置。

部署配置对于 IPv4 或 IPv6 网络，您可以使用一个、两个或三个网卡 (NIC)。许多 DMZ 实施

使用不同的网络保护不同的流量类型。根据 Unified Access Gateway 部署所在的

DMZ 的网络设计对其进行配置。除了网卡数以外，您还可以为 Unified AccessGateway 选择标准或大部署选项。




主机/群集选择要在其中运行虚拟设备的主机或群集。

磁盘格式对于评估和测试环境，请选择精简置备格式。对于生产环境，请选择复杂置备格式

之一。厚置备置零是一种厚虚拟磁盘格式，它支持群集功能（如容错），但所需的

创建时间比其他类型的虚拟磁盘长得多。


VMware, Inc. 42

选项说明

设置网络/网络映射如果使用 vSphere Web Client，您可以在“设置网络”页中将每个网卡映射到一个

网络，并指定协议设置。

将 OVF 模板中使用的网络映射到您清单中的网络。

a 在表格 (Internet) 中选择第一行，然后单击向下箭头选择目标网络。如果您选择

“IPv6”作为 IP 协议，则必须选择具备 IPv6 功能的网络。

选择此行后，您也可以在窗口的下半部分输入 DNS 服务器的 IP 地址、网关和

网络掩码。

b 如果您使用多个网卡，请选择下一行 (ManagementNetwork)，选择目标网络，

然后您可以输入 DNS 服务器的 IP 地址、网关和此网络的网络掩码。

如果您仅使用一个网卡，所有行将映射到同一个网络。

c 如果您有第三个网卡，还应选择第三行并完成设置。

如果您仅使用两个网卡，则对于第三行 (BackendNetwork)，请选择用于

ManagementNetwork 的相同网络。

注忽略 IP 协议下拉菜单（如果显示），并且不要在此处选择任何设置。实际选择

的 IP 协议（IPv4/IPv6/两者）取决于在自定义网络属性时为网卡 1 (eth0)、网卡 2(eth1) 和网卡 3 (eth2) 的 IPMode 指定的 IP 模式。


VMware, Inc. 43

选项说明

自定义网络属性 “属性”页面上的文本框特定于 Unified Access Gateway，其他类型的虚拟设备可

能并不需要。向导页面上的文本对每个设置进行了说明。如果在向导右侧截断了该

文本，请从右下角拖动以调整窗口大小。对于每个网卡，您必须为 STATICV4 输入

该网卡的 IPv4 地址。对于 STATICV6，您必须输入该网卡的 IPv6 地址。如果将文

本框保留空白，IP 地址分配默认为 DHCPV4+DHCPV6。

重要事项新版本的 Unified Access Gateway 不接受网络协议配置文件 (NetworkProtocol Profile, NPP) 中的网络掩码或前值以及默认网关设置。要为 UnifiedAccess Gateway 配置静态 IP 分配，您必须在网络属性中配置网络掩码/前。不会

从 NPP 中填充这些值。

n 网卡 1 (eth0) 的 IPMode：STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6。



n 以逗号分隔的转发规则列表，格式为 {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu。例如，对于 IPv4，列表为 tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443。

n 网卡 1 (eth0) IPv4 地址。如果您为网卡模式输入了 STATICV4，则应输入网卡

的 IPv4 地址。

n 以逗号分隔的网卡 1 (eth0) IPv4 自定义路由列表，格式为 ipv4-network-address/bits ipv4-gateway-address。例如，20.2.0.0/16

10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32。

注如果未指定 ipv4-gateway-address，则添加的相应路由具有网关

0.0.0.0。


的 IPv6 地址。

n 网卡 1 (eth0) IPv4 网络掩码。输入该网卡的 IPv4 网络掩码。

n 网卡 1 (eth0) IPv6 前。输入该网卡的 IPv6 前。

n DNS 服务器地址。为 Unified Access Gateway 设备输入域名服务器中的以空格

分隔的 IPv4 或 IPv6 地址。IPv4 条目示例为 192.0.2.1 192.0.2.2。IPv6 条目示例为 fc00:10:112:54::1。

n IPv4 默认网关。如果 Unified Access Gateway 需要与不在 Unified AccessGateway 中的任何网卡的本地网段上的 IP 地址进行通信，请输入 IPv4 默认网

关。

n IPv6 默认网关。如果 Unified Access Gateway 需要与不在 Unified AccessGateway 中的任何网卡的本地网段上的 IP 地址进行通信，请输入 IPv6 默认网

关。


的 IPv4 地址。


VMware, Inc. 44

选项说明


10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32。

注如果未指定 ipv4-gateway-address，则添加的相应路由具有网关 0.0.0.0。


的 IPv6 地址。




的 IPv4 地址。


10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32。



的 IPv6 地址。



n 虚拟机根用户密码。输入 root 用户的密码，以登录到虚拟机控制台。

n 管理 UI 密码。输入管理员用户的密码，以在管理 UI 中配置 Unified AccessGateway，并访问 REST API。

其他设置均为可选或已输入默认值的设置。

加入 CEIP 选择加入 VMware 客户体验改进计划以加入 CEIP，或取消选择此选项以退出

CEIP。

5 在“即将完成”页中，选择部署后打开电源，然后单击完成。

将在 vCenter Server 状态区域中显示“部署 OVF 模板”任务，以便您可以监视部署。也可以打开虚拟

机上的控制台，以查看在系统引导期间显示的控制台消息。/var/log/boot.msg 文件中也提供了这些

消息的日志。

6 在部署完成后，打开浏览器并输入以下 URL 以验证终用户是否可以连接到设备：

https://FQDN-of-UAG-appliance

在该 URL 中，FQDN-of-UAG-appliance 是 Unified Access Gateway 设备的 DNS 可解析完全限定域

名。

如果部署成功，将会看到 Unified Access Gateway 指向的服务器提供的网页。如果部署失败，您可以

删除设备虚拟机并重新部署设备。常见的错误是未正确输入证书指纹。

将部署并自动启动 Unified Access Gateway 设备。


VMware, Inc. 45

后续步骤

n 登录到 Unified Access Gateway 管理员用户界面 (User Interface, UI)，然后配置允许从 Internet 中通

过 Unified Access Gateway 远程访问的桌面和应用程序资源以及在 DMZ 中使用的身份验证方法。管

理控制台 URL 的格式为 https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html。

重要事项您必须使用管理 UI 完成部署后的 Unified Access Gateway 配置。如果未提供管理 UI 密码，则以后将无法通过添加用户来启用对管理 UI 或 API 的访问权限。如果您想要添加管理 UI 用户，

则必须使用有效的管理 UI 密码重新部署 Unified Access Gateway 实例。

注如果无法访问管理 UI 登录屏幕，请检查虚拟机是否具有在 OVA 安装期间显示的 IP 地址。如果未

配置 IP 地址，请使用 UI 中提到的 VAMI 命令重新配置网卡。运行命令 "cd /opt/vmware/share/vami"，然后运行命令 "./vami_config_net"。

注部署后首次打开设备电源时，不得关闭或重新引导设备，直至设备首次完全引导完成为止。

n 如果使用 vSphere 或 PowerShell 进行部署，请执行运行状况检查，并确保新部署的实例返回 200 OK响应。

从管理配置页面中配置 Unified Access Gateway在部署 OVF 并打开 Unified Access Gateway 设备电源后，请登录到 Unified Access Gateway 管理员用户

界面以配置相关设置。

注首次启动 Unified Access Gateway 管理控制台时，系统会提示您更改部署设备时设置的密码。

“常规设置”页面和“高级设置”页面中包含以下内容：

n Unified Access Gateway 系统配置和 TLS 服务器证书

n 用于 Horizon、反向代理、VMware Tunnel 和内容网关（又称为 CG）的 Edge 服务设置

n 用于 RSA SecurID、RADIUS、X.509 证书以及 RSA 自适应身份验证的身份验证设置

n SAML 身份提供程序和服务提供程序设置

n 网络设置

n 端点合规性检查提供程序设置

n 身份桥接设置配置

n 帐户设置

可以从“支持设置”页面中访问以下选项：

n 下载 Unified Access Gateway 日志文件。

n 导出 Unified Access Gateway 设置以检索配置设置。

n 设置日志级别设置。


VMware, Inc. 46

n 导入 Unified Access Gateway 设置以创建并更新整个 Unified Access Gateway 配置。

配置 Unified Access Gateway 系统设置

您可以从管理配置页面中配置用于加密客户端和 Unified Access Gateway 设备之间的通信的安全协议和加

密算法。

前提条件

n 检查 Unified Access Gateway 部署属性。需要使用以下设置信息：

n Unified Access Gateway 设备的静态 IP 地址

n DNS 服务器的 IP 地址

n 管理控制台的密码

n Unified Access Gateway 设备指向的服务器实例或负载平衡器的 URL

n 用于保存事件日志文件的 Syslog 服务器 URL

步骤


2 在“高级设置”部分中，单击系统配置齿轮箱图标。

3 编辑以下 Unified Access Gateway 设备配置值。

选项默认值和说明

UAG 名称唯一的 UAG 设备名称。

区域设置指定在生成错误消息时使用的区域设置。

n en_US 代表美式英语。这是默认值。

n ja_JP 表示日语

n fr_FR 表示法语

n de_DE 表示德语

n zh_CN 表示简体中文

n zh_TW 表示繁体中文

n ko_KR 表示韩语

n Es 代表西班牙语

n pt_BR 代表巴西葡萄牙语

n en_BR 代表英式英语

密码套件大多数情况下，不需要更改默认设置。这是用于加密客户端和 Unified AccessGateway 设备之间的通信的加密算法。密码设置用于启用各种不同的安全协议。

遵循密码顺序默认值为“否”。选择是以启用 TLS 密码列表顺序控制。

TLS 1.0 已启用默认值为“否”。选择是以启用 TLS 1.0 安全协议。

TLS 1.1 已启用默认值为“是”。将启用 TLS 1.1 安全协议。

TLS 1.2 已启用默认值为“是”。将启用 TLS 1.2 安全协议。


VMware, Inc. 47


Syslog URL 输入用于记录 Unified Access Gateway 事件的 Syslog 服务器 URL。该值可以是

URL、主机名或 IP 地址。如果未设置 syslog 服务器 URL，则不会记录任何事件。

多可以提供两个 URL。URL 之间以逗号分隔。示例：syslog://

server1.example.com:514, syslog://server2.example.com:514

Syslog 审核 URL 输入用于记录 Unified Access Gateway 审核事件的 Syslog 服务器 URL。该值可以

是 URL、主机名或 IP 地址。如果未设置 Syslog 服务器 URL，则不会记录审核事

件。

多可以提供两个 URL。URL 之间以逗号分隔。示例：syslog://

server1.example.com:514, syslog://server2.example.com:514

运行状况检查 URL 输入负载平衡器连接到的 URL 并检查 Unified Access Gateway 的运行状况。

要缓存的 Cookie Unified Access Gateway 缓存的一组 Cookie。默认值为“无”。

IP 模式选择静态 IP 模式：STATICV4 或 STATICV6。

会话超时默认值为 36000000 毫秒。

静默模式启用是以暂停 Unified Access Gateway 设备，从而达到一致的状态以执行维护任

务。

监控时间间隔默认值为 60。

密码期限当前管理员密码的有效天数。默认为 90 天。如果密码永不过期，请指定为零 (0)。

请求超时指定请求超时（以秒为单位）。默认值为 3000。

正文接收超时指定正文接收超时（以秒为单位）。默认值为 5000。

客户端连接空闲超时指定客户端连接在关闭之前可以保持空闲状态的时间（以秒为单位）。默认值为

360 秒（6 分钟）。零值表示无空闲超时。

身份验证超时指定身份验证超时（以秒为单位）。默认值为 300000。

时钟偏差容限输入 Unified Access Gateway 时钟与相同网络上其他时钟之间的允许时间差（以秒

为单位）。默认为 600 秒。

加入 CEIP 如果启用，将向 VMware 发送客户体验改进计划（“CEIP”）信息。有关详细信

息，请参阅加入或退出客户体验改进计划。

启用 SNMP 启用是可启用 SNMP 服务。启用简单网络管理协议以通过 Unified Access Gateway收集系统统计信息、内存和 VMware Tunnel 服务器 MIB 信息。可用的管理信息库

(Management Information Base, MIB) 列表：

n UCD-SNMP-MIB::systemStats

n UCD-SNMP-MIB::memory

n VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB

DNS 输入添加到 /etc/resolv/conf 配置文件的域名系统地址。其中必须包含有效的 DNS搜索地址。单击“+”可添加新的 DNS 地址。

DNS 搜索输入添加到 /etc/resolv/conf 配置文件的域名系统搜索。其中必须包含有效的 DNS搜索地址。单击“+”可添加新的 DNS 搜索条目。


VMware, Inc. 48


NTP 服务器可通过 NTP 服务器进行网络时间协议同步。可输入有效的 IP 地址和主机名。从

systemd-networkd.service 配置或者通过 DHCP 获取的任何每接口 NTP 服务器

将优先于这些配置。单击“+”可添加新的 NTP 服务器。

备用 NTP 服务器可通过备用 NTP 服务器进行网络时间协议同步。如果未找到 NTP 服务器信息，则

将使用这些备用 NTP 服务器主机名或 IP 地址。单击“+”可添加新的备用 NTP 服务器。

4 单击保存。

后续步骤

为部署 Unified Access Gateway 时使用的组件配置 Edge 服务设置。在配置 Edge 设置后，请配置身份验

证设置。

更改网络设置

您可以从管理 UI 为所配置的网络修改网络设置，例如，IP 地址、子网掩码、默认网关和 IP 分配模式。

修改网络设置时，请注意以下限制：

n IPv4 是唯一受支持的 IP 模式，不支持 IPv6。

n 动态更改管理网络 IP 上的 IP 地址时，不支持将浏览器重定向到新 IP 地址。

n 为面向 Internet 的网络接口更改 IP 地址、子网掩码或默认网关时，所有当前会话都将丢失。

前提条件

n 确保您有管理员特权。

n 如果要将 IP 更改为静态 IP 地址、子网掩码或默认网关，您必须事先知道该地址、子网掩码和默认网

关。

步骤


2 在高级设置下，单击网络设置旁边的齿轮箱图标。

将显示所配置的网络及其设置的列表。

3 在“网络设置”窗口中，单击要更改其设置的网络旁边的齿轮箱图标，然后输入以下信息：

IPv4 配置

标签说明

IPv4 分配模式选择是静态还是动态分配 IP。必须为静态 IP 分配指定此参数。

IPv4 地址网络的 IP 地址。如果您选择动态 IP 分配，则无需指定 IP 地址。必须为静态 IP 分配指定此参数。

IPv4 网络掩码网络的 IPv4 网络掩码。如果您选择动态 IP 分配，则无需指定 IPv4 网络掩码。


VMware, Inc. 49

标签说明

IPv4 默认网关 Unified Access Gateway 的 IPv4 默认网关地址。如果您选择动态 IP 分配，则无需指定默认网关 IP 地址。

IPv4 静态路由网络的 IPv4 自定义路由。单击“+”可添加新的静态路由。

以逗号分隔的网卡 IPv4 自定义路由列表，格式为 ipv4-network-address/bits ipv4-gateway-address。例如，

20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32。


无法修改 IPv6 配置。

标签说明

IPv6 分配模式指定是静态、动态还是自动分配 IP。

IPv6 地址网络的 IP 地址。

IPv6 前网络的 IPv6 前。

IPv6 默认网关 Unified Access Gateway 的 IPv6 默认网关地址。

4 单击保存。

如果设置更改成功，将显示一条成功消息。如果无法更新网络设置，将显示一条错误消息。

配置用户帐户设置

作为具有 Unified Access Gateway 系统的完全访问权限的超级用户管理员，您可以从管理配置页面中添加

和删除用户，更改密码以及修改用户的角色。

无法在设备设置中导出或导入帐户设置，包括低权限管理员的详细信息。要在新的 Unified AccessGateway 实例上配置新的低权限帐户，请通过管理 UI 进行手动配置。

添加低权限管理员

您现在可以配置和添加可执行有限数量的任务的低权限管理员，例如，只读操作、系统监控，等等。

注目前，您只能在 Unified Access Gateway 实例中添加一个低权限管理员。

步骤


2 在“高级设置”下，选择“帐户设置”齿轮箱图标。

3 在“帐户设置”窗口中，单击添加。

该角色将自动设置为 ROLE_MONITORING。

4 在“帐户设置”窗口中，输入以下信息：

a 用户的唯一用户名。

b （可选）如果要在添加后立即启用用户，请选中已启用框。


VMware, Inc. 50

c 输入用户的密码。密码长度必须至少为 8 个字符，至少包含一个大写字母和一个小写字母、一个数

字和一个特殊字符，包括 ! @ # $ % * ( )。

d 确认该密码。

5 单击保存。

将在“帐户设置”下面列出添加的管理员。

后续步骤

低权限管理员可以登录到系统以更改密码或执行监控任务。

修改用户帐户设置

作为超级用户管理员，您可以更改用户密码以及启用或禁用用户。

您还可以更改自己的密码，但无法禁用自己的帐户。

步骤


2 在“高级设置”部分中，单击“帐户设置”。

将显示用户列表。

3 单击要修改帐户的用户旁边的齿轮箱图标。

4 编辑以下值。

a 选中或取消选中启用框，具体取决于是要启用还是禁用用户。

b 要重置用户密码，请输入新的密码并确认该密码。如果以管理员身份登录，您还必须输入旧密码。

密码长度必须至少为 8 个字符，至少包含一个大写字母和一个小写字母、一个数字和一个特殊字

符，包括 ! @ # $ % * ( )。

5 单击保存。

使用 Unified Access Gateway 控制台重置管理员密码

如果忘记了在部署期间设置的管理员用户密码，用户可以使用 root 用户凭据登录到 Unified AccessGateway 控制台并重置管理 UI 密码。

前提条件

您必须拥有密码才能以 root 用户或具有 root 特权的用户身份登录到虚拟机。用户必须包含在 root 组中。

步骤

1 以 root 用户身份登录到 Unified Access Gateway 控制台的操作系统。

2 输入以下命令以重置管理员密码。

adminpwd


VMware, Inc. 51

New password for user "admin": ********

Retype new password: ********

在此示例中，密码长度至少为 8 个字符，至少包含一个大写字母和一个小写字母、一个数字和一个特

殊字符（包括 ! @ # $ % * ( )）。

将显示以下消息。

adminpwd: password for "admin" updated successfully

3 输入以下命令以重置具有较少特权的管理员密码。

adminpwd [-u <username>]

New password for user "jdoe": ********

Retype new password: ********

在此示例中，密码长度至少为 8 个字符，至少包含一个大写字母和一个小写字母、一个数字和一个特

殊字符（包括 !@ # $ % * ( )）。

将显示以下消息。

adminpwd: password for "jdoe" updated successfully

管理员用户密码已成功重置。

后续步骤

用户现在可以使用刚刚重置的管理员密码登录到 Unified Access Gateway 界面。用户使用 adminpwd CLI命令重置密码后第一次登录时，系统将要求用户更改密码。

注用户必须在更改密码后首次尝试时进行登录。

删除用户

您作为超级用户管理员，可以删除非 root 用户。

您无法删除 root 管理员。

步骤


2 在“高级设置”下，选择“帐户设置”齿轮箱图标。

将显示用户列表。

3 单击您想要删除的用户旁边的“x”按钮。

小心该用户会被立即删除。此操作无法撤消。

将删除该用户帐户，并显示一条消息。


VMware, Inc. 52

配置 JSON Web 令牌设置

现在，您可以添加用于验证 JSON Web 令牌的公钥。

步骤


2 在“高级设置”下，选择“JWT 设置”齿轮箱图标。

3 在“JWT 设置”窗口中，单击添加。

4 在“帐户设置”窗口中，输入以下信息：

a 可将此设置标识为用于验证的名称。

b 单击“+”以选择并添加要用于 JWT 项目验证的证书公钥。此文件必须采用 PEM 格式。

注如果未上载公钥，则在 Unified Access Gateway 中不会启用验证。

5 单击保存。

“JWT 设置”下将列出参数的详细信息。

更新 SSL 服务器签名证书

在签名证书过期时，您可以更换这些证书，也可以使用 CA 签名的证书替换默认证书。

对于生产环境，VMware 强烈建议您尽快替换默认证书。在部署 Unified Access Gateway 设备时生成的默

认 TLS/SSL 服务器证书不是由可信证书颁发机构签发的。

上载证书时，请注意以下注意事项：

n 可以使用 CA 签名的 PEM 证书替换管理员和用户的默认证书。

n 在管理接口上上载 CA 签名的证书时，会更新并重新启动管理接口上的 SSL 连接器，以确保上载的证

书生效。如果上载 CA 签名的证书后连接器未能重新启动，则会在管理接口上生成一个自签名证书并应

用该证书，并且用户会收到通知，说明之前尝试上载证书的操作未成功。

前提条件

n 已将新签名证书和私钥保存到您可以访问的计算机中。

n 将证书转换为 PEM 格式的文件，然后将 .pem 文件转换为单行格式。请参阅将证书文件转换为单行

PEM 格式。

步骤

1 在管理控制台中，单击选择。

2 在“高级设置”部分中，单击“SSL 服务器证书设置”齿轮箱图标。

3 选择管理接口或 Internet 接口，以将证书应用于任一接口。您也可以同时选择两者以将证书应用于这

两个接口。

4 对于“证书类型”，选择 PEM 或 PFX。


VMware, Inc. 53

5 如果“证书类型”为 PEM：

a 在“私钥”行中，单击选择并浏览到私钥文件。

b 单击打开以上载该文件。

c 在“证书链”行中，单击选择并浏览到证书链文件。

d 单击打开以上载该文件。

6 如果“证书类型”为 PFX：

a 在“上载 PFX”行中，单击选择并浏览到 pfx 文件。

b 单击打开以上载该文件。

c 输入 PFX 证书的密码。

d 输入 PFX 证书的别名。

当存在多个证书时，您可以使用别名加以区分。

7 单击保存。

成功更新证书后，将显示一条确认消息。

后续步骤

n 如果您使用 CA 签名的证书更新证书，并且签发证书的 CA 不是公认 CA，请将客户端配置为信任根证

书和中间证书。

n 如果已为管理接口上载了 CA 签名的证书，请关闭浏览器，然后在新浏览器窗口中打开管理 UI。

n 如果 CA 签名的证书在管理接口上已生效，并且您上载了自签名证书，那么管理 UI 可能会出现异常行

为。清除浏览器缓存，然后在新窗口中打开管理 UI。


VMware, Inc. 54

使用 PowerShell 部署 UnifiedAccess Gateway 3可以使用 PowerShell 脚本部署 Unified Access Gateway。PowerShell 脚本是作为示例脚本提供的，您可

以根据您的环境的特定需求进行修改。

在使用 PowerShell 脚本部署 Unified Access Gateway 时，该脚本调用 OVF Tool 命令并验证设置以自动构

造正确的命令行语法。这种方法还允许在部署时应用高级设置，例如，TLS/SSL 服务器证书配置。


n 使用 PowerShell 部署 Unified Access Gateway 的系统要求

n 使用 PowerShell 部署 Unified Access Gateway 设备

使用 PowerShell 部署 Unified Access Gateway 的系统要求

要使用 PowerShell 脚本部署 Unified Access Gateway，您必须使用特定版本的 VMware 产品。

n 具有 vCenter Server 的 VMware vSphereESXi 主机。

n PowerShell 脚本在 Windows 8.1 或更高版本的计算机上运行，或者在 Windows Server 2008 R2 或更

高版本上运行。

计算机也可能是在 Windows 上运行的 vCenter Server 或单独的 Windows 计算机。

n 运行脚本的 Windows 计算机必须安装了 VMware OVF Tool 命令。

您必须从 https://www.vmware.com/support/developer/ovf/ 安装 OVF Tool 4.0.1 或更高版本。

您必须选择要使用的 vSphere 数据存储和网络。

VMware, Inc. 55

https://www.vmware.com/support/developer/ovf/

使用 PowerShell 部署 Unified Access Gateway 设备

PowerShell 脚本可在您的环境中准备所有配置设置。当您通过运行 PowerShell 脚本来部署 UnifiedAccess Gateway 时，该解决方案会在第一次系统引导时为生产做好准备。

重要事项在 PowerShell 部署中，您可以在 INI 文件中提供所有设置，从而 Unified Access Gateway 实例

在引导后可直接用于生产。如果您不想在部署后更改任何设置，则无需提供管理 UI 密码。

但是，如果在部署过程中未提供管理 UI 密码，则管理 UI 和 API 都将不可用。

注 n 如果在部署时未提供管理 UI 密码，则以后将无法通过添加用户来启用对管理 UI 或 API 的访问权限。

如果您想要添加管理 UI 用户，则必须使用有效的密码重新部署 Unified Access Gateway 实例。

n Unified Access Gateway 3.5 及更高版本包含一个可选的 sshEnabled INI 属性。PowerShell INI 文件中

[General] 部分的 sshEnabled=true 设置会自动在部署的设备上启用 ssh 访问。VMware 通常建议不要

在 Unified Access Gateway 上启用 ssh，某些特定情况及可以限制访问的情况除外。此功能主要适用

于备用控制台访问不可用的 Amazon AWS EC2 部署。

如果 sshEnabled=true 未指定或设置为 false，则不会启用 ssh 。

对于 vSphere、Hyper-V 或 Microsoft Azure 部署，通常不需要在 Unified Access Gateway 上启用 ssh访问，因为在这些平台中可以使用控制台访问。如果 Amazon AWS EC2 部署需要 root 控制台访问，

则设置 sshEnabled=true。如果启用 ssh，必须在防火墙或安全组中将 TCP 端口 22 访问限制为单个管

理员的源 IP 地址。EC2 支持在与 Unified Access Gateway 网络接口关联的 EC2 安全组中实施此限

制。

前提条件

n 对于 Hyper-V 部署以及具有静态 IP 的 Unified Access Gateway 升级，请在部署新的 Unified AccessGateway 实例之前删除旧设备。

n 验证满足使用此脚本的相应系统要求。

以下是可来于在您的环境中部署 Unified Access Gateway 的示例脚本。


VMware, Inc. 56

图 3-1. PowerShell 示例脚本

步骤

1 将 My VMware 上的 Unified Access Gateway OVA 下载到您的 Windows 计算机中。

2 将 uagdeploy-XXX.zip 文件下载到 Windows 计算机上的某个文件夹中。

在 https://communities.vmware.com/docs/DOC-30835 中提供了该 ZIP 文件。

3 打开 PowerShell 脚本，将目录修改为您脚本所在的位置。

4 为 Unified Access Gateway 虚拟设备创建一个 INI 配置文件。

例如：部署新的 Unified Access Gateway 设备 AP1。配置文件命名为 ap1.ini。此文件中包含 AP1 的所有配置设置。您可以使用 apdeploy.ZIP 文件中的示例 INI 文件创建 INI 文件，并相应地修改设

置。

注 n 您可以为环境中的多个 Unified Access Gateway 部署创建唯一的 INI 文件。您必须在 INI 文件中

相应地更改 IP 地址和名称参数才能部署多个设备。

n Content Gateway 和 VMware Tunnel 不支持 healthCheckUrl 设置的 favicon.ico 值。

要修改的 INI 文件示例。

[General]

netManagementNetwork=

netInternet=

netBackendNetwork=

name=

dns = 192.0.2.1 192.0.2.2

dnsSearch = example1.com example2.com

ip0=10.108.120.119


VMware, Inc. 57

https://communities.vmware.com/docs/DOC-30835

diskMode=

source=

defaultGateway=10.108.120.125

target=

ds=

authenticationTimeout=300000

fipsEnabled=false

uagName=UAG1

locale=en_US

ipModeforNIC3=DHCPV4_DHCPV6

tls12Enabled=true

ipMode=DHCPV4_DHCPV6

requestTimeoutMsec=10000

ipModeforNIC2=DHCPV4_DHCPV6

tls11Enabled=true

clientConnectionIdleTimeout=180

tls10Enabled=false

adminCertRolledBack=false

honorCipherOrder=false

cookiesToBeCached=none

healthCheckUrl=/favicon.ico

quiesceMode=false

isCiphersSetByUser=false

tlsPortSharingEnabled=true

ceipEnabled=true

bodyReceiveTimeoutMsec=15000

monitorInterval=60

cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH

_AES_128_CBC_SHA

adminPasswordExpirationDays=90

httpConnectionTimeout=120

isTLS11SetByUser=false

sessionTimeout=36000000

ssl30Enabled=false

snmpEnabled= TRUE | FALSE

[WebReverseProxy1]

proxyDestinationUrl=https://10.108.120.21

trustedCert1=

instanceId=view


userNameHeader=AccessPoint-User-ID

proxyPattern=/(.*)

landingPagePath=/

hostEntry1=10.108.120.21 HZNView.uagqe.auto.com

[Horizon]

proxyDestinationUrl=https://enterViewConnectionServerUrl

trustedCert1=

gatewayLocation=external

disableHtmlAccess=false


proxyDestinationIPSupport=IPV4

smartCardHintPrompt=false

queryBrokerInterval=300


VMware, Inc. 58

proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))

matchWindowsUserName=false

windowsSSOEnabled=false

[SSLCert]

pemPrivKey=

pemCerts=

pfxCerts=

pfxCertAlias=

[SSLCertAdmin]

pemPrivKey=

pemCerts=

pfxCerts=

pfxCertAlias=

[JWTSettings1]

publicKey1=

publicKey2=

publicKey3=

name=JWT_1

[JWTSettings2]

publicKey1=

publicKey2=

name=JWT_2

5 要确保成功执行脚本，请键入 PowerShell set-executionpolicy 命令。

set-executionpolicy -scope currentuser unrestricted

如果当前受到限制，则必须运行一次此命令。

a （可选）如果出现脚本警告，请运行以下命令以取消阻止该警告：unblock-file -

path .\uagdeploy.ps1

6 运行以下命令开始部署。如果未指定 .INI 文件，则脚本默认使用 ap.ini。

.\uagdeploy.ps1 -iniFile uag1.ini

7 在提示时输入凭据，然后完成脚本。

注如果提示您为目标设备添加指纹，请输入 yes。

Unified Access Gateway 设备已部署并且可以用于生产。

有关 PowerShell 脚本的详细信息，请参阅 https://communities.vmware.com/docs/DOC-30835。


VMware, Inc. 59


后续步骤

如果要在保留现有设置的同时升级 Unified Access Gateway，请编辑 .ini 文件以将源引用更改为新版

本，然后重新运行 .ini 文件： uagdeploy.ps1 uag1.ini。此过程多可能需要 3 分钟的时间。

[General]

name=UAG1

source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

如果要在没有服务中断的情况下进行升级，请参阅零停机时间升级。


VMware, Inc. 60

Unified Access Gateway 部署用例 4本章中介绍的部署方案可以帮助您确定和组织您的环境中的 Unified Access Gateway 部署。

您可以使用 Horizon、Horizon Cloud with On-Premises Infrastructure、VMware Identity Manager 和Workspace ONE UEM 来部署 Unified Access Gateway。


n 使用 Horizon 和 Horizon Cloud with On-Premises Infrastructure 进行部署

n Horizon 的端点合规性检查

n 作为反向代理部署

n 内部部署的旧版 Web 应用程序的单点登录访问部署

n Unified Access Gateway 上的 Workspace ONE UEM 组件

n 其他部署用例

使用 Horizon 和 Horizon Cloud with On-PremisesInfrastructure 进行部署

您可以使用 Horizon Cloud with On-Premises Infrastructure 和 Horizon Air 云基础架构来部署 UnifiedAccess Gateway。

部署方案

通过 Unified Access Gateway，可以从远程安全访问客户数据中心内部部署的虚拟桌面和应用程序。

Unified Access Gateway 通过对内部部署的 Horizon 或 Horizon Air 进行操作来实现统一管理。

Unified Access Gateway 为企业提供了强大的用户身份安全保障，并且还能精确控制对他们已获授权的桌

面和应用程序的访问。

Unified Access Gateway 虚拟设备通常部署在网络隔离区 (Demilitarized Zone, DMZ) 中。部署在 DMZ 中可以确保进入数据中心并传送到桌面和应用程序资源的流量是经过严格身份验证的用户产生的流量。

Unified Access Gateway 虚拟设备还确保可以将经过身份验证的用户产生的流量仅传送到用户有权访问的

桌面和应用程序资源。该保护级别包括具体检查桌面协议以及协调可能快速变化的策略和网络地址以准确

地控制访问。

下图显示了包含前端和后端防火墙的配置示例。

VMware, Inc. 61

图 4-1. DMZ 拓扑中的 Unified Access Gateway

HorizonServer

MicrosoftActive

Directory

运行虚拟桌面虚拟机

的 ESXi 主机

外部网络

vCenterManagement

Server

负载平衡器

负载平衡器

客户端设备

DMZ


您必须验证具有 Horizon 的无缝 Unified Access Gateway 部署的要求。

n Unified Access Gateway 设备指向 Horizon Server 前面的负载平衡器，因此，会动态选择服务器实

例。

n 默认情况下，端口 8443 必须可用于 Blast TCP/UDP。但是，也可为 Blast TCP/UDP 配置端口 443。

注如果将 Unified Access Gateway 配置为使用 IPv4 和 IPv6 模式，则 Blast TCP/UDP 必须设置为端

口 443。您可以允许将 Unified Access Gateway 作为 IPv6 Horizon Client 网桥以连接到 IPv4 后端连

接服务器或代理环境。请参阅为 Horizon 基础架构提供 IPv4 和 IPv6 双模式支持。

n 在使用 Horizon 部署 Unified Access Gateway 时，必须启用 Blast 安全网关和 PCoIP 安全网关。这样

可以确保显示协议能够自动通过 Unified Access Gateway 作为代理。BlastExternalURL 和pcoipExternalURL 设置指定 Horizon Client 使用的连接地址，以便通过 Unified Access Gateway 上的

相应网关路由这些显示协议连接。由于这些网关可以确保代表经过身份验证的用户对显示协议流量进行

控制，因此，提高了安全性。Unified Access Gateway 忽略未授权的显示协议流量。

n 在 Horizon 连接服务器实例上禁用安全网关（Blast 安全网关和 PCoIP 安全网关），然后在 UnifiedAccess Gateway 设备上启用这些网关。


VMware, Inc. 62

建议部署 Horizon 7 的用户使用 Unified Access Gateway 设备而不是 Horizon 安全服务器。

注如果代理模式发生重叠，则 Horizon Connection Server 无法与启用的 Web 反向代理一起使用。因

此，如果在同一个 Unified Access Gateway 实例上同时为 Horizon 和 Web 反向代理实例配置并启用了代

理模式，请从 Horizon 设置中移除代理模式“/”，并在 Web 反向代理中保留该模式，以防止发生重叠。

在 Web 反向代理实例中保留“/”代理模式可确保在用户单击了 Unified Access Gateway 的 URL 后，系

统会显示正确的 Web 反向代理页面。如果仅配置了 Horizon 设置，则无需进行上述更改。

Horizon 安全服务器和 Unified Access Gateway 设备之间的区别如下。

n 安全部署。Unified Access Gateway 实施为强化、锁定且预配置的基于 Linux 的虚拟机。

n 可扩展。您可以将 Unified Access Gateway 连接到单个 Horizon 连接服务器，也可以通过多个

Horizon 连接服务器前的负载平衡器进行连接，从而增强高可用性。它作为 Horizon Client 和后端

Horizon 连接服务器之间的一个层。由于部署速度较快，它可以快速扩展/收缩以满足快速变化的企业

的要求。

图 4-2. 指向负载平衡器的 Unified Access Gateway 设备

HorizonServer

MicrosoftActive

Directory

运行虚拟桌面虚拟机

的 ESXi 主机

外部网络

vCenterManagement

Server

负载平衡器

负载平衡器

客户端设备

DMZ


或者，也可以将一个或多个 Unified Access Gateway 设备指向单个服务器实例。在这两种方法中，将在

DMZ 中的一个或多个 Unified Access Gateway 设备前面使用负载平衡器。


VMware, Inc. 63

图 4-3. 指向 Horizon Server 实例的 Unified Access Gateway 设备

Workspace ONE/Identity Manager

MicrosoftActive

Directory

Internet

vCenterManagement

Server

负载平衡器

负载平衡器

WorkspaceONE 客户端

DMZ


防火墙

防火墙

企业区域

Workspace ONE 客户端

DNS/NTP服务

身份验证

用户身份验证类似于 Horizon 安全服务器。Unified Access Gateway 中支持的用户身份验证方法包括：

n Active Directory 用户名和密码。

n Kiosk 模式。有关 Kiosk 模式的详细信息，请参阅 Horizon 文档。

n RSA SecurID 双因素身份验证，通过了 RSA for SecurID 正式认证。

n 通过一系列第三方、双因素安全供应商解决方案实现的 RADIUS。

n 智能卡、CAC 或 PIV X.509 用户证书。

n SAML。


VMware, Inc. 64

系统通过 Horizon Connection Server 来支持这些身份验证方法。Unified Access Gateway 不需要直接与

Active Directory 进行通信。该通信作为通过 Horizon Connection Server 的代理，该服务器可以直接访问

Active Directory。在根据身份验证策略对用户会话进行身份验证后，Unified Access Gateway 可以将授权

信息请求以及桌面和应用程序启动请求转发到 Horizon Connection Server。Unified Access Gateway 还管

理其桌面和应用程序协议处理程序，以允许它们仅转发授权的协议流量。

Unified Access Gateway 本身可以处理智能卡身份验证。这包括一些选项，Unified Access Gateway 使用

这些选项与在线证书状态协议 (Online Certificate Status Protocol, OCSP) 服务器进行通信，以检查 X.509证书吊销等信息。

为 Horizon 基础架构提供 IPv4 和 IPv6 双模式支持

您可以将 Unified Access Gateway 作为 IPv6 Horizon Client 网桥以连接到 IPv4 后端连接服务器或代理环

境。

您可以在双模式下部署 Unified Access Gateway，前端网卡处于混合 IPv4/IPv6 模式，Horizon 后端或管理

网卡处于 IPv4 模式。Horizon 后端环境可能包含连接服务器、代理桌面或其他服务器端基础架构。

注如果将 Unified Access Gateway 配置为 IPv4/IPv6 模式，请确保将 TCP/UDP 的 Blast 外部 URL 设置

为 443。请参阅使用 Horizon 和 Horizon Cloud with On-Premises Infrastructure 进行部署和配置 Horizon设置。

注 PCoIP 或 Blast UDP 不支持 Horizon IPv6 到 IPv4 桥接功能。

支持以下 Horizon Client 和 Server IP 模式。

表 4-1. 支持的 Horizon 设置（IP 模式）

Horizon Client 模式 Horizon Server 模式支持

IPv4 IPv4 是

IPv6 IPv4 是

IPv6 IPv6 是

IPv4 IPv6 否

在安装 Horizon Client 时，如果选择自动选择或双，将通过 IPv4 或 IPv6 进行连接，具体取决于当前网

络。

高级 Edge 服务设置

Unified Access Gateway 使用不同的变量来区分 Edge 服务、配置的 Web 代理以及代理目标 URL。

代理模式和不安全模式

Unified Access Gateway 使用代理模式将入站 HTTP 请求转发到正确的 Edge 服务（如 Horizon）或配置

的 Web 反向代理实例之一（如 VMware Identity Manager）。因此，使用代理模式作为筛选器来确定在处

理入站流量时是否需要反向代理。


VMware, Inc. 65

如果选择了反向代理，该代理将使用指定的不安全模式来确定是否允许入站流量在不经过身份验证的情况

下进入后端。

用户必须指定代理模式，可以选择指定不安全模式。不安全模式由 Web 反向代理使用（例如 VMwareIdentity Manager），这些反向代理拥有自己的登录机制，并且需要在不经过身份验证的情况下将特定的

URL（例如，登录页面路径、javascript 或映像资源）传递到后端。

注不安全模式是代理模式的一个子集，因此某些路径可能会在某个反向代理的两个不安全模式中重复使

用。

每个 Edge 服务可能具有不同的模式。例如，Horizon 的 Proxy Pattern 可配置为 (/|/view-client(.*)|/portal(.*)|/appblast(.*))，而 VMware Identity Manager 的模式可配置为 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))。


此，如果在同一 Unified Access Gateway 实例上配置了 Horizon 和 Web 反向代理实例（例如 VMwareIdentity Manager）并启用了代理模式，请从 Horizon 设置中移除代理模式“/”，并在 VMware IdentityManager 中保留此模式以防止发生重叠。

在 Web 反向代理实例 (VMware Identity Manager) 中保留“/”代理模式可确保当用户单击 Unified AccessGateway 的 URL 时，显示 VMware Identity Manager 页面。

如果仅配置 Horizon 设置，则不需要进行上述更改。

代理主机模式

如果配置了多个 Web 反向代理实例，并且代理模式发生重叠，则 Unified Access Gateway 使用 Proxy

Host Pattern 区分它们。将 Proxy Host Pattern 配置为反向代理的 FQDN。

例如，Sharepoint 的主机模式可配置为 sharepoint.myco.com，而 JIRA 的模式可配置为 jira.myco.com。

主机条目

仅当 Unified Access Gateway 无法访问后端服务器或应用程序时，才需配置此文本框。在将后端应用程序

的 IP 地址和主机名添加“主机条目”时，该信息将添加到 Unified Access Gateway 的 /etc/hosts 文件

中。对于所有 Edge 服务设置，该字段是通用的。

代理目标 URL这是将 Unified Access Gateway 作为代理的 Edge 服务设置的后端服务器应用程序 URL。例如：

n 对于 Horizon Connection Server，代理目标 URL 是连接服务器 URL。

n 对于 Web 反向代理，代理目标 URL 是配置的 Web 反向代理的应用程序 URL。

单个反向代理配置

在 Unified Access Gateway 收到一个包含 URI 的入站请求时，将使用代理模式确定是转发还是丢弃该请

求。


VMware, Inc. 66

多个反向代理配置

1 如果将 Unified Access Gateway 配置为反向代理，并收到包含 URI 路径的入站请求，Unified AccessGateway 将使用代理模式匹配正确的 Web 反向代理实例。如果具有匹配项，则使用匹配的模式。如果

具有多个匹配项，则重复执行步骤 2 中的筛选和匹配过程。如果没有匹配项，则丢弃该请求并将

HTTP 404 发回到客户端。

2 使用代理主机模式筛选在步骤 1 中已筛选的列表。将使用 HOST 标头筛选请求并查找反向代理实例。

如果具有匹配项，则使用匹配的模式。如果具有多个匹配项，则重复执行步骤 3 中的筛选和匹配过

程。

3 请注意以下事项：

n 将使用步骤 2 中筛选的列表中的第一个匹配项。此匹配项并非总是正确的 Web 反向代理实例。因

此，如果在 Unified Access Gateway 中设置了多个反向代理，请确保 Web 反向代理实例的代理模

式和代理主机模式组合必须是唯一的。

n 所有配置的反向代理的主机名应解析为与 Unified Access Gateway 实例的外部地址相同的 IP 地址。

有关配置反向代理的详细信息和说明，请参阅使用 VMware Identity Manager 配置反向代理。

示例：两个反向代理配置了相互冲突的代理模式及不同的主机模式

假设第一个反向代理的代理模式为 /(.*)，且其主机模式为 host1.domain.com；而第二个反向代理的模式

为 (/app2(.*)|/app3(.*)|/)，且其主机模式为 host2.domain.com。

n 如果所发出请求的路径设置为 https://host1.domain.com/app1/index.html，则请求会转发到第一个

反向代理。

n 如果所发出请求的路径设置为 https://host2.domain.com/app2/index.html，则请求会转发到第二个

反向代理。

示例：两个反向代理具有相互排斥的代理模式

假设第一个反向代理的代理模式为 /app1(.*)，而第二个反向代理的代理模式为 (/app2(.*)|/app3(.*)|/)。

n 如果所发出请求的路径设置为 https://<uag domain name>/app1/index.html，则请求会转发到第一个

反向代理。

n 如果所发出请求的路径设置为 https://<uag domain name>/app3/index.html 或 https://<uag domainname>/，则请求会转发到第二个反向代理。

配置 Horizon 设置

您可以使用 Horizon Cloud with On-Premises Infrastructure 和 Horizon Air 云基础架构来部署 UnifiedAccess Gateway。对于 Horizon 部署，Unified Access Gateway 设备将替代 Horizon 安全服务器。

前提条件

如果您希望在同一 Unified Access Gateway 实例上配置并启用 Horizon 和 Web 反向代理实例（例如

VMware Identity Manager），请参阅高级 Edge 服务设置。


VMware, Inc. 67

步骤


2 在常规设置 > Edge 服务设置中，单击显示。

3 单击 Horizon 设置齿轮箱图标。

4 在“Horizon 设置”页中，将“否”更改为是以启用 Horizon。

5 为 Horizon 配置以下 Edge 服务设置资源：

选项说明

标识符默认情况下，设置为 Horizon。Unified Access Gateway 可与使用 Horizon XML 协议的服务器进行通信，例如，Horizon 连接服务器、Horizon Air 和 Horizon Cloudwith On-Premises Infrastructure。

连接服务器 URL 输入 Horizon Server 或负载平衡器的地址。输入为 https://00.00.00.00。

连接服务器 URL 指纹输入 Horizon Server 指纹列表。

如果未提供指纹列表，请确保受信任的 CA 颁发了服务器证书。输入十六进制指纹

数字。例如，sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F295 C3。

启用 PCOIP 将“否”更改为是以指定是否启用 PCoIP 安全网关。

禁用 PCOIP 旧版证书将否更改为是以指定使用上载的 SSL 服务器证书，而不是旧版证书。如果此参数设

置为是，旧版 PCoIP 客户端将无法运行。

PCOIP 外部 URL Horizon Client 用于建立到该 Unified Access Gateway 设备的 Horizon PCoIP 会话

的 URL。它必须包含一个 IPv4 地址而不是主机名。例如，10.1.2.3:4172。默认

值为 Unified Access Gateway IP 地址和端口 4172。

启用 Blast 要使用 Blast 安全网关，请将“否”更改为是。

连接服务器 IP 模式从下拉菜单中选择 IPv4、IPv6 或 IPv4+IPv6。默认值为 IPv4。


VMware, Inc. 68

6 要配置身份验证方法规则和其他高级设置，请单击更多。

选项说明

身份验证方法选择要使用的身份验证方法。

默认设置是使用用户名和密码的直通身份验证。将在下拉菜单中列出在 UnifiedAccess Gateway 中配置的身份验证方法。目前，支持 RSA SecurID 和 RADIUS 身份验证方法。

要配置在第一个身份验证尝试失败时应用第二种身份验证方法的身份验证，请执行

以下操作：

a 从第一个下拉菜单中选择一种身份验证方法。

b 单击 + 并选择“和”或“或”。

c 从第三个下拉菜单中选择第二种身份验证方法。

要要求用户通过两种身份验证方法进行身份验证，请在下拉菜单中将“或”更改为

“和”。

注 n 在 PowerShell 部署中，对于 RSA SecurID 身份验证，请将该选项配置为使用

securid-auth AND sp-auth 显示通行码屏幕。

n 在 vSphere 部署中，对于 RSA SecurID 身份验证，请将该选项配置为使用

securid-auth 显示通行码屏幕。

n 在 INI 文件的 Horizon 部分中添加以下行。

authMethods=securid-auth && sp-authmatchWindowsUserName=true

在 INI 文件底部添加一个新的部分。

[SecurIDAuth]serverConfigFile=C:\temp\sdconf.recexternalHostName=192.168.0.90internalHostName=192.168.0.90

这两个 IP 地址都应设置为 Unified Access Gateway 的 IP 地址。sdconf.rec

文件是从必须完整配置的 RSA Authentication Manager 中获取的。确认您使用

的是 Access Point 2.5 或更高版本（或者 Unified Access Gateway 3.0 或更高版

本），并且可以从 Unified Access Gateway 联网访问 RSA AuthenticationManager 服务器。重新运行 uagdeploy PowerShell 命令以重新部署为 RSASecurID 配置的 Unified Access Gateway。

启用 Windows SSO 当身份验证方法设置为 RADIUS 时，会启用此设置。将“否”更改为是以启用

RADIUS 身份验证。

RADIUS 类属性当身份验证方法设置为 RADIUS 时，会启用此设置。单击“+”可为类属性添加

值。输入要用于用户身份验证的类属性的名称。单击“-”可移除类属性。

注如果此字段留空，则不会执行其他授权。

智能卡提示将“否”更改为是可为证书身份验证启用密码提示。

运行状况检查 URI 路径 Unified Access Gateway 为监控运行状况而连接的连接服务器的 URI 路径。


VMware, Inc. 69

选项说明

Blast 外部 URL Horizon Client 用于建立到该 Unified Access Gateway 设备的 Horizon Blast 或BEAT 会话的 URL。例如，https://uag1.myco.com 或 https://uag1.myco.com:443。

如果未指定 TCP 端口号，则默认 TCP 端口为 8443。如果未指定 UDP 端口号，则

默认 UDP 端口也是 8443。

启用 UDP 服务器带宽较低时，可通过 UDP 隧道服务器建立连接。

Blast 代理证书 Blast 的代理证书。单击选择可上载 PEM 格式的证书并将其添加到 BLAST 信任存

储中。单击更改可替换现有证书。

如果用户手动将 Unified Access Gateway 的相同证书上载到负载平衡器，同时

Unified Access Gateway 和 Blast 网关需要使用不同的证书，则建立 Blast 桌面会话

会失败，因为客户端与 Unified Access Gateway 之间的指纹不匹配。可为 UnifiedAccess Gateway 或 Blast 网关输入自定义指纹，这样通过中继用来建立客户端会话

的指纹可解决该问题。

启用隧道如果使用了 Horizon 安全隧道，请将“否”更改为是。客户端使用外部 URL 以通过

Horizon 安全网关建立隧道连接。隧道用于传输 RDP、USB 和多媒体重定向

(Multimedia Redirection, MMR) 流量。

隧道外部 URL Horizon Client 用于建立到该 Unified Access Gateway 设备的 Horizon 隧道会话的

URL。例如，https://uag1.myco.com 或 https://uag1.myco.com:443。

如果未指定 TCP 端口号，则默认 TCP 端口为 443。

隧道代理证书 Horizon 隧道的代理证书。单击选择可上载 PEM 格式的证书并将其添加到隧道信任

存储中。单击更改可替换现有证书。

如果用户手动将 Unified Access Gateway 的相同证书上载到负载平衡器，同时

Unified Access Gateway 和 Horizon 隧道需要使用不同的证书，则建立隧道会话会

失败，因为客户端与 Unified Access Gateway 之间的指纹不匹配。可为 UnifiedAccess Gateway 或 Horizon 隧道输入自定义指纹，这样通过中继用来建立客户端会

话的指纹可解决该问题。

端点合规性检查提供程序选择端点合规性检查提供程序。默认为 OPSWAT。

代理模式输入匹配与 Horizon Server URL (proxyDestinationUrl) 相关的 URI 的正则表达式。

其默认值为 (/|/view-client(.*)|/portal(.*)|/appblast(.*))。

SAML SP 输入 Horizon XMLAPI 代理的 SAML 服务提供程序名称。该名称必须与配置的服务

提供程序元数据的名称相匹配，或者是特殊值 DEMO。

匹配 Windows 用户名将否更改为是以匹配 RSA SecurID 和 Windows 用户名。如果设置为是，则将

securID-auth 设置为 true 并强制实施 securID 和 Windows 用户名匹配。

注在 Horizon 7 中，如果启用在客户端用户界面中隐藏服务器信息和在客户端用户

界面中隐藏域列表设置，并为连接服务器实例选择双因素身份验证（RSA SecurID或 RADIUS），则不要强制实施 Windows 用户名匹配。实施 Windows 用户名匹配

将禁止用户在用户名文本框中输入域信息，登录将始终失败。有关更多信息，请参

阅《Horizon 7 管理指南》文档中关于双因素身份验证的主题。

网关位置发出连接请求的位置。网关位置是由安全服务器和 Unified Access Gateway 设置

的。该位置可以是外部位置，也可以是内部位置。

受信任证书将受信任的证书添加到该 Edge 服务中。可以单击“+”以选择 PEM 格式的证书并

添加到信任存储中，或单击“-”以将证书从信任存储中移除。默认情况下，别名是

PEM 证书的文件名。可以编辑别名文本框以提供不同的名称。


VMware, Inc. 70

选项说明

响应安全标头单击“+”可添加标头。输入安全标头的名称。输入值。单击“-”可移除标头。可

编辑现有安全标头以更新标头的名称和值。

重要事项只有在您单击保存后，才会保存标头的名称和值。默认情况下会显示一些

标准安全标头。仅当所配置的后端服务器的响应中没有所配置的标头时，才会将相

应标头添加到对客户端的 Unified Access Gateway 响应中。

注修改安全响应标头时应小心谨慎。修改这些参数可能会影响 Unified AccessGateway 的安全功能。

主机条目输入要添加到 /etc/hosts 文件中的详细信息。每个条目均应按顺序包含一个 IP、

一个主机名和一个可选主机名别名，并且以空格分隔。例如，

10.192.168.1 example1.com, 10.192.168.2 example2.com example-

alias。单击“+”号可添加多个主机条目。

重要事项只有在您单击保存后，才会保存主机条目。

禁用 HTML Access 如果设置为“是”，将禁止对 Horizon 进行 Web 访问。有关详细信息，请参阅

Horizon 的端点合规性检查。

7 单击保存。

在 Horizon Console 中监控 Unified Access Gateway将 Unified Access Gateway 与 Horizon 管理控制台集成后，可在 Horizon 管理 UI 中查看有关状态、统计

数据和会话的信息。您可以监控 Unified Access Gateway 的系统运行状况。

Horizon 管理控制台中新增的网关选项卡提供了注册和取消注册 Unified Access Gateway 的功能。

图 4-4. 仪表板


VMware, Inc. 71

仪表板屏幕显示已注册 Unified Access Gateway（3.4 或更高版本）、vSphere 组件、域、桌面以及数据存

储使用情况的详细信息。

Blast TCP 和 UDP 外部 URL 配置选项

Blast 安全网关包含 Blast 极高自适应传输 (BEAT) 网络连接，可进行动态调整以适应网络条件，例如不断

变化的网速和数据包丢失。在 Unified Access Gateway 中，您可以配置由 BEAT 协议使用的端口。

Blast 使用标准端口 TCP 8443 和 UDP 8443。UDP 443 还可用于通过 UDP 隧道服务器访问桌面。端口配

置通过 Blast 外部 URL 属性进行设置。

表 4-2. BEAT 端口选项

Blast 外部 URL 由客户端使用的 TCP 端口由客户端使用的 UDP 端口说明

https://ap1.myco.com 8443 8443 这是默认格式，需要在防火墙上打开

TCP 8443 和 UDP 8443（可选），以

允许从 Internet 连接到 Unified AccessGateway。

https://ap1.myco.com:443 443 8443 在需要打开 TCP 443 或 UDP 8443 时使用此格式。

https://ap1.myco.com:xxxx xxxx 8443

https://ap1.myco.com:xxxx/?UDPPort=yyyy

xxxx yyyy

要配置非默认端口，必须在部署时为相应的协议添加内部 IP 转发规则。转发规则可以在 OVF 模板内的部

署中指定，或者通过经由 PowerShell 命令输入的 INI 文件指定。

Horizon 的端点合规性检查

Unified Access Gateway 上的端点合规性检查功能为访问 Horizon 桌面，以及 Unified Access Gateway 上提供的其他用户身份验证服务提供了一层额外的安全保护。

您可以使用端点合规性检查功能来确保符合各种策略要求，例如，端点上的防病毒策略或加密策略。

端点合规策略是在运行于云中或内部部署的服务上定义的。

如果启用端点合规性检查，Unified Access Gateway 将只允许启动合规的 VDI 桌面，并且会阻止启动所有

不合规的端点。

前提条件

1 注册一个 OPSWAT 帐户，然后在 OPSWAT 站点上注册您的应用程序。请参阅 https://go.opswat.com/communityRegistration。

2 记下客户端密钥和客户端密码密钥。您在 Unified Access Gateway 中配置 OPSWAT 时需要使用这两

个密钥。

3 登录到 OPSWAT 站点并为您的端点配置合规策略。请参阅相关 OPSWAT 文档。

4 在 OPSWAT 主页上，单击连接 Metadefender 端点管理，然后在客户端设备上下载并安装代理软件。


VMware, Inc. 72

https://go.opswat.com/communityRegistration

https://go.opswat.com/communityRegistration

步骤

1 登录到管理 UI，并转到高级设置 > 端点合规性检查提供程序设置。

2 单击添加以添加客户端密钥和客户端密码密钥详细信息。

已填充端点合规性检查提供程序和主机名字段。请勿更改这些值。

3 从管理 UI 导航到 Horizon 设置，找到端点合规性检查提供程序字段，然后从下拉菜单中选择

“OPSWAT”。

4 单击保存。

5 使用端点合规性检查提供程序客户端连接到远程桌面。

将列出已配置的 Horizon View 桌面，当您启动桌面时，将验证客户端设备的合规性。

作为反向代理部署

Unified Access Gateway 可以作为 Web 反向代理，它可以是普通反向代理或 DMZ 中的身份验证反向代

理。

部署方案

通过 Unified Access Gateway，可从远程安全访问内部部署的 VMware Identity Manager。Unified AccessGateway 设备通常部署在网络隔离区 (DMZ) 中。通过使用 VMware Identity Manager，Unified AccessGateway 设备可作为用户的浏览器和数据中心的 VMware Identity Manager 服务之间的 Web 反向代理运

行。Unified Access Gateway 还允许远程访问 Workspace ONE 目录以启动 Horizon 应用程序。

注单个 Unified Access Gateway 实例可以处理多 15000 个同时 TCP 连接。如果预期的负载超过

15000 个，则必须在负载平衡器后面配置多个 Unified Access Gateway 实例。

有关在配置反向代理时使用的设置的信息，请参阅高级 Edge 服务设置。


VMware, Inc. 73

图 4-5. 指向 VMware Identity Manager 的 Unified Access Gateway 设备

Workspace ONE/Identity Manager

MicrosoftActive

Directory

Internet

vCenterManagement

Server

负载平衡器

负载平衡器

WorkspaceONE 客户端

DMZ


防火墙

防火墙

企业区域

Workspace ONE 客户端

DNS/NTP服务

了解反向代理

Unified Access Gateway 可以访问应用程序门户以允许远程用户单点登录和访问其资源。应用程序门户是

将 Unified Access Gateway 作为反向代理的后端应用程序，例如，Sharepoint、JIRA 或 vIDM。






在启用和配置反向代理时，请注意以下事项：

n 您必须在 Edge 服务管理器上启用反向代理身份验证。目前，支持 RSA SecurID 和 RADIUS 身份验证

方法。

n 在 Web 反向代理上启用身份验证之前，您必须生成身份提供程序元数据（IDP 元数据）。

n Unified Access Gateway 提供从基于浏览器的客户端到 VMware Identity Manager 和 Web 应用程序的

远程访问（进行或不进行身份验证），然后启动 Horizon 桌面。

n 您可以配置多个反向代理实例，并且可以删除每个已配置的实例。


VMware, Inc. 74

图 4-6. 已配置的多个反向代理

使用 VMware Identity Manager 配置反向代理

您可以配置 Web 反向代理服务以将 Unified Access Gateway 与 VMware Identity Manager 一起使用。

前提条件

请注意具有 VMware Identity Manager 的部署的以下要求：

n 拆分 DNS。在外部，主机名将解析为 Unified Access Gateway 的 IP 地址。在内部，在 UnifiedAccess Gateway 上，相同的主机名将通过内部 DNS 映射或 Unified Access Gateway 上的主机名条目

解析为实际 Web 服务器。

注如果部署仅包含 Web 反向代理，则不需要配置身份桥接。

n VMware Identity Manager 服务必须将完全限定域名 (Fully Qualified Domain Name, FQDN) 作为主机

名。

n Unified Access Gateway 必须使用内部 DNS。这意味着，代理目标 URL 必须使用 FQDN。

n 如果在 Unified Access Gateway 实例中设置了多个反向代理，Web 反向代理实例的代理模式和代理主

机模式组合必须是唯一的。

n 所有配置的反向代理的主机名应解析为 Unified Access Gateway 实例的相同 IP 地址。

n 有关高级 Edge 服务设置的信息，请参阅高级 Edge 服务设置。

步骤


2 在常规设置 > Edge 服务设置中，单击显示。

3 单击反向代理设置齿轮箱图标。

4 在“反向代理设置”页中，单击添加。

5 在“启用反向代理设置”部分中，将否更改为是以启用反向代理。


VMware, Inc. 75

6 配置以下 Edge 服务设置。

选项说明

标识符将 Edge 服务标识符设置为 Web 反向代理。

实例 ID 唯一名称，用于识别和区分一个 Web 反向代理实例和所有其他 Web 反向代理实

例。

代理目标 URL 输入 Web 应用程序的地址，它通常是后端 URL。例如，对于 VMware IdentityManager，请在客户端计算机上添加 IP 地址、VMware Identity Manager 主机名和

外部 DNS。在管理 UI 中，添加 IP 地址、VMware Identity Manager 主机名和内部

DNS。

代理目标 URL 指纹为 proxyDestination URL 输入可接受的 SSL 服务器证书指纹列表。如果指定

*，则可以接受任何证书。指纹采用 [alg=]xx:xx 格式，其中 alg 可以是 sha1（默

认）或 md5。xx 是十六进制数字。“:”分隔符还可以是空格，也可以缺失。指纹

不区分大小写。例如：

sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23

:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

如果未配置指纹，则必须由受信任的 CA 颁发服务器证书。

代理模式输入转发到目标 URL 的匹配 URI 路径。例如，输入为

(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))。

注在配置多个反向代理时，请在代理主机模式中提供主机名。

7 要配置其他高级设置，请单击更多。

选项说明

身份验证方法默认设置是使用用户名和密码的直通身份验证。将在下拉菜单中列出在 UnifiedAccess Gateway 中配置的身份验证方法。支持 RSA SecurID、RADIUS 和设备证

书身份验证方法。

运行状况检查 URI 路径 Unified Access Gateway 会连接到此 URI 路径以检查您的 Web 应用程序的运行状

况。

SAML SP 将 Unified Access Gateway 配置为 VMware Identity Manager 的经过身份验证的反

向代理时是必需的。输入 View XML API 代理的 SAML 服务提供程序名称。该名称

必须与使用 Unified Access Gateway 配置的服务提供程序的名称相匹配，或者是特

殊值 DEMO。如果存在多个使用 Unified Access Gateway 配置的服务提供程序，它

们的名称必须是唯一的。

外部 URL 默认值为 Unified Access Gateway 主机 URL 和端口 443。您可以输入其他外部

URL。输入时应采用以下格式：https://<host:port>.


VMware, Inc. 76

注 “身份验证 Cookie”和“不安全模式”属性对身份验证反向代理无效。您必须使用 AuthMethods 属性定义身份验证方法。

8 单击保存。

后续步骤

要启用身份桥接，请参阅配置身份桥接设置。

内部部署的旧版 Web 应用程序的单点登录访问部署

Unified Access Gateway 身份桥接功能可配置为向使用 Kerberos 约束委派 (Kerberos ConstrainedDelegation, KCD) 或基于标头身份验证的旧版 Web 应用程序提供单点登录 (Single Sign-On, SSO)。

身份桥接模式下的 Unified Access Gateway 可作为服务提供程序，以将用户身份验证传递给已配置的旧版

应用程序。VMware Identity Manager 可作为身份提供程序并将 SSO 提供给 SAML 应用程序。当用户访问

要求 KCD 或基于标头身份验证的旧版应用程序时，Identity Manager 将对该用户进行身份验证。含有用户

信息的 SAML 断言会被发送至 Unified Access Gateway。Unified Access Gateway 使用此身份验证以允许

用户访问应用程序。







VMware, Inc. 78

图 4-7. Unified Access Gateway 身份桥接模式

发送到 Unified AccessGateway 的 SAML 断言

Workspace ONE通过 SSO 协议连接到 SAML、

移动和云应用程序

UAG

负载平衡器/防火墙


转换为Kerberos

格式

转换为基于标头的格式

KCD应用程序

SAML应用程序

基于标头的应用程序

DMZ

身份桥接部署方案

Unified Access Gateway 身份桥接模式可配置为与云或内部部署环境中的 VMware Workspace® ONE® 结合使用。

结合云中的 Workspace ONE 客户端使用 Unified Access Gateway 身份桥接

身份桥接模式可设置为与云中的 Workspace ONE 结合使用来对用户进行身份验证。当用户请求访问旧版

Web 应用程序时，身份提供程序将应用适用的身份验证和授权策略。


VMware, Inc. 79

在用户得到验证后，身份提供程序会创建一个 SAML 令牌并将其发送给用户。用户将 SAML 令牌传递到

DMZ 中的 Unified Access Gateway。Unified Access Gateway 验证 SAML 令牌并检索令牌中的用户主体

名称。

如果请求需要进行 Kerberos 身份验证，则使用 Kerberos 约束委派来与 Active Directory 服务器协商。

Unified Access Gateway 模拟用户检索 Kerberos 令牌以通过应用程序进行身份验证。

如果请求需要进行基于标头的身份验证，则将用户标头名称发送到 Web 服务器以请求通过应用程序进行身

份验证。

应用程序将响应发回 Unified Access Gateway。然后响应将返回给用户。

图 4-8. 结合云中 Workspace ONE 的 Unified Access Gateway 身份桥接

转换为Kerberos

格式

转换为基于标头的格式

Workspace ONE/基于浏览器的客户端

身份验证和应用程序授权

作为身份提供程序托管的Workspace ONE



KCD应用程序


UAG

结合内部部署的 Workspace ONE 客户端使用身份桥接

当身份桥接模式设置为通过内部部署环境中的 Workspace ONE 对用户进行身份验证时，用户需输入 URL以通过 Unified Access Gateway 代理访问内部部署的旧版 Web 应用程序。Unified Access Gateway 将请

求重定向到身份提供程序以进行身份验证。身份提供程序将身份验证和授权策略应用于请求。在用户得到

验证后，身份提供程序会创建一个 SAML 令牌并将该令牌发送给用户。

用户将 SAML 令牌传递到 Unified Access Gateway。Unified Access Gateway 验证 SAML 令牌并检索令牌

中的用户主体名称。

如果请求需要进行 Kerberos 身份验证，则使用 Kerberos 约束委派来与 Active Directory 服务器协商。

Unified Access Gateway 模拟用户检索 Kerberos 令牌以通过应用程序进行身份验证。

如果请求需要进行基于标头的身份验证，则将用户标头名称发送到 Web 服务器以请求通过应用程序进行身

份验证。


VMware, Inc. 80

应用程序将响应发回 Unified Access Gateway。然后响应将返回给用户。

图 4-9. 内部部署的 Unified Access Gateway 身份桥接

Internet

Workspace ONE/基于浏览器的客户端



KCD应用程序

IDM IDM

DMZ

绿色区域

UAG


使用证书到 Kerberos 的身份桥接

您可以配置身份桥接，以便使用证书验证对内部部署的旧版非 SAML 应用程序进行单点登录 (SSO)。请参

阅配置用于身份桥接（证书到 Kerberos）的 Web 反向代理。

配置身份桥接设置

在后端应用程序中配置了 Kerberos 后，如果要在 Unified Access Gateway 中设置身份桥接，需上载身份

提供程序元数据和 Keytab 文件，并配置 KCD 领域设置。

注此版本的身份桥接支持在不同的域中使用同一种域设置。这意味着，用户和 SPN 帐户可以位于不同的

域中。

在通过基于标头的身份验证启用身份桥接时，不需要 Keytab 设置和 KCD 领域设置。

在为 Kerberos 身份验证配置身份桥接设置之前，请确保以下内容可用。

n 已配置身份提供程序并已保存身份提供程序的 SAML 元数据。SAML 元数据文件已上载至 UnifiedAccess Gateway（仅适用于 SAML 方案）。

n 对于 Kerberos 身份验证，已识别通过待使用的密钥分发中心的领域名称启用了 Kerberos 的服务器。

n 对于 Kerberos 身份验证，请将 Kerberos Keytab 文件上载到 Unified Access Gateway。Keytab 文件

包含 Active Directory 服务帐户的凭据，该帐户设置为代表域中给定后端服务的任何用户获取 Kerberos票证。

n 确保打开了以下端口：

n 端口 443，用于传入 HTTP 请求


VMware, Inc. 81

n TCP/UDP 端口 88，用于与 Active Directory 之间的 Kerberos 通信

n Unified Access Gateway 使用 TCP 与后端应用程序进行通信。后端侦听的相应端口，例如，TCP端口 8080。

注 n 不支持在同一个 Unified Access Gateway 实例上为两个不同的反向代理实例配置 SAML 和证书到

Kerberos 的身份桥接。

n 不支持未在同一设备上启用身份桥接的 Web 反向代理实例，不论其是否经过了证书颁发机构的基于证

书的身份验证。

使用 SAML 的基于标头的身份验证

从 IDP 到 SP（在进行身份桥接的情况下，为 Unified Access Gateway）的 SAML 响应包含具有 SAML 属性的 SAML 断言。可在 IDP 中将 SAML 属性配置为指向各种参数，例如用户名和电子邮件等。

在使用 SAML 的基于标头的身份验证中，可以将 SAML 属性的值作为 HTTP 标头发送到后端代理目标。

Unified Access Gateway 中定义的 SAML 属性名称与 IDP 中定义的属性名称相同。例如，如果身份提供程

序具有定义为 Name: userNameValue: idmadmin 的属性，那么，必须将 Unified Access Gateway 中的

SAML 属性名称定义为 "userName"。

与 IDP 中定义的属性不匹配的 SAML 属性会被忽略。Unified Access Gateway 支持多个 SAML 属性和多

值 SAML 属性。下面提供了对于每种情况，预计从身份提供程序获得的 SAML 断言的摘录示例。例如，

1. 对于多个 SAML 属性，预计从 IDP 获得的 SAML 响应

<saml:AttributeStatement>

<saml:Attribute Name="userName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">

<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://

www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">idmadmin</saml:AttributeValue>

</saml:Attribute>

<saml:Attribute Name="userEmail" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">63ecfabf-a577-46c3-b4fa-caf7ae49a6a3</

saml:AttributeValue>

</saml:Attribute>

</saml:AttributeStatement>

在上述示例中，断言包含两个属性："userName" 和 "userEmail"。如果只为 "userName" 配置了基于标头的

身份验证，且标头名称为 "HTTP_USER_NAME"，那么，将以 "HTTP_USER_NAME: idmadmin" 形式发送标头。

由于未在 Unified Access Gateway 上为 "userEmail" 配置基于标头的身份验证，因此不会将其作为标头发

送。

2. 对于多值 SAML 属性，预计从 IDP 获得的 SAML 响应

<saml:AttributeStatement>

<saml:Attribute Name="group" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Employees</saml:AttributeValue>


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Contractors</saml:AttributeValue>


VMware, Inc. 82


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Executives</saml:AttributeValue>


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All</saml:AttributeValue>

</saml:Attribute>

</saml:AttributeStatement>

在上述示例中，属性 "group" 包含四个值，即 "All Employees"、"All Contractors"、"All Executives"

和 "All"。如果只为 "group" 配置了基于标头的身份验证，且标头名称为 "HTTP_GROUP"，那么，将以

"HTTP_GROUP: All Employees, All Contractors, All Executives, All" 形式发送标头，并将所有属性值

的逗号分隔列表作为标头值。

配置领域设置

配置域领域名称、领域的密钥分发中心和 KDC 超时。

领域是保存身份验证数据的管理实体的名称。为 Kerberos 身份验证领域选择一个描述性名称很重要。在

Unified Access Gateway 中配置领域（又称为域名）和相应的 KDC 服务。当 UPN 请求抵达特定领域时，

Unified Access Gateway 在内部解析 KDC 以使用提供 Kerberos 服务的票证。

通常的做法是领域名称以大写字母形式输入，和域名保持一致。例如，领域名称为 EXAMPLE.NET。领域

名称由 Kerberos 客户端用于生成 DNS 名称。

从 Unified Access Gateway 版本 3.0 开始，您可以删除以前定义的领域。

重要事项如果要进行跨域设置，需添加所有领域的详细信息，包括主要和辅助领域，或者子域和相关

KDC 的信息。请确保领域之间已启用信任。

前提条件

已识别通过待用密钥分发中心的领域名称启用了 Kerberos 的服务器。

步骤


2 在高级设置 > 身份桥接设置部分中，选择领域设置齿轮图标。

3 单击添加。

4 完成表单填写。

标签说明

领域的名称为领域输入域名。以大写字母输入领域。领域必须匹配在 Active Directory 中设置的域名。

密钥分发中心输入领域的 KDC 服务器。如果要添加多个服务器，则以逗号分隔列表。

KDC 超时 (以秒为单位) 输入等待 KDC 响应的时间。默认为 3 秒。

5 单击保存。

后续步骤

配置 Keytab 设置。


VMware, Inc. 83

上载 Keytab 设置

Keytab 是一个包含 Kerberos 主体和加密密钥对的文件。Keytab 文件为要求单点登录的应用程序而创建。

Unified Access Gateway 身份桥接使用 keytab 文件对应用 Kerberos 的远程系统进行身份验证，在这一过

程中，您无需输入密码。

当用户经过身份验证从身份提供程序进入 Unified Access Gateway 时，Unified Access Gateway 从Kerberos 域控制器请求 Kerberos 票证来对用户进行身份验证。

Unified Access Gateway 使用 Keytab 文件模拟用户对内部 Active Directory 域进行身份验证。UnifiedAccess Gateway 必须在 Active Directory 域上具有域用户服务帐户。Unified Access Gateway 不会直接加

入域。

注如果管理员为服务帐户重新生成 Keytab 文件，则必须将此 Keytab 文件再次上载到 Unified AccessGateway。

您还可以使用命令行生成 Keytab 文件。例如：

ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp

\kerberos.keytab /mapuser uagkerberos /crypto All

请参阅 Microsoft 文档，了解有关 ktpass 命令的详细信息。

前提条件

您必须具有 Kerberos Keytab 文件的访问权限才能将其上载到 Unified Access Gateway。Keytab 文件是一

个二进制文件。如有可能，请使用 SCP 或其他安全方法在不同计算机之间传输 Keytab。

步骤


2 在高级设置 > 身份桥接设置部分中，选择上载 Keytab 设置齿轮图标。

3 （可选）在主体名称文本框中输入 Kerberos 主体名称。

每个主体始终采用领域名称进行完全限定。领域应当采用大写字母。

请确保此处输入的主体名称是在 Keytab 文件中找到的第一个主体的名称。如果上载的 Keytab 文件中

没有此名称，Keytab 上载将失败。

4 在选择 Keytab 文件文本框中，单击选择，然后浏览到您已保存的 Keytab 文件。单击打开。

如果您没有输入主体名称，则使用在 Keytab 中找到的第一个主体。您可以将多个 Keytab 合并为一个

文件。

5 单击保存。

后续步骤

为 Unified Access Gateway 身份桥接配置 Web 反向代理。


VMware, Inc. 84

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass

配置用于身份桥接（SAML 到 Kerberos）的 Web 反向代理

要配置用于身份桥接（SAML 到 Kerberos）的 Web 反向代理，您必须已将身份提供程序元数据文件保存

到 Unified Access Gateway。

随后，您可以在管理控制台中启用身份桥接，并为服务配置外部主机名。

上载身份提供程序元数据

要配置身份桥接功能，您必须将身份提供程序的 SAML 证书元数据 XML 文件上载到 Unified AccessGateway。

前提条件

SAML 元数据 XML 文件必须已保存到您可访问的计算机上。

如果使用 VMware Identity Manager 作为身份提供程序，请从 VMware Identity Manager 管理控制台（目

录 > 设置 SAML 元数据 > 身份提供程序 (IdP) 元数据链接）下载并保存 SAML 元数据文件。

步骤

1 在管理控制台中，单击手动配置下的选择。

2 在高级设置 > 身份桥接设置部分中，选择上载身份提供程序元数据齿轮图标。

3 在实体 ID 文本框中输入身份提供程序的实体 ID。

如果您没有在“实体 ID”文本框中输入任何值，将会解析元数据文件中的身份提供程序名称，并将其

用作身份提供程序的实体 ID。

4 在 IDP 元数据部分中，单击选择并浏览到您保存的元数据文件。单击打开。

5 单击保存。

后续步骤

对于 KDC 身份验证，请配置领域设置和 Keytab 设置。

对于基于标头的身份验证，当您配置身份桥接功能时，请在“用户标头名称”选项中填写包含用户 ID 的HTTP 标头名称。

配置用于身份桥接（SAML 到 Kerberos）的 Web 反向代理

启用身份桥接，配置服务的外部主机名，并下载 Unified Access Gateway 服务提供程序元数据文件。

该元数据文件将被上载到 VMware Identity Manager 服务中的 Web 应用程序配置页面。

前提条件

您必须已在 Unified Access Gateway 管理控制台中配置了以下身份桥接设置。您可以在高级设置部分下找

到这些设置。

n 已将身份提供程序元数据上载到 Unified Access Gateway。

n 已配置 Kerberos 主体名称，并且已将 Keytab 文件上载到 Unified Access Gateway。

n 领域名称和密钥分发中心信息。


VMware, Inc. 85

确保打开了 TCP/UDP 端口 88，因为 Unified Access Gateway 使用该端口与 Active Directory 进行

Kerberos 通信。

步骤


2 在常规设置 > Edge 服务设置行中，单击显示。

3 单击反向代理设置齿轮箱图标。

4 在反向代理设置页面中，单击添加以创建代理设置。

5 将启用反向代理设置设为“是”，并配置以下 Edge 服务设置。

选项说明

标识符 Edge 服务标识符设置为 Web 反向代理。

实例 ID Web 反向代理实例的唯一名称。

代理目标 URL 指定 Web 应用程序的内部 URI。Unified Access Gateway 必须能够解析和访问此

URL。

代理目标 URL 指纹输入与此代理设置匹配的 URI。指纹采用 [alg=]xx:xx 格式，其中 alg 可以是 sha1、

default 或 md5。“xx”是十六进制数字。例如，sha=C3 89 A2 19 DC 7A 48 2B 851C 81 EC 5E 8F 6A 3C 33 F2 95 C3。

如果未配置指纹，则必须由受信任的 CA 颁发服务器证书。

代理模式输入转发到目标 URL 的匹配 URI 路径。例如，输入为

(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))。

注意：配置多个反向代理时，请在代理主机模式中提供主机名。


选项说明

身份验证方法默认设置是使用用户名和密码的直通身份验证。将在下拉菜单中列出在 UnifiedAccess Gateway 中配置的身份验证方法。支持 RSA SecurID、RADIUS 和设备证

书身份验证方法。

运行状况检查 URI 路径 Unified Access Gateway 会连接到此 URI 路径以检查您的 Web 应用程序的运行状

况。

SAML SP 将 Unified Access Gateway 配置为 VMware Identity Manager 的经过身份验证的反

向代理时是必需的。输入 View XML API 代理的 SAML 服务提供程序名称。该名称

必须与使用 Unified Access Gateway 配置的服务提供程序的名称相匹配，或者是特

殊值 DEMO。如果存在多个使用 Unified Access Gateway 配置的服务提供程序，它

们的名称必须是唯一的。

外部 URL 默认值为 Unified Access Gateway 主机 URL 和端口 443。您可以输入其他外部

URL。输入时应采用以下格式：https://<host:port>.


VMware, Inc. 86

8 配置以下身份桥接设置。

选项说明

身份验证类型选择“SAML”。

SAML 属性作为请求标头传递的 SAML 属性列表。仅当将启用身份桥接设置为是，并将身份验

证类型设置为 SAML 时，此选项才可见。单击“+”可添加 SAML 属性以作为标头

的一部分。

身份提供程序从下拉菜单中，选择“身份提供程序”。

Keytab 在下拉菜单中，为该反向代理选择已配置的 Keytab。

目标服务主体名称输入 Kerberos 服务主体名称。每个主体始终采用领域名称进行完全限定。例如，

myco_hostname@MYCOMPANY。以大写字母形式键入领域名称。如果您未向文本框中

添加名称，则服务主体名称将派生自代理目标 URL 的主机名。

服务登录页面在断言得到验证后，进入身份提供程序中用户被重定向到的页面。默认设置为 /。

用户标头名称对于基于标头的身份验证，输入包含派生自断言的用户 ID 的 HTTP 标头名称。

9 在“下载 SP 元数据”部分中，单击下载。

保存服务提供程序元数据文件。

10 单击保存。

后续步骤

将 Unified Access Gateway 服务提供程序元数据文件添加到 VMware Identity Manager 服务中的 Web 应用程序配置页面。

将元数据文件添加到 VMware Identity Manager 服务

必须将下载的 Unified Access Gateway 服务提供程序元数据文件上载到 VMware Identity Manager 服务中

的 Web 应用程序配置页面。

所用的 SSL 证书必须与在多个负载平衡的 Unified Access Gateway 服务器间使用的证书相同。

前提条件

您必须已将 Unified Access Gateway 服务提供程序元数据文件保存到计算机。

步骤

1 登录到 VMware Identity Manager 管理控制台。

2 在“目录”选项卡中，单击添加应用程序并选择创建一个新应用程序。

3 在“应用程序详细信息”页面内的“名称”文本框中，输入一个终用户友好名称。

4 选择 SAML 2.0 POST 身份验证配置文件。

您还可以添加对此应用程序的描述和显示给 Workspace ONE 门户中终用户的图标。

5 单击下一步并在应用程序配置页面中，向下滚动到配置方式部分。


VMware, Inc. 88

6 选择元数据 XML 单选按钮，并将 Unified Access Gateway 服务提供程序元数据文本粘贴到元数据

XML 文本框中。

7 （可选）在“属性映射”部分中，将以下属性名称映射到用户配置文件值。“格式”字段值为“基

本”。属性名称必须以小写字母输入。

名称配置的值

upn userPrincipalName

userid Active Directory 用户 ID

8 单击保存。

后续步骤

授权用户和组使用此应用程序。

注 Unified Access Gateway 仅支持单域用户。如果身份提供程序设置了多个域，则只有单域中的用户有

权使用此应用程序。

配置用于身份桥接（证书到 Kerberos）的 Web 反向代理

需先配置 Workspace ONE UEM 控制台以提取并使用 CA 证书，然后再配置 Unified Access Gateway 桥接功能，以便使用证书验证对内部部署的旧版非 SAML 应用程序进行单点登录 (SSO)。

允许 Workspace ONE UEM 控制台提取并使用 CA 证书

您可以在 CA 服务器中添加用户模板，并在 Workspace ONE UEM Console 中配置相应设置，以允许

Workspace ONE UEM 提取并使用 CA 证书。

步骤

1 添加用户模板

要允许 Workspace ONE UEM 提取证书，第一步是在 CA 服务器中添加用户模板。

2 在控制台中添加证书颁发机构

在 Workspace ONE UEM 控制台中添加证书颁发机构 (CA)。

3 添加证书颁发机构请求模板

在 Workspace ONE UEM 控制台中添加了证书颁发机构之后，需添加 CA 请求模板。

4 更新安全策略以使用提取的 CA 证书

在 Workspace ONE UEM 控制台中更新安全策略以使用提取的 CA 证书。

添加用户模板要允许 Workspace ONE UEM 提取证书，第一步是在 CA 服务器中添加用户模板。

步骤

1 登录到配置了 CA 的服务器。

2 单击开始，然后键入 mmc.exe。


VMware, Inc. 89

3 在 MMC 窗口中，转到文件 > 添加/删除管理单元。

4 在添加或删除管理单元窗口中，选择证书模板，然后单击添加。

5 单击确定。

6 在证书模板窗口中，向下滚动并选择用户 > 复制模板。

7 在新模板的属性窗口中，选择常规选项卡，然后为模板显示名称提供一个名称。

模板名称中会自动填充此名称（不含空格）。

8 选择使用者名称选项卡，然后选择在请求中提供。

9 单击应用，然后单击确定。

10 在 MMC 窗口中，转到文件 > 添加/删除管理单元。

11 在添加或删除管理单元窗口中，选择证书颁发机构，然后单击添加。

12 在 MMC 窗口中，选择证书颁发机构 > 证书模板。

13 右键单击证书颁发机构，然后选择新建 > 要颁发的证书模板。

14 选择在第 6 步中创建的模板。

后续步骤

确认您添加的模板显示在列表中。

登录到 Workspace ONE UEM 控制台并添加 CA。

在控制台中添加证书颁发机构在 Workspace ONE UEM 控制台中添加证书颁发机构 (CA)。

前提条件

n 您必须已在 CA 服务器中添加了用户模板。

n 您必须具有 CA 颁发者的名称。可登录到 Active Directory (AD) 服务器并从命令提示符中运行

certutil 命令，以获取 CA 颁发者名称。

n 将 CA 的 Username 指定为 service account 类型。

步骤

1 登录到 Workspace ONE UEM 控制台并选择相应的组织组。

2 转到所有设置，然后从下拉菜单中单击企业集成 > 证书颁发机构。

3 单击证书颁发机构选项卡，然后单击添加。

4 输入证书颁发机构的以下信息：

选项说明

名称有效的 CA 名称

颁发机构类型 Microsoft ADCS


VMware, Inc. 90

选项说明

协议 ADCS

服务器主机名 AD 服务器的主机名

颁发机构名称 CA 颁发者名称

身份验证服务帐户

用户名具有服务帐户的用户名，格式为 domain\username。

密码该用户名对应的密码

其他选项无

5 单击保存。

添加证书颁发机构请求模板在 Workspace ONE UEM 控制台中添加了证书颁发机构之后，需添加 CA 请求模板。

前提条件

1 您必须已在 CA 服务器中添加了用户模板。

2 您必须已在 Workspace ONE UEM 控制台中添加了 CA。

步骤

1 登录到 Workspace ONE UEM 控制台，转到所有设置，然后从下拉列表中单击企业集成 > 证书颁发机

构。

2 单击请求模板选项卡，然后单击添加。

3 输入模板的以下信息：

选项说明

名称有效的证书模板名称

描述（可选）模板的描述

证书颁发机构先前添加的证书颁发机构

颁发模板在 CA 服务器中创建的用户模板的名称

使用者名称要添加使用者名称，请将光标放置在值字段中（位于默认值“CN=”之后），然后

单击“+”按钮并选择相应的电子邮件地址

私钥长度 2048

私钥类型选择签名

SAN 类型单击添加，然后选择用户主体名称

自动续订证书（可选）

启用证书吊销（可选）

发布私钥（可选）

4 单击保存。


VMware, Inc. 91

更新安全策略以使用提取的 CA 证书在 Workspace ONE UEM 控制台中更新安全策略以使用提取的 CA 证书。

前提条件

步骤

1 登录到 Workspace ONE UEM 控制台，转到所有设置，然后从下拉菜单中单击应用程序 > 安全与策略

> 安全策略。

2 为“当前设置”选择覆盖。

3 启用集成化身份验证。

a 选择使用证书。

b 将凭据来源设置为定义的证书颁发机构。

c 指定先前设置的证书颁发机构和证书模板。

4 将允许的网站设置为 *。

5 单击保存。

配置用于身份桥接（证书到 Kerberos）的 Web 反向代理

可以配置 Unified Access Gateway 桥接功能，以便使用证书验证对内部部署的旧版非 SAML 应用程序进行

单点登录 (SSO)。

前提条件

在开始配置过程之前，请先确保您拥有以下文件和证书：

n 后端应用程序（例如 Sharepoint 或 JIRA）的 Keytab 文件

n 根 CA 证书或包含用户中间证书的整个证书链

n 您必须已在 Workspace ONE UEM 控制台中添加并上载了证书。请参阅允许 Workspace ONE UEM 控制台提取并使用 CA 证书。

请参阅相关产品文档，以便为非 SAML 应用程序生成根证书和用户证书以及 Keytab 文件。

确保打开了 TCP/UDP 端口 88，因为 Unified Access Gateway 使用该端口与 Active Directory 进行

Kerberos 通信。

步骤

1 从身份验证设置 > X509 证书中，转到：

a 在根和中间 CA 证书中，单击选择并上载整个证书链。

b 在启用证书吊销处，将设置切换为是。

c 选中启用 OCSP 吊销复选框。


VMware, Inc. 92

d 在 OCSP URL 文本框中输入 OCSP 响应程序 URL。

Unified Access Gateway 会将 OCSP 请求发送到指定的 URL，并接收一条响应，该响应中包含指

示证书是否已吊销的信息。

e 仅当存在将 OCSP 请求发送到客户端证书中的 OCSP URL 的用例时，才选中使用证书中的 OCSPURL 复选框。如果未启用此设置，将默认使用 OCSP URL 文本框中的值。

2 从高级设置 > 身份桥接设置 > OSCP 设置中，单击添加。

a 单击选择并上载 OCSP 签名证书。

3 选择领域设置齿轮箱图标，并按照配置领域设置中的说明配置领域设置。

4 从常规设置 > Edge 服务设置中，选择反向代理设置齿轮箱图标。

5 将启用身份桥接设置设置为是，并配置以下身份桥接设置，然后单击保存。


VMware, Inc. 93

选项说明

身份验证类型从下拉菜单中选择“证书”。

Keytab 在下拉菜单中，为该反向代理选择已配置的 Keytab。

目标服务主体名称输入 Kerberos 服务主体名称。每个主体始终采用领域名称进行完全限定。例如，

myco_hostname@MYCOMPANY。以大写字母形式键入领域名称。如果您未向文本框中

添加名称，则服务主体名称将派生自代理目标 URL 的主机名。

用户标头名称对于基于标头的身份验证，输入包含派生自断言的用户 ID 的 HTTP 标头名称，或使

用默认名称 AccessPoint-User-ID。

后续步骤

使用 Workspace ONE Web 访问目标网站时，该目标网站会充当反向代理。Unified Access Gateway 会验

证所提供的证书。如果证书有效，浏览器将显示后端应用程序的用户界面页。

有关具体的错误消息和故障排除信息，请参阅错误故障排除：身份桥接。

Unified Access Gateway 上的 Workspace ONE UEM 组件

您可以使用 Unified Access Gateway 设备部署 VMware Tunnel。Unified Access Gateway 支持在 ESXi 或Microsoft Hyper-V 环境中进行部署。VMware Tunnel 为单个应用程序访问企业资源提供了一种安全且有效

的方法。Content Gateway (CG) 是 Workspace ONE UEM 内容管理解决方案的一个组件，通过该组件可

以安全地访问移动设备上的内部部署存储库内容。

VMware Tunnel 和 Content Gateway 的 DNS 要求

在同一设备上同时启用了 VMware Tunnel 和 Content Gateway 服务，并且还启用了 TLS 端口共享时，

DNS 名称对于每项服务必须是唯一的。如果未启用 TLS，则只有一个 DNS 名称可用于这两项服务，因为

端口将区分入站流量。

在 Unified Access Gateway 上部署 VMware Tunnel使用 Unified Access Gateway 设备部署 VMware Tunnel 为各个应用程序提供了一种安全有效的方法以访

问企业资源。Unified Access Gateway 支持在 ESXi 或 Microsoft Hyper-V 环境中进行部署。


VMware, Inc. 94

VMware Tunnel 由两个独立的组件构成：隧道代理和每应用隧道。您可以使用单层或多层网络架构模型部

署 VMware Tunnel。

隧道代理和每应用隧道部署模型都可用于 Unified Access Gateway 设备上的多层网络。部署内容包括部署

在 DMZ 中的前端 Unified Access Gateway 服务器，以及部署在内部网络中的后端服务器。

隧道代理组件通过 Workspace ONE UEM 上部署的 Workspace ONE Web 或任何启用 Workspace ONESDK 的应用程序，保护终用户设备和网站之间的网络流量。该移动应用程序将创建与隧道代理服务器的

安全 HTTPS 连接并保护敏感数据。设备将按照 Workspace ONE UEM 控制台中的配置，使用通过 SDK颁发的证书对隧道代理进行身份验证。通常，当存在需要安全访问内部资源的未受管设备时，应使用此组

件。

对于完全注册的设备，每应用隧道组件允许设备直接连接到内部资源，而无需使用 Workspace ONESDK。此组件使用 iOS、Android、Windows 10 和 macOS 操作系统的本机每应用 VPN 功能。

有关这些平台和 VMware Tunnel 组件功能的更多信息，请参阅 Workspace ONE UEM 文档页面上的新

Tunnel 文档。

为您的 Workspace ONE UEM 环境部署 VMware Tunnel 的过程包括以下步骤：

1 设置初始硬件。

2 在 Workspace ONE UEM 控制台中配置 VMware Tunnel 主机名和端口信息。请参阅基于 DMZ 的Unified Access Gateway 设备的防火墙规则。

3 下载并部署 Unified Access Gateway OVF 模板。

4 手动配置 VMware Tunnel。


VMware, Inc. 95

https://docs.vmware.com/cn/VMware-Workspace-ONE-UEM/index.html

图 4-10. VMware Tunnel 多层部署：隧道代理和每应用隧道

内部资源：-SharePoint-Wiki-内部网

VMwareAirwatch

VMware Tunnel后端服务器

VMware Tunnel前端服务器

DMZ

内部网络

最终用户设备

80、443

443

443

2010、8443

2020、8443

AirWatch v9.1 和更高版本支持将级联模式作为 VMware Tunnel 的多层部署模型。级联模式要求每个隧道

组件具有一个从 Internet 到前端隧道服务器的专用入站端口。前端和后端服务器都必须能够与 WorkspaceONE UEM API 和 AWCM 服务器进行通信。对于每应用隧道组件，VMware Tunnel 级联模式支持多层架

构。

有关 Content Gateway 和隧道代理的负载平衡注意事项，请参阅 Unified Access Gateway 负载平衡拓扑。

有关 Workspace ONE UEM 指南和发行说明的完整列表，请访问 VMware Workspace ONE UEM 文档页

面。

配置 VMware Tunnel 代理

可使用配置向导来配置 VMware Tunnel 代理。向导中配置的选项都打包在安装程序中，可从 WorkspaceONE UEM 控制台下载此安装程序并将其迁移至 Tunnel 服务器。

在 UEM Console 的组与设置 > 所有设置 > 系统 > 企业集成 > VMware Tunnel > 代理中配置 VMwareTunnel 代理。该向导将逐步指导您完成安装程序配置。向导中配置的选项都打包在安装程序中，可从

Workspace ONE UEM 控制台下载此安装程序并将其迁移至 Tunnel 服务器。更改此向导中的详细信息通常

需要重新安装含新配置的 VMware Tunnel。


VMware, Inc. 96

https://docs.vmware.com/cn/VMware-Workspace-ONE-UEM/index.html

要配置 VMware Tunnel 代理，需要具有计划安装该产品的服务器的详细信息。在配置前，请确定部署模

型、一个或多个主机名和端口，以及要实施的 VMware Tunnel 功能，例如，访问日志集成、SSL 卸载、企

业证书颁发机构集成等。

注该向导会根据您的选择动态显示相应的选项，配置屏幕可能会显示不同的文本框和选项。

步骤

1 导航到组与设置 > 所有设置 > 系统 > 企业集成 > VMware Tunnel > 代理。

n 如果这是您首次配置 VMware Tunnel，那么请选择配置，并遵循配置向导屏幕的指示进行操作。

n 如果不是首次配置 VMwareTunnel，请选择覆盖，然后选择已启用 VMware Tunnel 切换开关，然

后选择配置。

2 在部署类型屏幕上，选择启用代理 (Windows 和 Linux) 切换开关，然后使用代理配置类型下拉菜单选

择要配置的组件。

3 在显示的下拉菜单中，选择要配置中继端点部署还是代理配置类型部署。选择信息图标可查看所选类型

的示例。

4 选择下一步。

5 在详细信息屏幕上，配置以下设置。详细信息屏幕上显示的选项取决于您在代理配置类型下拉菜单中选

择的配置类型。

u 对于基本代理配置类型，请输入以下信息：

设置说明

主机名输入 Tunnel 服务器的公共主机名的 FQDN，例如，tunnel.acmemdm.com。此主机

名必须公开可用，因为它将作为设备用于在 Internet 之间进行连接的 DNS。

中继端口代理服务安装在此端口上。设备会连接到 <relayhostname>:<port> 以使用 VMwareTunnel 代理功能。默认值为 2020。

中继主机名（仅限中继端点部署）。输入 Tunnel 中继服务器的公共主机名的 FQDN，例如，

tunnel.acmemdm.com。此主机名必须公开可用，因为它将作为设备用于在 Internet之间进行连接的 DNS。


VMware, Inc. 97

设置说明

启用 SSL 卸载如果要使用 SSL 卸载来减轻来自 VMware Tunnel 服务器的加密和解密流量负担，

请选中此复选框。

使用 Kerberos 代理启用 Kerberos 代理支持，以允许目标后端 Web 服务访问 Kerberos 身份验证。此功

能当前不支持 Kerberos 约束委派 (KCD)。有关更多信息，请参阅配置 Kerberos 代理设置。

端点服务器必须与 KDC 位于相同域中，这样 Kerberos 代理才能与 KDC 成功通

信。

u 如果选择中继端点代理配置类型，请输入以下信息：

设置说明

中继主机名（仅限中继端点部署）。输入 Tunnel 中继服务器的公共主机名的 FQDN，例如，

tunnel.acmemdm.com。此主机名必须公开可用，因为它将作为设备用于在 Internet之间进行连接的 DNS。

端点主机名 Tunnel 端点服务器的内部 DNS。该值是中继服务器在中继端点端口上连接到的主机

名。如果计划在 SSL 卸载服务器上安装 VMware Tunnel，请在主机名中输入该服务

器的名称。

输入主机名时，请勿包含协议，如 http://、https:// 等。

中继端口代理服务安装在此端口上。设备会连接到 <relayhostname>:<port> 以使用 VMwareTunnel 代理功能。默认值为 2020。

端点端口（仅限中继端点部署）。该值是用于在 VMware Tunnel 中继与 VMware Tunnel 端点之间进行通信的端口。默认值为 2010。

如果使用代理和每应用隧道的组合，则中继端点将作为级联模式前端服务器的一部

分进行安装。端口应采用不同值。

启用 SSL 卸载如果要使用 SSL 卸载来减轻来自 VMware Tunnel 服务器的加密和解密流量负担，

请选中此复选框。

使用 Kerberos 代理启用 Kerberos 代理支持，以允许目标后端 Web 服务访问 Kerberos 身份验证。此功

能当前不支持 Kerberos 约束委派 (KCD)。有关更多信息，请参阅配置 Kerberos 代理设置。

端点服务器必须与 KDC 位于相同域中，这样 Kerberos 代理才能与 KDC 成功通

信。

在领域字段中，输入 KDC 服务器的领域。


7 在 SSL 屏幕上，您可配置公共 SSL 证书，以保护从设备上的已启用应用程序到 VMware Tunnel 的客

户端-服务器通信。默认情况下，此设置使用 AirWatch 证书来保护服务器-客户端通信。

a 如果您希望使用第三方 SSL 证书来加密 Workspace ONE Web 或启用 SDK 的应用程序与

VMware Tunnel 服务器之间的通信，请选择使用公共 SSL 证书选项。

b 选择上载以上载 .PFX 或 .P12 证书文件，并输入密码。此文件必须包含公钥和私钥对。不支持

CER 和 CRT 文件。



VMware, Inc. 98

9 在身份验证屏幕上，配置以下设置以选择设备用于在 VMware Tunnel 中进行身份验证的证书。

默认情况下，所有组件均使用 AirWatch 颁发的证书。要将企业 CA 证书用于客户端-服务器身份验证，

请选择企业 CA 选项。

a 选择默认可使用 AirWatch 颁发的证书。默认的 AirWatch 颁发的客户端证书不会自动续订。要续订

这些证书，请将 VPN 配置文件重新发布到包含即将过期或已过期客户端证书的设备。通过导航到

设备 > 设备详细信息 > 更多 > 证书，可查看设备的证书状态。

b 选择企业 CA 代替 AirWatch 颁发的证书，因为 Workspace ONE Web、启用每应用隧道的应用程

序或启用 SDK 的应用程序与 VMware Tunnel 之间的身份验证要求先在 Workspace ONE UEM 环境中设置证书颁发机构和证书模板，然后再配置 VMware Tunnel。

c 选择用于向 CA 请求证书的证书颁发机构和证书模板。

d 选择上载以将证书颁发机构的完整公钥链上载到配置向导。

CA 模板必须在使用者名称中包含 CN=UDID。受支持的 CA 包括 ADCS、RSA 和 SCEP。

证书会根据您的 CA 模板设置自动续订。

10 单击添加以添加中间证书。


12 在其他屏幕上，可以为代理或每应用隧道组件启用访问日志。启用访问日志切换开关可配置该功能。

如果您打算使用此功能，现在必须在配置过程中对其进行配置，因为稍后只能通过重新配置 Tunnel 并重新运行安装程序来启用该功能。有关这些设置的更多信息，请参阅#unique_75 和为 VMware Tunnel配置高级设置。

a 在 Syslog 主机名字段中输入 syslog 主机的 URL。此设置在启用“访问日志”后显示。

b 在 UDP 端口字段中输入要用于与 syslog 主机通信的端口。

13 选择下一步，查看配置摘要，确认所有主机名、端口和设置正确无误，然后选择保存。

现在，安装程序已经准备就绪，可在 VMware Tunnel 配置屏幕上进行下载。

14 在配置屏幕上，选择常规选项卡。常规选项卡允许您执行以下操作：

a 您可以选择测试连接以验证连接情况。

b 您可以选择下载配置 XML 以作为 XML 文件检索现有 VMware Tunnel 实例配置。

c 您可以选择下载 Unified Access Gateway 超链接。此按钮会下载非 FIPS OVA 文件。下载的文

件还包括 PowerShell 部署方法对应的 PowerShell 脚本和 .ini 模板文件。您必须从“MyWorkspace ONE”下载 VHDX 或 FIPS OVA。

d 要使用传统安装程序方法，可选择下载 Windows 安装程序。

此按钮会下载用于部署 VMware Tunnel 服务器的单个 BIN 文件。确认证书密码后，可从

Workspace ONE UEM 控制台下载安装所需的配置 XML 文件。

15 选择保存。


VMware, Inc. 99

单层部署模型

如果使用的是单层部署模型，请使用基本端点模式。VMware Tunnel 的基本端点部署模型是安装在具有公

开可用 DNS 的服务器上的单个产品实例。

基本 VMware Tunnel 通常安装在 DMZ 中负载平衡器后的内部网络中，负载平衡器会将已配置的端口上的

流量转发到 VMware Tunnel，后者随后直接连接到内部 Web 应用程序。所有部署配置都支持负载平衡和

反向代理。

基本端点 Tunnel 服务器与 API 和 AWCM 通信以接收允许访问 VMware Tunnel 的客户端白名单。代理和

每应用隧道组件都支持使用出站代理与此部署模型中的 API/AWCM 进行通信。当设备连接到 VMwareTunnel 时，将根据由 Workspace ONE UEM 颁发的唯一 X.509 证书来对其进行身份验证。对设备进行身

份验证后，VMware Tunnel（基本端点）会将请求转发至内部网络。

如果基本端点安装在 DMZ 中，必须进行适当的网络更改才允许 VMware Tunnel 通过所需的端口访问各种

内部资源。通过将此组件安装在 DMZ 中的负载平衡器后，可大程度地减少实施 VMware Tunnel 时所做

的网络更改数量，并可提供一个安全层，因为公共 DNS 不会直接指向托管 VMware Tunnel 的服务器。

最终用户

设备

443

80、443 80、443

8443/2020

VMware AirWatch

内部

网络

DMZ

最终用户

设备

VMware Tunnel 服务器

SaaS 单层模型内部部署单层模型

内部资源：- Share Point - Wiki - Intranet

VMware Tunnel 服务器API/AWCM

443/2001

8443/2020


内部

网络

DMZ

级联模式部署

级联部署模型架构包含两个具有单独角色的 VMware Tunnel 的实例。在级联模式中，前端服务器位于

DMZ 中，并与内部网络中的后端服务器进行通信。

仅每应用隧道组件支持级联部署模型。如果仅使用代理组件，那么必须使用中继端点模型。有关更多信

息，请参阅中继端点部署。


VMware, Inc. 100

设备会使用已配置的主机名通过已配置的端口访问级联模式的前端服务器。用于访问前端服务器的默认端

口为端口 8443。级联模式的后端服务器安装在托管 Intranet 站点和 Web 应用程序的内部网络中。该部署

模型将公开可用的前端服务器与直接连接到内部资源的后端服务器分开，从而提供一个额外的安全层。

对 VMware Tunnel 发出请求时，前端服务器通过连接到 AWCM 来对设备实施身份验证。当设备对

VMware Tunnel 发起请求时，前端服务器会判断设备是否有权访问此服务。在进行身份验证后，将使用

TLS 通过一个端口将请求安全地转发到后端服务器。

后端服务器会连接到设备请求的内部 DNS 或 IP。

级联模式通过 TLS 连接（或可选的 DTLS 连接）进行通信。您可以根据需要托管任意数量的前端服务器和

后端服务器。在搜索可将设备连接到内部网络的活动后端服务器时，每个前端服务器会单独做出判断。您

可以在 DNS 查找表中设置多个 DNS 条目，以允许进行负载平衡。

前端和后端服务器都会与 Workspace ONE UEM API 服务器和 AWCM 进行通信。API 服务器提供

VMware Tunnel 配置，AWCM 提供设备身份验证、白名单和流量规则。除非启用出站代理调用，否则前端

和后端服务器会通过直接 TLS 连接与 API/AWCM 通信。如果前端服务器无法访问 API/AWCM 服务器，请

使用此连接。如果已启用，前端服务器将通过后端服务器连接到 API/AWCM 服务器。此流量以及后端流量

会使用服务器端流量规则进行路由。有关更多信息，请参阅每应用隧道的网络流量规则

下图显示了级联模式下每应用隧道组件的多层部署：

最终用户

设备

443

80、443 80、443

8443

8443

VMware AirWatch

内部

网络

DMZ

最终用户

设备


服务器

SaaS 多层模型内部部署多层模型

VMware Tunnel 后端

服务器



服务器API/AWCM

443/2001

8443

8443

443/2001VMware Tunnel 后端

服务器


内部

网络

DMZ


VMware, Inc. 101

中继端点部署

如果您使用的是多层部署模型和 VMware Tunnel 的代理组件，请使用中继端点部署模式。中继端点部署模

式架构包含两个具有单独角色的 VMware Tunnel 的实例。VMware Tunnel 中继服务器位于 DMZ 中，并且

可通过配置的端口从公共 DNS 访问。

如果仅使用每应用隧道组件，请考虑使用级联模式部署。有关更多信息，请参阅级联模式部署。

默认情况下，用于访问公共 DNS 的端口为端口 8443（用于每应用隧道）和端口 2020（用于代理）。

VMware Tunnel 端点服务器安装在托管 Intranet 站点和 Web 应用程序的内部网络中。此服务器必须具有一

个可由中继服务器解析的内部 DNS 记录。该部署模型将公开可用的服务器与直接连接到内部资源的服务器

分开，从而提供一个额外的安全层。

中继服务器角色包括与 API 和 AWCM 组件通信，以及在对 VMware Tunnel 发出请求时对设备进行身份验

证。在此部署模型中，可通过端点服务器将从中继服务器到 API 和 AWCM 的通信路由至出站代理。每应

用隧道服务必须直接与 API 和 AWCM 通信。当设备对 VMware Tunnel 发起请求时，中继服务器会判断设

备是否有权访问此服务。在进行身份验证后，将使用 HTTPS 通过一个端口（默认端口为 2010）将请求安

全地转发到 VMware Tunnel 端点服务器。

端点服务器的角色是连接到设备请求的内部 DNS 或 IP。除非在 Workspace ONE UEM Console 的VMware Tunnel 设置中将通过代理启用 API 和 AWCM 出站调用设为已启用，否则端点服务器不会与 API或 AWCM 通信。中继服务器会定期执行运行状况检查以确保端点处于活动和可用状态。

这些组件可安装在共享或专用服务器上。在专用 Linux 服务器上安装 VMware Tunnel 可确保性能不受同一

服务器上运行的其他应用程序影响。对于中继端点部署，代理和每应用隧道组件安装在同一个中继服务器

上。


VMware, Inc. 102

图 4-11. 中继端点部署的内部部署配置

DMZ 内部网络

设备服务/AWCM

AirWatch Tunnel 中继

浏览器（代理）流量

通过您定义的端口发送。

有关更多信息，请参阅“隧道管理指南”中的

“HTTPS 隧道连接”部分。

仅用于 Linux 的隧道：每应用

隧道流量通过 TCP (8443) 发送。

HTTPS 或加密的 HTTP 流量

代理流量（默认端口：2020）

AirWatch MDM 流量 HTTPS (433)

证书流量 HTTPS (433)

设备

注册


通过您选择的端口来传输，

并在 AirWatch 管理控制台中设置。

已创建并

交付到设备的证书

DS 服务器通过 AWCM 将证书交付到

AW Tunnel

所有证书的 AW Tunnel 初始更新

内部资源：网站 - SharePoint - Wiki - Intranet

控制台/API 服务器

AirWatch Tunnel 端点


VMware, Inc. 103

图 4-12. 中继端点部署的 SaaS 配置

DMZ 内部网络

AirWatch Tunnel 中继

AirWatch Cloud


通过您定义的端口发送。

有关更多信息，请参阅“隧道管理指南”中的

“HTTPS 隧道连接”部分。

仅用于 Linux 的隧道：每应用

隧道流量通过 TCP (8443) 发送。

代理流量（默认端口：2020）

AirWatch MDM 流量 HTTPS (433)

证书流量 HTTPS (433)

设备

注册

AW Tunnel 检索

用于身份验证的

证书

最终用户

设备


通过您选择的端口来传输，

并在 AirWatch 管理

控制台中设置。

已创建并

交付到

设备的证书

内部资源：网站 - SharePoint - Wiki - IntranetAirWatch Tunnel

端点

为 Workspace ONE UEM 配置 VMware Tunnel 设置

隧道代理部署通过 Workspace ONE Web 移动应用程序保护终用户设备和网站之间的网络流量。

步骤


2 导航到常规设置 > Edge 服务设置，然后单击显示。

3 单击 VMware Tunnel 设置齿轮箱图标。

4 将“否”更改为是以启用隧道代理。

5 配置以下 Edge 服务设置资源：

选项说明

API 服务器 URL 输入 Workspace ONE UEM API 服务器 URL。例如，输入为 https://example.com:<port>。

API 服务器用户名输入用于登录到 API 服务器的用户名。

API 服务器密码输入用于登录到 API 服务器的密码。


VMware, Inc. 104

选项说明

组织组 ID 输入用户的组织。

Tunnel 服务器主机名输入在 Workspace ONE UEM 控制台中配置的 VMware Tunnel 外部主机名。


选项说明

出站代理主机输入安装了出站代理的主机名。

注这不是隧道代理。

出站代理端口输入出站代理的端口号。

出站代理用户名输入用于登录到出站代理的用户名。

出站代理密码输入用于登录到出站代理的密码。

NTLM 身份验证将“否”更改为是以指定出站代理请求需要使用 NTLM 身份验证。

用于 VMware Tunnel 代理将“否”更改为是以将该代理作为 VMware Tunnel 的出站代理。如果未启用，则

Unified Access Gateway 会将此代理用于初始 API 调用，以便从 Workspace ONEUEM 控制台中获取配置。




alias。可以单击“+”号以添加多个主机条目。


受信任证书选择 PEM 格式的受信任证书文件以添加到信任存储中。默认情况下，别名是 PEM证书的文件名。可以编辑别名文本框以提供不同的名称。

7 单击保存。

使用 PowerShell 为 Workspace ONE UEM 部署 VMware Tunnel您可以使用 PowerShell 为 Workspace ONE UEM 部署 VMware Tunnel。

有关使用 PowerShell 部署 VMware Tunnel 的信息，请观看以下视频：

VMware Tunnel PowerShell 部署

(http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell)

关于 TLS 端口共享

每次将多个 Edge 服务配置为使用 TCP 端口 443 时，将在 Unified Access Gateway 上默认启用 TLS 端口

共享。支持的 Edge 服务包括 VMware Tunnel（每应用 VPN）、Content Gateway 和 Web 反向代理。

注如果要共享 TCP 端口 443，请确保每个配置的 Edge 服务具有指向 Unified Access Gateway 的唯一外

部主机名。


VMware, Inc. 105

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell

Unified Access Gateway 上的 Content GatewayContent Gateway (CG) 是 Workspace ONE UEM 内容管理解决方案的一个组件，通过该组件可以安全地

访问移动设备上的内部部署存储库内容。

前提条件

您必须先使用 Workspace ONE UEM 控制台配置 Content Gateway 节点，然后才能在 Unified AccessGateway 上配置 Content Gateway。在配置该节点后，请记下自动生成的 Content Gateway 配置 GUID。

注 CG 缩写还用于表示 Content Gateway。

步骤

1 导航到常规设置 > Edge 服务设置 > Content Gateway 设置，然后单击齿轮箱图标。

2 选择是以启用 Content Gateway 设置。

3 配置以下设置

选项说明

标识符指示此服务已启用。

API 服务器 URL Workspace ONE UEM API 服务器 URL [http[s]://]hostname[:port]

目标 URL 中必须包含协议、主机名或 IP 地址以及端口号。例如：https://load-

balancer.example.com:8443

Unified Access Gateway 从 API 服务器中提取 Content Gateway 配置。

API 服务器用户名用于登录到 API 服务器的用户名。

注要求管理员帐户至少具有与 Content Gateway 角色相关联的权限

API 服务器密码用于登录到 API 服务器的密码。

CG 主机名用于配置 Edge 设置的主机名。

CG 配置 GUID Workspace ONE UEM Content Gateway 配置 ID。此 ID 是在 Workspace ONEUEM 控制台上配置 Content Gateway 时自动生成的。该配置 GUID 显示在 UEMConsole 上 Content Gateway 页面中的设置 > 内容 > Content Gateway 下面。

出站代理主机安装出站代理的主机。Unified Access Gateway 通过出站代理（如果配置）建立到

API 服务器的连接。

出站代理端口出站代理的端口。

出站代理用户名用于登录到出站代理的用户名。

出站代理密码用于登录到出站代理的密码。

NTLM 身份验证指定出站代理是否需要 NTLM 身份验证。


VMware, Inc. 106

选项说明







alias。可以单击“+”以添加多个主机条目。


注由于 Edge Service Manager 已使用 TCP 端口 80，因此，不允许在 Unified Access Gateway 中的

端口 80 上传输 Content Gateway 的 HTTP 流量。

4 单击保存。

Content Gateway 配置

在 Workspace ONE UEM Console 中配置 Content Gateway 设置以建立节点并对捆绑到配置文件中的设置

进行预配置，从而无需在服务器上完成安装后手动配置设置。

配置包括选择平台、配置模型、关联的端口以及（如果需要）上载 SSL 证书。

从 Workspace ONE UEM Console 版本 9.6 开始，配置 Content Gateway 节点时建议采用 Unified AccessGateway (UAG) 安装类型。您可以使用该选项在 Unified Access Gateway 上配置新的 Content Gateway，或者将现有 Content Gateway 迁移到 Unified Access Gateway。

有关在 Unified Access Gateway 上配置 Content Gateway 的更多信息，请参阅 UAG 文档中的“UnifiedAccess Gateway 上的 Workspace ONE UEM 组件”。有关迁移的信息，请参阅“将 Content Gateway 迁移到 Unified Access Gateway”文档。

步骤

1 在您选择的“组织组”中导航到组与设置 > 所有设置 > 系统 > 企业集成 > Content Gateway。

2 将启用 Content Gateway 设置为已启用。

您可能需要选择覆盖以解锁 Content Gateway 设置。

3 单击添加。


VMware, Inc. 107

4 完成显示的字段以配置 Content Gateway 实例。

a 配置安装类型。

设置说明

安装类型为 Content Gateway 服务器选择操作系统。

b 配置内容配置设置。

设置说明

配置类型 n 基本 - 无中继组件的端点配置。

n 中继 - 含中继组件的端点配置。

名称请提供一个可在将此 Content Gateway 实例附加到内容存储库、存储库模板或

RFS 节点时，用于选中此实例的唯一名称。

Content Gateway 中继地址如果实施中继配置，请输入用于从 Internet 访问 Content Gateway 中继的

URL。

Content Gateway 中继端口如果实施中继配置，请输入中继服务器端口。

Content Gateway 端点地址输入 Content Gateway 端点的主机名。在已配置的端口上绑定的公共 SSL 证书

必须对此条目有效。

Content Gateway 端点端口输入端点服务器端口。

c 配置内容 SSL 证书设置。

设置说明

公共 SSL 证书（根据 Linux 要求，需

要此证书）

如果需要，请为 Content Gateway 安装程序上载含完整证书链的 PKCS12 (.pfx)证书文件以绑定到端口。完整的证书链包括密码、服务器证书、中间证书、根证

书和私钥。

注为确保 PFX 文件包含整个证书链，可使用命令行工具（例如，Certutil 或OpenSSL）运行 certutil -dump myCertificate.pfx 或 openssl pkcs12 -inmyCertificate.pfx -nokeys 等命令。这些命令可显示完整的证书信息。

要求因平台和 SSL 配置而有所不同。

忽略 SSL 错误（不推荐）如果使用自签名证书，请考虑启用此功能。如果启用，Content Gateway 会忽略

证书信任错误和证书名称不匹配。

从 Workspace ONE UEM Console 版本 9.7 开始，不再支持 ICAP 代理配置。但可对现有配置进

行编辑。有关配置 ICAP 代理的信息，请参阅 https://support.workspaceone.com/articles/115001675368。

5 选择添加。

6 选择保存。

后续步骤

在配置过程中，为 Content Gateway 指定平台和配置模型。在 UEM Console 中配置设置后，下载安装程

序、配置其他节点或者管理已配置的节点。


VMware, Inc. 108

https://support.air-watch.com/articles/115001675368

https://support.air-watch.com/articles/115001675368

Content Gateway 基本（仅端点）部署模型

VMware Content Gateway 的基本端点部署模型是安装在具有公开可用 DNS 的服务器上的单个产品实例。

在基本部署模型中，VMware Content Gateway 通常安装在 DMZ 中负载平衡器后的内部网络中，负载平衡

器会将已配置端口上的流量转发到 VMware Content Gateway。随后，VMware Content Gateway 直接连

接到您的内部内容存储库。所有部署配置都支持负载平衡和反向代理。

基本端点 Content Gateway 服务器与设备服务进行通信。设备服务会将终用户设备连接到正确的

Content Gateway。

如果基本端点安装在 DMZ 中，必须进行适当的网络更改，VMware Content Gateway 才能通过所需的端口

访问各种内部资源。通过将此组件安装在 DMZ 中的负载平衡器后，可大程度地减少实施 VMwareContent Gateway 时所做的网络更改数量。它提供了一个安全层，因为公共 DNS 不会直接指向托管

VMware Content Gateway 的服务器。

Content Gateway 中继端点部署模型

中继端点部署模型架构包含两个具有单独角色的 VMware Content Gateway 的实例。

VMware Content Gateway 中继服务器位于 DMZ 中，并且可通过配置的端口从公共 DNS 访问。

默认情况下，使用端口 443 访问 Content Gateway。VMware Content Gateway 端点服务器安装在托管内

部资源的内部网络中。此服务器必须具有中继服务器可以解析的内部 DNS 记录。该部署模型将公开可用的

服务器与直接连接到内部资源的服务器分开，从而提供一个额外的安全层。

端点服务器的角色是连接到设备请求的内部存储库或内容。中继服务器会定期执行运行状况检查以确保端

点处于活动和可用状态。

这些组件可安装在共享或专用服务器上。为确保在同一服务器上运行的其他应用程序不会影响性能，请在

专用服务器上安装 VMware Content Gateway。


VMware, Inc. 109

Unified Access Gateway 上的 Secure Email GatewaySecure Email Gateway 是 Workspace ONE UEM 的一个组件，可帮助您保护邮件基础架构和启用移动电

子邮件管理 (Mobile Email Management, MEM) 功能。

前提条件

您必须先使用 Workspace ONE UEM Console 配置 Secure Email Gateway，然后才能在 Unified AccessGateway 上配置 Secure Email Gateway。在配置该节点后，请记下自动生成的 Secure Email Gateway 配置 GUID。有关更多信息，请参阅 Secure Email Gateway 文档。

注 Secure Email Gateway 也会使用缩写 SEG 来表示。

注所有 Unified Access Gateway 版本均支持 Secure Email Gateway。

步骤

1 导航到常规设置 > Edge 服务设置 > Secure Email Gateway 设置，然后单击齿轮箱图标。

2 选择是以启用 Secure Email Gateway 设置。


VMware, Inc. 110

https://docs.vmware.com/cn/VMware-Workspace-ONE-UEM/1905/WS1-Secure-Email-Gateway/GUID-AWT-INTRO-SEG.html

3 配置以下设置。


API 服务器 URL Workspace ONE UEM API 服务器 URL [http[s]://]hostname[:port]

目标 URL 中必须包含协议、主机名或 IP 地址以及端口号。例如：https://load-

balancer.example.com:8443

Unified Access Gateway 会从 API 服务器中提取 Secure Email Gateway 配置。

API 服务器用户名用于登录到 API 服务器的用户名。

注要求管理员帐户至少具有与 Secure Email Gateway 角色相关联的权限。

API 服务器密码用于登录到 API 服务器的密码。

Secure Email Gateway 服务器主机名用于配置 Edge 设置的主机名。

MEM 配置 GUID Workspace ONE UEM 移动电子邮件管理配置 ID。此 ID 是在 Workspace ONEUEM Console 上配置移动电子邮件管理时自动生成的。配置 GUID 显示在 UEMConsole 的“移动电子邮件管理配置”页面上。

出站代理主机安装出站代理的主机。Unified Access Gateway 通过出站代理（如果配置）建立到

API 服务器的连接。

出站代理端口出站代理的端口。

出站代理用户名用于登录到出站代理的用户名。

出站代理密码用于登录到出站代理的密码。




主机条目输入要添加到 /etc/hosts 文件中的详细信息。每个条目均应按顺序包含一个 IP、一

个主机名和一个可选主机名别名，并且以空格分隔。例如，10.192.168.1example1.com, 10.192.168.2 example2.com example-alias。可以单击“+”以添加

多个主机条目。

注只有在您单击保存后，才会保存主机条目。

4 单击保存。

其他部署用例

您可以在同一设备上使用多个 Edge 服务部署 Unified Access Gateway，例如，使用 Horizon 和 Web 反向

代理，以及使用 VMware Tunnel、Content Gateway 和 Web 反向代理来部署 Unified Access Gateway。

使用多个服务部署 Unified Access Gateway 的注意事项

在同时部署这些 Edge 服务之前，请注意以下重要事项。

n 了解并满足网络连接要求 - 请参阅基于 DMZ 的 Unified Access Gateway 设备的防火墙规则。

n 遵循大小调整准则 - 请参阅使用 OVF 模板向导部署 Unified Access Gateway 主题中的大小调整选项部

分。


VMware, Inc. 111

n 如果代理模式发生重叠，则 Horizon Connection Server 无法与启用的 Web 反向代理一起使用。因

此，如果在同一个 Unified Access Gateway 实例上同时为 Horizon 和 Web 反向代理实例配置并启用了

代理模式，请从 Horizon 设置中移除代理模式“/”，并在 Web 反向代理中保留该模式，以防止发生重

叠。在 Web 反向代理实例中保留“/”代理模式可确保在用户单击了 Unified Access Gateway 的 URL后，系统会显示正确的 Web 反向代理页面。如果仅配置 Horizon 设置，则不需要进行上述更改。

n 结合使用 VMware Tunnel、Content Gateway 和 Web 反向代理这些服务来部署 Unified AccessGateway 时，如果对所有这些服务都使用 443 这个端口，则每个服务都应拥有唯一的外部主机名。请

参阅关于 TLS 端口共享。

n 可以使用管理 UI 单独配置不同的 Edge 服务，还可以根据需要导入任何以前的设置。如果使用

PowerShell 进行部署，INI 文件可使部署直接用于生产。

n 如果在同一 Unified Access Gateway 设备上启用了 Horizon Blast 和 VMware Tunnel，则必须将

VMware Tunnel 配置为使用 443 或 8443 以外的其他端口。如果要为 VMware Tunnel 使用端口 443 或8443，必须在单独的 Unified Access Gateway 设备上部署 Horizon Blast 服务。


VMware, Inc. 112

使用 TLS/SSL 证书配置 UnifiedAccess Gateway 5您必须为 Unified Access Gateway 设备配置 TLS/SSL 证书。

注为 Unified Access Gateway 设备配置 TLS/SSL 证书仅适用于 Horizon、Horizon Air 和 Web 反向代

理。


n 为 Unified Access Gateway 设备配置 TLS/SSL 证书

为 Unified Access Gateway 设备配置 TLS/SSL 证书

到 Unified Access Gateway 设备的客户端连接需要使用 TLS/SSL。终止 TLS/SSL 连接的面向客户端的

Unified Access Gateway 设备和中间服务器需要使用 TLS/SSL 服务器证书。

TLS/SSL 服务器证书是由证书颁发机构 (Certificate Authority, CA) 签名的。CA 是确保证书及其创建者身份

的受信机构。如果证书是由受信任的 CA 签发，则系统不会向用户显示要求验证证书的消息，且瘦客户端

设备可以在无需额外配置的情况下进行连接。

在部署 Unified Access Gateway 设备时，将生成一个默认 TLS/SSL 服务器证书。对于生产环境，VMware建议您尽快更换默认证书。默认证书不是由受信任的 CA 签名的。只应在非生产环境中使用默认证书。

选择正确的证书类型

您可以将不同类型的 TLS/SSL 证书与 Unified Access Gateway 一起使用。为您的部署选择正确的证书类

型是至关重要的。不同的证书类型具有不同的成本，具体取决于可以使用它们的服务器数。

请使用证书的完全限定域名 (Fully Qualified Domain Name, FQDN) 以遵循 VMware 安全建议，而无论选

择哪种类型。不要使用简单的服务器名称或 IP 地址，即使内部域中的通信也是如此。

单服务器名称证书

您可以为特定服务器生成具有使用者名称的证书。例如：dept.example.com。

如果仅一个 Unified Access Gateway 设备需要证书，这种类型的证书是非常有用的。

在将证书签名请求提交到 CA 时，您可以提供要与证书关联的服务器名称。请确保 Unified AccessGateway 设备可以解析提供的服务器名称，以使其与证书的关联名称相匹配。

VMware, Inc. 113

使用者备用名称

使用者备用名称 (Subject Alternative Name, SAN) 是一个在颁发证书时可添加到证书中的属性。可以使用

该属性将使用者名称 (URL) 添加到证书中，以便它可以验证多个服务器。

例如，可以为负载平衡器后面的 Unified Access Gateway 设备颁发三个证书：ap1.example.com、

ap2.example.com 和 ap3.example.com。通过添加表示负载平衡器主机名的主体备用名称（如此示例中

的 horizon.example.com），该证书将变为有效证书，因为它与客户端指定的主机名相匹配。

在将证书签名请求提交到 CA 后，您可以提供外部接口负载平衡器虚拟 IP 地址 (virtual IP address, VIP) 来作为公用名称和 SAN 名称。请确保 Unified Access Gateway 设备可以解析提供的服务器名称，以使其与

证书的关联名称相匹配。

此证书在端口 443 上使用。

通配证书

可以生成一个通配证书，以便将其用于多个服务。例如，*.example.com。

如果多个服务器需要使用证书，则通配证书是非常有用的。除了 Unified Access Gateway 设备以外，如果

环境中的其他应用程序需要使用 TLS/SSL 证书，您也可以在这些服务器中使用通配证书。不过，如果使用

与其他服务共享的通配证书，则 VMware Horizon 产品的安全性还取决于这些其他服务的安全性。

注您只能在单个域级别使用通配证书。例如，可以将具有使用者名称 *.example.com 的通配证书用于

dept.example.com，但不能用于 dept.it.example.com。

客户端计算机必须信任导入到 Unified Access Gateway 设备的证书，并且这些证书还必须适用于所有

Unified Access Gateway 实例和任何负载平衡器（通过使用通配证书或使用者备用名称 (SubjectAlternative Name, SAN) 证书）。

将证书文件转换为单行 PEM 格式

要使用 Unified Access Gateway REST API 配置证书设置，或使用 PowerShell 脚本，您必须将证书转换

为用于证书链和私钥的 PEM 格式文件，然后将 .pem 文件转换为包含嵌入的换行符的单行格式。

在配置 Unified Access Gateway 时，可能需要转换三种类型的证书。

n 应始终为 Unified Access Gateway 设备安装和配置 TLS/SSL 服务器证书。

n 如果打算使用智能卡身份验证，您必须为放在智能卡中的证书安装和配置可信 CA 颁发者证书。

n 如果打算使用智能卡身份验证，VMware 建议您为 Unified Access Gateway 设备上安装的 SAML 服务

器证书的签名 CA 安装并配置根证书。

对于所有这些类型的证书，请执行相同的步骤以将证书转换为包含证书链的 PEM 格式的文件。对于

TLS/SSL 服务器证书和根证书，还应将每个文件转换为包含私钥的 PEM 文件。然后，必须将每个 .pem 文件转换为可在 JSON 字符串中传递给 Unified Access Gateway REST API 的单行格式。

前提条件

n 确认您具有证书文件。该文件可以采用 PKCS#12（.p12 或 .pfx）格式，也可以采用 Java JKS 或JCEKS 格式。


VMware, Inc. 114

n 熟悉用于转换证书的 openssl 命令行工具。请参阅 https://www.openssl.org/docs/apps/openssl.html。

n 如果证书采用 Java JKS 或 JCEKS 格式，请熟悉 Java keytool 命令行工具，以便先将证书转换

为 .p12 或 .pks 格式，然后再转换为 .pem 文件。

步骤

1 如果证书采用 Java JKS 或 JCEKS 格式，请使用 keytool 将证书转换为 .p12 或 .pks 格式。

重要事项在该转换过程中，请使用相同的源和目标密码。

2 如果证书采用 PKCS#12（.p12 或 .pfx）格式，或者在将证书转换为 PKCS#12 格式后，请使用

openssl 将证书转换为 .pem 文件。

例如，如果证书名称是 mycaservercert.pfx，请使用以下命令转换证书：

openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem

openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem

openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem

3 编辑 mycaservercert.pem，并移除任何不需要的证书条目。它应当包含一个 SSL 服务器证书，并后

跟任何必需的中间 CA 证书和根 CA 证书。

4 使用以下 UNIX 命令将每个 .pem 文件转换为可在 JSON 字符串中传递给 Unified Access GatewayREST API 的值：

awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' cert-name.pem

在此示例中，cert-name.pem 是证书文件的名称。证书与以下示例类似。


VMware, Inc. 115

https://www.openssl.org/docs/apps/openssl.html

图 5-1. 一行中的证书文件

新格式将所有证书信息放在包含嵌入的换行符的一行中。如果您拥有中间证书，则该证书也必须具有单

行格式并添加到第一个证书，以便两个证书在同一行中。

现在，您可以将这些 .pem 文件与博客帖子“使用 PowerShell 部署 VMware Unified Access Gateway”(Using PowerShell to Deploy VMware Unified Access Gateway)（网址为 https://communities.vmware.com/docs/DOC-30835）附带的 PowerShell 脚本结合使用来配置 Unified AccessGateway 的证书。或者，也可以创建并使用 JSON 请求来配置证书。

后续步骤

您可以使用 CA 签名的证书来更新默认的自签名证书。请参阅更新 SSL 服务器签名证书。有关智能卡证

书，请参阅在 Unified Access Gateway 设备上配置证书或智能卡身份验证。

更改用于 TLS 或 SSL 通信的安全协议和密码套件

虽然在几乎所有情况下都不需要更改默认设置，但您可以配置用于加密客户端和 Unified Access Gateway设备之间的通信的安全协议和加密算法。

默认设置包括使用 128 位或 256 位 AES 加密的密码套件，匿名 DH 算法除外，并按强度对其进行排序。

默认情况下，TLS v1.1 和 TLS v1.2 处于启用状态。TLS v1.0 和 SSL v3.0 处于禁用状态。

前提条件

n 熟悉 Unified Access Gateway REST API。安装了 Unified Access Gateway 的虚拟机上的以下 URL 中提供了该 API 的规范：https://access-point-appliance.example.com:9443/rest/

swagger.yaml。

n 熟悉用于配置密码套件和协议的特定属性：cipherSuites、ssl30Enabled、tls10Enabled、

tls11Enabled 和 tls12Enabled。


VMware, Inc. 116



步骤

1 创建一个 JSON 请求以指定要使用的协议和密码套件。

以下示例使用默认设置。

{

"cipherSuites":

"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA",

"ssl30Enabled": "false",

"tls10Enabled": "false",

"tls11Enabled": "true",

"tls12Enabled": "true"

}

2 使用 REST 客户端（如 curl 或 postman）通过 JSON 请求调用 Unified Access Gateway REST API并配置协议和密码套件。

在此示例中，access-point-appliance.example.com 是 Unified Access Gateway 设备的完全限定域

名。

curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-

appliance.example.com:9443/rest/v1/config/system < ~/ciphers.json

ciphers.json 是在上一步中创建的 JSON 请求。

将使用指定的密码套件和协议。


VMware, Inc. 117

在 DMZ 中配置身份验证 6在初部署 Unified Access Gateway 时，Active Directory 密码身份验证设置为默认值。用户输入其 ActiveDirectory 用户名和密码，这些凭据将发送到后端系统以进行身份验证。

您可以配置 Unified Access Gateway 服务以执行证书/智能卡身份验证、RSA SecurID 身份验证、RADIUS身份验证以及 RSA 自适应身份验证。

注只能为 Edge 服务指定一种双因素用户身份验证方法。该方法可以是证书/智能卡身份验证、RADIUS身份验证或 RSA 自适应身份验证。

注针对 Active Directory 的密码身份验证是可用于部署的唯一身份验证方法。


n 在 Unified Access Gateway 设备上配置证书或智能卡身份验证

n 在 Unified Access Gateway 中配置 RSA SecurID 身份验证

n 为 Unified Access Gateway 配置 RADIUS

n 在 Unified Access Gateway 中配置 RSA 自适应身份验证

n 生成 Unified Access Gateway SAML 元数据

在 Unified Access Gateway 设备上配置证书或智能卡身份验证

您可以在 Unified Access Gateway 中配置 x509 证书身份验证，以允许客户端在其桌面或移动设备上使用

证书进行身份验证或使用智能卡适配器进行身份验证。

基于证书的身份验证基于用户拥有的资源（私钥或智能卡）和掌握的信息（私钥的密码或智能卡 PIN）。

智能卡身份验证通过验证用户是否具有智能卡以及用户是否知道 PIN 来提供双因素身份验证。终用户可

以使用智能卡登录到远程 Horizon 桌面操作系统以及访问启用智能卡的应用程序，例如，使用证书对电子

邮件进行签名以证明发件人身份的电子邮件应用程序。

通过使用该功能，将针对 Unified Access Gateway 服务执行智能卡证书身份验证。Unified AccessGateway 使用 SAML 断言将有关终用户的 X.509 证书和智能卡 PIN 的信息传送到 Horizon Server。

您可以配置证书吊销检查以防止对已吊销用户证书的用户进行身份验证。当用户离开组织、丢失智能卡或

从一个部门调往另一个部门时，通常会吊销其证书。支持使用证书吊销列表 (Certificate Revocation List,CRL) 和在线证书状态协议 (Online Certificate Status Protocol, OCSP) 进行证书吊销检查。CRL 是由颁发

证书的 CA 发布的吊销证书列表。OCSP 是用于获取证书吊销状态的证书验证协议。

VMware, Inc. 118

您可以在证书身份验证适配器配置中配置 CRL 和 OCSP。如果配置这两种类型的证书吊销检查并启用

OCSP 失败时使用 CRL 复选框，将先检查 OCSP；如果 OCSP 失败，吊销检查将改用 CRL。

注如果 CRL 失败，吊销检查不会改用 OCSP。

注对于 VMware Identity Manager，身份验证信息将始终通过 Unified Access Gateway 传递到 VMwareIdentity Manager 服务。只有在将 Unified Access Gateway 与 Horizon 7 一起使用时，才能将智能卡身份

验证配置为在 Unified Access Gateway 设备上执行。

在 Unified Access Gateway 上配置证书身份验证

您可以从 Unified Access Gateway 管理控制台启用并配置证书身份验证。

前提条件

n 从对用户提供的证书进行签名的 CA 获取根证书和中间证书。请参阅获取证书颁发机构证书

n 确认在服务提供程序上添加了 Unified Access Gateway SAML 元数据，并且将服务提供程序 SAML 元数据复制到 Unified Access Gateway 设备。

n （可选）用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。

n 对于吊销检查，CRL 的文件位置以及 OCSP 服务器的 URL。

n （可选）OCSP 响应签名证书文件位置。

n 同意表单内容（如果在身份验证之前显示同意表单）。

步骤


2 在“常规设置”>“身份验证设置”部分中，单击显示。

3 单击“X.509 证书”行中的齿轮箱。

4 配置 X.509 证书表单。

星号表示必填文本框。所有其他文本框都是可选的。

选项说明

启用 X.509 证书将“否”更改为是以启用证书身份验证。

*根 CA 证书和中间 CA 证书单击选择以选择要上载的证书文件。您可以选择多个编码为 DER 或 PEM 的根 CA证书和中间 CA 证书。

启用证书吊销将“否”更改为是以启用证书吊销检查。吊销检查可防止对吊销了用户证书的用户

进行身份验证。

使用来自证书的 CRL 选中该复选框以使用颁发证书的 CA 发布的证书吊销列表 (Certificate RevocationList, CRL) 验证证书的状态（吊销或未吊销）。

CRL 位置输入从中检索 CRL 的服务器文件路径或本地文件路径。

启用 OCSP 吊销选中该复选框以使用在线证书状态协议 (Online Certificate Status Protocol, OCSP)证书验证协议获取证书的吊销状态。


VMware, Inc. 119

选项说明

OCSP 失败时使用 CRL 如果配置 CRL 和 OCSP，您可以选中该框以在 OCSP 检查不可用时改用 CRL。

发送 OCSP Nonce 如果您希望在响应中发送 OCSP 请求的唯一标识符，请选中该复选框。

OCSP URL 如果启用了 OCSP 吊销，请输入 OCSP 服务器地址以进行吊销检查。

使用证书中的 OCSP URL 选中此框以使用 OCSP URL。

在进行身份验证前启用同意表单选中该复选框以包含在用户使用证书身份验证登录到其 Workspace ONE 门户之前

显示的同意表单页面。

5 单击保存。

后续步骤

如果配置了 X.509 证书身份验证并在负载平衡器后面设置 Unified Access Gateway 设备，请确保将

Unified Access Gateway 配置为在负载平衡器上使用 SSL 直通，并且没有配置为在负载平衡器上终止

SSL。这种配置可确保在 Unified Access Gateway 和客户端之间进行 SSL 握手以便将证书传递给 UnifiedAccess Gateway。

获取证书颁发机构证书

您必须为用户和管理员提供的智能卡上的所有受信任的用户证书获取所有相应的 CA（证书颁发机构）证

书。如果用户的智能卡证书是由中间证书颁发机构颁发的，则这些证书包括根证书，并且可以包括中间证

书。

如果您没有获取对用户和管理员提供的智能卡上的证书签名的 CA 的根证书或中间证书，则可以从 CA 签名的用户证书或包含此类证书的智能卡中导出这些证书。请参阅从 Windows 获取 CA 证书。

步骤

u 从以下某个源中获取 CA 证书。

n 运行 Microsoft 证书服务的 Microsoft IIS 服务器。有关安装 Microsoft IIS、颁发证书以及在组织中

分发证书的信息，请参见 Microsoft TechNet 网站。

n 受信任的 CA 签名的公用根证书。如果环境中具有智能卡基础架构，以及标准的智能卡分发和身份

验证方式，就属于常用的根证书源。

后续步骤

将根证书和/或中间证书添加到服务器信任存储区文件中。


VMware, Inc. 120

从 Windows 获取 CA 证书

如果您拥有 CA 签发的用户证书或包含 CA 签发的用户证书的智能卡，且 Windows 信任此根证书，则可以

从 Windows 导出此根证书。如果用户证书的颁发者是中间证书颁发机构，则您可以导出该证书。

步骤

1 如果用户证书存储在智能卡上，您只需将智能卡插入读卡器，就可以将用户证书添加到您的个人存储区

中。

如果用户证书未显示在您的个人存储区中，可使用读取器软件将用户证书导出到文件中。此文件在该流

程的步骤 4 中使用。

2 在 Internet Explorer 中，选择工具 > Internet 选项。

3 在内容选项卡上，单击证书。

4 在个人选项卡上，选择您要使用的证书，然后单击查看。

如果用户证书未显示在列表中，请单击导入从文件中手动导入该证书。导入证书后，您就可以从列表中

选择该证书。

5 在证书路径选项卡上，选择树状结构顶端的证书，然后单击查看证书。

如果用户证书是作为信任层次结构的一部分签发的，则签发证书可能由另一较高级别的证书签发。选择

父证书（即实际签发用户证书的证书）作为您的根证书。在某些情况下，颁发者可能是中间 CA。

6 在详细信息选项卡上，单击复制到文件。

屏幕上将显示证书导出向导。

7 单击下一步 > 下一步，然后键入要导出的文件的名称和位置。

8 单击下一步将该文件作为根证书保存到指定的位置。

后续步骤

将 CA 证书添加到服务器信任存储区文件中。

在 Unified Access Gateway 中配置 RSA SecurID 身份验证

在 RSA SecurID 服务器中将 Unified Access Gateway 设备配置为身份验证代理后，必须将 RSA SecurID配置信息添加到 Unified Access Gateway 设备。

前提条件

n 确认已安装并正确配置 RSA Authentication Manager（RSA SecurID 服务器）。

n 从 RSA SecurID 服务器中下载压缩的 sdconf.rec 文件并提取服务器配置文件。

步骤




VMware, Inc. 121

3 单击“RSA SecurID”行中的齿轮箱。

4 配置 RSA SecurID 页面。

在配置 SecurID 页面时，需要提供在 RSA SecurID 服务器上使用的信息和生成的文件。

选项操作

启用 RSASecurID

将“否”更改为是以启用 SecurID 身份验证。

*名称名称为 securid-auth。

*迭代次数输入允许的身份验证尝试次数。这是在使用 RSA SecurID 令牌时的大失败登录尝试次数。默认为尝试 5 次。

注如果配置了多个目录，并且为其他目录实施 RSA SecurID 身份验证，请将每个 RSA SecurID 配置的允许的身

份验证尝试次数配置为相同的值。如果该值不相同，SecurID 身份验证将失败。

*外部主机名输入 Unified Access Gateway 实例的 IP 地址。输入的值必须与将 Unified Access Gateway 设备作为身份验证代

理添加到 RSA SecurID 服务器时使用的值一致。

*内部主机名在 RSA SecurID 服务器中输入为 IP 地址提示分配的值。

*服务器配置单击更改以上载 RSA SecurID 服务器配置文件。首先，您必须从 RSA SecurID 服务器中下载压缩文件，然后提

取默认名称为 sdconf.rec 的服务器配置文件。

*名称 ID 后以 @somedomain.com 格式输入名称 ID。用于将域名等额外内容发送到 RADIUS 服务器或 RSA SecurID 服务

器。例如，如果用户以 user1 身份登录，则会将 [email protected] 发送到服务器。

为 Unified Access Gateway 配置 RADIUS您可以配置 Unified Access Gateway，以便要求用户使用强大的 RADIUS 双因素身份验证。您可以在

Unified Access Gateway 设备上配置 RADIUS 服务器信息。

RADIUS 支持提供了各种第三方双因素身份验证选项。要在 Unified Access Gateway 上使用 RADIUS 身份

验证，您必须已配置 RADIUS 服务器，且该服务器可以从 Unified Access Gateway 联网访问。

当用户登录时，如果已启用 RADIUS 身份验证，则用户需在登录对话框中输入其 RADIUS 身份验证用户名

和通行码。如果 RADIUS 服务器发起 RADIUS 访问质询，Unified Access Gateway 会向用户显示另外一个

对话框，提示其输入质询响应文本，如通过短信或其他带外机制传送给用户的代码。RADIUS 通行码和质

询响应仅支持基于文本的输入。输入正确的质询响应文本后即可完成身份验证。

如果 RADIUS 服务器要求用户输入其 Active Directory 密码作为 RADIUS 通行码，则在 Horizon 用例中，

管理员可以在 Unified Access Gateway 上启用 Horizon Windows 单点登录功能，以便在完成 RADIUS 身份验证时，用户将不会收到提醒其重新输入同一个 Active Directory 域密码的后续提示。


VMware, Inc. 122

配置 RADIUS 身份验证

在 Unified Access Gateway 设备上，您必须启用 RADIUS 身份验证，输入 RADIUS 服务器中的配置设

置，然后将身份验证类型更改为 RADIUS 身份验证。

前提条件

n 确认要用作身份验证管理器服务器的服务器安装并配置了 RADIUS 软件。设置 RADIUS 服务器，然后

从 Unified Access Gateway 中配置 RADIUS 请求。有关设置 RADIUS 服务器的信息，请参阅

RADIUS 供应商的设置指南。

需要使用以下 RADIUS 服务器信息。

n RADIUS 服务器的 IP 地址或 DNS 名称。

n 身份验证端口号。身份验证端口通常为 1812。

n 身份验证类型。身份验证类型包括 PAP（密码身份验证协议）、CHAP（质询握手身份验证协议）、

MSCHAP1 和 MSCHAP2（Microsoft 质询握手身份验证协议版本 1 和 2）。

n 用于在 RADIUS 协议消息中加密和解密的 RADIUS 共享密码。

n RADIUS 身份验证所需的特定超时和重试值。

步骤



3 单击“RADIUS”行中的齿轮箱。

选项操作

启用 RADIUS 将“否”更改为是以启用 RADIUS 身份验证。

名称* 名称为 radius-auth。

身份验证类型* 输入 RADIUS 服务器支持的身份验证协议。PAP、CHAP、MSCHAP1 或 MSCHAP2。

共享密码* 输入 RADIUS 共享密码。

允许的身份验证

尝试次数*输入在使用 RADIUS 登录时的大失败登录尝试次数。默认为尝试 3 次。

尝试连接

RADIUS 服务器

的次数*

输入总重试尝试次数。如果主服务器没有响应，该服务将等待配置的时间，然后再重试。

服务器超时 (以秒为单位)*

输入 RADIUS 服务器超时（秒）；如果 RADIUS 服务器没有响应，将在这段时间过后发送重试。

RADIUS 服务器

主机名*输入 RADIUS 服务器的主机名或 IP 地址。

身份验证端口* 输入 Radius 身份验证端口号。该端口通常为 1812。


VMware, Inc. 123

选项操作

领域前（可选）用户帐户位置称为领域。

如果指定领域前字符串，在将用户名发送到 RADIUS 服务器时，将在名称开头放置该字符串。例如，如果将用

户名输入为 jdoe 并指定领域前 DOMAIN-A\，则将用户名 DOMAIN-A\jdoe 发送到 RADIUS 服务器。如果未配

置这些字段，则仅发送输入的用户名。

领域后（可选）如果配置领域后，则在用户名末尾放置该字符串。例如，如果后为 @myco.com，则将用户名

[email protected] 发送到 RADIUS 服务器。

名称 ID 后以 @somedomain.com 格式输入名称 ID。用于将域名等额外内容发送到 RADIUS 服务器或 RSA SecurID 服务

器。例如，如果用户以 user1 身份登录，则会将 [email protected] 发送到服务器。

登录页面密码短

语提示

输入在用户登录页面上的消息中显示的文本字符串，以指示用户输入正确的 RADIUS 通行码。例如，如果为该字

段配置了 AD password first and then SMS passcode，登录页面消息将显示 Enter your AD password firstand then SMS passcode。默认文本字符串为 RADIUS Passcode。

启用基本 MS-CHAPv2 验证

将“否”更改为是，以启用基本 MS-CHAPv2 验证。如果将此选项设为是，则不会对来自 RADIUS 服务器的响应

执行额外的验证。默认情况下，将执行完整验证。

启用辅助服务器将“否”更改为是以配置辅助 RADIUS 服务器以实现高可用性。请按照步骤 3 中所述配置辅助服务器信息。

4 单击保存。

在 Unified Access Gateway 中配置 RSA 自适应身份验证

可以实施 RSA 自适应身份验证，以提供比针对 Active Directory 的仅用户名和密码身份验证更强的多因素

身份验证。自适应身份验证根据风险级别和策略监视和验证用户登录尝试。

如果启用了自适应身份验证，将使用在 RSA 策略管理应用程序中设置的风险策略中指定的风险指标以及自

适应身份验证的 Unified Access Gateway 配置确定是使用用户名和密码验证用户身份，还是需要提供额外

的信息以验证用户身份。

支持的 RSA 自适应身份验证方法

Unified Access Gateway 中支持的 RSA 自适应身份验证强大身份验证方法是通过电话、电子邮件或短信和

质询问题进行的带外身份验证。您可以在该服务上启用可提供的 RSA 自适应身份验证方法。RSA 自适应

身份验证策略确定使用哪种辅助身份验证方法。

带外身份验证过程要求发送额外的验证以及用户名和密码。当用户在 RSA 自适应身份验证服务器中注册

时，他们将提供电子邮件地址和/或电话号码，具体取决于服务器配置。如果需要额外的验证，RSA 自适应

身份验证服务器将通过提供的通道发送一次性通行码。用户输入该通行码及其用户名和密码。

当用户在 RSA 自适应身份验证服务器中注册时，质询问题要求他们回答一系列问题。您可以配置回答的注

册问题数以及在登录页面上显示的质询问题数。


VMware, Inc. 124

在 RSA 自适应身份验证服务器中注册用户

必须在 RSA 自适应身份验证数据库中置备用户，才能使用自适应身份验证进行身份验证。在用户首次使用

其用户名和密码登录时，这些用户将添加到 RSA 自适应身份验证数据库中。根据在该服务中配置 RSA 自适应身份验证的方式，在用户登录时，可能会要求他们提供其电子邮件地址、电话号码、短信服务号

(SMS)，或者要求他们设置质询问题响应。

注 RSA 自适应身份验证不允许在用户名中使用国际字符。如果要允许在用户名中使用多字节字符，请与

RSA 支持部门联系以配置 RSA 自适应身份验证和 RSA Authentication Manager。

在 Unified Access Gateway 中配置 RSA 自适应身份验证

要在该服务上配置 RSA 自适应身份验证，请启用 RSA 自适应身份验证，选择要应用的自适应身份验证方

法，然后添加 Active Directory 连接信息和证书。

前提条件

n 为 RSA 自适应身份验证正确配置了身份验证方法以用于辅助身份验证。

n 有关 SOAP 端点地址和 SOAP 用户名的详细信息。

n 提供了 Active Directory 配置信息和 Active Directory SSL 证书。

步骤



3 单击“RSA 自适应身份验证”行中的齿轮箱。

4 为您的环境选择相应的设置。

注星号表示必填字段。其他字段是可选的。

选项说明

启用 RSA AA 适配器将“否”更改为是以启用 RSA 自适应身份验证。

名称* 名称为 rsaaa-auth。

SOAP 端点* 输入 SOAP 端点地址以将 RSA 自适应身份验证适配器与该服务集成在一起。

SOAP 用户名* 输入用于对 SOAP 消息进行签名的用户名和密码。

SOAP 密码* 输入 RSA 自适应身份验证 SOAP API 密码。

RSA 域输入自适应身份验证服务器的域地址。

启用 OOB 电子邮件选择“是”以启用带外身份验证，该身份验证通过电子邮件向终用户发送一次性

通行码。

启用 OOB 短信选择“是”以启用带外身份验证，该身份验证通过短信向终用户发送一次性通行

码。

启用 SecurID 选择“是”以启用 SecurID。要求用户输入其 RSA 令牌和通行码。

启用机密问题如果要使用注册和质询问题进行身份验证，请选择“是”。


VMware, Inc. 125

选项说明

注册问题数* 输入用户在身份验证适配器服务器中注册时需要设置的问题数。

质询问题数* 输入用户必须正确回答才能登录的质询问题数。

允许的身份验证尝试次数* 输入在身份验证失败之前向尝试登录的用户显示质询问题的次数。

目录类型* 支持的唯一目录是 Active Directory。

使用 SSL 如果将 SSL 用于目录连接，请选择“是”。您可以在“目录证书”字段中添加

Active Directory SSL 证书。

服务器主机* 输入 Active Directory 主机名。

服务器端口输入 Active Directory 端口号。

使用 DNS 服务位置如果 DNS 服务位置用于目录连接，请选择“是”。

基本 DN 输入从中开始搜索帐户的 DN。例如，OU=myUnit,DC=myCorp,DC=com。

绑定 DN* 输入可以在其中搜索用户的帐户。例如，

CN=binduser,OU=myUnit,DC=myCorp,DC=com。

绑定密码输入绑定 DN 帐户的密码。

搜索属性输入包含用户名的帐户属性。

目录证书要建立安全 SSL 连接，请在文本框中添加目录服务器证书。如果具有多个服务器，

请添加证书颁发机构的根证书。

使用 STARTTLS 将“否”更改为是以使用 STARTTLS。

5 单击保存。

生成 Unified Access Gateway SAML 元数据

您必须在 Unified Access Gateway 设备上生成 SAML 元数据，然后与服务器交换元数据以建立智能卡身份

验证所需的相互信任关系。

安全断言标记语言 (SAML) 是一种基于 XML 的标准，用于在不同安全域之间描述和交换身份验证及授权信

息。SAML 使用称为 SAML 声明的 XML 文档在身份提供程序与服务提供程序之间传递有关用户的信息。

在此方案中，Unified Access Gateway 是身份提供程序，服务器是服务提供程序。

前提条件

n 可以在 Unified Access Gateway 设备上配置时钟 (UTC) 以使设备具有正确的时间。例如，在 UnifiedAccess Gateway 虚拟机上打开控制台窗口，并使用箭头按钮选择正确的时区。还要确认 ESXi 主机时

间与 NTP 服务器进行同步，并且在设备虚拟机中运行的 VMware Tools 将虚拟机上的时间与 ESXi 主机上的时间进行同步。

重要事项如果 Unified Access Gateway 设备上的时钟与服务器主机上的时钟不匹配，智能卡身份验

证可能无法正常工作。


VMware, Inc. 126

n 获取可用于对 Unified Access Gateway 元数据进行签名的 SAML 签名证书。

注如果在您的设置中具有多个 Unified Access Gateway 设备，VMware 建议您创建并使用特定的

SAML 签名证书。在这种情况下，必须为所有设备配置相同的签名证书，以使服务器可以接受来自任

何 Unified Access Gateway 设备的断言。在使用特定的 SAML 签名证书时，所有设备中的 SAML 元数

据是相同的。

n 如果尚未执行此操作，请将 SAML 签名证书转换为 PEM 格式文件，并将 .pem 文件转换为单行格式。

请参阅将证书文件转换为单行 PEM 格式。

步骤


2 在“高级设置”部分中，单击 SAML 身份提供程序设置齿轮箱图标。

3 选中提供证书复选框。

4 要添加专用密钥文件，请单击选择并浏览到证书的专用密钥文件。

5 要添加证书链文件，请单击选择并浏览到证书链文件。

6 单击保存。

7 在“主机名”文本框中，输入主机名并下载身份提供程序设置。

创建由其他服务提供程序使用的 SAML 身份验证器

在 Unified Access Gateway 设备上生成 SAML 元数据后，您可以将该数据复制到后端服务提供程序中。将

此数据复制到服务提供程序是 SAML 身份验证器创建过程的一部分，这样 Unified Access Gateway 便可被

用作身份提供程序。

对于 Horizon Air 服务器，请参阅产品文档以了解具体说明。

将服务提供程序 SAML 元数据复制到 Unified Access Gateway在创建并启用 SAML 身份验证器以使 Unified Access Gateway 可用作身份提供程序后，您可以在该后端系

统上生成 SAML 元数据，并使用该元数据在 Unified Access Gateway 设备上创建服务提供程序。这种数据

交换可在身份提供程序 (Unified Access Gateway) 和后端服务提供程序（例如 Horizon ConnectionServer）之间建立信任。

前提条件

确认您已在后端服务提供程序服务器上为 Unified Access Gateway 创建 SAML 身份验证器。

步骤

1 检索服务提供程序 SAML 元数据，它通常采用 XML 文件格式。

有关说明，请参阅服务提供程序的文档。

不同的服务提供程序具有不同的操作过程。例如，您必须打开浏览器并输入一个 URL，如：https://connection-server.example.com/SAML/metadata/sp.xml


VMware, Inc. 127

之后，您可以使用另存为命令将网页保存为 XML 文件。该文件的内容以下面的文本开头：

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ...

2 在 Unified Access Gateway 管理 UI 的“手动配置”部分中，单击选择。

3 在“高级设置”部分中，单击 SAML 服务提供程序设置齿轮箱图标。

4 在“服务提供程序名称”文本框中，输入服务提供程序名称。

5 在“元数据 XML”文本框中，粘贴在步骤 1 中创建的元数据文件。

6 单击保存。

Unified Access Gateway 和服务提供程序现在可以交换身份验证和授权信息。


VMware, Inc. 128

Unified Access Gateway 部署故障排除 7您可以使用各种过程来诊断和修复在您的环境中部署 Unified Access Gateway 时遇到的问题。

您可以采取故障排除操作来调查问题原因并尝试自行解决问题，也可以从 VMware 技术支持部门获取帮

助。


n 监控 Edge 服务会话统计信息

n 监控已部署服务的运行状况

n 部署错误故障排除

n 错误故障排除：身份桥接

n 错误故障排除：Cert-to-Kerberos

n 端点合规性故障排除

n 管理 UI 中的证书验证故障排除

n 防火墙和连接问题故障排除

n 以 root 用户身份登录问题故障排除

n 从 Unified Access Gateway 设备收集日志

n 导出 Unified Access Gateway 设置

n 导入 Unified Access Gateway 设置

n 错误故障排除：Content Gateway

n 高可用性故障排除

n 安全性故障排除：佳实践

VMware, Inc. 129

监控 Edge 服务会话统计信息

Unified Access Gateway 提供有关每项 Edge 服务的活动会话的信息。您可以从 Edge 服务的管理 UI 快速

查看您所部署的服务是否已进行配置以及是否已成功启动并正在运行。

步骤

1 导航到支持设置 > Edge 服务会话统计信息。

2 在支持设置部分，单击 Edge 服务会话统计信息齿轮箱图标。

图 7-1. Edge 服务会话统计信息

n Edge 服务列出为其显示会话统计信息的特定 Edge 服务。

n 总会话数指示活动会话数和非活动会话数的总和。

n 活动会话（已登录会话）指示已通过身份验证且正在进行的会话数。

n 非活动会话指示未经身份验证的会话数。

n 失败登录尝试次数指示登录尝试失败的次数。

n 会话上限指示在给定时间点并发会话的大数量。

n PCoIP 会话指示使用 PCoIP 建立的会话数量。

n BLAST 会话指示使用 Blast 建立的会话数量。

n 隧道会话指示使用 Horizon 隧道建立的会话数量。

表 7-1. Edge 服务会话统计信息示例

Edge 服务会话总数

活动 (已登

录) 会话非活动会话

失败登录尝

试次数会话上限 PCoIP 会话

BLAST 会话隧道会话

Horizon 11 0 11 8 11 0 0 0

反向代理

(jira)10 0 10 10 10 - - -

反向代理

(sp_blr)11 0 11 11 11 - - -

反向代理

(sp_https_saml)

4 0 4 0 5 - - -


VMware, Inc. 130

Edge 服务会话总数

活动 (已登

录) 会话非活动会话

失败登录尝

试次数会话上限 PCoIP 会话

BLAST 会话隧道会话

反向代理

(sp_multi_domain)

8 0 8 8 8 - - -

VMwareTunnel

1 1 0 0 1 - - -

总数 45 1 44 37 - - -

监控会话统计信息 API此处列出的参数描述了在上一个监控时间间隔捕获的会话统计信息。

URL 调用： https://<UAGIP>:9443/rest/v1/monitor/stats

表 7-2. Horizon View

属性说明

totalSessions 指示活动会话数和非活动会话数的总和。

管理 UI：会话总数。

highWaterMarkOfSessions 指示在给定时间点并发会话的大数量。

管理 UI：会话上限。

authenticatedSessions 指示正在进行的已通过身份验证的会话（已登录会话）数。

管理 UI：活动 (已登录) 会话。

unauthenticatedSessions 指示未经身份验证的会话数。

管理 UI：非活动会话。

failedLoginAttempts 指示失败登录尝试的次数。

管理 UI：失败登录尝试次数。

userCount 指示当前已通过身份验证的唯一用户数。

BLAST

sessions 指示活动的 BLAST 会话数。

maxSessions 指示已授权的 BLAST 会话数。

PCoIP

sessions 指示在桌面或应用程序启动过程中创建的活动 PCoIP 会话数。

maxSessions 指示在给定时间点并发 PCoIP 会话的大数量。

VMware Tunnel

sessions 指示在通过 View Client 进行身份验证时创建的活动 VMware Tunnel 会话数。

maxSessions 指示在给定时间点并发 VMware Tunnel 会话的大数量。


VMware, Inc. 131

表 7-3. Web 反向代理

属性说明

totalSessions 指示活动会话数和非活动会话数的总和。

管理 UI：会话总数。

highWaterMarkOfSessions 指示在给定时间点并发会话的大数量。

管理 UI：会话上限。

authenticatedSessions 指示正在进行的已通过身份验证的会话（已登录会话）数。

管理 UI：活动 (已登录) 会话。

unauthenticatedSessions 指示未经身份验证的会话数。

管理 UI：非活动会话。

failedLoginAttempts 指示失败登录尝试的次数。

管理 UI：失败登录尝试次数。

userCount 指示当前已通过身份验证的唯一用户数。

backendStatus

status 指示后端应用程序是否可访问。（正在运行、不可访问）

reason 指示并说明状态及原因。（可访问、错误详细信息）

kcdStatus

status 指示 kcd 服务器是否可访问。（正在运行、不可访问）

reason 指示并说明状态及原因。（可访问、错误详细信息）

表 7-4. VMware Tunnel

属性说明

identifier 指示 VMware Tunnel 服务已启用。

status VMware Tunnel 服务（vpnd 服务）的状态。

reason 指示并说明 VMware Tunnel 服务的状态及原因。“已启动”或“已关闭”标签表示服务状态。例

如，当服务已启动并在运行时，它可以访问，而当服务已关闭时，VMware Tunnel 服务器不可访

问。

totalSessions 指示在通过 VMware Tunnel 客户端进行身份验证时创建的活动 VMware Tunnel 会话数。

connections 指示 VMware Tunnel 服务器中的活动出站连接数。

upTime 指示 VMware Tunnel 服务的活动（运行）时间。

apiConnectivity VMware Tunnel 服务器到 API 的连接。例如，True 或 False。

awcmConnectivity VMware Tunnel 服务器到 AWCM 的连接。例如，True 或 False。

cascadeMode 提供级联信息。例如，关闭表示基本模式，前端或后端表示级联设置。


VMware, Inc. 132

监控已部署服务的运行状况

您可以从 Edge 设置的管理 UI 快速查看您所部署的服务是否已进行配置以及是否已成功启动并在运行。

图 7-2. 运行状况检查

在服务前显示有一个圆圈。其颜色编码如下所示。

n 黑色圆圈 - 设置未进行配置。

n 红色圆圈 - 服务已关闭。

n 琥珀色圆圈 - 服务正在部分运行。

n 绿色圆圈 - 服务正在运行，不存在任何问题。

部署错误故障排除

在您的环境中部署 Unified Access Gateway 时，您可能会遇到一些困难。您可以使用不同的过程诊断和修

复部署问题。

在运行从 Internet 下载的脚本时出现安全警告

验证 PowerShell 脚本是您要运行的脚本，然后从 PowerShell 控制台运行以下命令：

unblock-file .\uagdeploy.ps1

未找到 ovftool 命令

验证 Windows 计算机上已安装 OVF Tool 软件，以及该软件安装在脚本所预期的位置。

netmask1 属性中的网络无效

该消息可能指示 netmask0、netmask1 或 netmask2。检查是否在 INI 文件中为以下三个网络分别设置了一

个值：netInternet、netManagementNetwork 和 netBackendNetwork。


VMware, Inc. 133

显示有关不支持操作系统标识符的警告消息

显示警告消息，指示选定主机不支持指定的操作系统标识符 SUSE Linux Enterprise Server 12.0 64 位(id:85)。它将映射到以下 OS 标识符：其他 Linux（64 位）。

请忽略此警告信息。它将自动映射到受支持的操作系统。

定位符未引用对象错误

该错误通知 vSphere OVF Tool 使用的 target= value 不适用于您的 vCenter Server 环境。请使用 https://communities.vmware.com/docs/DOC-30835 中列出的表格获取用于引用 vCenter 主机或群集的目标格式

示例。顶级对象指定如下：

target=vi://[email protected]:[email protected]/

该对象现在列出了下一个层级所使用的可能名称。

target=vi://[email protected]:[email protected]/Datacenter1/

target=vi://[email protected]:[email protected]/Datacenter1/host

target=vi://[email protected]:[email protected]/Datacenter1/host/Cluster1/

or

target=vi://[email protected]:[email protected]/Datacenter1/host/esxhost1

目标中使用的文件夹名称、主机名和群集名称区分大小写。

错误消息：无法从以下会话中检索客户端证书: sessionId (Unable toretrieve client certificate from session: sessionId)

n 检查是否在浏览器中正确安装了用户证书。

n 检查是否在浏览器和 Unified Access Gateway 中启用了默认 TLS 协议版本 1.1 和 1.2。

无法使用在 Chrome 浏览器中启动的 VMware vSphere Web Client 部署 Unified Access Gateway OVA您必须在用于在 vSphere Web Client 上部署 OVA 文件的浏览器中安装客户端集成插件。在 Chrome 浏览

器中安装该插件后，将显示一条错误消息，指示未安装浏览器，因此，无法在源位置中输入 OVA 文件

URL。这是 Chrome 浏览器问题，与 Unified Access Gateway OVA 无关。建议您使用不同的浏览器部署

Unified Access Gateway OVA。

无法使用 VMware vSphere HTML4/5 Web Client 部署 UnifiedAccess Gateway OVA您可能会遇到一些错误，例如，为属性指定的值无效 (Invalid value specified for property)。该

问题与 Unified Access Gateway OVA 无关。建议您改用 vSphere FLEX 客户端部署 OVA。


VMware, Inc. 134



无法使用 VMware vSphere 6.7 HTML5 Web Client 部署 UnifiedAccess Gateway OVA您可能会发现在 VMware vSphere 6.7 HTML5 Web Client 上的部署属性页中缺少字段。该问题与 UnifiedAccess Gateway OVA 无关。建议您改用 vSphere FLEX 客户端部署 OVA。

无法在 VMware Identity Manager 上从 Chrome 中启动 XenApp从 VMware Identity Manager 中将 Unified Access Gateway 部署为 Web 反向代理后，您可能无法从

Chrome 浏览器中启动 XenApp。

请按照以下步骤解决该问题。

1 使用以下 REST API 从 VMware Identity Manager 服务中禁用 orgUseNonNPAPIForCitrixLaunch 功能标记。

PUT https://fqdn/SAAS/jersey/manager/api/tenants/settings?tenantId=tenantname

{ "items":[ {"name":"orgUseNonNPAPIForCitrixLaunch","value": "false"} ] }

with the following two headers:

Content-Type application/vnd.vmware.horizon.manager.tenants.tenant.config.list+json

Authorization HZN value_of_HZN_cookie_for_admin_user

2 等待 24 小时以使更改生效，或重新启动 VMware Identity Manager 服务。

n 要在 Linux 上重新启动该服务，请登录到虚拟设备并运行以下命令：service horizon-workspace

restart。

n 要在 Windows 上重新启动该服务，请运行以下脚本：install_dir\usr\local\horizon\scripts

\horizonService.bat restart 。

错误故障排除：身份桥接

您在环境中配置证书到 Kerberos 或 SAML 到 Kerberos 时可能会遇到困难。您可以使用各种过程来诊断和

修复这些问题。

监控 KDC 服务器和后端应用程序服务器的运行状况。

您可以从 Edge 设置的管理 UI 快速查看您所部署的服务是否已进行配置以及是否已成功启动并在运行。


VMware, Inc. 135

图 7-3. 运行状况检查 - 反向代理设置

在服务前显示有一个圆圈。其颜色编码如下所示。

n 红色圆圈：如果状态为红色，则可能意味着出现了以下某种情况。

n Unified Access Gateway 与 Active Directory 之间的连接出现了问题

n Unified Access Gateway 和 Active Directory 之间出现了端口阻止问题。

注确保在 Active Directory 计算机中同时打开了 TCP 和 UDP 端口 88。

n 在上载的 Keytab 文件中可能具有不正确的主体名称和密码凭据。

n 绿色圆圈：如果状态为绿色，则意味着 Unified Access Gateway 能够使用 Keytab 文件中提供的凭据

登录到 Active Directory。

创建 Kerberos 上下文时出错：时钟偏差太大 (Clock skew too great)以下错误消息：

ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-

a8d9-5e288ac800fe]: Error creating kerberos context.

Identity bridging may not work

javax.security.auth.login.LoginException: Clock skew too great"

在 Unified Access Gateway 时间与 AD 服务器时间显著不同步时显示。重置 AD 服务器上的时间，使其与

Unified Access Gateway 上的 UTC 时间完全匹配。

创建 Kerberos 上下文时出错：名称或服务未知 (Name or service notknown)以下错误消息：

wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context.

Identity bridging may not work

javax.security.auth.login.LoginException: Name or service not known


VMware, Inc. 136

在 Unified Access Gateway 使用 Keytab 文件中的用户详细信息无法访问配置的领域或无法连接到 KDC 时显示。确认以下内容：

n 已使用正确的 SPN 用户帐户密码生成 Keytab 文件，并已将其上载到 Unified Access Gateway

n 后端应用程序 IP 地址和主机名已正确添加到主机条目中。

接收用户 [email protected] 的 Kerberos 令牌时出错，错误: Kerberos委派错误: 方法名称: gss_acquire_cred_impersonate_name: 未指定的GSS 失败。次要代码可能会提供更多信息 (Error in receiving Kerberostoken for user: [email protected], error: Kerberos DelegationError: Method name: gss_acquire_cred_impersonate_name:Unspecified GSS failure. Minor code may provide moreinformation)"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found

in Kerberos database"

如果显示此消息，请确认：

n 域之间的信任正常。

n 目标 SPN 名称配置正确。

错误故障排除：Cert-to-Kerberos您在环境中配置 Cert-to-Kerberos 时，可能会遇到一些问题。您可以使用各种过程来诊断和修复这些问

题。

错误消息：内部错误。请联系您的管理员 (Internal error. Please contactyour administrator)在 /opt/vmware/gateway/logs/authbroker.log 中查找以下消息

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with

"Could not send OCSP request to responder: Connection refused (Connection refused) , will

attempt CRL validation"

此消息表示“X.509 证书”中配置的 OCSP URL 不可访问或不正确。

OCSP 证书无效时发生的错误

"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify

signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."

当上载了无效的 OCSP 证书，或者 OCSP 证书被吊销时，会显示上述错误。


VMware, Inc. 137

OCSP 响应验证失败时发生的错误

"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response:

CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN

revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify

signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."

OCSP 响应验证失败时，有时会显示上述错误。

错误消息：无法从以下会话检索客户端证书: <sessionId> (unable toretrieve client certificate from session: <sessionId>)如果显示此消息：

n 请检查 X.509 证书设置并确定是否已进行配置

n 如果配置了 X.509 证书设置：请检查安装在客户端浏览器上的客户端证书，以确定该证书的颁发者是

否为 X.509 证书设置中“根和中间 CA 证书”字段上载的同一 CA。

端点合规性故障排除

您在环境中部署端点合规性检查提供程序时，可能会遇到一些问题。您可以使用各种过程来诊断和修复部

署问题。

注 Esmanager.log 中记录了有关用于合规性检查的设备的 MAC 地址信息。如果设备有多个网卡，或者

切换到不同的网络，此日志可帮助确定用于端点合规性检查的 MAC 地址。

Unified Access Gateway 显示“错误的客户端凭据 (Bad clientcredentials)”Unified Access Gateway 通过调用 OPSWAT API 来验证所提供的客户端密钥和客户端密码。如果凭据不正

确，则不会保存设置，从而导致

错误的客户端凭据 (Bad client credentials)

错误。

验证“用户名”和“密码”字段中的客户端密钥和客户端密码正确无误。

要生成客户端凭据，请在此处 (https://gears.opswat.com/o/app/register) 注册您的应用程序。

Unified Access Gateway 显示“DNS 无法解析主机 https://gears.opswat.com (DNS is not able to resolve the host https://gears.opswat.com)”使用 ping 命令找到您所在区域的 gears.opswat.com 的 IP 地址。

然后，使用通过 ping 命令发现的 IP 地址为 https://gears.opswat.com 创建一个 /etc/hosts 条目。

从管理 UI 导航到“Horizon 设置”，并为 View Edge 服务提供主机条目中的值。


VMware, Inc. 138

HTTPS://GEARS.OPSWAT.COM/O/APP/REGISTER

Unified Access Gateway 显示“连接到主机 https://gears.opswat.com 时请求超时 (The request timed out whileconnecting to the host https://gears.opswat.com)”如果 UAG 中主机条目 gears.opswat.com 的配置不正确，或者 https://gears.opswat.com 不接受连

接请求，会发生此错误。

管理 UI 中的证书验证故障排除

如果您在验证 PEM 格式的证书时遇到错误，请在此处查找相关错误消息，以了解更多信息。

以下是可能会产生错误的情景列表。

错误问题

无效的 PEM 格式。可能是由于错误的 BEGIN 格式所致。请参阅

日志了解更多详细信息 (Invalid PEM format. Could be due towrong BEGIN format. See log for more details)。

PrivateKey BEGIN 证书无效。

无效的 PEM 格式。异常消息: -----未找到 END RSA 私钥。请参

阅日志了解更多详细信息 (Invalid PEM format. Exceptionmessage: -----END RSA PRIVATE KEY not found. See log formore details)。

PrivateKey END 证书无效。

无效的 PEM 格式。异常消息: 创建 RSA 私钥

java.lang.IllegalArgumentException 时出现问题: 从 byte[] 构建序

列失败: 损坏的流 - 找到超出范围的长度。请参阅日志了解更多详

细信息 (Invalid PEM format. Exception message: problemcreating RSA private key: java.lang.IllegalArgumentException:failed to construct sequence from byte[]: corrupted stream - outof bounds length found. See log for more details)。

证书中的 PrivateKey 已损坏。

未能从 PEM 字符串中解析证书。请参阅日志了解更多详细信息

(Failed to parse certificates from PEM string. See log for moredetails)。

PublicKey BEGIN 证书无效。

遇到格式错误的 PEM 数据。请参阅日志了解更多详细信息

(Malformed PEM data encountered. See log for more details)。PublicKey END 证书无效。

遇到格式错误的 PEM 数据。请参阅日志了解更多详细信息

(Malformed PEM data encountered. See log for more details)。证书中的 PublicKey 已损坏。

没有目标/ 终证书可用于构建链接 (There are no target/endcertificates to build the chaining)。

没有目标/ 终证书。

无法构建证书链路径，所有目标证书都无效。可能缺少中间/根证

书 (Not able to build cert chain path, all target certs are invalid.May be missing an intermediate/root certificates)。

没有可构建的证书链。

不明确的错误: 发现多个证书链，不确定该返回哪一个

(Ambiguous Error: Found more than one cert chain not surewhich one to return)

存在多个证书链。


VMware, Inc. 139

错误问题

无法构建证书链路径，CertificateExpiredException: 证书已于

20171206054737GMT+00:00 过期。请参阅日志了解更多详细信

息 (Not able to build cert chain path,CertificateExpiredException: certificate expired on20171206054737GMT+00:00. See log for more details)。

证书已过期。

上载 PEM 格式的证书时显示错误消息“在流中检测到意外数

据”(Unexpected data detected in stream)。链证书中的叶证书和中间证书之间缺少空行或其他属性。在叶证

书和中间证书之间添加一个空行可解决此问题。

图 7-4. 示例

防火墙和连接问题故障排除

您可以使用各种工具和命令（例如，tcpdump 和 curl）来监控、测试 Unified Access Gateway 实例中出

现的防火墙和连接问题，并对这些问题进行故障排除。

安装并运行 tcpdumptcpdump 是一个命令行工具，您可以使用此工具来分析 TCP 数据包以进行故障排除和测试。

如果尚未在 Unified Access Gateway 实例上安装 tcpdump，请从命令行运行以下命令以安装 tcpdump：

/etc/vmware/gss-support/install.sh

以下示例显示了 tcpdump 的用法：

n 运行以下命令可监控特定端口上存在的流量。

注如果您指定端口 8443，请确保外部防火墙未阻止 UDP 8443。

a tcpdump -i eth0 -n -v udp port 8443

b tcpdump -i eth0 -n -v tcp port 8443

c tcpdump -i any -n -v port 22443

n 运行以下命令可跟踪往返于 RADIUS 服务器与 Unified Access Gateway 之间的数据包：

nslookup <radius-server-hostname>

tracepath <radius-server-hostname>

tcpdump -i any -n -v port 1812


VMware, Inc. 140

n 运行以下命令可跟踪往返于 RSA SecurID 服务器与 Unified Access Gateway 之间的数据包。

nslookup <rsa-auth-server-hostname>

tracepath <rsa-auth-server-hostname>

使用 curl 命令

您还可以使用 curl 命令检索有关网络连接的信息。

n 运行以下命令以测试到后端连接服务器或 Web 服务器的连接：

curl -v -k https://<hostname-or-ip-address>:443/

您可以在 esmanager.log 文件中查看后端服务器连接问题：

07/14 07:29:03,882[nioEventLoopGroup-7-1]ERROR

view.ViewEdgeService[onFailure: 165][]: Failed to resolve hostname

address in proxyDestinationUrl:xref:mbxxx-cs.xyz.in

n 您不能使用 tcpdump 测试到后端虚拟桌面（例如 PCoIP 4172 和 Blast 22443）的连接，因为这些桌面

在会话准备就绪之前不侦听这些端口号。请查看相关日志，以了解这些端口可能出现的连接故障。

n 运行以下命令以测试 Horizon 框架通道 TCP 连接：

curl -v telnet://<virtualdesktop-ip-address>:32111

n 运行以下命令以测试 Horizon MMR/CDR TCP 连接：


n 运行以下命令以测试从 Unified Access Gateway 到虚拟桌面的端口连接。在运行该命令之前，请

确保到虚拟桌面的会话处于活动状态。


PowerShell 命令

从 PowerShell 命令行运行以下命令可监控特定端口的连接情况：

1 Test-NetConnection <uag-hostname-or-ip-address> -port 443



以 root 用户身份登录问题故障排除

如果您使用正确的用户名和密码以 root 用户身份登录到 Unified Access Gateway 控制台时收到“登录不正

确 (Login incorrect)”错误，请检查是否存在键盘映射问题并重置 root 密码。

出现登录错误的原因有多种：

n 使用的键盘没有根据 Unified Access Gateway 的键盘定义正确映射某些密码字符。

n 密码已过期。root 密码将在部署 OVA 文件 365 天后过期。


VMware, Inc. 141

n 部署设备时未正确设置密码。这是较低版本的 Unified Access Gateway 存在的一个已知问题。

n 忘记了密码。

要测试键盘是否正确映射了字符，请尝试在响应“登录:”用户名提示时输入密码。这样您就能看到每个密

码字符，并且可以识别字符在何处被误解。

对于所有其他原因，请重置设备的 root 密码。

注要重置 root 密码，您必须：

n 拥有 vCenter 登录权限

n 知道 vCenter 登录密码

n 拥有设备控制台访问权限

如果您已经为设备设置了 Grub2 引导加载程序菜单密码，则需要在以下过程中输入此密码。

步骤

1 从 vCenter 重新启动设备并立即连接到控制台。

2 显示 Photon OS 初始屏幕时，按 e 进入 GNU GRUB 编辑菜单

3 在 GNU GRUB 编辑菜单中，转到以 linux 开头的行结尾处，添加一个空格，然后键入 /$photon_linux root=$rootpartition rw init=/bin/bash。添加这些值之后，GNU GRUB 编辑菜单

应与下图完全一样：

注对于 FIPS 设备，应在此行结尾处保留 fips=1，如下图所示。


VMware, Inc. 142

4 按 F10 键，然后在 bash 命令提示符下输入 passwd 以更改密码。

passwd

New password:

Retype new password:

passwd: password updated successfully

5 重新引导设备 reboot -f

n 引导设备后，使用新设置的密码以 root 用户身份登录。

关于 Grub2 密码

您可以使用 Grub2 密码以 root 用户身份进行登录。

从 Unified Access Gateway 3.1 开始，默认情况下将设置 Grub2 编辑密码。

用户名是 root，密码与部署 Unified Access Gateway 时配置的 root 密码相同。除非您通过登录到计算机来

明确重置此密码，否则将永远不会对其进行重置。

注通过使用任何命令登录到计算机来手动更改 root 密码时，将不会重置 Grub2 密码。这两者是相互排斥

的。只有在部署过程中才会为两者设置相同的密码（对于 UAG 3.1 及更高版本）。

从 Unified Access Gateway 设备收集日志

从管理 UI 的“支持设置”部分中下载 UAG-log-archive.zip 文件。该 ZIP 文件包含来自 Unified AccessGateway 设备的所有日志。

设置日志级别

您可以从管理 UI 中管理日志级别设置。转到支持设置页，然后选择日志级别设置。可生成的日志级别有

“信息”、“警告”、“错误”和“调试”。日志级别默认设置为“信息”。

下面是对日志级别收集的信息类型的说明。


VMware, Inc. 143

表 7-5. 日志级别

级别收集的信息类型

信息 “信息”级别指定突出显示服务进度的信息消息。

错误 “错误”级别指定可能仍然允许服务继续运行的错误事件。

警告 “警告”级别指定可能存在危害的情况，但它们通常是可以恢复或可以忽略的。

调试指定通常对于调试问题、查看或操纵设备的内部状态以及在您的环境中测试部署方案很有用的

事件。

收集日志

从管理 UI 的“支持设置”部分下载日志 ZIP 文件。

这些日志文件是从设备上的 /opt/vmware/gateway/logs 目录中收集的。

下面的表格包含 ZIP 文件中包含的各种文件的说明。

表 7-6. 包含系统信息以帮助进行故障排除的文件

文件名说明 Linux 命令（如果适用）

rpm-version.log Unified Access Gateway 设备的版本。

ipv4-forwardrules 在设备上配置的 IPv4 转发规则。

df.log 包含有关设备上的磁盘空间使用情况的信息。 df -a -h --total

netstat.log 包含有关打开的端口和现有 TCP 连接的信息。 netstat -anop

netstat-s.log 从设备创建时开始收集的网络统计信息（发送/接收的字节数

等）。

netstat -s

netstat-r.log 在设备上创建的静态路由。 netstat -r

uag_config.json、

uag_config.ini、

uagstats.json

Unified Access Gateway 设备的整个配置，将所有设置显示为一

个 json 文件和一个 ini 文件。

ps.log 包含在下载日志时运行的进程。 ps -elf --width 300

ifconfig.log 设备的网络接口配置。 ifconfig -a

free.log 下载日志时的 RAM 可用性。 free

top.log 按下载日志时的内存使用情况排序的进程列表。 top -b -o %MEM -n 1

iptables.log IPv4 的 IP 表。 iptables-save

ip6tables.log IPv6 的 IP 表。 ip6tables-save

w.log 有关正常运行时间、计算机上的当前用户及其进程的信息。 w

systemctl.log 设备上当前正在运行的服务列表 systemctl

resolv.conf 用于将本地客户端直接连接到所有已知的 DNS 服务器

hastats.csv 包含每个节点的统计信息以及每种后端类型（Edge ServiceManager、VMware Tunnel、Content Gateway）的总统计信息


VMware, Inc. 144

表 7-7. Unified Access Gateway 的日志文件

文件名说明 Linux 命令（如果适用）

supervisord.log 监控程序（Edge Service Manager 的管理器、管理员和

AuthBroker）日志。

esmanager-x.log、

esmanager-std-out.log

Edge Service Manager 日志，显示设备上执行的后端进程。

audit.log 所有管理员用户操作的审核日志。

authbroker.log 包含来自 AuthBroker 进程的日志消息，该进程处理 Radius 和RSA SecurID 身份验证。

admin.log、admin-std-

out.log

管理员 GUI 日志。包含在端口 9443 上提供 Unified AccessGateway REST API 的进程的日志消息。

bsg.log 包含 Blast 安全网关的日志消息。

SecurityGateway_xxx.l

og

包含 PCoIP 安全网关的日志消息。

utserver.log 包含来自 UDP 隧道服务器的日志消息。

activeSessions.csv 活动 Horizon 或 WRP 会话列表。

haproxy.conf 包含用于 TLS 端口共享的 HA 代理配置参数。

vami.log 包含在部署期间运行 vami 命令以设置网络接口而生成的日志消

息。

content-gateway.log、

content-gateway-

wrapper.log、

0.content-gateway-

YYYY-mm.dd.log.zip

包含来自 Content Gateway 的日志消息。

admin-zookeeper.log 包含与用于存储 Unified Access Gateway 配置的数据层相关的日

志消息。

tunnel.log 包含来自作为 XML API 处理一部分的隧道进程的日志消息。您必

须在 Horizon 设置中启用隧道才能看到此日志。

tunnel-snap.tar.gz 包含 VMware Tunnel 服务器和代理日志的 Tarball。

aw-appliance-

agent.log

设备代理（用于启动 Workspace ONE UEM 服务）日志。

config.yml 包含 Content Gateway 配置和日志级别详细信息。

smb.conf 包含 SMB 客户端配置。

smb-connector.conf 包含 SMB 协议和日志级别详细信息。

以“-std-out.log”结尾的日志文件包含写入到各种进程的 stdout 中的信息，这些文件通常是空文件。


VMware, Inc. 145

导出 Unified Access Gateway 设置

可从管理 UI 中采用 JSON 和 INI 格式导出 Unified Access Gateway 配置设置。

您可以导出所有 Unified Access Gateway 配置设置，并采用 JSON 或 INI 格式保存这些设置。您可以通过

Powershell 脚本使用导出的 INI 文件来部署 Unified Access Gateway。

步骤

1 导航到支持设置 > 导出 Unified Access Gateway 设置。

2 单击 JSON 或 INI 以采用您所需的格式导出 Unified Access Gateway 设置。要采用这两种格式保存设

置，请单击日志存档按钮。

默认情况下，这些文件将保存在您的“下载”文件夹中。

导入 Unified Access Gateway 设置

Unified Access Gateway 管理 UI 提供了一个用于以 JSON 格式导出配置设置的选项。以 JSON 格式导出

配置设置后，您可以使用导出的 JSON 文件来配置新部署版本的 Unified Access Gateway 设备。

步骤

1 导航到支持设置>导出 Unified Access Gateway 设置。

2 单击“JSON”以使用 JSON 格式导出 Unified Access Gateway 设置。

默认情况下，文件将保存在您的“下载”文件夹中

3 删除旧的 Unified Access Gateway 设备，或将其置于静默模式，以便稍后删除。

4 部署新版本的 Unified Access Gateway 设备

5 导入以前导出的 JSON 文件。

错误故障排除：Content Gateway您在环境中配置 Content Gateway 时，可能会遇到一些问题。可使用以下过程来诊断和修复相关问题。

用户使用在 NetApp 服务器上托管的共享时遇到的同步、下载和上载问题。

要手动更改配置文件，请按照以下步骤进行操作：

1 登录 vSphere Client

2 打开配置了 Content Gateway 的 Unified Access Gateway 控制台。

3 导航到 /opt/airwatch/content-gateway/conf

4 编辑 config.yml 文件

5 将参数 aw.fileshare.jcifs.active 的标记值改为 true。默认值为 false。


VMware, Inc. 146

6 使用以下命令重新启动 Content Gateway 服务

$ service content-gateway restart

高可用性故障排除

您在环境中配置“高可用性”时，可能会遇到一些问题。您可以使用各种过程来诊断和修复这些问题。

1 登录到 Unified Access Gateway 控制台。

2 运行 ip addr 命令，以检查是否已将配置的虚拟 IP 地址分配给 eth0 接口。

3 确保已在 eth0 接口所在的同一子网中分配了虚拟 IP 地址。确保该地址可以从客户机访问。如果出现

连接问题，可能是因为虚拟 IP 地址不是唯一的，且已分配给物理机或虚拟机。

4 在日志包中的 haproxy.conf 文件中，提供与当前群集相关的配置。例如，

server uag1 127.0.0.1:XXXX .....

server uag2 <IP of machine 2>:XXXX ....

server uag3 <IP of machine 3>:XXXX ....

后端配置基于 Unified Access Gateway 上配置的设置

n Lb_esmanageris 适用于 Horizon 和 Web 反向代理用例。

n lb_cg_server 适用于 Content Gateway 用例。

n Lb_tunnel_server 适用于 Tunnel 用例。

5 在日志包中的 haproxy.conf 文件中，您可以找到有关客户端连接源、已发送的相应连接，以及负责

处理连接的 Unified Access Gateway 服务器的详细信息。例如，

2018-11-27T07:21:09+00:00 ipv6-localhost haproxy[15909]:

incoming:::ffff:<IP of Client:xxxx> backend:lb_esmanager

connecting-server:uag2/<IP of uag2> connecting-through:<IP of master

node:xxxx> wait-time:1 connect-time:0 total-incoming:1 total-outgoing:1

total-to-server:1

6 要查看统计信息，请参阅从 Unified Access Gateway 设备中收集日志。

表 7-8. CSV 文件示例

列名称说明

scur 指示该服务器处理的当前并发连接数。

smax 该服务器在当前正常运行时间期间处理的并发连接数上限。

stot 指示该服务器在当前正常运行时间期间处理的总连接数。

bin 指示发送到该服务器的总字节数。


VMware, Inc. 147

列名称说明

bout 指示从该服务器接收的总字节数。

status 指示该服务器的状态。例如，服务器正在运行还是已关闭。状态取决于近一次对该服务器执行的运行状况检

查。

7 在以下情况下可能看到多个主节点选取问题：

n 在用于构成群集的节点上配置了不同的组 ID 或虚拟 IP 地址。

n 虚拟 IP 地址和 eth0 位于不同的子网中。

n 在同一个子网内为 Unified Access Gateway 配置了多个网卡。

安全性故障排除：佳实践

当服务在您的 Web 服务器中检测到负载平衡设备时，这一有关您网络的附加信息会是一个漏洞。您可以使

用各种过程来诊断和修复这些问题。

可使用多种不同的技术来检测负载平衡设备是否存在，其中包括分析 HTTP 标头以及分析 IP 生存时间

(Time-To-Live, TTL) 值、IP 标识 (ID) 值和 TCP 初始序列号 (Initial Sequence Number, ISN)。负载平衡器

后面的 Web 服务器的确切数量很难确定，因此报告的数量可能不准确。

此外，Netscape Enterprise Server 版本 3.6 已知在收到多个请求时，会在 HTTP 标头中显示一个错误的

"Date:" 字段。这使得服务很难通过分析 HTTP 标头来确定负载平衡设备是否存在。

此外，执行扫描后，分析 IP ID 和 TCP ISN 值所得出的结果可能会因网络状况的不同而有所差异。通过利

用此漏洞，入侵者可以结合使用此信息和其他信息来针对您的网络实施复杂的攻击。

注如果负载平衡器后面的 Web 服务器不相同，则在每个服务器中执行的 HTTP 漏洞扫描可能得到不同的

扫描结果。

n Unified Access Gateway 是通常安装在隔离区 (DMZ) 中的设备。以下步骤可帮助您保护 UnifiedAccess Gateway，防止漏洞扫描程序检测此问题。

n 要防止基于 HTTP 标头分析来检测负载平衡设备是否存在，您应该使用网络时间协议 (Network-Time-Protocol, NTP) 同步所有主机（至少 DMZ 中的主机）上的时钟。

n 要防止通过分析 IP TTL 值、IP ID 值和 TCP ISN 值进行检测，您可以使用带有可为这些值生成随

机数的 TCP/IP 实施的主机。但是，当今可用的大多数操作系统都不附带此类 TCP/IP 实施。


VMware, Inc. 148

2019 年 7 月 2 Unified...Unified Access Gateway...

Documents

Transcript of 2019 年 7 月 2 Unified...Unified Access Gateway...