部署和配置 vmware unified access gateway - unified ......syslog 格式和事件 182 导出...

部署和配置 VMware Unified Access GatewayUnified Access Gateway 2009

您可以从 VMware 网站下载新的技术文档：

https://docs.vmware.com/cn/。

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

威睿信息技术（中国）有限公司北京办公室北京市朝阳区新源南路 8 号启皓北京东塔 8 层 801www.vmware.com/cn

上海办公室上海市淮海中路 333 号瑞安大厦 804-809 室www.vmware.com/cn

广州办公室广州市天河路 385 号太古汇一座 3502 室www.vmware.com/cn

版权所有 ©

2020 VMware, Inc. 保留所有权利。版权和商标信息

部署和配置 VMware Unified Access Gateway

VMware, Inc. 2

https://docs.vmware.com/cn/

http://pubs.vmware.com/copyright-trademark.html

目录

部署和配置 VMware Unified Access Gateway 6

1 准备部署 VMware Unified Access Gateway 7将 Unified Access Gateway 作为安全网关 7

使用 Unified Access Gateway 代替虚拟专用网络 8

Unified Access Gateway 系统和网络要求 8

基于 DMZ 的 Unified Access Gateway 设备的防火墙规则 11

使用 Unified Access Gateway 部署 VMware Tunnel 的系统要求 18

VMware Tunnel 代理的端口要求 19

VMware 每应用隧道的端口要求 22

网络接口连接要求 25

Unified Access Gateway 负载平衡拓扑 25

为负载平衡 UAG 配置 Avi Vantage（用作 Web 反向代理时） 27

Unified Access Gateway 高可用性 31

配置高可用性设置 33

配置了 Horizon 的 Unified Access Gateway 33

具有基本配置的 VMware Tunnel（每应用 VPN）连接 34

级联模式的 VMware Tunnel（每应用 VPN）连接 35

Content Gateway 基本配置 36

具有中继和端点配置的 Content Gateway 37

具有多个网卡的 Unified Access Gateway 的 DMZ 设计 38

零停机时间升级 41

不使用网络协议配置文件 (NPP) 部署 Unified Access Gateway 43

加入或退出客户体验改进计划 43

2 部署 Unified Access Gateway 设备 44使用 OVF 模板向导部署 Unified Access Gateway 44

使用 OVF 模板向导部署 Unified Access Gateway 45

从管理配置页面中配置 Unified Access Gateway 50

配置 Unified Access Gateway 系统设置 51

更改网络设置 55

配置用户帐户设置 56

配置 JSON Web 令牌设置 59

配置出站代理设置 60

配置 Unified Access Gateway 以自动应用授权的操作系统更新 61

更新 SSL 服务器签名证书 62

VMware, Inc. 3

3 使用 PowerShell 部署 Unified Access Gateway 64使用 PowerShell 部署 Unified Access Gateway 的系统要求 64

使用 PowerShell 部署 Unified Access Gateway 设备 65

4 Unified Access Gateway 部署用例 72使用 Horizon 和 Horizon Cloud with On-Premises Infrastructure 进行部署 72

Unified Access Gateway 为 Horizon 基础架构提供 IPv4 和 IPv6 双模式支持 77

高级 Edge 服务设置 78

配置 Horizon 设置 80

Blast TCP 和 UDP 外部 URL 配置选项 86

Horizon 端点合规性检查 87

为 Horizon 配置端点合规性检查提供程序设置 87

定期端点合规性检查的时间间隔 92

作为反向代理部署 93

使用 Workspace ONE Access 配置反向代理 95

使用 VMware Workspace ONE UEM API 配置反向代理 98

内部部署的旧版 Web 应用程序的单点登录访问部署 100

身份桥接部署方案 101

配置身份桥接设置 103

针对 Unified Access Gateway 和第三方身份提供程序集成配置 Horizon 116

使用 Unified Access Gateway 信息配置身份提供程序 117

将身份提供程序的 SAML 元数据上载到 Unified Access Gateway 118

在 Unified Access Gateway 上配置用于 SAML 集成的 Horizon 设置 118

Unified Access Gateway 上的 Workspace ONE UEM 组件 120

在 Unified Access Gateway 上部署 VMware Tunnel 121

关于 TLS 端口共享 131

Unified Access Gateway 上的 Content Gateway 132

Unified Access Gateway 上的 Secure Email Gateway 136

其他部署用例 138

5 使用 TLS/SSL 证书配置 Unified Access Gateway 140为 Unified Access Gateway 设备配置 TLS/SSL 证书 140

选择正确的证书类型 140

将证书文件转换为单行 PEM 格式 141

更改用于 TLS 或 SSL 通信的安全协议和密码套件 143

6 在 DMZ 中配置身份验证 145在 Unified Access Gateway 设备上配置证书或智能卡身份验证 145

在 Unified Access Gateway 上配置证书身份验证 146

获取证书颁发机构证书 147


VMware, Inc. 4

在 Unified Access Gateway 中配置 RSA SecurID 身份验证 149

为 Unified Access Gateway 配置 RADIUS 149

配置 RADIUS 身份验证 150

在 Unified Access Gateway 中配置 RSA 自适应身份验证 151

在 Unified Access Gateway 中配置 RSA 自适应身份验证 152

生成 Unified Access Gateway SAML 元数据 153

创建由其他服务提供程序使用的 SAML 身份验证器 154

将服务提供程序 SAML 元数据复制到 Unified Access Gateway 154

7 Unified Access Gateway 部署故障排除 156监控 Edge 服务会话统计信息 157

监控会话统计信息 API 158

Horizon 的 Unified Access Gateway 会话流 159

监控 SEG 运行状况和诊断情况 163

监控已部署服务的运行状况 167

部署错误故障排除 168

错误故障排除：身份桥接 170

错误故障排除：Cert-to-Kerberos 171

端点合规性故障排除 172

管理 UI 中的证书验证故障排除 173

防火墙和连接问题故障排除 174

以 root 用户身份登录问题故障排除 176

关于 Grub2 密码 178

从 Unified Access Gateway 设备收集日志 178

Syslog 格式和事件 182

导出 Unified Access Gateway 设置 188

导入 Unified Access Gateway 设置 188

错误故障排除：Content Gateway 188

高可用性故障排除 189

安全性故障排除：佳实践 190

受 Unified Access Gateway 管理 UI 设置中更改影响的用户会话 191


VMware, Inc. 5


《部署和配置 Unified Access Gateway》提供了有关设计 VMware Horizon®、VMware Workspace

ONE Access 和 Workspace ONE UEM 部署以使用 VMware Unified Access Gateway™ 对您组织的应

用程序进行安全外部访问的信息。这些应用程序可能是 Windows 应用程序、软件即服务 (Software As A Service, SaaS) 应用程序以及桌面。本指南还提供了部署 Unified Access Gateway 虚拟设备以及在部署

后更改配置设置的说明。

目标读者

本指南中的信息面向任何需要部署和使用 Unified Access Gateway 设备的人员。该信息是为熟悉虚拟机

技术和数据中心操作且经验丰富的 Linux 和 Windows 系统管理员编写的。

VMware, Inc. 6

准备部署 VMware Unified Access Gateway 1对于要从企业防火墙外部访问远程桌面和应用程序的用户，Unified Access Gateway 用作一个安全网

关。

注 VMware Unified Access Gateway® 以前称为 VMware Access Point。

本章讨论了以下主题：

n 将 Unified Access Gateway 作为安全网关

n 使用 Unified Access Gateway 代替虚拟专用网络

n Unified Access Gateway 系统和网络要求

n 基于 DMZ 的 Unified Access Gateway 设备的防火墙规则

n 使用 Unified Access Gateway 部署 VMware Tunnel 的系统要求

n Unified Access Gateway 负载平衡拓扑

n Unified Access Gateway 高可用性

n 具有多个网卡的 Unified Access Gateway 的 DMZ 设计

n 零停机时间升级

n 不使用网络协议配置文件 (NPP) 部署 Unified Access Gateway

n 加入或退出客户体验改进计划

将 Unified Access Gateway 作为安全网关

Unified Access Gateway 是通常安装在隔离区 (DMZ) 中的设备。Unified Access Gateway 用于确保仅

经过严格身份验证的远程用户产生的流量进入企业数据中心。

Unified Access Gateway 将身份验证请求发送到相应的服务器，并丢弃任何未经过身份验证的请求。用

户只能访问被授权访问的资源。

Unified Access Gateway 还确保可以将经过身份验证的用户产生的通信只重定向到用户实际有权访问的

桌面和应用程序资源。该保护级别包括具体检查桌面协议以及协调可能快速变化的策略和网络地址以准确

地控制访问。

VMware, Inc. 7

Unified Access Gateway 可作为公司受信任网络中用于连接的代理主机。这种设计禁止从面向公众的

Internet 中访问虚拟桌面、应用程序主机和服务器，从而提供一个额外的安全层。

Unified Access Gateway 专为 DMZ 而设计。它实施了以下强化设置。

n 新的 Linux 内核和软件修补程序

n 针对 Internet 和内联网流量的多网卡支持

n 禁用了 SSH

n 禁用了 FTP、Telnet、Rlogin 或 Rsh 服务

n 禁用了不需要的服务

使用 Unified Access Gateway 代替虚拟专用网络

Unified Access Gateway 与常规 VPN 解决方案类似，因为它们都确保仅将经过严格身份验证的用户产生

的流量转发到内部网络。

Unified Access Gateway 优于常规 VPN 的方面包括。

n 访问控制管理器。Unified Access Gateway 自动应用访问规则。Unified Access Gateway 可识别进

行内部连接所需的用户授权和寻址。VPN 同样如此，因为大部分 VPN 允许管理员为每个用户或用户

组单独配置网络连接规则。一开始，使用 VPN 没有什么问题，但需要投入大量的管理工作以维护所需

的规则。

n 用户界面。Unified Access Gateway 并未改变简单直观的 Horizon Client 用户界面。通过使用

Unified Access Gateway，在启动 Horizon Client 后，经过身份验证的用户位于其 Horizon Connection Server 环境中，并且可以控制对其桌面和应用程序的访问。VPN 要求在启动 Horizon Client 之前，必须首先设置 VPN 软件并单独进行身份验证。

n 性能。Unified Access Gateway 从设计上大限度提高安全性和性能。在 Unified Access Gateway 中，可以保证 PCoIP、HTML Access 和 WebSocket 协议的安全性，无需进行额外封装。VPN 作为

SSL VPN 来实施。该实现满足安全要求，在启用传输层安全 (Transport Layer Security, TLS) 的情

况下被视为是安全的，但具有 SSL/TLS 的基础协议仅基于 TCP。现代的视频远程协议利用基于 UDP 的无连接传输，强制使用基于 TCP 的传输时，性能优势将受到极大影响。这并不适用于所有 VPN 技术，因为那些可以使用 DTLS 或 IPsec（而不是 SSL/TLS）的 VPN 也可以很好地使用 Horizon Connection Server 桌面协议。

Unified Access Gateway 系统和网络要求

要部署 Unified Access Gateway 设备，请确保系统满足硬件和软件要求。

支持的 VMware 产品版本

您必须使用特定版本的 VMware 产品，并且该产品应包含特定版本的 Unified Access Gateway。请参阅

产品发行说明以了解有关兼容性的新信息，同时还请参阅《VMware 产品互操作性列表》，其网址为

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php。


VMware, Inc. 8

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

有关 Unified Access Gateway 生命周期支持策略的信息，请参阅 https://kb.vmware.com/s/article/2147313。

ESXi Server 的硬件要求

部署 Unified Access Gateway 设备的 VMware vSphere 版本必须分别与 VMware 产品和版本支持的版

本相同。

如果您打算使用 vSphere Web client，请确认安装了客户端集成插件。有关更多信息，请参阅 vSphere文档。如果在启动部署向导之前未安装该插件，该向导将提示您安装该插件。这需要关闭浏览器并退出该

向导。

注可以在 Unified Access Gateway 设备上配置时钟 (UTC) 以使设备具有正确的时间。例如，在

Unified Access Gateway 虚拟机上打开控制台窗口，并使用箭头按钮选择正确的时区。还要确认 ESXi 主机时间与 NTP 服务器进行同步，并且在设备虚拟机中运行的 VMware Tools 将虚拟机上的时间与 ESXi 主机上的时间进行同步。

虚拟设备要求

Unified Access Gateway 设备的 OVF 软件包自动选择 Unified Access Gateway 所需的虚拟机配置。

虽然您可以更改这些设置，但建议您不要将 CPU、内存或磁盘空间更改为小于默认 OVF 设置的值。

n CPU 低要求为 2000 MHz

n 小内存为 4 GB

重要事项 Unified Access Gateway 是 VMware 虚拟设备。安全和常规修补程序由 VMware 作为更新

的虚拟设备映像文件进行分发。不支持自定义 Unified Access Gateway 设备或升级单个组件，但可通过

vCenter Server 编辑设置增加内存和 vCPU 数量。

确保用于设备的数据存储具有足够的可用磁盘空间并满足其他系统要求。

n 虚拟设备下载大小（取决于 Unified Access Gateway 版本）

n 精简置备的磁盘低要求为 3.5 GB

n 厚置备的磁盘低要求为 20 GB

注除了低磁盘要求外，vSphere 还可以在 ESXi 数据存储上为每个虚拟机创建其他文件（例如交换文

件）。磁盘空间也可用于使用 vCenter Server 创建的任何虚拟机快照。ESXi 数据存储还包含用于每个虚

拟机的其他一些小文件。

如果未配置内存预留，vSphere 将创建一个每虚拟机交换文件 (.vswp)，该文件的大小大为虚拟机内存

大小。此交换空间适用于任何未预留的虚拟机内存。例如，具有 vSphere 厚置备磁盘且 RAM 大小为 4 GB 的 Unified Access Gateway 设备可以使用大小为 20 GB 的 ESXi .vmdk 文件，还可以使用大小为 4 GB 的 ESXi 交换文件。这会导致总磁盘空间要求为 24 GB。同样，对于 RAM 大小为 16 GB 的 Unified Access Gateway 设备，总磁盘空间要求可以是 36 GB。

有关交换空间和内存过量分配的详细信息，请参见 vSphere 资源管理文档。


VMware, Inc. 9

https://kb.vmware.com/s/article/2147313

https://kb.vmware.com/s/article/2147313

部署虚拟设备需要以下信息。

n 静态 IP 地址（推荐）

n DNS 服务器的 IP 地址

n root 用户的密码

n admin 用户的密码

n Unified Access Gateway 设备指向的负载均衡器的服务器实例的 URL

Unified Access Gateway 大小调整选项

n 标准：对于支持多达 2000 个 Horizon 连接且符合连接服务器容量要求的 Horizon 部署，建议使用此

配置。对于支持多达 10,000 个并发连接的 Workspace ONE UEM 部署（移动用例），也建议使用

此配置。

n 大型：对于其中的 Unified Access Gateway 需要支持超过 50,000 个并发连接的 Workspace ONE UEM 部署，建议使用此配置。此规模允许 Content Gateway、每应用隧道和代理以及反向代理使用

同一 Unified Access Gateway 设备。

n 超大型：对于 Workspace ONE UEM 部署，建议使用此配置。此规模允许 Content Gateway、每应

用隧道和代理以及反向代理使用同一 Unified Access Gateway 设备。

n 注标准、大型和超大型部署的虚拟机选项：

n 标准 - 2 个内核和 4 GB RAM

n 大型 - 4 个内核和 16 GB RAM

n 超大型 - 8 个内核和 32 GB RAM

有关 Unified Access Gateway 大小调整建议的更多信息，可以参阅 VMware 高配置。

支持的浏览器版本

支持启动管理 UI 的浏览器包括：Chrome、Firefox 和 Internet Explorer。请使用新版本的浏览器。

使用 Windows Hyper-V 服务器的硬件要求

在使用 Unified Access Gateway 进行 Workspace ONE UEM 每应用隧道部署时，您可以在 Microsoft Hyper-V 服务器上安装 Unified Access Gateway 设备。

受支持的 Microsoft 服务器为 Windows Server 2012 R2 和 Windows Server 2016。

网络配置要求

您可以使用一个、两个或三个网络接口，并且 Unified Access Gateway 要求每个接口具有单独的静态 IP 地址。许多 DMZ 实施使用不同的网络保护不同的流量类型。根据 Unified Access Gateway 部署所在的

DMZ 的网络设计对其进行配置。

n 一个网络接口适用于概念证明 (Proof Of Concept, POC) 或测试。在使用一个网卡时，外部、内部和

管理流量均位于同一子网中。


VMware, Inc. 10

https://configmax.vmware.com/home

n 在使用两个网络接口时，外部流量位于一个子网中，内部和管理流量位于另一个子网中。

n 使用三个网络接口是安全的选项。在使用三个网卡时，外部、内部和管理流量均位于自己的子网中。

多播 DNS 和 .local 主机名

除单播 DNS 外，UAG (Unified Access Gateway) 3.7 和更高版本还支持多播 DNS。带有域后 .local 的多标签名称将使用多播 DNS 协议路由至支持 IP 多播的所有本地接口。

请勿在单播 DNS 服务器中定义 .local，因为此域是 RFC6762 专为多播 DNS 而保留的。例如，如果在

配置设置（如 UAG 上的“代理目标 URL”）中使用主机名 hostname.example.local，那么单播 DNS 不会解析该主机名，因为 .local 是专为多播 DNS 而保留的。

或者，您可以使用以下任一方法，在这些方法中无需包含 .local 域后：

n 指定 IP 地址代替 .local 主机名。

n 可以在 DNS 服务器中添加另一条备用 DNS A 记录。

在之前的主机名示例中，hostname.example.int 可添加到与 hostname.example.local 相同的 IP 地址，并在 UAG 配置中使用。

n 可定义本地 hosts 文件条目。

在之前的示例中，可为 hostname.example.local 定义本地 hosts 条目。

hosts 文件条目用于指定名称和 IP 地址，可通过使用 UAG 管理 UI 或通过 PowerShell .ini 文件设

置来设定。

重要事项不得编辑 UAG 上的 /etc/hosts 文件。

在 UAG 上，执行 DNS 搜索前会先搜索本地 hosts 文件条目。此搜索操作可确保如果 hosts 文件上

存在主机名，那么即可使用 .local 名称，而无需执行 DNS 搜索。

日志保留要求

默认情况下，系统会将日志文件配置为使用一定量的空间，此空间小于汇总中的总磁盘大小。默认情况

下，将轮换 Unified Access Gateway 的日志。您必须使用 syslog 来保留这些日志条目。请参阅从

Unified Access Gateway 设备收集日志。

基于 DMZ 的 Unified Access Gateway 设备的防火墙规则

基于 DMZ 的 Unified Access Gateway 设备要求在前端防火墙和后端防火墙上使用特定的防火墙规则。

安装过程中，Unified Access Gateway 服务的默认设置是在特定网络端口进行侦听。

基于 DMZ 的 Unified Access Gateway 设备部署通常包含两个防火墙：

n 需要部署一个面向外部网络的前端防火墙，用于保护 DMZ 和内部网络。您需要将该防火墙配置为允许

外部网络流量到达 DMZ。

n 需要在 DMZ 和内部网络之间部署一个后端防火墙，用于提供第二层安全保障。您需要将该防火墙配置

为仅接受 DMZ 内的服务产生的流量。


VMware, Inc. 11

防火墙策略可严格控制来自 DMZ 服务的入站通信，这样将大幅降低内部网络受到威胁的风险。

下表列出了 Unified Access Gateway 内不同服务的端口要求。

注所有 UDP 端口均要求允许转发数据报和回复数据报。

表 1-1. Secure Email Gateway 的端口要求

端口协议源目标说明

443* 或大于 1024 的任

意端口

HTTPS 设备（从 Internet 和

Wi-Fi）Unified Access Gateway

Secure Email Gateway 端点

Secure Email Gateway 侦听端口 11443

443* 或大于 1024 的任

意端口

HTTPS Workspace ONE UEM Console

Unified Access Gateway



443* 或大于 1024 的任

意端口

HTTPS 电子邮件通知服务（启

用时）

Unified Access Gateway



5701 HTTP Secure Email Gateway

Secure Email Gateway

用于 Hazelcast 分布式

缓存

41232 HTTPS Secure Email Gateway


用于 Vertx 群集管理

44444 HTTPS Secure Email Gateway


用于诊断和管理功能

注当在 Unified Access Gateway 中以非 root 用户身份运行 Secure Email Gateway (SEG) 服务时，

SEG 无法在系统端口上运行。因此，自定义端口必须大于端口 1024。

表 1-2. Horizon 连接服务器的端口要求


443 TCP Internet Unified Access Gateway 适用于 Web 流量、Horizon Client XML - API、Horizon 隧道和 Blast Extreme

443 UDP Internet Unified Access Gateway UDP 443 在内部转发到 Unified Access Gateway 中的 UDP 隧道服务器服务上的

UDP 9443。

8443 UDP Internet Unified Access Gateway Blast Extreme（可选）

8443 TCP Internet Unified Access Gateway Blast Extreme（可选）

4172 TCP 和

UDPInternet Unified Access Gateway PCoIP（可选）

443 TCP Unified Access Gateway Horizon 连接服务器 Horizon Client XML-API、Blast Extreme HTML Access、Horizon Air 控制台访问

(Horizon Air Console Access, HACA)


VMware, Inc. 12

表 1-2. Horizon 连接服务器的端口要求（续）


22443 TCP 和

UDPUnified Access Gateway 桌面和 RDS 主机 Blast Extreme

4172 TCP 和

UDPUnified Access Gateway 桌面和 RDS 主机 PCoIP（可选）

32111 TCP Unified Access Gateway 桌面和 RDS 主机 USB 重定向的框架通道

9427 TCP Unified Access Gateway 桌面和 RDS 主机 MMR 和 CDR

注要允许外部客户端设备连接到 DMZ 中的 Unified Access Gateway 设备，前端防火墙必须允许特定

端口上的流量。默认情况下，外部客户端设备和外部 Web 客户端 (HTML Access) 会使用 TCP 端口 443 连接到 DMZ 中的 Unified Access Gateway 设备。如果您使用 Blast 协议，则必须在防火墙中打开端口

8443，但也可以为 Blast 配置端口 443。

表 1-3. Web 反向代理的端口要求


443 TCP Internet Unified Access Gateway 适用于 Web 流量

任意 TCP Unified Access Gateway Intranet 站点 Intranet 正在侦听的任何已配置的自定义端

口。例如，80、443、8080 等。

88 TCP Unified Access Gateway KDC 服务器/AD 服务器如果配置了 SAML 到 Kerberos/证书到

Kerberos，则需要使用此端口进行身份桥接

来访问 AD。

88 UDP Unified Access Gateway KDC 服务器/AD 服务器如果配置了 SAML 到 Kerberos/证书到

Kerberos，则需要使用此端口进行身份桥接

来访问 AD。

表 1-4. 管理 UI 的端口要求


9443 TCP 管理 UI Unified Access Gateway 管理界面

表 1-5. Content Gateway 基本端点配置的端口要求


443* 或任何大于

1024 的端口

HTTPS 设备（从 Internet 和 Wi-Fi）

Unified Access Gateway Content Gateway 端点

如果使用 443，则 Content Gateway 将侦

听端口 10443。


1024 的端口

HTTPS Workspace ONE UEM 设备服务



VMware, Inc. 13

表 1-5. Content Gateway 基本端点配置的端口要求（续）



1024 的端口




听端口 10443。


1024 的端口

HTTPS Unified Access Gateway Content Gateway 端点

Workspace ONE UEM API Server

存储库正

在侦听的

任何端

口。

HTTP 或

HTTPSUnified Access Gateway Content Gateway 端点

基于 Web 的内容存储库，例

如 SharePoint/WebDAV/CMIS 等

Intranet 站点正在侦听的任何已配置的自定

义端口。

137 - 139 和 445

CIFS 或

SMBUnified Access Gateway Content Gateway 端点

基于网络共享的存储库

（Windows 文件共享）

Intranet 共享

表 1-6. Content Gateway 中继端点配置的端口要求



1024 的端口

HTTP/HTTPS

Unified Access Gateway 中继服务器（Content Gateway 中继）



听端口 10443。


1024 的端口

HTTPS 设备（从 Internet 和 Wi-Fi）



听端口 10443。


1024 的端口

TCP Workspace ONE UEM 设备服务



听端口 10443。


1024 的端口



1024 的端口

HTTPS Unified Access Gateway Content Gateway 中继

Workspace ONE UEM API 服务器


1024 的端口

HTTPS Unified Access Gateway Content Gateway 端点

Workspace ONE UEM API 服务器

存储库正

在侦听的

任何端

口。

HTTP 或

HTTPSUnified Access Gateway Content Gateway 端点

基于 Web 的内容存储库，例

如 SharePoint/WebDAV/CMIS 等

Intranet 站点正在侦听的任何已配置的自定

义端口。


VMware, Inc. 14

表 1-6. Content Gateway 中继端点配置的端口要求（续）



1024 的端口

HTTPS Unified Access Gateway（Content Gateway 中继）



听端口 10443。

137 - 139 和 445

CIFS 或

SMBUnified Access Gateway Content Gateway 端点

基于网络共享的存储库

（Windows 文件共享）

Intranet 共享

注由于在 Unified Access Gateway 中以非 root 用户身份运行 Content Gateway 服务，所以 Content Gateway 无法在系统端口上运行，因此自定义端口应大于 1024。

表 1-7. VMware Tunnel 的端口要求

端口协议源目标验证

注释（请参阅页面底

部的“注释”部分）

2020 * HTTPS 设备（从 Internet 和

Wi-Fi）VMware Tunnel 代理安装后，运行以下命令：netstat

-tlpn | grep [Port]

8443 * TCP、

UDP设备（从 Internet 和

Wi-Fi）VMware Tunnel 每应

用隧道

安装后，运行以下命令：netstat

-tlpn | grep [Port]

1

表 1-8. VMware Tunnel 基本端点配置




SaaS：443

：2001 *

HTTPS VMware Tunnel Workspace ONE UEM Cloud Messaging 服务

器

curl -Ivv https://<AWCM

URL>:<port>/awcm/status/

ping

预期响应为“HTTP 200 正常”

(HTTP 200 OK)。

2

SaaS：443

内部部

署：80 或 443

HTTP 或

HTTPS

VMware Tunnel Workspace ONE UEM REST API 端点

n SaaS：https://

asXXX.awmdm.

com 或 https://asXXX.

airwatchportals

.com

n 内部部署：您常

用的 DS 或控制台

服务器

curl -Ivv https://<API

URL>/api/mdm/ping

预期响应为“HTTP 401 未授权”

(HTTP 401 unauthorized)。

5

80、

443、

任何

TCP

HTTP、

HTTPS 或 TCP

VMware Tunnel 内部资源确认 VMware Tunnel 可以通过所

需端口访问内部资源。

4


VMware, Inc. 15

表 1-8. VMware Tunnel 基本端点配置（续）




514 * UDP VMware Tunnel Syslog 服务器

内部部

署：

2020


VMware Tunnel 代理内部部署用户可使用以下 telnet 命令来测试连接：telnet

<Tunnel Proxy URL> <port>

6

表 1-9. VMware Tunnel 级联配置




SaaS：443

内部部

署：

2001 *

TLS v1.2

VMware Tunnel 前端 Workspace ONE UEM Cloud Messaging 服务

器

通过对 https://<AWCM URL>:<port>/awcm/status 使用

wget 并确保收到 HTTP 200 响应

来进行验证。

2

8443 TLS v1.2

VMware Tunnel 前端 VMware Tunnel 后端使用 Telnet 通过端口从 VMware Tunnel 前端连接到 VMware Tunnel 后端服务器

3

SaaS：443

内部部

署：

2001

TLS v1.2

VMware Tunnel 后端 Workspace ONE UEM Cloud Messaging 服务

器

通过对 https://<AWCM URL>:<port>/awcm/status 使用

wget 并确保收到 HTTP 200 响应

来进行验证。

2

80 或

443TCP VMware Tunnel 后端内部网站/Web 应用程

序

4

80、

443、

任何

TCP

TCP VMware Tunnel 后端内部资源 4

80 或

443HTTPS VMware Tunnel 前端

和后端

Workspace ONE UEM REST API 端点

n SaaS：https://

asXXX.awmdm.


airwatchportals

.com



服务器


URL>/api/mdm/ping



5


VMware, Inc. 16

表 1-10. VMware Tunnel 前端和后端配置




SaaS：443

内部部

署：

2001

HTTP 或

HTTPS

VMware Tunnel 前端 Workspace ONE UEM Cloud Messaging 服务

器

curl -Ivv https://<AWCM

URL>:<port>/awcm/status/

ping

预期响应为“HTTP 200 正常”

(HTTP 200 OK)。

2

80 或

443HTTP 或

HTTPS

VMware Tunnel 后端

和前端

Workspace ONE UEM REST API 端点

n SaaS：https://

asXXX.awmdm.


airwatchportals

.com



服务器


URL>/api/mdm/ping



VMware Tunnel 端点仅在初始部

署期间需要访问 REST API 端点。

5

2010 * HTTPS VMware Tunnel 前端 VMware Tunnel 后端使用 Telnet 通过端口从 VMware Tunnel 前端连接到 VMware Tunnel 后端服务器

3

80、

443、

任何

TCP

HTTP、

HTTPS 或 TCP

VMware Tunnel 后端内部资源确认 VMware Tunnel 可以通过所

需端口访问内部资源。

4

514 * UDP VMware Tunnel Syslog 服务器

内部部

署：

2020

HTTPS Workspace ONE UEM

VMware Tunnel 代理内部部署用户可使用以下 telnet 命令来测试连接：telnet

<Tunnel Proxy URL> <port>

6

对于 VMware Tunnel 要求，以下几点适用。

注 * - 可在需要时根据您环境的限制来更改此端口

1 如果使用端口 443，则每应用隧道将侦听端口 8443。

注在同一设备上同时启用了 VMware Tunnel 和 Content Gateway 服务，并且还启用了 TLS 端口

共享时，DNS 名称对于每项服务必须是唯一的。如果未启用 TLS，则只有一个 DNS 名称可用于这两

项服务，因为端口将区分入站流量。（对于 Content Gateway，如果使用端口 443，则 Content Gateway 将侦听端口 10443。）

2 供 VMware Tunnel 用来查询 Workspace ONE UEM Console 以达到合规性和跟踪目的。

3 供 VMware Tunnel 前端拓扑用来将设备请求仅转发到内部 VMware Tunnel 后端。

4 供使用 VMware Tunnel 访问内部资源的应用程序使用。


VMware, Inc. 17

5 VMware Tunnel 必须与 API 进行通信，以便进行初始化。确保在 REST API 和 VMware Tunnel 服务器之间建立了连接。导航到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设置 REST API 服务

器 URL。SaaS 客户无法访问此页面。适用于 SaaS 客户的 REST API URL 是您常用的控制台或设

备服务的服务器 URL。

6 要使从 Workspace ONE UEM Console 到 VMware Tunnel 代理之间的“测试连接”操作获得成

功，需要使用此端口。此要求为可选项，即使不满足，也不会导致设备功能缺失。对于 SaaS 客户，由

于端口 2020 上具有入站 Internet 要求，因此，Workspace ONE UEM Console 可能已经通过端口

2020 与 VMware Tunnel 代理建立了入站连接。

使用 Unified Access Gateway 部署 VMware Tunnel 的系统要求

要使用 Unified Access Gateway 部署 VMware Tunnel，请确保系统满足以下要求：

管理程序要求

部署 VMware Tunnel 的 Unified Access Gateway 需要使用管理程序来部署虚拟设备。您必须拥有一个

具有完整特权的专用管理员帐户才能部署 OVF。

支持的管理程序

n VMware vSphere Web Client

注您必须使用特定版本的 VMware 产品，并且该产品应包含特定版本的 Unified Access Gateway。部署 Unified Access Gateway 设备的 VMware vSphere 版本必须分别与 VMware 产品

和版本支持的版本相同。

n Windows Server 2012 R2 或 Windows Server 2016 上的 Microsoft Hyper-V

软件要求

确保您具有新版本的 Unified Access Gateway。VMware Tunnel 支持 Unified Access Gateway 和

Workspace ONE UEM console 之间的向后兼容性。向后兼容性允许您在升级 Workspace ONE UEM Console 后不久升级 VMware Tunnel 服务器。要确保 Workspace ONE UEM console 和 VMware Tunnel 之间的奇偶校验，请考虑规划提早升级。

硬件要求

Unified Access Gateway 的 OVF 软件包会自动选择 VMware Tunnel 所需的虚拟机配置。虽然您可以更

改这些设置，但不要将 CPU、内存或磁盘空间更改为小于默认 OVF 设置的值。

要更改默认设置，请关闭 vCenter 中虚拟机的电源。右键单击虚拟机，然后选择编辑设置。

默认配置使用 4 GB RAM 和 2 个 CPU。您必须更改默认配置以满足硬件要求。要处理所有设备负载和维

护要求，请考虑少运行两个 VMware Tunnel 服务器。


VMware, Inc. 18

表 1-11. 硬件要求

设备数量多 40000 40000-80000 80000-120000 120000-160000

服务器数量 2 3 4 5

CPU 内核 4 个 CPU 内核* 每服务器 4 个 CPU 内核

每服务器 4 个 CPU 内核

每服务器 4 个 CPU 内核

RAM (GB) 8 8 8 8

硬盘空间 (GB) 分发包需要 10 GB（仅限 Linux）

安装程序需要 400 MB

日志文件空间约需要 10 GB**

*可以在小型部署中仅部署一个 VMware Tunnel 设备。但是，为了确保正常运行时间和提高性能，无论设备数量如何，都请考虑至

少部署两个负载平衡服务器，且每服务器四个 CPU 内核。

**典型部署需要 10 GB。可根据日志使用情况和存储日志的要求来扩展日志文件大小。

VMware Tunnel 代理的端口要求

可以使用以下两种配置模型之一来配置 VMware Tunnel 代理：

n 使用 VMware Tunnel 代理端点的基本端点（单层）

n 使用 VMware Tunnel 代理中继和 VMware Tunnel 代理端点的中继端点（多层）

表 1-12. VMware Tunnel 代理基本端点配置的端口要求

源目标协议端口验证说明

设备（从 Internet 和 Wi-Fi）

VMware Tunnel 代理端点

HTTPS 2020* 安装后，运行以下

命令： netstat

-tlpn | grep

[Port]

设备在指定端口上连

接到为 VMware Tunnel 配置的公共

DNS。


Workspace ONE UEM Cloud Messaging 服务器

HTTPS SaaS：443

内部部署：2001*

curl -Ivv

https://<AWCM

URL>:<port>/

awcm/status/

ping

预期响应为 HTTP 200 OK。

用于使 VMware Tunnel 代理查询

Workspace ONE UEM Console 来实

现合规和进行跟踪。

这需要至少支持 TLS 1.2。


VMware, Inc. 19

表 1-12. VMware Tunnel 代理基本端点配置的端口要求（续）



UEM REST API

n SaaS‡：https://asXXX.awmdm.com 或

https://asXXX.airwatchportals.com

n 内部部署†：

常用的设备服

务或控制台服

务器

HTTP 或 HTTPS SaaS：443


curl -Ivv

https://<API

URL>/api/mdm/

ping 预期响应为

HTTP 401

unauthorized

VMware Tunnel 代理必须与 UEM REST API 通信以进

行初始化。在

Workspace ONE UEM Console 中，

转到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设

置 REST API URL。Workspace ONE UEM SaaS 客户无法访问此页面。

对于 Workspace ONE UEM SaaS 客户，REST API URL 是常用的控制台

URL 或设备服务

URL。


内部资源 HTTP、HTTPS 或

TCP80、443、任何

TCP确认 VMware Tunnel 代理端点

可以通过所需端口

访问内部资源。

适用于使用

VMware Tunnel 代理访问内部资源的应

用程序。确切的端点

或端口取决于这些资

源所在的位置。


Syslog 服务器 UDP 514*

Workspace ONE UEM Console


HTTPS 2020* 内部部署†客户可使

用 telnet 命令来测

试连接：telnet

<Tunnel

ProxyURL><port>

要使从 Workspace ONE UEM Console 到 VMware Tunnel 代理之间的“测试连

接”操作获得成功，

需要使用此端口。

表 1-13. VMware Tunnel 代理中继端点配置的端口要求



VMware Tunnel 代理中继

HTTPS 2020* 安装后，运行以下

命令： netstat

-tlpn | grep

[Port]



DNS。





curl -Ivv

https://<AWCM

URL>:<port>/

awcm/status/

ping

预期响应为 HTTP 200 OK。

用于使 VMware Tunnel 代理查询





VMware, Inc. 20

表 1-13. VMware Tunnel 代理中继端点配置的端口要求（续）



UEM REST API




常用的设备服

务或控制台服

务器



curl -Ivv

https://<API

URL>/api/mdm/


HTTP 401

unauthorized

VMware Tunnel 代理中继在初始部

署期间需要访问

UEM REST API。


行初始化。在





URL 或设备服务

URL。


UEM REST API




常用的设备服

务或控制台服

务器



curl -Ivv

https://<API

URL>/api/mdm/


HTTP 401

unauthorized

VMware Tunnel 代理中继在初始部

署期间需要访问

UEM REST API。


行初始化。在





URL 或设备服务

URL。



HTTPS 2010* 使用 Telnet 通过

端口 2010 从

VMware Tunnel 代理中继连接到

VMware Tunnel 代理端点。

将设备请求从中继转

发到端点服务器。这

需要至少支持 TLS 1.2。


内部资源 HTTP、HTTPS 或

TCP80、443、任何

TCP确认 VMware Tunnel 代理端点

可以通过所需端口

访问内部资源。

适用于使用

VMware Tunnel 代理访问内部资源的应





VMware, Inc. 21

表 1-13. VMware Tunnel 代理中继端点配置的端口要求（续）



Syslog 服务器 UDP 514*

Workspace ONE UEM Console


HTTPS 2020* 内部部署†客户可使

用 telnet 命令来测

试连接：telnet

<Tunnel

ProxyURL><port>

要使从 Workspace ONE UEM Console 到 VMware Tunnel 代理中继之间的“测

试连接”操作获得成

功，需要使用此端

口。

注意

n * 可以根据您环境的限制来更改此端口。

n † 内部部署是指 Workspace ONE UEM Console 的位置。

n ‡ 对于需要允许进行出站通信的 SaaS 客户，请参阅以下 VMware 知识库文章，其中列出了新的 IP 范围：https://support.workspaceone.com/articles/115001662168-。

VMware 每应用隧道的端口要求

可以使用以下两种配置模型之一来配置 VMware 每应用隧道：

n 使用 VMware 每应用隧道基本端点的基本端点（单层）

n 使用 VMware 每应用隧道前端和 VMware 每应用隧道后端的级联（多层）

表 1-14. VMware 每应用隧道基本端点配置的端口要求


设备（从 Internet 和

Wi-Fi）VMware 每应用隧道基本

端点

TCP、UDP 8443* 安装后，运行以下

命令： netstat -

tlpn | grep

[Port]



DNS。如果使用

443，每应用隧道组

件将侦听端口

8443。

VMware 每应用隧道基

本端点


HTTPS SaaS：443


通过对 https://<AWCM

URL>:<port>/

awcm/status 使用

wget，并确保收到

HTTP 200 响应来进

行验证。

用于使 VMware 每应用隧道查询



这需要至少支持

TLS 1.2。


VMware, Inc. 22

https://support.workspaceone.com/articles/115001662168-

表 1-14. VMware 每应用隧道基本端点配置的端口要求（续）



本端点

内部网

站/Web 应用

程序/资源

HTTP、HTTPS 或

TCP80、443、任何所

需 TCP适用于使用

VMware 每应用隧

道访问内部资源的应





本端点

UEM REST API



n 内部部署

†：常

用的设备

服务或控

制台服务

器

HTTP 或 HTTPS 80 或 443 curl -Ivv

https://<API

URL>/api/mdm/


HTTP 401

unauthorized

VMware 每应用隧

道必须与 UEM REST API 通信以进

行初始化。在





URL 或设备服务

URL。

表 1-15. VMware 每应用隧道级联配置的端口要求



VMware 每应用隧道前端

TCP、UDP 8443* 安装后，运行以下

命令： netstat

-tlpn | grep

[Port]



DNS。如果使用

443，每应用隧道组

件将侦听端口

8443。

VMware 每应用隧道前端 Workspace ONE UEM Cloud Messaging 服务器

HTTPS SaaS：443



URL>:<port>/

awcm/status 使用


HTTP 200 响应来

进行验证。





VMware 每应用隧道前端 VMware 每应用隧道后端

TCP 8443 使用 Telnet 通过

端口 8443 从

VMware 每应用隧

道前端连接到

VMware 每应用隧

道后端。

将设备请求从前端转

发到后端服务器。这

需要至少支持 TLS 1.2。


VMware, Inc. 23

表 1-15. VMware 每应用隧道级联配置的端口要求（续）


VMware 每应用隧道后端 Workspace ONE UEM Cloud Messaging 服务器

HTTPS SaaS：443



URL>:<port>/

awcm/status 使用


HTTP 200 响应来

进行验证。





VMware Tunnel 后端内部网

站/Web 应用

程序/资源

HTTP、HTTPS 或

TCP80、443、任何所

需 TCP适用于使用

VMware 每应用隧

道访问内部资源的应




VMware 每应用隧道前端 UEM REST API



n 内部部署

†：常

用的设备

服务或控

制台服务

器


https://<API

URL>/api/mdm/


HTTP 401

unauthorized

VMware 每应用隧


行初始化。在


转到组与设置 > 所有

设置 > 系统 > 高级 > 网站 URL 以设置

REST API URL。

Workspace ONE UEM SaaS 客户无法

访问此页面。对于

Workspace ONE UEM SaaS 客户，

REST API URL 是常用的控制台 URL 或设备服务 URL。

VMware 每应用隧道后端 UEM REST API



n 内部部署

†：常

用的设备

服务或控

制台服务

器


https://<API

URL>/api/mdm/


HTTP 401

unauthorized

VMware 每应用隧


行初始化。在


转到组与设置 > 所有

设置 > 系统 > 高级 > 网站 URL 以设置

REST API URL。

Workspace ONE UEM SaaS 客户无法

访问此页面。对于

Workspace ONE UEM SaaS 客户，

REST API URL 是常用的控制台 URL 或设备服务 URL。


VMware, Inc. 24

注意

n * 可以根据您环境的限制来更改此端口。

n † 内部部署是指 Workspace ONE UEM Console 的位置。

n ‡ 对于需要允许进行出站通信的 SaaS 客户，请参阅以下知识库文章，其中列出了新 IP 范围：SaaS 数据中心的 VMware Workspace ONE IP 范围。

网络接口连接要求

您可以使用一个、两个或三个网络接口。每个接口都应具有单独的 IP 地址。许多安全的 DMZ 实施使用不

同的网络来隔离不同的流量类型。

根据虚拟设备部署所在的 DMZ 的网络设计对其进行配置。有关网络 DMZ 的信息，请咨询您的网络管理

员。

n 在使用一个网络接口时，外部、内部和管理流量均位于同一子网中。

n 在使用两个网络接口时，外部流量位于一个子网中，内部和管理流量位于另一个子网中。

n 在使用三个网络接口时，外部、内部和管理流量均位于自身的子网中。

注对于多网络接口部署，每个网络接口都必须位于单独的子网中。

Unified Access Gateway 负载平衡拓扑

可以将 DMZ 中的 Unified Access Gateway 设备配置为指向一个服务器，或指向一组服务器前面的负载

平衡器。Unified Access Gateway 设备可以使用为 HTTPS 配置的标准第三方负载平衡解决方案。

注 Unified Access Gateway 已经过认证，可以在将 Unified Access Gateway 部署为 Web 反向代理

后，与 Avi Vantage 负载平衡器配合使用。

如果 Unified Access Gateway 设备指向服务器前面的负载平衡器，则会动态选择服务器实例。例如，负

载平衡器可能会根据可用性以及负载平衡器识别的每个服务器实例上的当前会话数进行选择。位于企业防

火墙内部的服务器实例通常具有负载平衡器以支持内部访问。在使用 Unified Access Gateway 时，您可

以将 Unified Access Gateway 设备指向通常已使用的该相同负载平衡器。

或者，您也可以将一个或多个 Unified Access Gateway 设备指向单个服务器实例。在这两种方法中，将

在 DMZ 中的一个或多个 Unified Access Gateway 设备前面使用负载平衡器。


VMware, Inc. 25



图 1-1. 位于负载平衡器后面的多个 Unified Access Gateway 设备

HorizonClient

Unified AccessGateway 设备

DMZ

VMware vSphere

Internet

Horizon 桌面和 RDS 主机

Horizon连接

服务器

负载平衡器

CS CS

Horizon 协议

在 Horizon Client 用户连接到 Horizon 环境时，将使用几种不同的协议。第一个连接始终是通过 HTTPS 的主 XML-API 协议。在成功进行身份验证后，还会使用一个或多个辅助协议。

n 主 Horizon 协议

用户在 Horizon Client 中输入主机名，这会启动主 Horizon 协议。这是用于身份验证、授权和会话管

理的控制协议。该协议通过 HTTPS 使用 XML 结构化消息。该协议有时称为 Horizon XML-API 控制

协议。在负载平衡环境中（如“位于负载平衡器后面的多个 Unified Access Gateway 设备”图中所

示），负载平衡器将该连接路由到其中的一个 Unified Access Gateway 设备。负载平衡器通常先根

据可用性选择设备，然后根据少当前会话数从可用设备中路由流量。该配置在一组可用的 Unified Access Gateway 设备之间平均分配来自不同客户端的流量。

n 辅助 Horizon 协议

在 Horizon Client 与其中的一个 Unified Access Gateway 设备建立安全通信后，将对用户进行身份

验证。如果该身份验证尝试成功，则从 Horizon Client 中建立一个或多个辅助连接。这些辅助连接可

能包括：

n 用于封装 TCP 协议（例如，RDP、MMR/CDR）和客户端框架通道的 HTTPS 隧道。(TCP 443)

n Blast Extreme 显示协议（TCP 443、TCP 8443、UDP 443 和 UDP 8443）


VMware, Inc. 26

n PCoIP 显示协议（TCP 4172、UDP 4172）

必须将这些辅助 Horizon 协议路由到将主 Horizon 协议路由到的同一 Unified Access Gateway 设备。然

后，Unified Access Gateway 可以根据经过身份验证的用户会话授权辅助协议。Unified Access Gateway 的一个重要安全功能是，只有在流量是经过身份验证的用户产生的流量时，Unified Access Gateway 才会将流量转发到企业数据中心。如果错误地将辅助协议路由到与主协议设备不同的 Unified Access Gateway 设备，则用户不会授权这些协议并在 DMZ 中丢弃。连接将失败。如果未正确配置负载

平衡器，则通常会出现错误地路由辅助协议的问题。

有关 Content Gateway 和隧道代理的负载平衡注意事项

当您对 Content Gateway 和隧道代理使用负载平衡器时，请牢记以下注意事项：

n 将负载平衡器配置为“发送原始 HTTP 标头”，以避免出现设备连接问题。Content Gateway 和隧道

代理使用请求的 HTTP 标头中的信息来对设备进行身份验证。

n 每应用隧道组件在建立连接后需要对每个客户端进行身份验证。连接后，会为客户端创建一个会话并存

储在内存中。然后使用同一个会话处理每一条客户端数据，以便能够使用相同的密钥对这些数据进行加

密和解密。设计负载平衡解决方案时，必须将负载平衡器配置为启用基于 IP/会话的持久性。备用解决

方案可以是在客户端上使用 DNS 循环，这意味着客户端可以为每个连接选择不同的服务器。

运行状况监控

负载平衡器通过定期发送 HTTPS GET /favicon.ico 请求来监控每个 Unified Access Gateway 设备的运

行状况。例如，https://uag1.myco-dmz.com/favicon.ico。此项监控在负载平衡器上进行配置。负载平衡

器将执行此 HTTPS GET，并预期从 Unified Access Gateway 获得 "HTTP/1.1 200 OK" 响应，以知晓其运

行状况“正常”。如果获得的响应不是 "HTTP/1.1 200 OK" 或者未获得任何响应，负载平衡器会将特定的

Unified Access Gateway 设备标记为已关闭，并且不会尝试将客户端请求路由到该设备。负载平衡器将

继续轮询，以便在设备再次可用时可以检测到该设备。

Unified Access Gateway 可以置于“静默”模式，之后它将不会使用 "HTTP/1.1 200 OK" 来响应负载平

衡器运行状况监控请求。它而是将使用 "HTTP/1.1 503" 进行响应，以指示 Unified Access Gateway 服务暂时不可用。此设置通常在 Unified Access Gateway 设备的计划维护、计划重新配置或计划升级之前

使用。在此模式下，负载平衡器不会将新会话定向到该设备，因为该设备将被标记为不可用，但是它可以

允许现有会话继续运行，直到用户断开连接或达到大会话时间为止。因此，此操作不会中断现有用户会

话。在达到整个会话计时器的大值（通常为 10 小时）后，将可对设备进行维护。此功能可用于通过使服

务实现零用户停机时间的策略，对一组 Unified Access Gateway 设备执行滚动升级。

为负载平衡 UAG 配置 Avi Vantage（用作 Web 反向代理时）

此处记录的信息可帮助您在将 Unified Access Gateway 部署为 Web 反向代理时，为其配置 Avi Vantage（用作负载平衡解决方案）。该配置涉及一组必须使用 Avi 控制器执行的任务。

通过使用 Avi UI，您必须创建一个 IP 组，创建一个自定义运行状况监控配置文件，创建一个池，安装 VIP 所需的 SSL 证书，然后创建一个虚拟服务。

通过虚拟服务中使用的 VIP，您可以访问 Web 反向代理。


VMware, Inc. 27

前提条件

n 确保您已将 Unified Access Gateway 部署为 Web 反向代理。

作为反向代理部署

n 确保已部署 Avi 控制器，并且有权访问控制器和 Avi UI。

有关 Avi Vantage 的更多信息，请参阅 Avi 文档。

步骤

1 创建 IP 组

创建一个 IP 组，其中包含需要用于负载平衡的 Unified Access Gateway 服务器列表。

2 创建自定义运行状况监控配置文件

在 Avi Vantage 上为 Unified Access Gateway 创建运行状况监控配置文件。运行状况监控配置文

件可用于监控 Unified Access Gateway 的运行状况。

3 创建池

池包含 Unified Access Gateway 服务器列表和 Unified Access Gateway 的运行状况监控配置文

件。然后，将池添加到 VS（虚拟服务）。

4 安装 VIP 所需的 SSL 证书（虚拟 IP）

SSL 连接会在 Avi 虚拟服务中被终止。因此，必须将 SSL 证书分配给虚拟服务。要进行此分配，需

要在 Avi Vantage 中安装 SSL 证书。

5 创建虚拟服务

使用 Unified Access Gateway 服务器的 VIP 创建虚拟服务。这是客户端设备连接到的 VIP。

创建 IP 组

创建一个 IP 组，其中包含需要用于负载平衡的 Unified Access Gateway 服务器列表。

由于在两个不同池中可使用相同的 Unified Access Gateway 服务器作为池成员，因此可以将 IP 组连接到

该池，而不是直接将服务器连接到该池。对池成员所做的任何配置更改（如添加或移除服务器）都需要在

IP 组级别进行。

步骤

1 从 Avi Vantage UI 中，导航到模板 > 组。

2 单击创建 IP 组。

3 输入 IP 组名称。

4 在 IP 信息部分中，输入 Unified Access Gateway 服务器的 IP 地址。

5 单击添加。

6 单击保存。

后续步骤

创建自定义运行状况监控配置文件


VMware, Inc. 28

创建自定义运行状况监控配置文件

在 Avi Vantage 上为 Unified Access Gateway 创建运行状况监控配置文件。运行状况监控配置文件可用

于监控 Unified Access Gateway 的运行状况。

有关运行状况监控配置文件的更多信息，请参阅 Avi 文档。

步骤

1 在 Avi Vantage UI 中，导航到模板 > 配置文件 > 运行状况监控。

2 单击创建。

3 在新建运行状况监控窗口中，输入 Unified Access Gateway 的配置文件信息。

a 为运行状况监控端口的值输入 443。

b 为客户端请求数据的值输入 GET /favicon.ico HTTP/1.1。

c 为响应代码选择 2XX。

d 启用 SSL 属性。

e 为 SSL 配置文件选择 System-Standard。

f 为维护响应代码的值输入 503。

4 单击保存。

后续步骤

创建池

创建池

池包含 Unified Access Gateway 服务器列表和 Unified Access Gateway 的运行状况监控配置文件。然

后，将池添加到 VS（虚拟服务）。

一个虚拟服务通常指向一个池。

步骤

1 从 Avi Vantage UI 中，导航到应用程序 > 池。

2 单击创建池。

3 在选择云窗口中，选择属于 VMware vCenter/vSphere ESX 云计算基础架构类型的云。

云计算基础架构类型在部署 Avi 控制器过程中进行配置。

4 单击下一步。

5 在新建池窗口中，输入所需的信息，以及以下内容：

a 在负载平衡字段中，选择 Source IP Address，并使用 Consistent Hash 作为哈希键。

b 在运行状况监控部分中，单击添加活动监控。

c 选择先前为 Unified Access Gateway 创建的运行状况监控。


VMware, Inc. 29

6 选择启用 SSL。

7 为 SSL 配置文件选择 System-Standard。


9 在服务器选项卡中，添加先前创建的 Unified Access Gateway 服务器 IP 组。


11 导航到高级 > 查看。

12 单击保存。

后续步骤

安装 VIP 所需的 SSL 证书（虚拟 IP）

安装 VIP 所需的 SSL 证书（虚拟 IP）

SSL 连接会在 Avi 虚拟服务中被终止。因此，必须将 SSL 证书分配给虚拟服务。要进行此分配，需要在

Avi Vantage 中安装 SSL 证书。

注建议安装由有效证书颁发机构签名的证书，而不要使用自签名证书。

有关安装 SSL 证书的更多信息，请参阅 Avi 文档。

后续步骤

创建虚拟服务

创建虚拟服务

使用 Unified Access Gateway 服务器的 VIP 创建虚拟服务。这是客户端设备连接到的 VIP。

步骤

1 从 Avi Vantage UI 中，导航到应用程序 > 虚拟服务。

2 单击创建虚拟服务 > 高级设置。

3 在选择云窗口中，选择属于 VMware vCenter/vSphere ESX 云计算基础架构类型的云。

云计算基础架构类型在部署 Avi 控制器过程中进行配置。

4 在新建虚拟服务窗口中，配置虚拟服务。

a 输入虚拟服务名称。

b 输入 VIP 地址。

c 在服务中，为端口号输入 443。

d 对于端口号 443，选中 SSL 复选框。

将为端口 443 启用 SSL。

e 为应用程序配置文件选择 System-Secure-HTTP。


VMware, Inc. 30

f 选择先前为 Unified Access Gateway 创建的池。

g 为 SSL 配置文件选择 System-Standard。

h 选择先前安装的 SSL 证书。


6 导航到高级选项卡。

7 单击保存。

后续步骤

使用 VIP 访问 Web 反向代理。

Unified Access Gateway 高可用性

在 Workspace ONE 和 VMware Horizon 内部部署中，用于终端用户计算产品和服务的 Unified Access Gateway 需要具有高可用性。但是，使用第三方负载平衡器会提高部署和故障排除流程的复杂性。此解决

方案减少了在 DMZ 前端 Unified Access Gateway 中使用第三方负载平衡器的需求。

注此解决方案不是通用目的的负载平衡器。

对于倾向于采用此部署模式的用户，Unified Access Gateway 将继续支持在前端使用第三方负载平衡

器。有关更多信息，请参阅 Unified Access Gateway 负载平衡拓扑。Amazon AWS 和 Microsoft Azure 部署不支持 Unified Access Gateway 高可用性。

实施

Unified Access Gateway 需要管理员提供 IPv4 虚拟 IP 地址和一个组 ID。Unified Access Gateway 将虚拟 IP 地址仅分配给群集中一个配置了相同虚拟 IP 地址和组 ID 的节点。如果持有该虚拟 IP 地址的

Unified Access Gateway 发生故障，则会自动将该虚拟 IP 地址重新分配给群集中的一个可用节点。将在

群集中配置了相同组 ID 的节点之间进行 HA 和负载分发。

对于从同一个源 IP 地址发出的多个连接，将发送至处理来自 Horizon 和 Web 反向代理客户端的第一个连

接的同一 Unified Access Gateway。此解决方案支持在群集中有 10,000 个并发连接。

注这些情况需要使用会话关联性。

对于 VMware Tunnel（每应用 VPN）、Secure Email Gateway 和 Content Gateway 服务，使用少

连接算法来完成 HA 和负载分发。

注这些是无状态连接，不需要会话关联性。

模式和关联性

不同的 Unified Access Gateway 服务需要不同的算法。

n 对于 VMware Horizon 和 Web 反向代理 - 在循环算法使用源 IP 关联性来进行负载分发。


VMware, Inc. 31

n 对于 VMware Tunnel（每应用 VPN）和 Content Gateway - 不存在任何会话关联性，使用少连接

算法来进行负载分发。

可用于分发入站流量的方法：

1 源 IP 关联性：保持客户端连接和 Unified Access Gateway 节点之间的关联性。具有相同源 IP 地址

的所有连接将发送至同一个 Unified Access Gateway 节点。

2 循环模式下的高可用性：按顺序在一组 Unified Access Gateway 节点间分发入站连接请求。

3 少连接模式下的高可用性：新连接请求将发送至当前客户端连接数少的 Unified Access Gateway 节点。

注仅当每个客户端连接的入站连接 IP 是唯一的时，源 IP 关联性才会起作用。示例：如果多个客户端与

Unified Access Gateway 之间有一个网络组件（例如 SNAT 网关），则源 IP 关联性将不起作用，这是因

为从多个不同客户端流向 Unified Access Gateway 的入站流量具有相同的源 IP 地址。

注虚拟 IP 地址必须与 eth0 接口属于同一子网。

必备条件

n 用于 HA 的虚拟 IP 地址必须是唯一且可用的。Unified Access Gateway 不会在配置过程中验证此地

址的唯一性。该 IP 地址可能会显示为已分配，然而如果将虚拟机或物理机与该 IP 地址相关联，该地址

可能无法访问。

n 组 ID 在指定的子网中必须是唯一的。如果组 ID 不是唯一的，则组中分配的虚拟 IP 地址可能不一致。

例如，终可能会有两个或更多 Unified Access Gateway 节点试图获取同一个虚拟 IP 地址。这可能

会导致虚拟 IP 地址在多个 Unified Access Gateway 节点之间进行切换。

n 要为 Horizon 或 Web 反向代理设置 HA，请确保所有 Unified Access Gateway 节点上的 TLS 服务

器证书都是相同的。

限制

n 浮动虚拟 IP 地址支持 IPv4。不支持 IPv6。

n 仅支持 TCP 高可用性。

n 不支持 UDP 高可用性。

n 在 VMware Horizon 用例中，只有流向 Horizon 连接服务器的 XML API 流量使用高可用性。对于协

议（显示）流量，如 Blast、PCoIP、RDP，不使用高可用性来分发负载。因此，除了虚拟 IP 地址外，

Unified Access Gateway 节点的各个 IP 地址也必须可供 VMware Horizon Client 访问。

每个 Unified Access Gateway 上 HA 所需的配置

有关在 Unified Access Gateway 上配置 HA 的信息，请参阅配置高可用性设置。


VMware, Inc. 32

配置高可用性设置

要使用 Unified Access Gateway 高可用性，您需要在管理员用户界面中启用并配置高可用性设置。

步骤

1 在管理 UI 的手动配置部分中，单击选择。

2 在高级设置部分，单击高可用性设置齿轮箱图标。

3 在高可用性设置页面中，将已禁用更改为已启用，以启用高可用性。

4 配置相关参数。

选项说明

虚拟 IP 地址 HA 使用的有效虚拟 IP 地址。

注用于 HA 的虚拟 IP 地址必须是唯一且可用的。如果设置的 IP 地址不是唯一的，

则该地址可能会显示为已分配，然而如果将虚拟机或物理机与该地址相关联，该地

址可能无法访问。

组 ID HA 的组 ID。输入介于 1 到 255 之间的数值。

注组 ID 在指定的子网中必须是唯一的。如果未设置唯一的组 ID，则可能会导致组

中分配的虚拟 IP 地址不一致。例如，Unified Access Gateway 上终可能会有两

个或更多网关的 IP 地址试图获取同一个虚拟 IP 地址。

5 单击保存。

n 高可用性设置的不同状态分别指示以下情况：

n 未配置：指示未配置高可用性设置。

n 正在处理：指示正在处理高可用性设置，以使其生效。

n 主节点：指示节点被选作集群中的主节点，并由它来分配流量。

n 备用：指示节点在集群中处于备用状态。

n 故障：指示节点的 HA 代理配置可能存在故障。

配置了 Horizon 的 Unified Access Gateway

为多个 Unified Access Gateway 配置相同的 Horizon 设置，并在每个 Unified Access Gateway 上启用

高可用性。

提供一个常用的外部主机名用于 XML API 协议。此常用的外部主机名将映射到在 Unified Access Gateway 节点上的 HA 设置中配置的浮动 IP。桌面流量不会使用高可用性而且也不会分发负载，因此，此

解决方案需要为 Horizon 提供 N + 1 个 VIP，其中 N 表示已部署的 Unified Access Gateway 节点的数

量。在每个 Unified Access Gateway 上，Blast、PCoIP 和隧道外部 URL 必须是映射到相应 Unified Access Gateway eth0 IP 地址的外部 IP 地址或主机名。如果客户端通过较差的网络连接，并对 XML API 使用 UDP 连接，则它们将进入处理第一个 UDP XML API 连接的同一 Unified Access Gateway。


VMware, Inc. 33

图 1-2. 配置了 Horizon 的 Unified Access Gateway

客户端 1

HA 组件

Blast/PCoIP 网关

Blast/PCoIP 网关

Edge ServiceManager

Edge ServiceManager

外部负载平衡器

连接服务器 1

连接服务器 2

Horizon 桌面

客户端 2

UAG1 IP 上的桌面协议 (Blast)

浮动 IP 端口 443 上的 XML API 流量

UAG2 IP 上的桌面协议 (Blast)

客户端 2 XML API

客户端 1 XML API

UAG 2

UAG 1（主）

模式和关联性：关联性取决于源 IP 地址。来自客户端的首次连接使用循环机制进行分发。但是，来自同一

个客户端的后续连接将发送至处理第一个连接的同一 Unified Access Gateway。

具有基本配置的 VMware Tunnel（每应用 VPN）连接

在 Workspace ONE UEM Console 中为 VMware Tunnel（每应用 VPN）配置基本设置。

在 Workspace ONE UEM Console 中为 VMware Tunnel（每应用 VPN）设置配置的隧道服务器主机名

可解析为在 Unified Access Gateway 中为 HA 配置的浮动 IP 地址。此浮动 IP 地址上的连接将在

Unified Access Gateway 上的配置节点之间进行分发。


VMware, Inc. 34

图 1-3. 具有基本配置的 VMware Tunnel（每应用 VPN）连接

客户端 1

HA 组件VMware Tunnel 服务

VMware Tunnel 服务

后端服务器

客户端 2

使用隧道主机名访问后端服务器

流入后端服务器的客户端 2 流量

UAG 2

UAG 1（主）

流入后端服务器的客户端 1 流量

模式和关联性：用于 HA 和负载分发的少连接算法。新请求会发送到当前与客户端连接少的服务器。

因为它们是无状态连接，因此不需要会话关联性。

级联模式的 VMware Tunnel（每应用 VPN）连接

在 Workspace ONE UEM Console 中为 VMware Tunnel（每应用 VPN）配置级联设置。

在 Workspace ONE UEM Console 中配置两个隧道服务器主机名，分别供前端和后端使用。我们可以在

Unified Access Gateway 上分别为前端和后端部署两组节点。

为 Unified Access Gateway 上的前端节点配置前端隧道服务器主机名。为 Unified Access Gateway 上前端节点的 HA 设置配置外部浮动 IP 地址。前端隧道服务器主机名将解析为该外部浮动 IP 地址。此外部

浮动 IP 地址上的连接将在 Unified Access Gateway 上的前端节点之间进行分发。

为 Unified Access Gateway 上的后端节点配置后端隧道服务器主机名。为 Unified Access Gateway 上后端节点的 HA 设置配置内部浮动 IP 地址。Unified Access Gateway 前端节点上的 VMware Tunnel（每应用 VPN）服务使用后端隧道服务器主机名将流量转发到后端。后端隧道服务器主机名将解析为该内

部浮动 IP 地址。此内部浮动 IP 地址上的连接将在 Unified Access Gateway 上的后端节点之间进行分

发。


VMware, Inc. 35

图 1-4. 级联模式的 VMware Tunnel（每应用 VPN）连接

客户端 1

HA 组件

VMwareTunnel服务


后端服务器

客户端 2

使用前端隧道主机名建立的隧道

前端 UAG 后端 UAG

客户端 2 流量

UAG 2

UAG 1（主）

转发到后端隧道主机名的客户端 1 流量

转发到后端隧道主机名的客户端 2 流量

客户端 1 流量

HA 组件



客户端 2 流量

UAG 1

UAG 2（主）

客户端 1 流量



Content Gateway 基本配置

在 Workspace ONE UEM Console 中为 Content Gateway 配置基本设置。

在 Workspace ONE UEM Console 中为 Content Gateway 设置配置的 Content Gateway 服务器主机

名可解析为在 Unified Access Gateway 中为 HA 配置的浮动 IP 地址。此浮动 IP 上的连接将在 Unified Access Gateway 上的配置节点之间进行负载平衡。


VMware, Inc. 36

图 1-5. Content Gateway 基本配置

客户端 1

HA 组件Content Gateway

服务

Content Gateway

服务

内部存储库

客户端 2

使用 CG 主机名访问存储库

流入内部存储库的客户端 2流量

UAG 2

UAG 1（主）

流入内部存储库的

客户端 1 流量



具有中继和端点配置的 Content Gateway

在 Workspace ONE UEM Console 中为 Content Gateway 配置中继和端点配置。

在 Workspace ONE UEM Console 中为中继和端点配置两个 Content Gateway 服务器主机名。在

Unified Access Gateway 上为中继和端点署两组节点。

为 Unified Access Gateway 上的中继节点配置中继 Content Gateway 服务器主机名。为 Unified Access Gateway 上中继节点的 HA 设置配置外部浮动 IP 地址。中继 Content Gateway 服务器主机名将

解析为该外部浮动 IP 地址。此外部浮动 IP 上的连接将在 Unified Access Gateway 上的中继节点之间进

行负载平衡。

为 Unified Access Gateway 上的端点节点配置端点隧道服务器主机名。为 Unified Access Gateway 上端点节点的 HA 设置配置内部浮动 IP 地址。前端 Unified Access Gateway 上的 Content Gateway 服务

使用端点 Content Gateway 服务器主机名将流量转发到端点。端点 Content Gateway 服务器主机名将

解析为内部浮动 IP 地址。此内部浮动 IP 地址上的连接将在 Unified Access Gateway 上的端点节点之间

进行负载平衡。


VMware, Inc. 37

图 1-6. 具有中继和端点配置的 Content Gateway

客户端 1

HA 组件

Content Gateway

服务

Content Gateway

服务

内部存储库

客户端 2

使用 CG 中继主机名访问存储库

中继

客户端 2 流量

UAG 2

UAG 1（主）

转发到 CG端点主机名的客户端 1 流量

转发到 CG端点主机名的客户端 2 流量

客户端 1 流量

HA 组件

Content Gateway

服务

Content Gateway

服务

端点

客户端 2 流量

UAG 1

UAG 2（主）

客户端 1 流量



具有多个网卡的 Unified Access Gateway 的 DMZ 设计

其中的一个 Unified Access Gateway 配置设置是使用的虚拟网卡 (Network Interface Card, NIC) 数。

在部署 Unified Access Gateway 时，请为您的网络选择一个部署配置。

您可以指定单、双或三网卡设置，分别指定为 onenic、twonic 和 threenic。

如果减少在每个虚拟 LAN 上打开的端口数并将不同类型的网络流量分开，则可以显著提高安全性。优点主

要在于在深度防御 DMZ 安全设计策略中将不同类型的网络流量分开并隔离。可以在 DMZ 中实施单独的物

理交换机，在 DMZ 中使用多个虚拟 LAN 或作为完整 VMware NSX 管理的 DMZ 的一部分以实现该功

能。


VMware, Inc. 38

典型单网卡 DMZ 部署

简单的 Unified Access Gateway 部署是使用单个网卡，所有网络流量将合并到单个网络上。来自面向

Internet 防火墙的流量将传送到某个可用的 Unified Access Gateway 设备。然后，Unified Access Gateway 将授权的流量通过内部防火墙转发到内部网络上的资源。Unified Access Gateway 将放弃未授

权的流量。

图 1-7. Unified Access Gateway 单网卡选项

合并前端、后端和管理流量管理流量的单网卡

Unified AccessGateway设备

单个组合网络

Unified Access Gateway 设备

DMZ

内部网络

内部防火墙

面向 Internet 的防火墙

负载平衡器

Internet

将未验证的用户流量与后端和管理流量分开

单网卡部署的替代选项是指定两个网卡。第一个网卡仍用于面向 Internet 的未验证访问，但将验证的后端

流量和管理流量拆分到不同的网络上。


VMware, Inc. 39

图 1-8. Unified Access Gateway 双网卡选项

将未验证的前端流量与管理流量和经过身份验证的后端流量分开的双网卡


前端网络


后端和管理组合网络

DMZ

内部网络

内部防火墙


负载平衡器

Internet

在双网卡部署中，Unified Access Gateway 必须对通过内部防火墙进入内部网络的流量进行授权。未授

权的流量不会传送到该后端网络上。管理流量（如用于 Unified Access Gateway 的 REST API）仅位于

该第二个网络上。

如果未验证的前端网络上的设备（如负载平衡器）受到安全威胁，则无法在该双网卡部署中重新配置该设

备以绕过 Unified Access Gateway。它将第 4 层防火墙规则与第 7 层 Unified Access Gateway 安全功

能合并在一起。同样，如果错误地将面向 Internet 的防火墙配置为允许 TCP 端口 9443 通过，这仍然不

会向 Internet 用户公开 Unified Access Gateway 管理 REST API。深度防御原则使用多层保护，因此，

单个配置错误或系统攻击不一定会产生整体漏洞。

在双网卡部署中，可以在 DMZ 中的后端网络上放置额外的基础架构系统（如 DNS 服务器、RSA SecurID Authentication Manager 服务器），以便在面向 Internet 的网络上看不到这些服务器。通过将基础架构

系统放置在 DMZ 中，可以防范从受到威胁的前端系统中的面向 Internet 的 LAN 发出的第 2 层攻击，并

有效地减少总体攻击面。

大多数 Unified Access Gateway 网络流量是用于 Blast 和 PCoIP 的显示协议。在使用单个网卡时，流入

和流出 Internet 的显示协议流量与流入和流出后端系统的流量合并在一起。在使用两个或更多网卡时，流

量分布在前端和后端网卡和网络上。这会减少单个网卡的潜在瓶颈并提高性能。

Unified Access Gateway 还允许将管理流量拆分到特定管理 LAN 上以支持进一步的隔离。这样，到端口

9443 的 HTTPS 管理流量只能来自于管理 LAN。


VMware, Inc. 40

图 1-9. Unified Access Gateway 三网卡选项

将未经身份验证的前端流量、经过身份验证的后端流量和管理流量完全分开的三网卡Unified

Access Gateway 设备

前端网络


后端网络

DMZ

内部网络

内部防火墙


负载平衡器

Internet

管理网络

零停机时间升级

通过使用零停机时间升级，您可以在用户没有任何停机的情况下升级 Unified Access Gateway。

如果静默模式值为“是”，则 Unified Access Gateway 设备在负载平衡器检查其运行状况时显示为不可

用。传到负载平衡器的请求将被发送到负载平衡器背后的下一 Unified Access Gateway 设备。

前提条件

n 在负载平衡器后面配置了两个或更多 Unified Access Gateway 设备。

n 为运行状况检查 URL 设置配置了一个 URL，负载平衡器连接到该 URL 以检查 Unified Access Gateway 设备的运行状况。

n 在负载平衡器中检查设备的运行状况。键入 REST API 命令 GET https://UAG-IP-Address:443/favicon.ico。


VMware, Inc. 41

如果静默模式设置为“否”，则响应为 HTTP/1.1 200 OK，或者如果静默模式设置为“是”，则响应为

HTTP/1.1 503。

注 n 请勿使用 GET https://UAG-IP-Address:443/favicon.ico 以外的任何其他 URL。否则，会导

致不正确的状态响应和资源泄漏。

n 如果启用高可用性设置，那么静默模式（零停机时间）仅适用于 Web 反向代理和 Horizon。

n 如果使用第三方负载平衡器，则仅当这些负载平衡器配置为使用 GET /favicon.ico 执行运行状

况检查时，静默模式（零停机时间）才适用。

步骤

1 在管理 UI 的“手动配置”部分中，单击选择。

2 在“高级设置”部分中，单击系统配置齿轮箱图标。

3 在静默模式行中，启用是以暂停 Unified Access Gateway 设备。

在设备停止后，由该设备提供服务的现有会话将保持 10 小时，在这之后会话将关闭。

4 单击保存。

传送到负载平衡器的新请求将发送到下一个 Unified Access Gateway 设备。

后续步骤

n 对于 vSphere 部署：

a 导出 JSON 文件以备份该文件。

b 删除旧的 Unified Access Gateway 设备。

c 部署新版本的 Unified Access Gateway 设备。

d 导入以前导出的 JSON 文件。

n 对于 PowerShell 部署：

a 删除 Unified Access Gateway 设备。

b 使用在首次部署期间使用的相同 INI 文件重新部署 Unified Access Gateway。请参阅使用

PowerShell 部署 Unified Access Gateway 设备。

注如果您在重新启用负载平衡器后看到隧道服务器证书错误消息，请应用之前在 Unified Access Gateway 设备上所用的相同 SSL 服务器证书和专用密钥 PEM 文件。之所以需要这样做是因为，出于安全

原因专用密钥无法导出，所以 JSON 或 INI 文件不能包含与 SSL 服务器证书关联的专用密钥。进行

PowerShell 部署时，系统会自动完成此操作，您无需重新应用证书。


VMware, Inc. 42

不使用网络协议配置文件 (NPP) 部署 Unified Access Gateway

新版本的 Unified Access Gateway 不接受网络协议配置文件中的网络掩码或前以及默认网关设置。

您必须在部署 Unified Access Gateway 实例时提供该网络信息。

对于静态部署，在配置 Unified Access Gateway 实例时，请指定 IPv4 或 IPv6 地址、相应网卡的网络掩

码或前以及 IPv4/IPv6 默认网关。如果未提供该信息，则 IP 地址分配默认为 DHCPV4+DHCPV6。

在配置网络属性时，请注意以下事项：

n 如果为网卡的 IPMode 选择 STATICV4，您必须为该网卡指定 IPv4 地址和网络掩码。

n 如果为网卡的 IPMode 选择 STATICV6，您必须为该网卡指定 IPv6 地址和网络掩码。

n 如果为网卡的 IPMode 同时选择 STATICV4 和 STATICV6，您必须为该网卡指定 IPv4 和 IPv6 地址以

及网络掩码。

n 如果未提供地址和网络掩码信息，DHCP 服务器将分配这些值。

n IPv4 和 IPv6 默认网关属性是可选的；如果 Unified Access Gateway 需要与不在 Unified Access Gateway 中的任何网卡的本地网段上的 IP 地址进行通信，则必须指定这些属性。

有关配置网络属性的详细信息，请参阅使用 OVF 模板向导部署 Unified Access Gateway。

加入或退出客户体验改进计划

VMware 客户体验改进计划 (Customer Experience Improvement Program, CEIP) 提供的信息可供

VMware 用于改进其产品和服务，解决问题，以及向您建议 VMware 产品的佳部署和使用方式。

此产品参与 VMware 客户体验改进计划（“CEIP”）。“信任与保证中心”（网址为 https://www.vmware.com/cn/solutions/trustvmware/ceip.html）详细阐述了通过 CEIP 收集的数据以及

VMware 将此数据用于何种用途。

您可以随时通过管理 UI 加入或退出此产品的 CEIP。

步骤

1 从高级设置 > 系统配置中选择“是”或“否”。

如果选择“是”，将显示“客户体验改进计划”对话框，其中的复选框处于选中状态，以指示您要加入

该计划。

2 查看对话框中的信息，然后单击关闭。

3 单击“系统配置”页面中的保存以保存您所做的更改。


VMware, Inc. 43

https://www.vmware.com/cn/solutions/trustvmware/ceip.html

https://www.vmware.com/cn/solutions/trustvmware/ceip.html

部署 Unified Access Gateway 设备 2Unified Access Gateway 打包为 OVF，并作为预配置的虚拟设备部署到 vSphere ESX 或 ESXi 主机

上。

可以使用两种主要方法在 vSphere ESX 或 ESXi 主机上安装 Unified Access Gateway 设备。支持

Microsoft Server 2012 和 2016 Hyper-V 角色。

n 可以使用 vSphere Client 或 vSphere Web Client 部署 Unified Access Gateway OVF 模板。将提

示您输入基本设置，包括网卡部署配置、IP 地址和管理界面密码。在部署 OVF 后，请登录到 Unified Access Gateway 管理用户界面以配置 Unified Access Gateway 系统设置，在多种用例中设置安全

Edge 服务，然后在 DMZ 中配置身份验证。请参阅使用 OVF 模板向导部署 Unified Access Gateway。

n 可以使用 PowerShell 脚本部署 Unified Access Gateway，并在多种用例中设置安全 Edge 服务。请

下载 ZIP 文件，为您的环境配置 PowerShell 脚本，然后运行该脚本以部署 Unified Access Gateway。请参阅使用 PowerShell 部署 Unified Access Gateway 设备。

注对于每应用隧道和代理用例，可以将 Unified Access Gateway 部署在 ESXi 或 Microsoft Hyper-V 环境中。

注在上述两种部署方法中，如果未提供管理 UI 密码，则以后将无法通过添加用户来启用对管理 UI 或

API 的访问权限。如果您想要添加管理 UI 用户，则必须使用有效的密码重新部署 Unified Access Gateway 实例。


n 使用 OVF 模板向导部署 Unified Access Gateway

n 从管理配置页面中配置 Unified Access Gateway

n 更新 SSL 服务器签名证书

使用 OVF 模板向导部署 Unified Access Gateway

要部署 Unified Access Gateway，请使用 vSphere Client 或 vSphere Web Client 部署 OVF 模板，打

开设备的电源，然后配置相应设置。

在部署 OVF 时，您可以配置所需的网络接口（网卡）数和 IP 地址以及设置管理员和根密码。

VMware, Inc. 44

在部署了 Unified Access Gateway 之后，请转到管理用户界面 (UI) 设置 Unified Access Gateway 环境。在管理 UI 中，配置桌面和应用程序资源与身份验证方法以在 DMZ 中使用它们。要登录到管理 UI 页面，请转到 https://<mycoUnifiedGatewayAppliance>.com:9443/admin/index.html。

使用 OVF 模板向导部署 Unified Access Gateway

您可以登录到 vCenter Server 并使用“部署 OVF 模板”向导来部署 Unified Access Gateway 设备。

有两个版本的 Unified Access Gateway OVA 可用：标准 OVA 和 FIPS 版本的 OVA。

OVA 的 FIPS 版本支持以下 Edge 服务：

n Horizon（直通身份验证和证书身份验证）

注证书身份验证包括智能卡身份验证和设备证书身份验证。

n VMware 每应用隧道

重要事项 FIPS 140-2 版本通过一组 FIPS 认证的密码和哈希来运行，并启用了支持 FIPS 认证库的限制性

服务。在 FIPS 模式中部署 Unified Access Gateway 时，无法将设备更改为标准 OVA 部署模式。FIPS 版本中未提供 Horizon Edge 身份验证。

Unified Access Gateway 大小调整选项

为了简化将 Unified Access Gateway 设备部署为 Workspace ONE 安全网关的过程，向设备的部署配置

中添加了大小调整选项。在部署配置中，可以选择标准虚拟机、大型虚拟机和超大型虚拟机。

n 标准：对于支持多达 2000 个 Horizon 连接且符合连接服务器容量要求的 Horizon 部署，建议使用此

配置。对于支持多达 10,000 个并发连接的 Workspace ONE UEM 部署（移动用例），也建议使用

此配置。

n 大型：对于其中的 Unified Access Gateway 需要支持超过 50,000 个并发连接的 Workspace ONE UEM 部署，建议使用此配置。此规模允许 Content Gateway、每应用隧道和代理以及反向代理使用

同一 Unified Access Gateway 设备。

n 超大型：对于 Workspace ONE UEM 部署，建议使用此配置。此规模允许 Content Gateway、每应

用隧道和代理以及反向代理使用同一 Unified Access Gateway 设备。

n 注标准、大型和超大型部署的虚拟机选项：



n 超大型 - 8 个内核和 32 GB RAM

有关 Unified Access Gateway 大小调整建议的更多信息，可以参阅 VMware 高配置。

前提条件

n 查看向导中可用的部署选项。请参阅 Unified Access Gateway 系统和网络要求。

n 确定要为 Unified Access Gateway 设备配置的网络接口和静态 IP 地址数。请参阅网络配置要求。


VMware, Inc. 45

https://configmax.vmware.com/home

n 从 VMware 网站 (https://my.vmware.com/web/vmware/downloads) 下载 Unified Access Gateway 设备的 .ova 安装程序文件，或确定要使用的 URL，例如，http://example.com/vapps/

euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova，其中 Y.Y 是版本号，xxxxxxx 是内部版本号。

n 如果存在 Hyper-V 部署，并且您要升级具有静态 IP 的 Unified Access Gateway，请在部署新的

Unified Access Gateway 实例之前删除旧设备。

n 要在不停机的情况下为用户将旧设备升级到新的 Unified Access Gateway 实例，请参阅零停机时间

升级部分。

步骤

1 使用本机 vSphere Client 或 vSphere Web Client 登录到 vCenter Server 实例。

对于 IPv4 网络，请使用本机 vSphere Client 或 vSphere Web Client。对于 IPv6 网络，请使用

vSphere Web Client。

2 选择一个菜单命令以启动部署 OVF 模板向导。

选项菜单命令

vSphere Client 选择文件 > 部署 OVF 模板。

vSphere Web Client 选择作为虚拟机的有效父对象的任何清单对象（如数据中心、文件夹、群集、资源

池或主机），然后从操作菜单中选择部署 OVF 模板。

3 在“选择源”页中，浏览到下载的 .ova 文件或输入一个 URL，然后单击下一步。

查看产品详细信息、版本和大小要求。

4 按照提示进行操作，并在完成向导的过程中遵循以下准则。在 ESXi 和 Hyper-V 部署中，可通过两种

选项为 Unified Access Gateway 分配 IP。对于 Hyper-V，如果要进行升级，请先删除具有相同 IP 地址的旧设备，然后再部署具有新地址的设备。对于 ESXi，您可以关闭旧设备，然后使用静态分配来

部署具有相同 IP 地址的新设备。

选项说明

名称和位置为 Unified Access Gateway 虚拟设备输入一个名称。该名称必须是清单文件夹内

唯一的。名称区分大小写。

为虚拟设备选择一个位置。

部署配置对于 IPv4 或 IPv6 网络，您可以使用一个、两个或三个网卡 (NIC)。许多 DMZ 实施

使用不同的网络保护不同的流量类型。根据 Unified Access Gateway 部署所在的

DMZ 的网络设计对其进行配置。除了网卡数外，您还可以为 Unified Access Gateway 选择标准或大型部署选项。

注标准和大型部署的虚拟机选项：



主机/群集选择要在其中运行虚拟设备的主机或群集。

磁盘格式对于评估和测试环境，请选择精简置备格式。对于生产环境，请选择复杂置备格式

之一。厚置备置零是一种厚虚拟磁盘格式，它支持群集功能（如容错），但所需的

创建时间比其他类型的虚拟磁盘长得多。


VMware, Inc. 46

https://my.vmware.com/web/vmware/downloads

选项说明

设置网络/网络映射如果使用 vSphere Web Client，则可以在“设置网络”页中将每个网卡映射到一个

网络并指定协议设置。

将 OVF 模板中使用的网络映射到您清单中的网络。

a 在表格 (Internet) 中选择第一行，然后单击向下箭头选择目标网络。如果您选

择“IPv6”作为 IP 协议，则必须选择具备 IPv6 功能的网络。

选择此行后，您也可以在窗口的下半部分输入 DNS 服务器的 IP 地址、网关和

网络掩码。

b 如果您使用多个网卡，请选择下一行 (ManagementNetwork)，选择目标网

络，然后您可以输入 DNS 服务器的 IP 地址、网关和此网络的网络掩码。

如果您仅使用一个网卡，所有行将映射到同一个网络。

c 如果您有第三个网卡，还应选择第三行并完成设置。

如果您仅使用两个网卡，则对于第三行 (BackendNetwork)，请选择用于

ManagementNetwork 的相同网络。

注忽略 IP 协议下拉菜单（如果已显示），并在此处不做任何选择。实际选择的 IP 协议（IPv4/IPv6/两者）取决于在自定义网络属性时为网卡 1 (eth0)、网卡 2 (eth1) 和网卡 3 (eth2) 的 IPMode 指定的 IP 模式。


VMware, Inc. 47

选项说明

自定义网络属性 “属性”页面上的文本框特定于 Unified Access Gateway，其他类型的虚拟设备

可能并不需要。向导页面上的文本对每个设置进行了说明。如果在向导右侧截断了

该文本，请从右下角拖动以调整窗口大小。对于每个网卡，您必须在 STATICV4 中输入该网卡的 IPv4 地址。您必须在 STATICV6 中输入该网卡的 IPv6 地址。如果将

文本框留空，则 IP 地址分配默认为 DHCPV4+DHCPV6。

重要事项新版本的 Unified Access Gateway 不接受网络协议配置文件

(Network Protocol Profile, NPP) 中的网络掩码或前值以及默认网关设置。要为

Unified Access Gateway 配置静态 IP 分配，您必须在网络属性中配置网络掩码/前。无法通过 NPP 来填充这些值。

注这些值区分大小写。

n 网卡 1 (eth0) 的 IPMode：STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6。



n 以逗号分隔的转发规则列表，格式为 {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu。例如，tcp/

5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443（对于 IPv4）。

n 网卡 1 (eth0) IPv4 地址。如果您为网卡模式输入了 STATICV4，则应输入网卡

的 IPv4 地址。

n 以逗号分隔的网卡 1 (eth0) IPv4 自定义路由列表，格式为 ipv4-network-address/bits ipv4-gateway-address。例如，20.2.0.0/16

10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32

注如果未指定 ipv4-gateway-address，则添加的相应路由具有网关

0.0.0.0。


的 IPv6 地址。

n 网卡 1 (eth0) IPv4 网络掩码。输入该网卡的 IPv4 网络掩码。

n 网卡 1 (eth0) IPv6 前。输入该网卡的 IPv6 前。

n DNS 服务器地址。为 Unified Access Gateway 设备输入域名服务器中的以空

格分隔的 IPv4 或 IPv6 地址。IPv4 条目示例为 192.0.2.1 192.0.2.2。IPv6 条目示例为 fc00:10:112:54::1。

n IPv4 默认网关。如果 Unified Access Gateway 需要与不在 Unified Access Gateway 中任何网卡的本地网段上的 IP 地址进行通信，请输入 IPv4 默认网

关。

n IPv6 默认网关。如果 Unified Access Gateway 需要与不在 Unified Access Gateway 中任何网卡的本地网段上的 IP 地址进行通信，请输入 IPv6 默认网

关。


的 IPv4 地址。


VMware, Inc. 48

选项说明


10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32


0.0.0.0。


的 IPv6 地址。



n 网卡 3 (eth2) IPv4 地址。如果您为网卡模式输入了 STATICV4，则应输入网

卡的 IPv4 地址。


10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32


0.0.0.0。

n 网卡 3 (eth2) IPv6 地址。如果您为网卡模式输入了 STATICV6，则应输入网

卡的 IPv6 地址。



n 虚拟机 root 用户密码。输入 root 用户登录到 UAG 控制台时使用的密码。

n 管理 UI 密码。输入管理员用户在管理 UI 中配置 Unified Access Gateway 时

和访问 REST API 时使用的密码。

其他设置均为可选或已输入默认值的设置。

启用 SSH 用于启用 SSH 以访问 Unified Access Gateway 的选项。

允许使用密码进行 SSH root 登录用于使用 SSH root 登录和密码访问 Unified Access Gateway 的选项。

默认情况下，此选项的值为 true。

允许使用密钥对进行 SSH root 登录用于使用 SSH root 登录和公钥私钥对访问 Unified Access Gateway 的选项。

默认情况下，此值为 false。

Unified Access Gateway 管理 UI 中有一个 SSH 公钥字段，管理员可以在此处上

载公钥，以便在使用公钥私钥对选项时允许 root 用户访问 Unified Access Gateway。要使此字段在管理 UI 中可用，在部署时，此选项和启用 SSH 的值必须

均为 true。如果其中任一选项不为 true，则管理 UI 中的 SSH 公钥字段将不可用。

SSH 公钥字段是管理 UI 中的高级系统设置。请参阅配置 Unified Access Gateway 系统设置。

加入 CEIP 选择加入 VMware 客户体验改进计划以加入 CEIP，或取消选择此选项以退出

CEIP。

重要事项 SSH 选项只能在部署过程中进行配置。出于安全相关原因，部署后无法通过 Unified Access Gateway 管理 UI 或 API 修改这些选项。


VMware, Inc. 49

5 在“即将完成”页中，选择部署后打开电源，然后单击完成。

将在 vCenter Server 状态区域中显示“部署 OVF 模板”任务，以便您可以监控部署。您也可以打开

虚拟机上的控制台，以查看在系统启动期间显示的控制台消息。/var/log/boot.msg 文件中也提供了

这些消息的日志。

6 在部署完成后，打开浏览器并输入以下 URL 以验证终用户是否可以连接到设备：

https://FQDN-of-UAG-appliance

在该 URL 中，FQDN-of-UAG-appliance 是 Unified Access Gateway 设备的 DNS 可解析完全限定

域名。

如果部署成功，将会看到 Unified Access Gateway 指向的服务器提供的网页。如果部署失败，您可

以删除设备虚拟机并重新部署设备。常见的错误是未正确输入证书指纹。

结果

将部署并自动启动 Unified Access Gateway 设备。

后续步骤

n 登录到 Unified Access Gateway 管理员用户界面 (User Interface, UI)，然后配置允许从 Internet 中通过 Unified Access Gateway 远程访问的桌面和应用程序资源以及在 DMZ 中使用的身份验证方

法。管理控制台 URL 的格式为 https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html。

重要事项您必须使用管理 UI 完成部署后的 Unified Access Gateway 配置。如果未提供管理 UI 密码，则以后将无法通过添加管理 UI 用户来启用对管理 UI 或 API 的访问权限。如果您想要添加管理 UI 用户，则必须使用有效的管理 UI 密码重新部署 Unified Access Gateway 实例。

注如果无法访问管理 UI 登录屏幕，请检查虚拟机是否具有在 OVA 安装期间显示的 IP 地址。如果未

配置 IP 地址，请使用 UI 中提及的 VAMI 命令重新配置网卡。运行命令 "cd /opt/vmware/share/vami"，然后运行命令 "./vami_config_net"。

从管理配置页面中配置 Unified Access Gateway

在部署 OVF 并打开 Unified Access Gateway 设备电源后，请登录到 Unified Access Gateway 管理员

用户界面以配置相关设置。

注首次启动 Unified Access Gateway 管理控制台时，系统会提示您更改部署设备时设置的密码。

“常规设置”页面和“高级设置”页面中包含以下内容：

n Unified Access Gateway 系统配置和 TLS 服务器证书

n 用于 Horizon、反向代理、VMware Tunnel 和内容网关（又称为 CG）的 Edge 服务设置

n 用于 RSA SecurID、RADIUS、X.509 证书以及 RSA 自适应身份验证的身份验证设置

n SAML 身份提供程序和服务提供程序设置


VMware, Inc. 50

n 网络设置

n 端点合规性检查提供程序设置

n 身份桥接设置配置

n 帐户设置

可以从“支持设置”页面中访问以下选项：

n 下载 Unified Access Gateway 日志文件。

n 导出 Unified Access Gateway 设置以检索配置设置。

n 设置日志级别设置。

n 导入 Unified Access Gateway 设置以创建并更新整个 Unified Access Gateway 配置。

配置 Unified Access Gateway 系统设置

您可以从管理配置页面中配置用于加密客户端和 Unified Access Gateway 设备之间的通信的安全协议和

加密算法。

前提条件

n 检查 Unified Access Gateway 部署属性。需要使用以下设置信息：

n Unified Access Gateway 设备的静态 IP 地址

n DNS 服务器的 IP 地址

注多可指定两个 DNS 服务器 IP 地址。

仅当没有将任何 DNS 服务器地址作为配置设置的一部分或通过 DHCP 提供给 UAG 时，Unified Access Gateway 才使用平台默认的备用公共 DNS 地址。

n 管理控制台的密码

n Unified Access Gateway 设备指向的服务器实例或负载均衡器的 URL

n 用于保存事件日志文件的 Syslog 服务器 URL

步骤


2 在“高级设置”部分中，单击系统配置齿轮箱图标。


VMware, Inc. 51

3 编辑以下 Unified Access Gateway 设备配置值。

选项默认值和说明

UAG 名称唯一的 Unified Access Gateway 设备名称。

注设备名称可以由长度不超过 24 个字符的文本字符串组成，其中包括字母 (A-Z)、数字 (0-9)、减号 (-) 和句点 (.)。但是，设备名称不能包含空格。

区域设置指定在生成错误消息时使用的区域设置。

n en_US 代表美式英语。这是默认值。

n ja_JP 表示日语

n fr_FR 表示法语

n de_DE 表示德语

n zh_CN 表示简体中文

n zh_TW 表示繁体中文

n ko_KR 表示韩语

n Es 代表西班牙语

n pt_BR 代表巴西葡萄牙语

n en_BR 代表英式英语

密码套件大多数情况下，不需要更改默认设置。这是用于加密客户端和 Unified Access Gateway 设备之间的通信的加密算法。密码设置用于启用各种不同的安全协议。

TLS 1.0 已启用默认设置为 NO。

选择是以启用 TLS 1.0 安全协议。

TLS 1.1 已启用默认设置为 NO。

选择是以启用 TLS 1.1 安全协议。

TLS 1.2 已启用默认设置为 YES。

将启用 TLS 1.2 安全协议。

TLS 1.3 已启用默认设置为 YES。

将启用 TLS 1.3 安全协议。

允许的主机标头可输入 IP 地址或主机名作为主机标头值。此设置适用于使用 Horizon 和 Web 反向

代理用例的 UAG 部署。

对于采用 Horizon 的 UAG 部署，您可能需要提供多个主机标头。具体取决于是否

使用了 N+1 个虚拟 IP (VIP)，以及是否已启用“Blast 安全网关 (BSG)”和

VMware Tunnel 并将其配置为在外部使用端口 443。

Horizon Client 会在主机标头中发送用于 Blast 连接请求的 IP 地址。如果将 BSG 配置为使用端口 443，则允许的主机标头必须包含在特定 UAG 的 Blast 外部 URL 中配置的 BSG 主机名的外部 IP 地址。

如果未指定主机标头值，则默认情况下，将接受客户端发送的任何主机标头值。

Syslog 类型从下拉菜单中选择 Syslog 类型。选项包括：

n UDP：将使用 UDP 以纯文本形式通过网络发送 Syslog 消息。这是默认选项。

n TLS：将在两个 syslog 服务器之间添加 TLS 加密，从而保护消息安全。

n TCP：Syslog 消息通过 TCP 进行流式传输。

注此设置适用于 Unified Access Gateway 3.7 及更高版本。TCP 选项适用于

Unified Access Gateway 2009 及更高版本。


VMware, Inc. 52


Syslog URL 当 Syslog 类型设置为 UDP 或 TCP 时，将启用此选项。输入用于记录 Unified Access Gateway 事件的 Syslog 服务器 URL。该值可以是 URL、主机名或 IP 地址。如果未设置 syslog 服务器 URL，则不会记录任何事件。

多可以提供两个 URL。以逗号分隔 URL。示例：syslog://

server1.example.com:514, syslog://server2.example.com:514

默认情况下，会记录 Content Gateway 和 Secure Email Gateway Edge 服务事

件。要在 syslog 服务器上记录 Unified Access Gateway 上配置的 Tunnel Gateway Edge 服务事件，管理员必须在 Workspaceone UEM Console 上使用

该信息配置 Syslog。Syslog Hostname=localhost and Port=514

有关 Workspaceone UEM Console 上的 Syslog 的详细信息，请参阅配置

VMware Tunnel。

Syslog 服务器当 Syslog 类型设置为 TLS 时，将启用此选项。输入用于记录 Unified Access Gateway 事件的 Syslog 服务器 URL。该值可以是 URL、主机名或 IP 地址。如果

未设置 syslog 服务器 URL，则不会记录任何事件。



默认情况下，会记录 Content Gateway 和 Secure Email Gateway Edge 服务事

件。要在 syslog 服务器上记录 Unified Access Gateway 上配置的 Tunnel Gateway Edge 服务事件，管理员必须在 Workspaceone UEM Console 上使用

该信息配置 Syslog。Syslog Hostname=localhost and Port=514

注这适用于 Unified Access Gateway 3.7 及更高版本。

Syslog 审核 URL 输入用于记录 Unified Access Gateway 审核事件的 Syslog 服务器 URL。该值可

以是 URL、主机名或 IP 地址。如果未设置 Syslog 服务器 URL，则不会记录审核事

件。



CA 证书添加 Syslog 服务器时，将启用此选项。选择有效的 Syslog 证书颁发机构证书。

Syslog 客户端证书注仅当在 Unified Access Gateway 管理 UI 中添加 Syslog 服务器时，才会启用

此选项。

选择 PEM 格式的有效 Syslog 客户端证书。

Syslog 客户端证书密钥注仅当在 Unified Access Gateway 管理 UI 中添加 Syslog 服务器时，才会启用

此选项。

选择 PEM 格式的有效 Syslog 客户端证书密钥。

注使用 PowerShell 部署 Unified Access Gateway 时，如果提供了无效或过期

的证书或密钥，则管理 UI 实例将不可用。

Syslog 包括系统消息将切换开关设置为是可启用系统服务（如 haproxy、cron、ssh、内核和系统）以

向 syslog 服务器发送系统消息。

默认情况下，该切换开关将设置为否。

此外，也可以通过 PowerShell 部署配置此功能。有关 INI 文件中该设置的更多信

息，请参阅使用 PowerShell 部署 Unified Access Gateway 设备。

运行状况检查 URL 输入负载均衡器连接到的 URL 并检查 Unified Access Gateway 的运行状况。

要缓存的 Cookie Unified Access Gateway 缓存的一组 Cookie。默认值为“无”。

会话超时默认值为 36000000 毫秒。


VMware, Inc. 53

https://docs.vmware.com/cn/VMware-Workspace-ONE-UEM/1907/Tunnel_Linux/GUID-A41D8AAC-BA17-40DD-975A-A17126ECBAC3.html

https://docs.vmware.com/cn/VMware-Workspace-ONE-UEM/1907/Tunnel_Linux/GUID-A41D8AAC-BA17-40DD-975A-A17126ECBAC3.html


静默模式启用是以暂停 Unified Access Gateway 设备，从而达到一致的状态以执行维护任

务。

监控时间间隔默认值为 60。

密码期限当前管理员密码的有效天数。默认为 90 天。如果密码永不过期，请指定为零 (0)。

请求超时指示 Unified Access Gateway 等待接收请求的长时间。

默认值为 3000。

必须以毫秒为单位指定此超时。

正文接收超时指示 Unified Access Gateway 等待接收请求正文的长时间。

默认设置为 5000。

必须以毫秒为单位指定此超时。

每个会话的大连接数每个 TLS 会话允许的大 TCP 连接数。

默认值为 16。

为了不限制允许的 TCP 连接数，请将此字段的值设置为 0。

注 8 或更低的字段值将导致 Horizon Client 中出现错误。

客户端连接空闲超时指定客户端连接在关闭之前可以保持空闲状态的时间（以秒为单位）。默认值为

360 秒（6 分钟）。零值表示无空闲超时。

身份验证超时在其后必须进行身份验证的长等待时间（以毫秒为单位）。默认值为 300000。

如果指定了 0，则表示身份验证没有时间限制。

时钟偏差容限输入 Unified Access Gateway 时钟与相同网络上其他时钟之间允许的时间差（以

秒为单位）。默认为 600 秒。

允许的大系统 CPU 指示一分钟内允许的平均系统 CPU 使用情况上限。

超出已配置的 CPU 限制时，不允许启动新会话，并且客户端会收到 HTTP 503 错误，指示 Unified Access Gateway 设备暂时过载。此外，超出限制还允许负载均

衡器将 Unified Access Gateway 设备标记为关闭，以便可以将新请求定向到其他

Unified Access Gateway 设备。

值以百分比为单位。

默认值为 100%。

加入 CEIP 如果启用，将向 VMware 发送客户体验改进计划（“CEIP”）信息。有关详细信

息，请参阅加入或退出客户体验改进计划。

启用 SNMP 切换到是可启用 SNMP 服务。简单网络管理协议将通过 Unified Access Gateway 收集系统统计信息、内存和 Tunnel Edge 服务 MIB 信息。可用的管理信息库

(Management Information Base, MIB) 列表：

n UCD-SNMP-MIB::systemStats

n UCD-SNMP-MIB::memory

n VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB


VMware, Inc. 54


管理员免责声明文本根据您组织的用户协议策略，输入免责声明文本。

为使管理员成功登录 Unified Access Gateway 管理 UI，管理员必须接受协议策

略。

可以通过 PowerShell 部署或使用 Unified Access Gateway 管理 UI 来配置免责声

明文本。有关 INI 文件中 PowerShell 设置的更多信息，请参阅使用 PowerShell 部署 Unified Access Gateway 设备。

在使用 Unified Access Gateway 管理 UI 配置此文本框时，管理员必须先登录到管

理 UI，然后再配置免责声明文本。在管理员的后续登录中，系统会显示该文本，管

理员需先接受此内容才能访问登录页面。

DNS 输入已添加到 /run/systemd/resolve/resolv.conf 配置文件的域名系统地址。

其中必须包含有效的 DNS 搜索地址。单击“+”可添加新的 DNS 地址。

DNS 搜索输入已添加到 /etc/resolv.conf 配置文件的域名系统搜索。其中必须包含有效的

DNS 搜索地址。单击“+”可添加新的 DNS 搜索条目。

NTP 服务器可通过 NTP 服务器实现网络时间协议同步。可输入有效的 IP 地址和主机名。从

systemd-networkd.service 配置或者通过 DHCP 获取的任何每接口 NTP 服务器

将优先于这些配置。单击“+”可添加新的 NTP 服务器。

备用 NTP 服务器可通过备用 NTP 服务器实现网络时间协议同步。如果未找到 NTP 服务器信息，则

将使用这些备用 NTP 服务器的主机名或 IP 地址。单击“+”可添加新的备用 NTP 服务器。

SSH 公钥在使用公钥-私钥对选项时，请上载公钥以允许 root 用户访问 Unified Access Gateway。

管理员可以将多个唯一的公钥上载到 Unified Access Gateway。

仅当在部署过程中将以下 SSH 选项设置为 true 时，此字段才会显示在管理 UI 中：

启用 SSH 和允许使用密钥对进行 SSH root 登录。有关这些方法的信息，请参阅使

用 OVF 模板向导部署 Unified Access Gateway。

4 单击保存。

后续步骤

为部署 Unified Access Gateway 时使用的组件配置 Edge 服务设置。在配置 Edge 设置后，请配置身份

验证设置。

更改网络设置

您可以从管理 UI 为所配置的网络修改网络设置，例如，IP 地址、子网掩码、默认网关和 IP 分配模式。

修改网络设置时，请注意以下限制：

n IPv4 是唯一受支持的 IP 模式，不支持 IPv6。

n 动态更改管理网络 IP 上的 IP 地址时，不支持将浏览器重定向到新 IP 地址。

n 为面向 Internet 的网络接口更改 IP 地址、子网掩码或默认网关时，所有当前会话都将丢失。

前提条件

n 确保您以具有 ROLE_ADMIN 角色的管理员身份登录。


VMware, Inc. 55

n 如果要将 IP 更改为静态 IP 地址、子网掩码或默认网关，您必须事先知道该地址、子网掩码和默认网

关。

步骤


2 在高级设置下，单击网络设置旁边的齿轮箱图标。

将显示所配置的网络及其设置的列表。

3 在“网络设置”窗口中，单击要更改其设置的网络旁边的齿轮箱图标，然后输入以下信息：

IPv4 配置

标签说明

IPv4 分配模式选择是静态还是动态分配 IP。必须为静态 IP 分配指定此参数。

IPv4 地址网络的 IP 地址。如果您选择动态 IP 分配，则无需指定 IP 地址。必须为静态 IP 分配指定此参数。

IPv4 网络掩码网络的 IPv4 网络掩码。如果您选择动态 IP 分配，则无需指定 IPv4 网络掩码。

IPv4 默认网关 Unified Access Gateway 的 IPv4 默认网关地址。如果您选择动态 IP 分配，则无需指定默认网关 IP 地址。

IPv4 静态路由网络的 IPv4 自定义路由。单击“+”可添加新的静态路由。

以逗号分隔的网卡 IPv4 自定义路由列表，格式为 ipv4-network-address/bits ipv4-gateway-address。例

如，20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32。

注如果未指定 ipv4-gateway-address，则添加的相应路由具有网关 0.0.0.0。

无法修改 IPv6 配置。

标签说明

IPv6 分配模式指定是静态、动态还是自动分配 IP。

IPv6 地址网络的 IP 地址。

IPv6 前网络的 IPv6 前。

IPv6 默认网关 Unified Access Gateway 的 IPv6 默认网关地址。

4 单击保存。

如果设置更改成功，将显示一条成功消息。如果无法更新网络设置，将显示一条错误消息。

配置用户帐户设置

作为具有 Unified Access Gateway 系统的完全访问权限的超级用户管理员，您可以通过管理配置页面添

加和删除用户、更改密码以及修改用户的角色。

无法在设备设置中导出或导入帐户设置，包括低权限管理员的详细信息。要在新的 Unified Access Gateway 实例上配置新的低权限帐户，请通过管理 UI 进行手动配置。


VMware, Inc. 56

密码到期

超级用户和低权限管理员可以查看密码到期剩余期限。在帐户设置页面上，密码到期天数字段提供了距离

密码到期日期的剩余天数倒计时。此字段可帮助用户时刻关注密码到期日期，并采取相应的行动，例如，

重置其密码。

注密码到期时间将舍入到接近的小整数。

例如，如果密码到期剩余天数为 1 天 23 小时，那么该值会显示为 1 天。

添加低权限管理员

您现在可以配置和添加可执行有限数量的任务的低权限管理员，例如，只读操作、系统监控，等等。

注目前，您只能在 Unified Access Gateway 实例中添加一个低权限管理员。

步骤


2 在“高级设置”下，选择“帐户设置”齿轮箱图标。

3 在“帐户设置”窗口中，单击添加。

该角色将自动设置为 ROLE_MONITORING。

4 在“帐户设置”窗口中，输入以下信息：

a 用户的唯一用户名。

b （可选）如果要在添加后立即启用用户，请选中已启用框。

c 输入用户的密码。密码长度必须至少为 8 个字符，至少包含一个大写字母和一个小写字母、一个数

字和一个特殊字符，包括 ! @ # $ % * ( )。

d 确认该密码。

5 单击保存。

结果

将在“帐户设置”下面列出添加的管理员。

后续步骤

低权限管理员可以登录到系统以更改密码或执行监控任务。

修改用户帐户设置

作为超级用户管理员，您可以更改用户密码以及启用或禁用用户。

您还可以更改自己的密码，但无法禁用自己的帐户。

步骤



VMware, Inc. 57

2 在“高级设置”部分中，单击“帐户设置”。

将显示用户列表。

3 单击要修改帐户的用户旁边的齿轮箱图标。

4 编辑以下值。

a 选中或取消选中启用框，具体取决于是要启用还是禁用用户。

b 要重置用户密码，请输入新的密码并确认该密码。如果以管理员身份登录，您还必须输入旧密码。

密码长度必须至少为 8 个字符，至少包含一个大写字母和一个小写字母、一个数字和一个特殊字

符，包括 ! @ # $ % * ( )。

5 单击保存。

使用 Unified Access Gateway 控制台重置管理员密码

如果忘记了管理员用户密码，用户可以使用 root 用户凭据登录到 Unified Access Gateway 控制台并重

置管理 UI 密码。

前提条件

您必须拥有密码才能以 root 用户或具有 root 特权的用户身份登录到虚拟机。用户必须包含在 root 组中。

有关 root 用户密码的更多信息，请参阅以 root 用户身份登录问题故障排除。

步骤

1 以 root 用户身份登录到 Unified Access Gateway 控制台的操作系统。

2 输入以下命令以重置管理员密码。

adminpwd

New password for user "admin": ********

Retype new password: ********

在此示例中，密码长度至少为 8 个字符，至少包含一个大写字母和一个小写字母、一个数字和一个特

殊字符（包括 ! @ # $ % * ( )）。

将显示以下消息。

adminpwd: password for "admin" updated successfully

3 输入以下命令以重置具有较少特权的管理员密码。

adminpwd [-u <username>]

New password for user "jdoe": ********

Retype new password: ********


VMware, Inc. 58

管理员密码长度必须至少为 8 个字符，至少包含一个大写字母和一个小写字母、一个数字和一个特殊

字符 (包括 !@ # $ % * ( )）。

将显示以下消息。

adminpwd: password for "jdoe" updated successfully

结果

管理员用户密码已成功重置。

后续步骤

用户现在可以使用刚刚重置的管理员密码登录到 Unified Access Gateway 界面。用户使用 adminpwd CLI 命令重置密码后第一次登录时，系统将要求用户更改密码。

注用户必须在更改密码后首次尝试时进行登录。

删除用户

您作为超级用户管理员，可以删除非 root 用户。

您无法删除 root 管理员。

步骤


2 在“高级设置”下，选择“帐户设置”齿轮箱图标。

将显示用户列表。

3 单击您想要删除的用户旁边的“x”按钮。

小心该用户会被立即删除。此操作无法撤消。

结果

将删除该用户帐户，并显示一条消息。

配置 JSON Web 令牌设置

UAG (Unified Access Gateway) 支持 JSON Web 令牌 (JWT) 验证。您可以配置 JSON Web 令牌设置

以验证在 Horizon 单点登录期间由 Workspace ONE Access 发出的 SAML 项目，并在将 UAG 与

Horizon Universal Broker 配合使用时支持 Horizon 协议重定向功能。

当在 Workspace ONE Access Horizon 配置中启用在 JWT 中打包项目复选框时，Workspace ONE Access 会发出 JWT 打包 Horizon SAML 项目。这允许 UAG 阻止身份验证尝试，除非在尝试进行 SAML 项目身份验证时提供了受信任的 JWT。

在这两种用例中，您必须指定 JWT 设置，以允许 UAG 信任收到的 JWT 令牌的颁发者。

对 JWT 设置使用动态公钥 URL，以便 UAG 自动为此信任维护新公钥。仅当 UAG 无法访问动态公钥

URL 时，才能使用静态公钥。


VMware, Inc. 59

以下过程介绍了 JSON Web 令牌设置配置：

步骤


2 在“高级设置”下，选择“JWT 设置”齿轮箱图标。

3 在“JWT 设置”窗口中，单击添加。

4 在“帐户设置”窗口中，输入以下信息：

选项默认值和描述

名称可将此设置标识为用于验证的名称。

颁发者在要验证的入站令牌中的颁发者声明中指定的 JWT 颁发者值。

默认情况下，此字段的值设置为名称字段。

注仅为 Universal Broker 协议重定向用例配置颁发者。

动态公钥 URL 输入用于动态获取公钥的 URL。

公钥 URL 指纹输入公钥 URL 指纹的列表。如果未提供指纹列表，请确保受信任的 CA 颁发了服务

器证书。输入十六进制指纹数字。例如，sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3。

受信任证书单击“+”可选择 PEM 格式的证书并将其添加到信任存储中。单击“-”可从信任存

储中移除证书。默认情况下，别名是 PEM 证书的文件名。要提供其他名称，请编辑

别名文本框。

公钥刷新时间间隔从 URL 定期获取公钥的时间间隔（以秒为单位）。

静态公钥注如果动态公钥 URL 不可用，请设置静态公钥。

单击 + 可选择并添加要用于 JWT 验证的公钥。

此文件必须采用 PEM 格式。

5 单击保存。

结果

“JWT 设置”下将列出参数的详细信息。

配置出站代理设置

要使出站连接先通过网络代理服务器，再通过 Internet 从 Unified Access Gateway 达到所需主机，您必

须在 Unified Access Gateway 管理 UI 中配置出站代理设置。

Unified Access Gateway 不支持代理服务器身份验证。

在此版本的 Unified Access Gateway 中，仅在与 OPSWAT 和文件服务器的出站连接中支持出站代理设

置（在 on-demand agent 可执行文件通过使用 Unified Access GatewayURL 引用上载类型上载时使

用）。当来自 Unified Access Gateway 的出站流量用于 OPSWAT 主机时，必须先通过 Web 代理服务

器进行此类连接。

以下过程描述了出站代理设置的配置：


VMware, Inc. 60

步骤

1 登录到“管理 UI”，然后在手动配置部分中，单击选择。

2 转到高级设置 > 出站代理设置，然后单击齿轮框图标。

3 在出站代理设置窗口中，单击添加。

4 输入以下信息：

选项默认值和描述

名称可以在管理 UI 中添加多个代理设置。此文本框可用作每个代理设置的唯一标识符。

注此文本框是必填项，且无法更新。

代理服务器 URL 来自 Unified Access Gateway 的出站连接先通过此文本框中提到的代理服务器，

然后再通过 Internet 到达所需的主机。

此文本框的值必须为以 HTTP 或 HTTPS 作为前的主机名或 IP 地址。

代理包含主机此文本框中所述主机的出站连接必须通过代理服务器，再通过 Internet 从 Unified Access Gateway 到达主机。

此文本框的值必须是主机名或 IP 地址。

注如果 OPSWAT 或文件服务器是主机，则必须在此字段中配置相应的主机名。

受信任证书单击“+”可选择 PEM 格式的证书并将其添加到信任存储中。单击“-”可从信任存

储中移除证书。默认情况下，别名是 PEM 证书的文件名。要提供其他名称，请编辑

别名文本框。

5 单击保存。

配置 Unified Access Gateway 以自动应用授权的操作系统更新

有时，VMware 可能会授权更新一个或多个操作系统软件包，以纠正影响特定 Unified Access Gateway 版本的关键漏洞，而该漏洞尚无可行的解决方法。

您可以配置 Unified Access Gateway，以便自动获取可用的授权 Photon 操作系统软件包并将其应用于

在您的环境中部署的 Unified Access Gateway 版本。然后，在下次引导设备时，将自动获取并应用这些

更新。

在早期版本中，此类关键更新是根据 VMware 全球支持服务中心提供的指导来使用 tdnf 命令手动执行

的。

在设备更新设置部分中，您可以选择应用更新的频率，例如，在下一次重新引导或每次重新引导 Unified Access Gateway 设备时进行更新。

注只有在此页面上配置了所需的更新方案后，才会在引导周期内将更新应用于 Unified Access Gateway 设备。

步骤

1 登录到“管理 UI”，然后在手动配置部分中，单击选择。

2 转到高级设置 > 设备更新设置，然后单击齿轮框图标。


VMware, Inc. 61

3 在设备更新设置窗口中，输入以下信息：

配置设置操作

应用更新方案选择可获取 Photon 操作系统和 Unified Access Gateway 更新并将其应用到

Unified Access Gateway 的频率。

默认情况下，更新方案是 Don’t apply updates。

重要事项如果选择 Apply updates on next boot 方案，则在下次立即重新引导

Unified Access Gateway 时应用更新后，该方案会自动被重新设置为默认值。

操作系统更新 URL 输入从中获取 Photon 操作系统软件包并将其应用到 Unified Access Gateway 设备的存储库的位置。

默认情况下，此文本框的值为 https://packages.vmware.com/photon。您可以

使用默认值，也可以通过镜像默认 VMware 存储库来提供自定义存储库的 URL。

不得更改镜像存储库中的文件。

此文本框的值必须是绝对 URL，该 URL 可以是前为 https 的 IP 地址或主机名。

注如果提供用于操作系统更新的自定义 URL，则这些设置将在多一分钟后应

用。

设备更新 URL 输入从中获取 Unified Access Gateway 授权操作系统软件包列表并将其应用于

Unified Access Gateway 设备的存储库的位置。

默认情况下，此文本框的值为 https://packages.vmware.com/uag。您可以使用

默认值，也可以通过镜像默认 VMware 存储库来提供自定义存储库的 URL。不得

更改镜像存储库中的这些文件。

此文本框的值必须是绝对 URL，该 URL 可以是前为 https 的 IP 地址或主机名。

注如果提供用于设备更新的自定义 URL，则这些设置将在多一分钟后应用。

受信任证书 n 单击 + 可选择 PEM 格式的证书并将其添加到信任存储中。

n 要提供其他名称，请编辑别名文本框。

默认情况下，别名是 PEM 证书的文件名。

n 单击 - 可从信任存储中移除证书。

4 单击保存。

结果

应用更新后，将重新引导 Unified Access Gateway 设备，并生成 package-updates.log 文件。此日志

文件在 UAG-log-archive.zip 中可用。您可以使用 package-updates.log 文件来检查更新的状态和进

行故障排除。

有关从管理 UI 访问 UAG-log-archive.zip 的信息，请参见从 Unified Access Gateway 设备收集日

志。

更新 SSL 服务器签名证书

在签名证书过期时，您可以更换这些证书，也可以使用 CA 签名的证书替换默认证书。

默认情况下，Unified Access Gateway 使用自签名 TLS/SSL 服务器证书。对于生产环境，VMware 强烈

建议您将默认的自签名证书替换为适用于您环境的受信任的 CA 签名证书。


VMware, Inc. 62

上载证书时，请注意以下注意事项：

n 可以使用 PEM 证书替换管理员和用户的默认证书。

n 在管理接口上上载 CA 签名的证书时，会更新并重新启动管理接口上的 SSL 连接器，以确保上载的证

书生效。如果上载 CA 签名的证书后连接器未能重新启动，则会在管理接口上生成一个自签名证书并

应用该证书，并且用户会收到通知，说明之前尝试上载证书的操作未成功。

注使用 Unified Access Gateway 的 PowerShell 部署时，可以指定 SSL 服务器证书。无需手动进

行替换。

前提条件

n 已将新签名证书和私钥保存到您可以访问的计算机中。

n 将证书转换为 PEM 格式的文件，然后将 .pem 文件转换为单行格式。请参阅将证书文件转换为单行

PEM 格式。

步骤

1 在管理控制台中，单击选择。

2 在高级设置部分中，单击 TLS 服务器证书设置齿轮箱图标。

3 选择管理接口或 Internet 接口，以将证书应用于任一接口。您也可以同时选择两者以将证书应用于这

两个接口。

4 对于证书类型，请选择 PEM 或 PFX。

5 如果“证书类型”为 PEM：

a 在“私钥”行中，单击选择并浏览到私钥文件。

b 单击打开以上载该文件。

c 在“证书链”行中，单击选择并浏览到证书链文件。

d 单击打开以上载该文件。

6 如果“证书类型”为 PFX：

a 在“上载 PFX”行中，单击选择并浏览到 pfx 文件。

b 单击打开以上载该文件。

c 输入 PFX 证书的密码。

d 输入 PFX 证书的别名。

当存在多个证书时，您可以使用别名加以区分。

7 单击保存。

结果

成功更新证书后，将显示一条确认消息。


VMware, Inc. 63

使用 PowerShell 部署 Unified Access Gateway 3可以使用 PowerShell 脚本部署 Unified Access Gateway。PowerShell 脚本是作为示例脚本提供的，您

可以根据您的环境的特定需求进行修改。

在使用 PowerShell 脚本部署 Unified Access Gateway 时，该脚本调用 OVF Tool 命令并验证设置以自

动构造正确的命令行语法。这种方法还允许在部署时应用高级设置，例如，TLS/SSL 服务器证书配置。


n 使用 PowerShell 部署 Unified Access Gateway 的系统要求

n 使用 PowerShell 部署 Unified Access Gateway 设备

使用 PowerShell 部署 Unified Access Gateway 的系统要求

要使用 PowerShell 脚本部署 Unified Access Gateway，您必须使用特定版本的 VMware 产品。

n PowerShell 脚本在 Windows 8.1 或更高版本的计算机上运行，或者在 Windows Server 2008 R2 或更高版本上运行。

n 具有 vCenter Server 的 VMware vSphere ESXi 主机。

n 运行脚本的 Windows 计算机必须安装了 VMware OVF Tool 命令。

您必须从 https://www.vmware.com/support/developer/ovf/ 安装 OVF Tool 4.0.1 或更高版本。

n Microsoft Hyper-V

注有关更多信息，请参阅 VMware Workspace ONE UEM 文档。

n Microsoft Azure

注有关更多信息，请参阅 Unified Access Gateway PowerShell 到 Microsoft Azure 的部署。

n Amazon AWS EC2

注有关更多信息，请参阅 Unified Access Gateway PowerShell 到 Amazon Web Services 的部

署。

您必须选择要使用的 vSphere 数据存储和网络。

VMware, Inc. 64

https://www.vmware.com/support/developer/ovf/

https://docs.vmware.com/cn/VMware-Workspace-ONE-UEM/index.html

https://docs.vmware.com/cn/Unified-Access-Gateway/3.6/vmware-uag-powershell-azure-deployment.doc/GUID-ADC9E115-C448-4305-9377-6E911C4E663C.html

https://docs.vmware.com/cn/Unified-Access-Gateway/3.6/vmware-uag-powershell-aws-deployment.doc/GUID-BFC64731-B5DB-4B41-B8C1-7C01CD59C899.html


使用 PowerShell 部署 Unified Access Gateway 设备

PowerShell 脚本可在您的环境中准备所有配置设置。当您通过运行 PowerShell 脚本来部署 Unified Access Gateway 时，该解决方案会在第一次系统引导时为生产做好准备。

重要事项在 PowerShell 部署中，您可以在 INI 文件中提供所有设置，以便 Unified Access Gateway 实例在引导后可直接用于生产。如果您不想在部署后更改任何设置，则无需提供管理 UI 密码。

但是，如果在部署过程中未提供管理 UI 密码，则管理 UI 和 API 都将不可用。

注 n 如果在部署时未提供管理 UI 密码，则以后将无法通过添加用户来启用对管理 UI 或 API 的访问权限。

如果您想要添加管理 UI 用户，则必须使用有效的密码重新部署 Unified Access Gateway 实例。

n Unified Access Gateway 3.5 及更高版本包含一个可选的 sshEnabled INI 属性。PowerShell INI 文件

中 [General] 部分的 sshEnabled=true 设置会自动在部署的设备上启用 ssh 访问。VMware 通常建议

不要在 Unified Access Gateway 上启用 ssh，某些特定情况及可以限制访问的情况除外。此功能主

要适用于备用控制台访问不可用的 Amazon AWS EC2 部署。

注有关 Amazon AWS EC2 的详细信息，请参阅 Unified Access Gateway PowerShell 到

Amazon Web Services 的部署。

如果 sshEnabled=true 未指定或设置为 false，则不会启用 ssh 。

对于 vSphere、Hyper-V 或 Microsoft Azure 部署，通常不需要在 Unified Access Gateway 上启

用 ssh 访问，因为在这些平台中可以使用控制台访问。如果 Amazon AWS EC2 部署需要 root 控制

台访问，则设置 sshEnabled=true。如果启用 ssh，必须在防火墙或安全组中将 TCP 端口 22 访问限制

为单个管理员的源 IP 地址。EC2 支持在与 Unified Access Gateway 网络接口关联的 EC2 安全组中

实施此限制。

n Unified Access Gateway 2009 在 INI 文件中包含用于启用 syslog 配置的 sysLogType 属性。

n 在 Unified Access Gateway 2009 中，您可以在 INI 文件中包含用于创建具有监控角色的低特权管理

员用户的参数。不支持创建超级用户管理员用户。

前提条件

n 如果是 Hyper-V 部署并且要使用静态 IP 来升级 Unified Access Gateway，请在部署新的 Unified Access Gateway 实例之前删除旧设备。

n 验证满足使用此脚本的相应系统要求。

以下是可来于在您的环境中部署 Unified Access Gateway 的示例脚本。


VMware, Inc. 65



图 3-1. PowerShell 示例脚本

步骤

1 将 My VMware 上的 Unified Access Gateway OVA 下载到您的 Windows 计算机中。

2 将 uagdeploy-XXX.zip 文件下载到 Windows 计算机上的某个文件夹中。

ZIP 文件可在 https://my.vmware.com/en/web/vmware/downloadsVMware 下载 Unified Access Gateway 页面中获取。

3 打开 PowerShell 脚本，将目录修改为您脚本所在的位置。


VMware, Inc. 66

https://my.vmware.com/en/web/vmware/downloads

4 为 Unified Access Gateway 虚拟设备创建一个 INI 配置文件。

例如：部署新的 Unified Access Gateway 设备 UAG1。将配置文件命名为 uag1.ini。此文件中包含

UAG1 的所有配置设置。您可以使用 uagdeploy.ZIP 文件中的示例 INI 文件创建 INI 文件，并相应

地修改设置。

注 n 您可以为环境中的多个 Unified Access Gateway 部署创建唯一的 INI 文件。您必须在 INI 文件

中相应地更改 IP 地址和名称参数才能部署多个设备。

n 要将私钥从 PKCS8 转换为 PKCS1（即，从 BEGIN PRIVATE KEY 格式转换为 BEGIN RSA PRIVATE KEY 格式），请运行以下 openssl 命令：

openssl rsa -in key.pem -out keyrsa.pem

要转换扩展名为 .p12 或 .pfx 的 PKCS＃12 格式文件，并确保密钥为 RSA 密钥，请运行以下命

令：

openssl pkcs12 -in cert.pfx -nokeys -out cert.pem

openssl pkcs12 -in cert.pfx -nodes -nocerts -out key.pem

openssl rsa -in key.pem -check -out keyrsa.pem

要修改的 INI 文件示例。

[General]

netManagementNetwork=

netInternet=

netBackendNetwork=

name=

dns = 192.0.2.1 192.0.2.2

dnsSearch = example1.com example2.com

ip0=10.108.120.119

diskMode=

source=

defaultGateway=10.108.120.125

target=

ds=

deploymentOption=onenic

authenticationTimeout=300000

fipsEnabled=false

sysLogType=TCP

uagName=UAG1

locale=en_US

ipModeforNIC3=DHCPV4_DHCPV6

tls12Enabled=true

ipMode=DHCPV4_DHCPV6

requestTimeoutMsec=10000

ipModeforNIC2=DHCPV4_DHCPV6

tls11Enabled=false

clientConnectionIdleTimeout=180

tls10Enabled=false


VMware, Inc. 67

adminCertRolledBack=false

cookiesToBeCached=none

healthCheckUrl=/favicon.ico

quiesceMode=false

syslogUrl=10.108.120.108:514

syslogSystemMessagesEnabled=false

isCiphersSetByUser=false

tlsPortSharingEnabled=true

ceipEnabled=true

bodyReceiveTimeoutMsec=15000

monitorInterval=60

cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE

_RSA_WITH_AES_128_CBC_SHA256

, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

adminPasswordExpirationDays=90

httpConnectionTimeout=120

isTLS11SetByUser=false

sessionTimeout=36000000

ssl30Enabled=false

snmpEnabled= TRUE | FALSE

ntpServers=ipOrHostname1 ipOrHostname2

fallBackNtpServers=ipOrHostname1 ipOrHostname2

sshEnabled=

sshPasswordAccessEnabled=

sshKeyAccessEnabled=

sshPublicKey1=

adminDisclaimerText=

[WebReverseProxy1]

proxyDestinationUrl=https://10.108.120.21

trustedCert1=

instanceId=view


userNameHeader=AccessPoint-User-ID

proxyPattern=/(.*)

landingPagePath=/

hostEntry1=10.108.120.21 HZNView.uagqe.auto.com

[Horizon]

proxyDestinationUrl=https://enterViewConnectionServerUrl

trustedCert1=

gatewayLocation=external

disableHtmlAccess=false


proxyDestinationIPSupport=IPV4

smartCardHintPrompt=false

queryBrokerInterval=300

proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))

matchWindowsUserName=false

windowsSSOEnabled=false

[Airwatch]

tunnelGatewayEnabled=true

tunnelProxyEnabled=true

pacFilePath=


VMware, Inc. 68

pacFileURL=

credentialFilePath=

apiServerUsername=domain\apiusername

apiServerPassword=*****

proxyDestinationUrl=https://null

ntlmAuthentication=false


organizationGroupCode=

apiServerUrl=https://null

airwatchOutboundProxy=false

outboundProxyHost=1.2.3.4

outboundProxyPort=3128

outboundProxyUsername=proxyuser

outboundProxyPassword=****

reinitializeGatewayProcess=false

airwatchServerHostname=tunnel.acme.com

trustedCert1=c:\temp\CA-Cert-A.pem

hostEntry1=1.3.5.7 backend.acme.com

[AirwatchSecureEmailGateway]


memConfigurationId=abc123




outboundProxyHost=1.2.3.4

outboundProxyPort=3128


outboundProxyPassword=****


airwatchServerHostname=serverNameForSNI

apiServerPassword=****


pfxCerts=C:\Users\admin\My Certs\mycacerts.pfx

hostEntry1=1.3.5.7 exchange.acme.com

[AirWatchContentGateway]

cgConfigId=abc123



apiServerPassword=*****

outboundProxyHost=

outboundProxyPort=


outboundProxyPassword=*****


hostEntry1=192.168.1.1 cgbackend.acme.com


ntlmAuthentication=false


airwatchServerHostname=cg.acme.com

[SSLCert]

pemPrivKey=

pemCerts=


VMware, Inc. 69

pfxCerts=

pfxCertAlias=

[SSLCertAdmin]

pemPrivKey=

pemCerts=

pfxCerts=

pfxCertAlias=

[JWTSettings1]

publicKey1=

publicKey2=

publicKey3=

name=JWT_1

[JWTSettings2]

publicKey1=

publicKey2=

name=JWT_2

[AdminUser1]

name=monitoringUser1

enabled=true

[AdminUser2]

name=monitoringUser2

enabled=true

[OutboundProxySettings1]

proxyUrl=

name=

proxyType=HTTP

includedHosts1=

includedHosts2=

trustedCert1=

[OutboundProxySettings2]

proxyUrl=

name=

proxyType=HTTP

includedHosts1=

includedHosts2=

trustedCert1=

注具有监控角色的低特权管理员用户的密码将作为 PowerShell 脚本的参数提供。如果未提供密码，

则系统会提示用户输入密码。将 newAdminUserPwd 作为参数提供，且该参数值与

monitoringUser1:P@ssw0rd1;monitoringUser2:P@ssw0rd2 类似。INI 文件中的 enabled 参数是可选

的，如果参数不可用，则默认为 true。

5 要确保脚本执行不受限制，请输入 PowerShell set-executionpolicy 命令。

set-executionpolicy -scope currentuser unrestricted


VMware, Inc. 70

您只需执行一次即可除去限制。

a （可选）如果出现脚本警告，请运行以下命令以取消阻止该警告：unblock-file -

path .\uagdeploy.ps1

6 运行以下命令开始部署。如果未指定 .INI 文件，则脚本默认使用 ap.ini。

.\uagdeploy.ps1 -iniFile uag1.ini

7 在提示时输入凭据，然后完成脚本。

注如果提示您为目标设备添加指纹，请输入 yes。

Unified Access Gateway 设备已部署并且可以用于生产。

结果

有关 PowerShell 脚本的详细信息，请参阅 https://communities.vmware.com/docs/DOC-30835。

后续步骤

如果要在保留现有设置的同时升级 Unified Access Gateway，请编辑 .ini 文件以将源引用更改为新版

本，然后重新运行 .ini 文件： uagdeploy.ps1 uag1.ini。此过程多可能需要 3 分钟的时间。

[General]

name=UAG1

source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

如果要在没有服务中断的情况下进行升级，请参阅零停机时间升级。


VMware, Inc. 71

https://communities.vmware.com/docs/DOC-30835

Unified Access Gateway 部署用例 4本章中介绍的部署方案可以帮助您确定和组织您的环境中的 Unified Access Gateway 部署。

您可以使用 Horizon、Horizon Cloud with On-Premises Infrastructure、Workspace ONE Access 和

Workspace ONE UEM 来部署 Unified Access Gateway。


n 使用 Horizon 和 Horizon Cloud with On-Premises Infrastructure 进行部署

n Horizon 端点合规性检查

n 作为反向代理部署

n 内部部署的旧版 Web 应用程序的单点登录访问部署

n 针对 Unified Access Gateway 和第三方身份提供程序集成配置 Horizon

n Unified Access Gateway 上的 Workspace ONE UEM 组件

n 其他部署用例

使用 Horizon 和 Horizon Cloud with On-Premises Infrastructure 进行部署

您可以使用 Horizon Cloud with On-Premises Infrastructure 和 Horizon Air 云基础架构来部署 Unified Access Gateway。

部署方案

通过 Unified Access Gateway，可以从远程安全访问客户数据中心内部部署的虚拟桌面和应用程序。

Unified Access Gateway 通过对内部部署的 Horizon 或 Horizon Air 进行操作来实现统一管理。

Unified Access Gateway 为企业提供了强大的用户身份安全保障，并且还能精确控制对他们已获授权的

桌面和应用程序的访问。

VMware, Inc. 72

Unified Access Gateway 虚拟设备通常部署在网络隔离区 (Demilitarized Zone, DMZ) 中。部署在 DMZ 中可以确保进入数据中心并传送到桌面和应用程序资源的流量是经过严格身份验证的用户产生的流量。

Unified Access Gateway 虚拟设备还确保可以将经过身份验证的用户产生的流量仅传送到用户有权访问

的桌面和应用程序资源。该保护级别包括具体检查桌面协议以及协调可能快速变化的策略和网络地址以准

确地控制访问。

下图显示了包含前端和后端防火墙的配置示例。

图 4-1. DMZ 拓扑中的 Unified Access Gateway

HorizonServer

MicrosoftActive

Directory

运行虚拟桌面虚拟机

的 ESXi 主机

外部网络

vCenterManagement

Server

负载平衡器

负载平衡器

客户端设备

DMZ


您必须验证具有 Horizon 的无缝 Unified Access Gateway 部署的要求。

n Unified Access Gateway 设备指向 Horizon Server 前面的负载平衡器，因此，会动态选择服务器实

例。

n 默认情况下，端口 8443 必须可用于 Blast TCP/UDP。但是，也可为 Blast TCP/UDP 配置端口

443。

注如果将 Unified Access Gateway 配置为使用 IPv4 和 IPv6 模式，则 Blast TCP/UDP 必须设置

为端口 443。请参阅 Unified Access Gateway 为 Horizon 基础架构提供 IPv4 和 IPv6 双模式支持。


VMware, Inc. 73

n 在使用 Horizon 部署 Unified Access Gateway 时，必须启用 Blast 安全网关和 PCoIP 安全网关。这

样可以确保显示协议能够自动通过 Unified Access Gateway 作为代理。BlastExternalURL 和

pcoipExternalURL 设置指定 Horizon Client 使用的连接地址，以便通过 Unified Access Gateway 上的相应网关路由这些显示协议连接。由于这些网关可以确保代表经过身份验证的用户对显示协议流量

进行控制，因此，提高了安全性。Unified Access Gateway 忽略未授权的显示协议流量。

n 在 Horizon 连接服务器实例上禁用安全网关（Blast 安全网关和 PCoIP 安全网关），然后在 Unified Access Gateway 设备上启用这些网关。

建议部署 Horizon 7 的用户使用 Unified Access Gateway 设备而不是 Horizon 安全服务器。

注如果代理模式发生重叠，则 Horizon Connection Server 无法与启用的 Web 反向代理一起使用。因

此，如果在同一个 Unified Access Gateway 实例上同时为 Horizon 和 Web 反向代理实例配置并启用了

代理模式，请从 Horizon 设置中移除代理模式“/”，并在 Web 反向代理中保留该模式，以防止发生重

叠。在 Web 反向代理实例中保留“/”代理模式可确保在用户单击了 Unified Access Gateway 的 URL 后，系统会显示正确的 Web 反向代理页面。如果仅配置了 Horizon 设置，则无需进行上述更改。

Horizon 安全服务器和 Unified Access Gateway 设备之间的区别如下。

n 安全部署。Unified Access Gateway 实施为强化、锁定且预配置的基于 Linux 的虚拟机。

n 可扩展。您可以将 Unified Access Gateway 连接到单个 Horizon 连接服务器，也可以通过多个

Horizon 连接服务器前的负载均衡器进行连接，从而增强高可用性。它作为 Horizon Client 和后端

Horizon 连接服务器之间的一个层。由于部署速度较快，它可以快速扩展/收缩以满足快速变化的企业

的要求。


VMware, Inc. 74

图 4-2. 指向负载平衡器的 Unified Access Gateway 设备

HorizonServer

MicrosoftActive

Directory

运行虚拟桌面虚拟机

的 ESXi 主机

外部网络

vCenterManagement

Server

负载平衡器

负载平衡器

客户端设备

DMZ


或者，也可以将一个或多个 Unified Access Gateway 设备指向单个服务器实例。在这两种方法中，将在

DMZ 中的一个或多个 Unified Access Gateway 设备前面使用负载均衡器。


VMware, Inc. 75

图 4-3. 指向 Horizon Server 实例的 Unified Access Gateway 设备

WS1 UEM/WS1 Access

MicrosoftActive

Directory

Internet

vCenterManagement

Server

负载平衡器

负载平衡器

WorkspaceONE 客户端

DMZ

Unified AccessGateway

设备

防火墙

防火墙

企业区域

Workspace ONE 客户端

DNS/NTP服务

身份验证

用户身份验证类似于 Horizon 安全服务器。Unified Access Gateway 中支持的用户身份验证方法包括：

n Active Directory 用户名和密码。

n Kiosk 模式。有关 Kiosk 模式的详细信息，请参阅 Horizon 文档。

n RSA SecurID 双因素身份验证，通过了 RSA for SecurID 正式认证。

n 通过一系列第三方、双因素安全供应商解决方案实现的 RADIUS。

n 智能卡、CAC 或 PIV X.509 用户证书。

n SAML。


VMware, Inc. 76

系统通过 Horizon Connection Server 来支持这些身份验证方法。Unified Access Gateway 不需要直接

与 Active Directory 进行通信。该通信作为通过 Horizon Connection Server 的代理，该服务器可以直

接访问 Active Directory。在根据身份验证策略对用户会话进行身份验证后，Unified Access Gateway 可以将授权信息请求以及桌面和应用程序启动请求转发到 Horizon Connection Server。Unified Access Gateway 还管理其桌面和应用程序协议处理程序，以允许它们仅转发授权的协议流量。

Unified Access Gateway 本身可以处理智能卡身份验证。这包括一些选项，Unified Access Gateway 使用这些选项与在线证书状态协议 (Online Certificate Status Protocol, OCSP) 服务器进行通信，以检查

X.509 证书吊销等信息。

Unified Access Gateway 为 Horizon 基础架构提供 IPv4 和 IPv6 双模式支持

您可以将 Unified Access Gateway 作为 Horizon Client 网桥以连接到后端 Horizon Connection Server或代理环境。在此方案中，可以为 Horizon Client 和 Horizon Connection Server 配置不同的 IP 模式：

IPv4 或 IPv6，反之亦然。

Horizon 后端环境可能包含连接服务器、代理桌面或其他服务器端基础架构。

Horizon 基础架构的 IP 模式组合

在 Horizon 基础架构中，Horizon Client 和 Horizon Connection Server 可以具有以下 IP 模式：

Horizon Client Horizon Connection Server 支持

IPv4 IPv4 是

IPv6 IPv4 是

IPv6 IPv6 是

IPv4 IPv6 是

注当为 Horizon Client 和 Horizon Connection Server 配置了不同的 IP 模式（IPv4 或 IPv6，反之亦

然）时，Unified Access Gateway 管理 UI 中的连接服务器 IP 模式设置可以具有以下值之一：与

Horizon Connection Server 相同的 IP 模式或混合模式 (IPv4+IPv6)。

例如：如果为 Horizon Client 配置了 IPv4，为 Horizon Connection Server 配置了 IPv6，则连接服务器

IP 模式的值可以是 IPv6 或 IPv4+IPv6（混合模式）。

有关连接服务器 IP 模式设置的更多信息，请参阅配置 Horizon 设置。

在桥接 IP 模式（IPv4 到 IPv6 或 IPv6 到 IPv4）后，Unified Access Gateway 不支持以下功能：

Horizon Tunnel、PCoIP 或 Blast UDP。

注必须将 Blast External URL 配置为使用 TCP 端口 443 或 8443。


VMware, Inc. 77

高级 Edge 服务设置

Unified Access Gateway 使用不同的变量来区分 Edge 服务、配置的 Web 代理以及代理目标 URL。

代理模式和不安全模式

Unified Access Gateway 使用代理模式将入站 HTTP 请求转发到正确的 Edge 服务（如 Horizon）或配

置的 Web 反向代理实例之一（如 Workspace ONE Access）。因此，将使用代理模式作为筛选器来确

定在处理入站流量时是否需要反向代理。

如果选择了反向代理，该代理将使用指定的不安全模式来确定是否允许入站流量在未经过验证的情况下进

入后端。

用户必须指定代理模式，并可以选择指定不安全模式。不安全模式由 Web 反向代理（例如 Workspace ONE Access）使用，这些反向代理拥有自己的登录机制，并且需要在未经过验证的情况下将特定的 URL（例如，登录页面路径、javascript 或映像资源）传递到后端。

注不安全模式是代理模式的一个子集，因此可能会在反向代理的两个不安全模式中重复使用某些路径。

注该模式还可用于排除某些 URL。例如，如果要允许所有 URL 都通过但会阻止 /admin，则可以使用以

下表达式。^/(?!admin(.*))(.*)

每个 Edge 服务可能具有不同的模式。例如，Horizon 的 Proxy Pattern 可配置为 (/|/view-client(.*)|/portal(.*)|/appblast(.*))，而 Workspace ONE Access 的模式可配置为 (/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))。

注如果代理模式发生重叠，则 Horizon Connection Server 无法与已启用的 Web 反向代理一起使用。

因此，如果在同一 Unified Access Gateway 实例上配置了 Horizon 和 Web 反向代理实例（例如

Workspace ONE Access）并启用了代理模式，请从 Horizon 设置中移除代理模式“/”，并在

Workspace ONE Access 中保留此模式以防止发生重叠。

在 Web 反向代理实例 (Workspace ONE Access) 中保留“/”代理模式可确保当用户单击 Unified Access Gateway 的 URL 时，显示 Workspace ONE Access 页面。

如果仅配置 Horizon 设置，则不需要进行上述更改。

代理主机模式

如果配置了多个 Web 反向代理实例，并且代理模式发生重叠，则 Unified Access Gateway 会使用

Proxy Host Pattern 区分这些实例。将 Proxy Host Pattern 配置为反向代理的 FQDN。

例如，Sharepoint 的主机模式可配置为 sharepoint.myco.com，而 JIRA 的模式可配置为

jira.myco.com。

主机条目

仅当 Unified Access Gateway 无法访问后端服务器或应用程序时，才需要配置此文本框。在将后端应用

程序的 IP 地址和主机名添加到“主机条目”时，该信息将添加到 Unified Access Gateway 的 /etc/hosts 文件中。对于所有 Edge 服务设置，该字段是通用的。


VMware, Inc. 78

代理目标 URL

这是将 Unified Access Gateway 作为代理的 Edge 服务设置的后端服务器应用程序 URL。例如：

n 对于 Horizon Connection Server，代理目标 URL 是连接服务器 URL。

n 对于 Web 反向代理，代理目标 URL 是所配置的 Web 反向代理的应用程序 URL。

单反向代理配置

在 Unified Access Gateway 收到一个包含 URI 的入站请求时，将使用代理模式确定是转发还是丢弃该请

求。

多反向代理配置

1 如果将 Unified Access Gateway 配置为反向代理，并收到包含 URI 路径的入站请求，Unified Access Gateway 将使用代理模式匹配正确的 Web 反向代理实例。如果具有单个匹配项，则使用匹

配的模式。如果具有多个匹配项，则重复执行步骤 2 中的筛选和匹配过程。如果没有匹配项，则丢弃

该请求并将 HTTP 404 发回到客户端。

2 使用代理主机模式筛选在步骤 1 中已筛选过的列表。将使用 HOST 标头筛选请求并查找反向代理实

例。如果具有单个匹配项，则使用匹配的模式。如果具有多个匹配项，则重复执行步骤 3 中的筛选和

匹配过程。

3 请注意以下事项：

n 将使用步骤 2 中筛选的列表中的第一个匹配项。此匹配项并非总是正确的 Web 反向代理实例。因

此，如果在 Unified Access Gateway 中设置了多个反向代理，请确保 Web 反向代理实例的代理

模式和代理主机模式组合必须是唯一的。

n 已配置的所有反向代理的主机名将解析为与 Unified Access Gateway 实例的外部地址相同的 IP 地址。

有关配置反向代理的详细信息和说明，请参阅使用 Workspace ONE Access 配置反向代理。

示例：两个反向代理配置了相互冲突的代理模式及不同的主机模式

假设第一个反向代理的代理模式为 /(.*)，且其主机模式为 host1.domain.com；而第二个反向代理的代理

模式为 (/app2(.*)|/app3(.*)|/)，且其主机模式为 host2.domain.com。

n 如果所发出请求的路径设置为 https://host1.domain.com/app1/index.html，则该请求将转发到第一

个反向代理。

n 如果所发出请求的路径设置为 https://host2.domain.com/app2/index.html，则该请求将转发到第二

个反向代理。

示例：两个反向代理具有相互排斥的代理模式

假设第一个反向代理的代理模式为 /app1(.*)，而第二个反向代理的代理模式为 (/app2(.*)|/app3(.*)|/)。

n 如果所发出请求的路径设置为 https://<uag domain name>/app1/index.html，则该请求将转发到第一

个反向代理。


VMware, Inc. 79

n 如果所发出请求的路径设置为 https://<uag domain name>/app3/index.html 或 https://<uag domain name>/，则该请求将转发到第二个反向代理。

配置 Horizon 设置

您可以使用 Horizon Cloud with On-Premises Infrastructure 和 Horizon Air 云基础架构来部署 Unified Access Gateway。对于 Horizon 部署，Unified Access Gateway 设备将替代 Horizon 安全服务器。

前提条件

如果您想要在同一 Unified Access Gateway 实例上配置并启用 Horizon 和 Web 反向代理实例（例如

Workspace ONE Access），请参阅高级 Edge 服务设置。

步骤


2 在常规设置 > Edge 服务设置中，单击显示。

3 单击 Horizon 设置齿轮箱图标。

4 在“Horizon 设置”页中，将“否”更改为是以启用 Horizon。

5 为 Horizon 配置以下 Edge 服务设置资源：

选项说明

标识符默认情况下，设置为 Horizon。Unified Access Gateway 可与使用 Horizon XML 协议的服务器进行通信，例如，Horizon 连接服务器、Horizon Air 和 Horizon Cloud with On-Premises Infrastructure。

连接服务器 URL 输入 Horizon Server 或负载平衡器的地址。输入为 https://00.00.00.00。

连接服务器 URL 指纹输入 Horizon Server 指纹列表。

如果未提供指纹列表，请确保受信任的 CA 颁发了服务器证书。输入十六进制指纹

数字。例如，sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3。

启用 PCOIP 将“否”更改为是以指定是否启用 PCoIP 安全网关。

禁用 PCOIP 旧版证书将否更改为是可指定使用所上载的 SSL 服务器证书（而不是旧版证书）。如果此参

数设置为是，旧版 PCoIP 客户端将无法运行。

PCOIP 外部 URL Horizon Client 与该 Unified Access Gateway 设备建立 Horizon PCoIP 会话时使

用的 URL。它必须包含一个 IPv4 地址（而不是主机名）。例如，

10.1.2.3:4172。默认值为 Unified Access Gateway IP 地址和端口 4172。

启用 Blast 要使用 Blast 安全网关，请将“否”更改为是。


VMware, Inc. 80

选项说明

连接服务器 IP 模式表示 Horizon Connection Server 的 IP 模式

此字段可以具有以下值：IPv4、IPv6 和 IPv4+IPv6。

默认设置为 IPv4。

n 如果 Unified Access Gateway 设备中的所有网卡均采用 IPv4 模式（无 IPv6 模式），则此字段可以具有以下值之一：IPv4 或 IPv4+IPv6（混合模式）。

n 如果 Unified Access Gateway 设备中的所有网卡均采用 IPv6 模式（无 IPv4 模式），则此字段可以具有以下值之一：IPv6 或 IPv4+IPv6（混合模式）。

重写来源标头如果 Unified Access Gateway 的入站请求具有 Origin 标头，并且重写来源标头

字段处于启用状态，则 Unified Access Gateway 会使用连接服务器 URL 重写

Origin 标头。

重写来源标头字段与 Horizon Connection Server 的 checkOrigin CORS 属性一

起使用。启用此字段后，Horizon 管理员无需在 locked.properties 文件中指定

Unified Access Gateway IP 地址。

有关来源检查的信息，请参阅《Horizon 7 安全指南》文档。

6 要配置身份验证方法规则和其他高级设置，请单击更多。

选项说明

身份验证方法默认设置是使用用户名和密码的直通身份验证。

支持以下身份验证方法：SAML、SAML and Unauthenticated、RSA SecurID、

SecurID and Unauthenticated、RADIUS、RADIUS and Unauthenticated 以及

Device Certificate。

重要事项如果选择了任何 Unauthenticated 方法作为身份验证方法，请确保将

Horizon Connection Server 中的登录减速级别配置为 Low。访问远程桌面或应用

程序时，需要进行此配置以避免端点登录长时间延迟。

有关如何配置登录减速级别的详细信息，请参阅位于 VMware Docs 的《Horizon 管理指南》文档。

启用 Windows SSO 当“身份验证方法”设置为 RADIUS，并且 RADIUS 密码与 Windows 域密码相同

时，可以启用此设置。将否更改为是可使用 Windows 域登录凭据的 RADIUS 用户

名和密码，而不必再次提示用户输入用户名和密码。

如果在多域环境中设置了 Horizon，并且提供的用户名不包含域名，则不会将域发

送到 CS。

如果配置了 NameID 后，并且提供的用户名不包含域名，则会将所配置的

NameID 后值附加到用户名上。例如，如果用户提供了 jdoe 作为用户名，并且

NameIDSuffix 设置为 @north.int，则发送的用户名将为 [email protected]。

如果配置了 NameID 后，并且提供的用户名为 UPN 格式，则将忽略 NameID 后。例如，如果用户提供了 [email protected]，并且 NameIDSuffix 为

@south.int，则用户名将为 [email protected]

如果提供的用户名格式为 <DomainName\username>（例如 NORTH\jdoe），则

Unified Access Gateway 会将用户名和域名分别发送到 CS。

RADIUS 类属性当“身份验证方法”设置为 RADIUS 时，会启用此设置。单击“+”可为类属性添

加值。输入要用于用户身份验证的类属性的名称。单击“-”可移除类属性。

注如果将此字段留空，则不会执行其他授权。

免责声明文本要在配置了身份验证方法的情况下显示给用户并要求用户接受的 Horizon 免责声明

消息。


VMware, Inc. 81

https://docs.vmware.com/

选项说明

智能卡提示将“否”更改为是可为证书身份验证启用密码提示。

运行状况检查 URI 路径 Unified Access Gateway 为监控运行状况而连接的连接服务器的 URI 路径。

Blast 外部 URL Horizon Client 与该 Unified Access Gateway 设备建立 Horizon Blast 或 BEAT 会话时使用的 URL。例如，https://uag1.myco.com 或 https://uag1.myco.com:443。

如果未指定 TCP 端口号，则默认 TCP 端口为 8443。如果未指定 UDP 端口号，则

默认 UDP 端口也是 8443。

启用 UDP 服务器带宽较低时，可通过 UDP 隧道服务器建立连接。

Blast 代理证书 Blast 的代理证书。单击选择可上载 PEM 格式的证书并将其添加到 BLAST 信任存

储中。单击更改可替换现有证书。

如果用户手动将 Unified Access Gateway 的相同证书上载到负载均衡器，并且

Unified Access Gateway 和 Blast 网关需要使用不同的证书，则建立 Blast 桌面会

话会失败，因为客户端与 Unified Access Gateway 之间的指纹不匹配。可为

Unified Access Gateway 或 Blast 网关输入自定义指纹，这样通过中继用于建立

客户端会话的指纹即可解决该问题。

启用隧道如果使用了 Horizon 安全隧道，请将“否”更改为是。客户端使用外部 URL 以通过

Horizon 安全网关建立隧道连接。隧道用于传输 RDP、USB 和多媒体重定向

(Multimedia Redirection, MMR) 流量。

隧道外部 URL Horizon Client 与该 Unified Access Gateway 设备建立 Horizon 隧道会话时使用

的 URL。例如，https://uag1.myco.com 或 https://uag1.myco.com:443。

如果未指定 TCP 端口号，则默认 TCP 端口为 443。

隧道代理证书 Horizon 隧道的代理证书。单击选择可上载 PEM 格式的证书并将其添加到隧道信任

存储中。单击更改可替换现有证书。

如果用户手动将 Unified Access Gateway 的相同证书上载到负载均衡器，并且

Unified Access Gateway 和 Horizon 隧道需要使用不同的证书，则建立隧道会话

会失败，因为客户端与 Unified Access Gateway 之间的指纹不匹配。可为

Unified Access Gateway 或 Horizon 隧道输入自定义指纹，这样通过中继用于建

立客户端会话的指纹即可解决该问题。

端点合规性检查提供程序选择端点合规性检查提供程序。

默认设置为 OPSWAT。

代理模式输入可匹配与 Horizon Server URL (proxyDestinationUrl) 相关的 URI 的正则表达

式。其默认值为 (/|/view-client(.*)|/portal(.*)|/appblast(.*))。

注该模式还可用于排除某些 URL。例如，如果要允许所有 URL 都通过但会阻止 /admin，则可以使用以下表达式。^/(?!admin(.*))(.*)

SAML SP 输入 Horizon XMLAPI 代理的 SAML 服务提供程序名称。该名称必须与配置的服务

提供程序元数据的名称相匹配，或者是特殊值 DEMO。

移除证书时注销注当选择任何智能卡身份验证方法作为身份验证方法时，此选项可用。

如果将此选项设置为 YES 并移除智能卡，则会强制终用户从 Unified Access Gateway 会话中注销。


VMware, Inc. 82

选项说明

RADIUS 用户名标签在 Horizon Client 中输入用于自定义用户名标签的文本。例如，Domain Username

必须启用 RADIUS 身份验证方法。要启用 RADIUS，请参阅配置 RADIUS 身份验

证。

默认标签名称为 Username。

标签名称的大长度为 20 个字符。

RADIUS 通行码标签输入名称以在 Horizon Client 中自定义通行码标签。例如，Password

必须启用 RADIUS 身份验证方法。要启用 RADIUS，请参阅配置 RADIUS 身份验

证。

默认标签名称为 Passcode。

标签名称的大长度为 20 个字符。

匹配 Windows 用户名将否更改为是以与 RSA SecurID 和 Windows 用户名相匹配。如果设置为是，请将

securID-auth 设置为 true 并强制实施 securID 和 Windows 用户名匹配。

如果在多域环境中设置了 Horizon，并且提供的用户名不包含域名，则不会将域发

送到 CS。

如果配置了 NameID 后，并且提供的用户名不包含域名，则会将所配置的

NameID 后值附加到用户名上。例如，如果用户提供了 jdoe 作为用户名，并且

NameIDSuffix 设置为 @north.int，则发送的用户名将为 [email protected]。

如果配置了 NameID 后，并且提供的用户名为 UPN 格式，则将忽略 NameID 后。例如，如果用户提供了 [email protected]，并且 NameIDSuffix 为

@south.int，则用户名将为 [email protected]

如果提供的用户名格式为 <DomainName\username>（例如 NORTH\jdoe），则

Unified Access Gateway 会将用户名和域名分别发送到 CS。

注在 Horizon 7 中，如果启用在客户端用户界面中隐藏服务器信息和在客户端用

户界面中隐藏域列表设置，并为连接服务器实例选择双因素身份验证（RSA SecurID 或 RADIUS），请不要强制实施 Windows 用户名匹配。实施 Windows 用户名匹配将禁止用户在用户名文本框中输入域信息，登录将始终失败。有关更多

信息，请参阅《Horizon 7 管理指南》文档中关于双因素身份验证的主题。

网关位置发出连接请求的位置。网关位置是由安全服务器和 Unified Access Gateway 设置

的。位置可以是 External 或 Internal。

重要事项如果选择了以下任意身份验证方法，必须将位置设置为 Internal：SAML

and Unauthenticated、SecurID and Unauthenticated 或 RADIUS and Unauthenticated。

JWT 设置注对于 Workspace ONE Access JWT SAML 项目验证，请确保在高级设置的

JWT 设置部分中配置名称字段。

选择一个已配置的 JWT 设置的名称。

JWT 受众可选的 JWT 预期收件人列表，用于 Workspace ONE Access Horizon SAML 项目验证。

要使 JWT 验证成功，此列表中必须至少有一个收件人与 Workspace ONE Access Horizon 配置中指定的某个受众匹配。如果未指定任何 JWT 受众，则 JWT 验证不

会考虑受众。

受信任的证书将受信任的证书添加到该 Edge 服务中。单击“+”可选择 PEM 格式的证书并将其

添加到信任存储中。单击“-”可从信任存储中移除证书。默认情况下，别名是 PEM 证书的文件名。可以编辑别名文本框以提供不同的名称。


VMware, Inc. 83

选项说明

响应安全标头单击“+”可添加标头。输入安全标头的名称。输入值。单击“-”可移除标头。编

辑现有安全标头可更新标头的名称和值。

重要事项只有在单击保存后，才会保存标头的名称和值。默认情况下会显示一些标

准安全标头。仅当来自所配置的后端服务器的响应中未提供所配置的标头时，才会

将相应标头添加到对客户端的 Unified Access Gateway 响应中。

注修改安全响应标头时应小心谨慎。修改这些参数可能会影响 Unified Access Gateway 的安全功能。

主机重定向映射有关 UAG 如何支持 HTTP 主机重定向功能以及使用此功能所需的某些注意事项的

信息，请参阅 Unified Access Gateway 的 HTTP 主机重定向支持。

n 源主机

输入源（负载均衡器）的主机名。

n 重定向主机

输入需要维护其与 Horizon Client 关联性的 UAG (Unified Access Gateway) 设备的主机名。

主机条目输入要添加到 /etc/hosts 文件中的详细信息。每个条目均应按顺序包含一个 IP、

一个主机名和一个可选主机名别名，并且以空格分隔。例如，

10.192.168.1 example1.com, 10.192.168.2 example2.com example-

alias。单击“+”号可添加多个主机条目。

重要事项只有在您单击保存后，才会保存主机条目。

SAML 受众确保选择 SAML 或 SAML 和直通身份验证方法。

输入受众 URL。

注如果将此文本框留空，受众将不受限制。

要了解 UAG 支持 SAML 受众的方式，请参阅 SAML 受众。

SAML 未验证用户名属性输入自定义属性名称

注仅当身份验证方法的值为 SAML and Unauthenticated 时，此字段才可用。

在 UAG 验证 SAML 断言时，如果断言中存在此字段中指定的属性名称，则 UAG 会向为身份提供程序中的属性配置的用户名提供未验证访问。

有关 SAML and Unauthenticated 方法的详细信息，请参阅 Unified Access Gateway 和第三方身份提供程序集成的身份验证方法。

默认未验证用户名输入必须用于未验证访问的默认用户名

如果选择了以下任一身份验证方法，则可在管理 UI 中使用此字段：SAML and

Unauthenticated、SecurID and Unauthenticated 以及 RADIUS and Unauthenticated。

注对于 SAML and Unauthenticated 身份验证方法，仅当 SAML 未验证用户名属性

字段为空或 SAML 断言中缺少此字段中指定的属性名称时，才会使用用于未验证访

问的默认用户名。

禁用 HTML Access 如果设置为“是”，将禁止对 Horizon 进行 Web 访问。有关详细信息，请参阅为

Horizon 配置端点合规性检查提供程序设置。

7 单击保存。


VMware, Inc. 84

在 Horizon Console 中监控 Unified Access Gateway

将 Unified Access Gateway 与 Horizon 管理控制台集成后，可在 Horizon 管理 UI 中查看有关状态、统

计数据和会话的信息。您可以监控 Unified Access Gateway 的系统运行状况。

Horizon 管理控制台中新增的网关选项卡提供了注册和取消注册 Unified Access Gateway 的功能。

图 4-4. 仪表板

仪表板屏幕显示已注册 Unified Access Gateway（3.4 或更高版本）、vSphere 组件、域、桌面以及数

据存储使用情况的详细信息。

Unified Access Gateway 的 HTTP 主机重定向支持

可以使用 HTTP 主机重定向功能简化某些多 VIP 环境中的 Horizon 负载均衡关联性要求。要使用 HTTP 主机重定向功能，UAG 管理员必须在 Horizon 设置中配置主机重定向映射文本框。

当 HTTP 请求使用某个负载均衡器的主机名到达 UAG 时，UAG 将通过 HTTP 307 重定向进行响应，并

将该负载均衡器的主机名替换为 UAG 自己配置的主机名。对于后续请求，Horizon Client 将直接与 UAG 重新连接。这可确保后续请求不会通过负载均衡器进行路由。重定向功能避免了负载均衡器上的关联性控

制问题，否则，请求可能会被路由到错误的 UAG。

例如，考虑一下具有一个负载均衡器和两个 UAG 设备（UAG1 和 UAG2）的环境。如果请求使用负载均

衡器主机名 load-balancer.example.com 到达 UAG1，则 UAG1 会使用 HTTP 307 重定向进行响应，并将该

负载均衡器的主机名替换为 UAG 自己配置的主机名 uag1.example.com。对于后续请求，Horizon Client 将直接与 UAG1 重新连接。


VMware, Inc. 85

使用 HTTP 主机重定向时的注意事项

使用 HTTP 主机重定向功能时，您需要了解以下注意事项：

n 需要 N + 1 个虚拟 IP 地址，其中

N - 环境中部署的 UAG 设备数量

1 - 负载均衡器的 VIP

n 无法使用第 7 层上运行的负载均衡器。

要配置 Horizon 中的设置，请参见配置 Horizon 设置

SAML 受众

SAML 受众是 UAG (Unified Access Gateway) 支持的面向 Edge 服务（例如，Horizon 和 Web 反向代

理）的功能。通过使用“SAML 受众”功能，UAG 管理员可以限制访问 Horizon Client 和后端应用程序

的受众。

在 Horizon Edge 服务中，SAML 和直通身份验证方法都支持 SAML 受众。在“Web 反向代理”Edge 服务中，仅当启用“身份桥接”时，SAML 身份验证方法才支持 SAML 受众。

如果为 SAML 受众配置了值，那么 UAG 会根据 SAML 断言中收到的受众来验证该值列表。如果存在至少

一项匹配，那么就会接受 SAML 断言。如果没有匹配项，UAG 将拒绝 SAML 断言。如果未配置 SAML 受众，那么 UAG 不会验证 SAML 断言中的受众。

要限制 Horizon Edge 服务的受众，请参阅配置 Horizon 设置。要限制“Web 反向代理”Edge 服务的受

众，请参阅配置用于身份桥接（SAML 到 Kerberos）的 Web 反向代理。

Blast TCP 和 UDP 外部 URL 配置选项

Blast 安全网关包含 Blast 极高自适应传输 (BEAT) 网络连接，可进行动态调整以适应网络条件，例如不断

变化的网速和数据包丢失。在 Unified Access Gateway 中，您可以配置由 BEAT 协议使用的端口。

Blast 使用标准端口 TCP 8443 和 UDP 8443。UDP 443 还可用于通过 UDP 隧道服务器访问桌面。端口

配置通过 Blast 外部 URL 属性进行设置。

表 4-1. BEAT 端口选项

Blast 外部 URL 由客户端使用的 TCP 端口由客户端使用的 UDP 端口说明

https://ap1.myco.com 8443 8443 这是默认格式，需要在防火墙上打开

TCP 8443 和 UDP 8443（可选），以

允许从 Internet 连接到 Unified Access Gateway。

https://ap1.myco.com:443 443 8443 在需要打开 TCP 443 或 UDP 8443 时使用此格式。

https://ap1.myco.com:xxxx xxxx 8443

https://ap1.myco.com:xxxx/?UDPPort=yyyy

xxxx yyyy


VMware, Inc. 86

要配置非默认端口，必须在部署时为相应的协议添加内部 IP 转发规则。转发规则可以在 OVF 模板内的部

署中指定，或者通过经由 PowerShell 命令输入的 INI 文件指定。

Horizon 端点合规性检查

UAG (Unified Access Gateway) 上的端点合规性检查功能为访问 Horizon 桌面以及 UAG 上提供的其他

用户身份验证服务提供了一层额外的安全保护。

您可以使用端点合规性检查功能来确保符合各种策略要求，例如，端点上的防病毒策略或加密策略。当用

户尝试从列出的授权中启动远程桌面或应用程序时，将检查端点合规性。

端点合规性策略是在运行于云中或内部部署中的服务上定义的。对于 OPSWAT，端点合规性检查由

Horizon Client 上的 OPSWAT MetaAccess persistent agent 或 OPSWAT MetaAccess on-demand agent 执行。OPSWAT 代理将合规性状态传递给运行于云中或内部部署中的 OPSWAT 实例。

端点合规性检查是高级设置，可在端点合规性检查提供程序设置页面上进行配置。在此页面上，您可以配

置合规性检查提供程序信息、合规性检查时间间隔、状态代码等。

端点合规性检查提供程序设置页面还包含一些设置，这些设置提供了配置 Unified Access Gateway 以托

管 on-demand agent 的选项。此配置允许 Horizon Client 在必要时从 Unified Access Gateway 下载

on-demand agent。

为 Horizon 配置端点合规性检查提供程序设置

对于 Horizon Edge 服务，您可以在 Unified Access Gateway 管理 UI 中配置端点合规性检查提供程序

设置。

如果在 Horizon 设置页面中配置了端点合规性检查提供程序设置，则 Unified Access Gateway 将使用合

规性检查提供程序执行 Horizon Client 端点设备检查。执行此项检查确保拒绝具有不合规端点的用户访问

Horizon 桌面和应用程序。

前提条件

Unified Access Gateway 中当前支持的端点合规性检查提供程序是 OPSWAT。对于此提供程序，您必须

先执行以下任务，然后才能在 Unified Access Gateway 管理 UI 中配置设置：

1 注册一个 OPSWAT 帐户，然后在 OPSWAT 站点上注册您的应用程序。请参阅 https://go.opswat.com/communityRegistration。

2 记下客户端密钥和客户端密码密钥。您在 Unified Access Gateway 中配置 OPSWAT 时需要使用这

两个密钥。

3 登录到 OPSWAT 站点并为您的端点配置合规策略。

请参阅相关 OPSWAT 文档。

步骤

1 登录到管理 UI，并转到高级设置 > 端点合规性检查提供程序设置。

2 单击添加。

已填充端点合规性检查提供程序和主机名文本框。


VMware, Inc. 87

https://go.opswat.com/communityRegistration

https://go.opswat.com/communityRegistration

3 输入客户端密钥和客户端密码。

4 在合规性检查时间间隔 (分钟) 中输入所需的值。

n 有效的值（以分钟为单位）- 5 到 1440

n 默认值 - 0

0 表示禁用合规性检查时间间隔 (分钟)。

有关定期合规性检查和合规性检查时间间隔 (分钟) 的更多信息，请参阅定期端点合规性检查的时间间

隔。

5 在合规性快速检查时间间隔 (分钟) 中输入所需的值。

重要事项要配置合规性快速检查时间间隔 (分钟)，请确保配置了合规性检查时间间隔 (分钟)，并且其

值不为 0。

n 有效的值（以分钟为单位）- 1 到 1440

n 默认值 - 0

0 表示禁用合规性快速检查时间间隔 (分钟)。

有关定期合规性检查和合规性快速检查时间间隔 (分钟) 的更多信息，请参阅定期端点合规性检查的时

间间隔。

6 要更改状态的默认值并允许启动端点，请单击显示允许的状态码。

支持以下状态代码：In compliance、Not in compliance、Out of license usage、Assessment

pending、Endpoint unknown 和 Others。

7 对于所需的状态码，请单击以从 DENY 切换为 ALLOW。

状态码 In Compliance 的默认值为 ALLOW。仅允许启动合规的端点。

所有其他状态码的默认值均为 DENY。

8 要将适用于 Windows 和 macOS 平台的 OPSWAT MetaAccess on-demand agent 可执行文件上

载到 Unified Access Gateway，请单击显示 OPSWAT 按需代理设置并配置所需的设置。

请参阅在 Unified Access Gateway 上上载 OPSWAT MetaAccess on-demand agent 软件。

9 单击保存。

后续步骤

1 导航到 Horizon 设置，找到端点合规性检查提供程序文本框，并从下拉菜单中选择 OPSWAT。

2 单击保存。

在 Unified Access Gateway 上上载 OPSWAT MetaAccess on-demand agent 软件

管理员可以在 Unified Access Gateway 上上载 on-demand agent 可执行文件。这为 Horizon Client 提供了在用户成功通过身份验证后，自动下载并运行 on-demand agent 的选项。

要了解有关 on-demand agent 的信息，请参阅关于 OPSWAT MetaAccess on-demand agent。


VMware, Inc. 88

前提条件

在相关 OPSWAT 网站上找到 on-demand agent 可执行文件，然后将该文件下载到您的系统。

另外，您也可以将可执行文件放置在文件服务器中，并在管理 UI 上配置设置时，指定相应的文件服务器位

置 URL。借助此 URL 引用，Unified Access Gateway 可以从配置的 URL 下载文件。

重要事项为使 Unified Access Gateway 成功下载文件，文件服务器具有 Content-Disposition 标头且

其中包含作为 HTTP 响应中值的按需代理文件名。


VMware, Inc. 89

步骤

u 对于 Windows 平台，请执行如下所述的步骤。

a 选择文件上载类型。

n 如果不想上载任何文件，请选择 None。

n None 为默认值。

b 根据所选的文件上载类型，输入用于在 Unified Access Gateway 上上载 on-demand agent 的所需信息。

选项步骤

本地 1 找到并选择从 OPSWAT 下载的 on-demand agent 可执行文件。

2 输入 on-demand agent 的以下附加信息：名称和参数。

URL 引用 1 在代理文件 URL 中，输入 Unified Access Gateway 可从中下载 on-demand agent 可执行文件的文件服务器位置的 URL。

2 输入代理的以下附加信息：名称、参数、代理 URL 指纹、受信任的证书以

及代理文件刷新时间间隔 (秒)

以下信息可帮助您了解为将 on-demand agent 上载到 Unified Access Gateway 而提供的设

置：

名称

on-demand agent 可执行文件的名称。

参数

Horizon Client 用于在端点上运行 on-demand agent 的命令行参数。

有关可在参数文本框中使用的命令行参数，请参阅相关的 OPSWAT 文档。

代理 URL 指纹

输入代理 URL 指纹的列表。如果未提供指纹列表，请确保受信任的 CA 颁发了服务器证书。输入十六

进制指纹数字。例如，sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3。

受信任的证书

如果代理 URL 服务器证书不是由受信任的公共 CA 颁发，则可以在与用于下载 OPSWAT 代理的代理

URL 通信时，指定 Unified Access Gateway 信任的证书（采用 PEM 格式）。这是“代理 URL 指纹”的替代方案。

单击 + 可选择 PEM 格式的证书并将其添加到信任存储中。单击 - 可从信任存储中移除证书。默认情况

下，别名是 PEM 证书的文件名。要提供其他名称，请编辑别名文本框。

代理文件刷新时间间隔 (秒)

从 URL（在代理文件 URL 文本框中指定）中提取 on-demand agent 可执行文件的周期性时间间隔

（以秒为单位）。

c 单击保存。


VMware, Inc. 90

u 对于 macOS 平台，请执行如下所述的步骤。

a 选择文件上载类型。

如果不想上载任何文件，请选择 None。

b 根据所选的文件上载类型，输入用于在 Unified Access Gateway 上上载 on-demand agent 的所需信息。

选项步骤

本地 1 选择从 OPSWAT 下载的 on-demand agent 可执行文件。

2 输入 on-demand agent 的以下附加信息：名称和参数。

3 在可执行文件的路径文本框中，输入 on-demand agent 可执行文件的位

置。

URL 引用 1 在代理文件 URL 中，输入 Unified Access Gateway 可从中下载 on-demand agent 的文件服务器位置的 URL。

2 输入代理的以下附加信息：名称、参数、代理 URL 指纹、受信任的证书以

及代理文件刷新时间间隔 (秒)

3 在可执行文件的路径文本框中，输入 on-demand agent 可执行文件的位

置。

以下信息可帮助您了解为将 on-demand agent 上载到 Unified Access Gateway 而提供的设

置：

名称

on-demand agent 可执行文件的名称。

参数

Horizon Client 用于在端点上运行 on-demand agent 的命令行参数。

有关可在参数文本框中使用的命令行参数，请参阅相关的 OPSWAT 文档。

代理 URL 指纹

输入代理 URL 指纹的列表。如果未提供指纹列表，请确保受信任的 CA 颁发了服务器证书。输入十六

进制指纹数字。例如，sha1= C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3。

受信任的证书

如果代理 URL 服务器证书不是由受信任的公共 CA 颁发，则可以在与用于下载 OPSWAT 代理的代理

URL 通信时，指定 Unified Access Gateway 信任的证书（采用 PEM 格式）。这是“代理 URL 指纹”的替代方案。

单击 + 可选择 PEM 格式的证书并将其添加到信任存储中。单击 - 可从信任存储中移除证书。默认情况

下，别名是 PEM 证书的文件名。要提供其他名称，请编辑别名文本框。

代理文件刷新时间间隔


VMware, Inc. 91

从 URL（在代理文件 URL 文本框中指定）中提取 on-demand agent 可执行文件的周期性时间间隔

（以秒为单位）。

可执行文件的路径

on-demand agent 可执行文件的位置。

对于 macOS 端点，on-demand agent 文件被打包为 zip 文件。可执行文件位于 zip 文件中。

Horizon Client 解压该文件，并从此文本框中提到的位置在端点上运行可执行文件。

c 单击保存。

后续步骤

要完成下一组任务，请参阅为 Horizon 配置端点合规性检查提供程序设置。

关于 OPSWAT MetaAccess on-demand agent

OPSWAT MetaAccess on-demand agent 是 OPSWAT 客户端。此代理可用作运行 OPSWAT MetaAccess persistent agent 的替代方法，在端点上安装后，它会在端点上持续运行。因此，on-demand agent 提供了仅在需要时运行代理的选项。

OPSWAT MetaAccess 具有两种类型的客户端：on-demand agent 和 persistent agent。

persistent agent 由用户安装在每个端点上，安装后，其会在端点上持续运行。

对于 on-demand agent，在成功进行用户身份验证后，该代理将自动从 Unified Access Gateway 下载，并由 Horizon Client 运行。

注仅当 Horizon Client 的版本与 Unified Access Gateway 上存在的 on-demand agent 的版本不同

时，才会进行下载。

管理员可以在 Unified Access Gateway 上上载适用于 Windows 和 macOS 的 on-demand agent 可执

行文件。

要将代理上载到 Unified Access Gateway，请参阅在 Unified Access Gateway 上上载 OPSWAT MetaAccess on-demand agent 软件。

有关 persistent agent 和 on-demand agent 的更多信息，请参阅相关的 OPSWAT 文档。

定期端点合规性检查的时间间隔

管理员可以为在经过身份验证的用户会话期间执行的定期端点合规性检查配置时间间隔。定期合规性检查

可确保设备在整个会话期间保持合规。时间间隔可以在端点合规性检查提供程序设置页面上进行配置。

当用户尝试在端点上使用 Horizon Client 启动远程桌面或应用程序会话时，Unified Access Gateway 会对该端点执行合规性检查。如果配置了时间间隔，则会根据配置的时间间隔定期对端点执行合规性检查。

执行初始合规性检查后，在会话期间，端点可能会由于多种原因（如管理员所做的策略更改）而变得不合

规。在某些情况下，端点需要相应的访问权限才能启动会话，即使合规性评估处于挂起状态也是如此。要

确保在整个会话中只有合规的端点访问远程桌面或应用程序，管理员可以配置合规性检查时间间隔：合规

性检查时间间隔 (分钟) 和合规性快速检查时间间隔 (分钟)。


VMware, Inc. 92

如果同时配置了合规性快速检查时间间隔 (分钟)，则 Unified Access Gateway 将首先运行合规性快速检

查时间间隔 (分钟)。端点变为合规后，Unified Access Gateway 将运行合规性检查时间间隔 (分钟)。

在执行定期合规性检查期间，如果发现某个端点不合规，则 Horizon Client 会在该设备上结束用户会话。

合规性检查时间间隔 (分钟)

在此此文本框中，您可以配置 Horizon Client 在会话期间，将合规性检查请求发送到 Unified Access Gateway 的周期性时间间隔。

合规性快速检查时间间隔 (分钟)

在此文本框中，您可以配置一个周期性时间间隔，Horizon Client 会在会话期间按照此时间间隔，将针对

处于 In compliance 以外特定状态的端点执行合规性检查的请求发送到 Unified Access Gateway。状态

为 Device not found、Assessment pending 和 Endpoint unknown，并且必须配置为 ALLOW。

例如，当 on-demand agent 正在评估端点且设备状态为 Assessment pending 或 Endpoint unknown 时，

您可以将时间间隔设置为 1 minute，以便在会话开始时更频繁地执行合规性检查。

重要事项仅当配置了合规性检查时间间隔 (分钟) 的时间间隔且该值不为 0 时，才能配置合规性快速检查

时间间隔 (分钟)。

要配置时间间隔，请参阅为 Horizon 配置端点合规性检查提供程序设置。

作为反向代理部署

Unified Access Gateway 可用作 Web 反向代理，它可以是普通反向代理或 DMZ 中的身份验证反向代

理。

部署方案

通过 Unified Access Gateway，可从远程安全访问内部部署的 Workspace ONE Access。Unified Access Gateway 设备通常部署在网络隔离区 (DMZ) 中。通过使用 Workspace ONE Access，Unified Access Gateway 设备可作为用户的浏览器和数据中心的 Workspace ONE Access 服务之间的 Web 反向代理运行。Unified Access Gateway 还允许远程访问 Workspace ONE 目录以启动 Horizon 应用程

序。

注单个 Unified Access Gateway 实例可以处理多 15000 个同时 TCP 连接。如果预期的负载超过

15000 个，则必须在负载平衡器后面配置多个 Unified Access Gateway 实例。

有关在配置反向代理时使用的设置的信息，请参阅高级 Edge 服务设置。


VMware, Inc. 93

图 4-5. 指向 VMware Identity Manager 的 Unified Access Gateway 设备

WS1 UEM/WS1 Access

MicrosoftActive

Directory

Internet

vCenterManagement

Server

负载平衡器

负载平衡器

WorkspaceONE 客户端

DMZ

Unified AccessGateway

设备

防火墙

防火墙

企业区域

Workspace ONE 客户端

DNS/NTP服务

了解反向代理

Unified Access Gateway 可以访问应用程序门户以允许远程用户单点登录和访问其资源。应用程序门户

是将 Unified Access Gateway 作为反向代理的后端应用程序，例如，Sharepoint、JIRA 或 vIDM。





在启用和配置反向代理时，请注意以下事项：

n 您必须在 Edge 服务管理器上启用反向代理身份验证。目前，支持 RSA SecurID 和 RADIUS 身份验

证方法。

n 在 Web 反向代理上启用身份验证之前，您必须生成身份提供程序元数据（IDP 元数据）。

n Unified Access Gateway 提供从基于浏览器的客户端到 Workspace ONE Access 和 Web 应用程

序的远程访问（进行或不进行身份验证），然后启动 Horizon 桌面。

n 您可以配置多个反向代理实例，并且可以删除每个已配置的实例。


VMware, Inc. 94

n 简单代理模式区分大小写。页面链接和代理模式必须匹配。

图 4-6. 已配置的多个反向代理

使用 Workspace ONE Access 配置反向代理

您可以配置 Web 反向代理服务，以便将 Unified Access Gateway 与 Workspace ONE Access 一起使

用。

前提条件

请注意使用 Workspace ONE Access 进行部署时的以下要求：

n 拆分 DNS。在外部，主机名将解析为 Unified Access Gateway 的 IP 地址。在内部，在 Unified Access Gateway 上，相同的主机名将通过内部 DNS 映射或 Unified Access Gateway 上的主机名

条目解析为实际 Web 服务器。

注如果仅使用 Web 反向代理进行部署，则不需要配置身份桥接。

n Workspace ONE Access 服务必须使用完全限定域名 (Fully Qualified Domain Name, FQDN) 作为

主机名。

n Unified Access Gateway 必须使用内部 DNS。这意味着，代理目标 URL 必须使用 FQDN。

n 如果在 Unified Access Gateway 实例中设置了多个反向代理，则 Web 反向代理实例的代理模式和

代理主机模式组合必须是唯一的。

n 已配置的所有反向代理的主机名将解析为与 Unified Access Gateway 实例 IP 地址相同的 IP 地址。

n 有关高级 Edge 服务设置的信息，请参阅高级 Edge 服务设置。

步骤



3 单击反向代理设置齿轮箱图标。

4 在“反向代理设置”页中，单击添加。

5 在“启用反向代理设置”部分中，将否更改为是以启用反向代理。


VMware, Inc. 95

6 配置以下 Edge 服务设置。

选项说明

标识符将 Edge 服务标识符设置为 Web 反向代理。

实例 ID 唯一名称，用于识别和区分一个 Web 反向代理实例和所有其他 Web 反向代理实

例。

代理目标 URL 输入 Web 应用程序的地址（通常为后端 URL）。例如，对于 Workspace ONE Access，请在客户端计算机上添加 IP 地址、Workspace ONE Access 主机名和外

部 DNS。在管理 UI 中，添加 IP 地址、Workspace ONE Access 主机名和内部

DNS。

代理目标 URL 指纹为 proxyDestination URL 输入可接受的 SSL 服务器证书指纹列表。如果指定了

*，则可以接受任何证书。指纹采用 [alg=]xx:xx 格式，其中 alg 可以是 sha1（默

认值）或 md5。xx 是十六进制数字。“:”分隔符还可以是空格，也可以缺失。指

纹不区分大小写。例如：

sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23

:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db

如果未配置指纹，则必须由受信任的 CA 颁发服务器证书。

代理模式输入转发到目标 URL 的匹配 URI 路径。例如，输入为

(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))。

注在配置多个反向代理时，请在代理主机模式中提供主机名。

7 要配置其他高级设置，请单击更多。

选项说明

身份验证方法默认设置是使用用户名和密码的直通身份验证。将在下拉菜单中列出在 Unified Access Gateway 中配置的身份验证方法。支持 RSA SecurID、RADIUS 和设备证

书身份验证方法。

运行状况检查 URI 路径 Unified Access Gateway 会连接到此 URI 路径以检查您的 Web 应用程序的运行

状况。

SAML SP 将 Unified Access Gateway 配置为 Workspace ONE Access 的经验证反向代理

时是必需的。输入 View XML API 代理的 SAML 服务提供程序名称。该名称必须与

使用 Unified Access Gateway 配置的服务提供程序的名称相匹配，或者是特殊值

DEMO。如果存在多个使用 Unified Access Gateway 配置的服务提供程序，它们的

名称必须是唯一的。

外部 URL 默认值为 Unified Access Gateway 主机 URL 和端口 443。您可以输入其他外部

URL。输入时应采用以下格式：https://<host:port>.


VMware, Inc. 96

注 “身份验证 Cookie”和“不安全模式”属性对身份验证反向代理无效。您必须使用 Auth Methods 属性来定义身份验证方法。

8 单击保存。

后续步骤

要启用身份桥接，请参阅配置身份桥接设置。

使用 VMware Workspace ONE UEM API 配置反向代理

使用 Workspace ONE UEM 的内部部署安装时，API 服务器通常安装在防火墙后面，无需 Internet 接入。要安全地使用 Workspace ONE Intelligence 自动化功能，您可以在 Unified Access Gateway 中配

置 Web 反向代理 Edge 服务以仅允许访问 API 服务，这样便可对设备、用户和其他资源执行操作。

前提条件

n UEM API 服务必须使用完全限定域名 (Fully Qualified Domain Name, FQDN) 作为主机名。

n Unified Access Gateway 必须使用内部 DNS。这意味着，代理目标 URL 必须使用 FQDN。

n 如果在 Unified Access Gateway 实例中设置了多个反向代理，Web 反向代理实例的代理模式和代理

主机模式组合必须是唯一的。

n 已配置的所有反向代理的主机名将解析为与 Unified Access Gateway 实例 IP 地址相同的 IP 地址。

n 有关高级 Edge 服务设置的详细信息，请参阅高级 Edge 服务设置。

步骤




4 在“反向代理设置”页中，单击添加。

5 在“启用反向代理设置”部分中，将否更改为是以启用反向代理。

6 配置以下 Edge 服务设置。

选项说明

标识符将 Edge 服务标识符设置为 Web 反向代理。

实例 ID 唯一名称，用于识别和区分一个 Web 反向代理实例和所有其他 Web 反向代理实

例。

代理目标 URL 输入 Web 应用程序的地址（通常为后端 URL）。例如，对于 Workspace ONE UEM API 服务器，该地址可能是与您的控制台登录不同的 URL/IP 地址。您可以通

过在 UEM 设置页面中的设置 > 系统 > 高级 > API > REST API > REST API URL 下进行检查来验证此情况。


VMware, Inc. 98

选项说明

代理目标 URL 指纹为 proxyDestination URL 输入可接受的 SSL 服务器证书指纹列表。如果指定了

*，则可以接受任何证书。指纹采用 [alg=]xx:xx 格式，其中 alg 可以是 sha1（默

认值）或 md5。xx 是十六进制数字。“:”分隔符还可以是空格，也可以缺失。指

纹不区分大小写。例如：

sha1=B6 77 DC 9C 19 94 2E F1 78 F0 AD 4B EC 85 D1 7A F8 8B DC 34

sha256=ad:5c:f1:48:47:94:7e:80:82:73:13:6c:83:52:be:78:ed:ff:50:23

:56:a8:42:8a:d9:30:fc:3a:33:d6:c6:db


代理模式输入转发到目标 URL 的匹配 URI 路径。对于 Workspace ONE UEM API，请使

用：(/API(.*)|/api(.*)|/Api(.*)|)。

注在配置多个反向代理时，请在代理主机模式中提供主机名。


选项说明





注使用负载均衡器后面的 Unified Access Gateway 时，请在此字段中输入负载

均衡器 URL。










8 单击保存。

后续步骤

要将 Workspace UEM API Connector 配置为与 Workspace ONE Intelligence 结合使用，请参阅

Workspace ONE Intelligence 文档中的自动化入门主题。使用为您的 Unified Access Gateway 配置的

外部 URL，而不是 UEM REST API 内部服务器 URL。


VMware, Inc. 99

内部部署的旧版 Web 应用程序的单点登录访问部署

Unified Access Gateway 身份桥接功能可配置为向使用 Kerberos 约束委派 (Kerberos Constrained Delegation, KCD) 或基于标头身份验证的旧版 Web 应用程序提供单点登录 (Single Sign-On, SSO)。

身份桥接模式下的 Unified Access Gateway 可作为服务提供程序，以将用户身份验证传递给已配置的旧

版应用程序。Workspace ONE Access 可作为身份提供程序并将 SSO 提供给 SAML 应用程序。当用户

访问要求 KCD 或基于标头身份验证的旧版应用程序时，Workspace ONE Access 将对该用户进行身份验

证。含有用户信息的 SAML 断言会被发送至 Unified Access Gateway。Unified Access Gateway 使用

此身份验证以允许用户访问应用程序。






VMware, Inc. 100

图 4-7. Unified Access Gateway 身份桥接模式

发送到 Unified AccessGateway 的 SAML 断言

Workspace ONE通过 SSO 协议连接到 SAML、

移动和云应用程序

UAG

负载平衡器/防火墙


转换为Kerberos

格式

转换为基于标头的格式

KCD应用程序

SAML应用程序

基于标头的应用程序

DMZ

身份桥接部署方案

Unified Access Gateway 身份桥接模式可配置为与云或内部部署环境中的 VMware Workspace® ONE®

结合使用。

结合云中的 Workspace ONE 客户端使用 Unified Access Gateway 身份桥接

身份桥接模式可设置为与云中的 Workspace ONE 结合使用来对用户进行身份验证。当用户请求访问旧版

Web 应用程序时，身份提供程序将应用适用的身份验证和授权策略。


VMware, Inc. 101

在用户得到验证后，身份提供程序会创建一个 SAML 令牌并将其发送给用户。用户将 SAML 令牌传递到

DMZ 中的 Unified Access Gateway。Unified Access Gateway 验证 SAML 令牌并检索令牌中的用户

主体名称。

如果请求需要进行 Kerberos 身份验证，则使用 Kerberos 约束委派来与 Active Directory 服务器协商。

Unified Access Gateway 模拟用户检索 Kerberos 令牌以通过应用程序进行身份验证。

如果请求需要进行基于标头的身份验证，则将用户标头名称发送到 Web 服务器以请求通过应用程序进行

身份验证。

应用程序将响应发回 Unified Access Gateway。然后响应将返回给用户。

图 4-8. 结合云中 Workspace ONE 的 Unified Access Gateway 身份桥接

转换为Kerberos

格式

转换为基于标头的格式

Workspace ONE/基于浏览器的客户端

身份验证和应用程序授权

作为身份提供程序托管的Workspace ONE



KCD应用程序


UAG

结合内部部署的 Workspace ONE 客户端使用身份桥接

当身份桥接模式设置为通过内部部署环境中的 Workspace ONE 对用户进行身份验证时，用户需输入 URL 以通过 Unified Access Gateway 代理访问内部部署的旧版 Web 应用程序。Unified Access Gateway 将请求重定向到身份提供程序以进行身份验证。身份提供程序将身份验证和授权策略应用于请求。在用户

得到验证后，身份提供程序会创建一个 SAML 令牌并将该令牌发送给用户。

用户将 SAML 令牌传递到 Unified Access Gateway。Unified Access Gateway 验证 SAML 令牌并检索

令牌中的用户主体名称。

如果请求需要进行 Kerberos 身份验证，则使用 Kerberos 约束委派来与 Active Directory 服务器协商。

Unified Access Gateway 模拟用户检索 Kerberos 令牌以通过应用程序进行身份验证。

如果请求需要进行基于标头的身份验证，则将用户标头名称发送到 Web 服务器以请求通过应用程序进行

身份验证。


VMware, Inc. 102

应用程序将响应发回 Unified Access Gateway。然后响应将返回给用户。

图 4-9. 内部部署的 Unified Access Gateway 身份桥接

Internet

Workspace ONE/基于浏览器的客户端



KCD应用程序

IDM IDM

DMZ

绿色区域

UAG


使用证书到 Kerberos 的身份桥接

您可以配置身份桥接，以便使用证书验证对内部部署的旧版非 SAML 应用程序进行单点登录 (SSO)。请参

阅配置用于身份桥接（证书到 Kerberos）的 Web 反向代理。

配置身份桥接设置

在后端应用程序中配置了 Kerberos 后，如果要在 Unified Access Gateway 中设置身份桥接，需上载身

份提供程序元数据和 Keytab 文件，并配置 KCD 领域设置。

注此版本的身份桥接支持在不同的域中使用同一种域设置。这意味着，用户和 SPN 帐户可以位于不同的

域中。

在通过基于标头的身份验证启用身份桥接时，不需要 Keytab 设置和 KCD 领域设置。

在为 Kerberos 身份验证配置身份桥接设置之前，请确保以下内容可用。

n 已配置身份提供程序并已保存身份提供程序的 SAML 元数据。SAML 元数据文件已上载至 Unified Access Gateway（仅适用于 SAML 方案）。

n 对于 Kerberos 身份验证，已识别通过待使用的密钥分发中心的领域名称启用了 Kerberos 的服务器。

n 对于 Kerberos 身份验证，请将 Kerberos Keytab 文件上载到 Unified Access Gateway。Keytab 文件包含 Active Directory 服务帐户的凭据，该帐户设置为代表域中给定后端服务的任何用户获取

Kerberos 票证。

n 确保打开了以下端口：

n 端口 443，用于传入 HTTP 请求


VMware, Inc. 103

n TCP/UDP 端口 88，用于与 Active Directory 之间的 Kerberos 通信

n Unified Access Gateway 使用 TCP 与后端应用程序进行通信。后端侦听的相应端口，例如，

TCP 端口 8080。

注 n 不支持在同一个 Unified Access Gateway 实例上为两个不同的反向代理实例配置 SAML 和证书到

Kerberos 的身份桥接。

n 不支持未在同一设备上启用身份桥接的 Web 反向代理实例，不论其是否经过了证书颁发机构的基于证

书的身份验证。

使用 SAML 的基于标头的身份验证

从 IDP 到 SP（在进行身份桥接的情况下，为 Unified Access Gateway）的 SAML 响应包含具有 SAML 属性的 SAML 断言。可在 IDP 中将 SAML 属性配置为指向各种参数，例如用户名和电子邮件等。

在使用 SAML 的基于标头的身份验证中，可以将 SAML 属性的值作为 HTTP 标头发送到后端代理目标。

Unified Access Gateway 中定义的 SAML 属性名称与 IDP 中定义的属性名称相同。例如，如果身份提供

程序具有定义为 Name: userNameValue: idmadmin 的属性，那么，必须将 Unified Access Gateway 中的

SAML 属性名称定义为 "userName"。

与 IDP 中定义的属性不匹配的 SAML 属性会被忽略。Unified Access Gateway 支持多个 SAML 属性和

多值 SAML 属性。下面提供了对于每种情况，预计从身份提供程序获得的 SAML 断言的摘录示例。例如，

1. 对于多个 SAML 属性，预计从 IDP 获得的 SAML 响应

<saml:AttributeStatement>

<saml:Attribute Name="userName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">

<saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://

www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">idmadmin</saml:AttributeValue>

</saml:Attribute>

<saml:Attribute Name="userEmail" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">63ecfabf-a577-46c3-b4fa-caf7ae49a6a3</

saml:AttributeValue>

</saml:Attribute>

</saml:AttributeStatement>

在上述示例中，断言包含两个属性："userName" 和 "userEmail"。如果只为 "userName" 配置了基于标头的

身份验证，且标头名称为 "HTTP_USER_NAME"，那么，将以 "HTTP_USER_NAME: idmadmin" 形式发送标头。

由于未在 Unified Access Gateway 上为 "userEmail" 配置基于标头的身份验证，因此不会将其作为标头

发送。

2. 对于多值 SAML 属性，预计从 IDP 获得的 SAML 响应

<saml:AttributeStatement>

<saml:Attribute Name="group" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Employees</saml:AttributeValue>


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Contractors</saml:AttributeValue>


VMware, Inc. 104


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Executives</saml:AttributeValue>


www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All</saml:AttributeValue>

</saml:Attribute>

</saml:AttributeStatement>

在上述示例中，属性 "group" 包含四个值，即 "All Employees"、"All Contractors"、"All Executives"

和 "All"。如果只为 "group" 配置了基于标头的身份验证，且标头名称为 "HTTP_GROUP"，那么，将以

"HTTP_GROUP: All Employees, All Contractors, All Executives, All" 形式发送标头，并将所有属性值

的逗号分隔列表作为标头值。

配置领域设置

配置域领域名称、领域的密钥分发中心和 KDC 超时。

领域是保存身份验证数据的管理实体的名称。为 Kerberos 身份验证领域选择一个描述性名称很重要。在

Unified Access Gateway 中配置领域（又称为域名）和相应的 KDC 服务。当 UPN 请求抵达特定领域

时，Unified Access Gateway 在内部解析 KDC 以使用提供 Kerberos 服务的票证。

通常的做法是领域名称以大写字母形式输入，和域名保持一致。例如，领域名称为 EXAMPLE.NET。领域

名称由 Kerberos 客户端用于生成 DNS 名称。

从 Unified Access Gateway 版本 3.0 开始，您可以删除以前定义的领域。

重要事项如果要进行跨域设置，需添加所有领域的详细信息，包括主要和辅助领域，或者子域和相关

KDC 的信息。请确保领域之间已启用信任。

前提条件

已识别通过待用密钥分发中心的领域名称启用了 Kerberos 的服务器。

步骤


2 在高级设置 > 身份桥接设置部分中，选择领域设置齿轮图标。

3 单击添加。

4 完成表单填写。

标签说明

领域的名称为领域输入域名。以大写字母输入领域。领域必须匹配在 Active Directory 中设置的域名。

密钥分发中心输入领域的 KDC 服务器。如果要添加多个服务器，则以逗号分隔列表。

KDC 超时 (以秒为单位) 输入等待 KDC 响应的时间。默认为 3 秒。

5 单击保存。

后续步骤

配置 Keytab 设置。


VMware, Inc. 105

上载 Keytab 设置

Keytab 是一个包含 Kerberos 主体和加密密钥对的文件。Keytab 文件为要求单点登录的应用程序而创

建。Unified Access Gateway 身份桥接使用 keytab 文件对应用 Kerberos 的远程系统进行身份验证，

在这一过程中，您无需输入密码。

当用户经过身份验证从身份提供程序进入 Unified Access Gateway 时，Unified Access Gateway 从

Kerberos 域控制器请求 Kerberos 票证来对用户进行身份验证。

Unified Access Gateway 使用 Keytab 文件模拟用户对内部 Active Directory 域进行身份验证。Unified Access Gateway 必须在 Active Directory 域上具有域用户服务帐户。Unified Access Gateway 不会直

接加入域。

注如果管理员为服务帐户重新生成 Keytab 文件，则必须将此 Keytab 文件再次上载到 Unified Access Gateway。

您还可以使用命令行生成 Keytab 文件。例如：

ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp

\kerberos.keytab /mapuser uagkerberos /crypto All

请参阅 Microsoft 文档，了解有关 ktpass 命令的详细信息。

前提条件

您必须具有 Kerberos Keytab 文件的访问权限才能将其上载到 Unified Access Gateway。Keytab 文件

是一个二进制文件。如有可能，请使用 SCP 或其他安全方法在不同计算机之间传输 Keytab。

步骤

1 在“管理设备配置模板”部分中，单击添加。

2 在“身份桥接设置”部分中，单击配置。

3 在“Kerberos KeyTab 设置”页面中，单击添加新的 KeyTab。

4 输入唯一名称作为标识符。

5 （可选）在主体名称文本框中输入 Kerberos 主体名称。

每个主体始终采用领域名称进行完全限定。领域应当采用大写字母。

请确保此处输入的主体名称是在 Keytab 文件中找到的第一个主体的名称。如果上载的 Keytab 文件

中没有此名称，Keytab 上载将失败。

6 在选择 Keytab 文件文本框中，单击选择，然后浏览到您已保存的 Keytab 文件。单击打开。

如果您没有输入主体名称，则使用在 Keytab 中找到的第一个主体。您可以将多个 Keytab 合并为一

个文件。

7 单击保存。


VMware, Inc. 106

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass

配置用于身份桥接（SAML 到 Kerberos）的 Web 反向代理

要配置用于身份桥接（SAML 到 Kerberos）的 Web 反向代理，您必须已将身份提供程序元数据文件保存

到 Unified Access Gateway。

随后，您可以在管理控制台中启用身份桥接，并为服务配置外部主机名。

上载身份提供程序元数据

要配置身份桥接功能，您必须将身份提供程序的 SAML 证书元数据 XML 文件上载到 Unified Access Gateway。

前提条件

SAML 元数据 XML 文件必须已保存到您可访问的计算机上。

如果使用 VMware Workspace ONE Access 作为身份提供程序，请从 Workspace ONE Access 管理

控制台（目录 > 设置 SAML 元数据 > 身份提供程序 (IdP) 元数据链接）下载并保存 SAML 元数据文件。

步骤

1 在管理控制台中，单击手动配置下的选择。

2 在高级设置 > 身份桥接设置部分中，选择上载身份提供程序元数据齿轮图标。

3 在实体 ID 文本框中输入身份提供程序的实体 ID。

如果您没有在“实体 ID”文本框中输入任何值，将会解析元数据文件中的身份提供程序名称，并将其

用作身份提供程序的实体 ID。

4 在 IDP 元数据部分中，单击选择并浏览到您保存的元数据文件。单击打开。

5 单击保存。

后续步骤

对于 KDC 身份验证，请配置领域设置和 Keytab 设置。

对于基于标头的身份验证，当您配置身份桥接功能时，请在“用户标头名称”选项中填写包含用户 ID 的

HTTP 标头名称。

配置用于身份桥接（SAML 到 Kerberos）的 Web 反向代理

启用身份桥接，配置服务的外部主机名，并下载 Unified Access Gateway 服务提供程序元数据文件。

该元数据文件将被上载到 VMware Workspace ONE Access 服务中的 Web 应用程序配置页面。

前提条件

您必须已在 Unified Access Gateway 管理控制台中配置了以下身份桥接设置。您可以在高级设置部分下

找到这些设置。

n 已将身份提供程序元数据上载到 Unified Access Gateway。

n 已配置 Kerberos 主体名称，并且已将 Keytab 文件上载到 Unified Access Gateway。

n 领域名称和密钥分发中心信息。


VMware, Inc. 107

确保打开了 TCP/UDP 端口 88，因为 Unified Access Gateway 使用该端口与 Active Directory 进行

Kerberos 通信。

步骤


2 在常规设置 > Edge 服务设置行中，单击显示。


4 在反向代理设置页面中，单击添加以创建代理设置。

5 将启用反向代理设置设为“是”，并配置以下 Edge 服务设置。

选项说明

标识符 Edge 服务标识符设置为 Web 反向代理。

实例 ID Web 反向代理实例的唯一名称。

代理目标 URL 指定 Web 应用程序的内部 URI。Unified Access Gateway 必须能够解析和访问此

URL。

代理目标 URL 指纹输入与此代理设置匹配的 URI。指纹采用 [alg=]xx:xx 格式，其中 alg 可以是

sha1、default 或 md5。“xx”是十六进制数字。例如，sha=C3 89 A2 19 DC 7A 48 2B 85 1C 81 EC 5E 8F 6A 3C 33 F2 95 C3。


代理模式输入转发到目标 URL 的匹配 URI 路径。例如，输入为

(/|/SAAS(.*)|/hc(.*)|/web(.*)|/catalog-portal(.*))。

注意：配置多个反向代理时，请在代理主机模式中提供主机名。


选项说明



运行状况检查 URI 路径 Unified Access Gateway 会连接到此 URI 路径以检查您的 Web 应用程序的运行

状况。

SAML SP 将 Unified Access Gateway 配置为 Workspace ONE Access 的经验证反向代理

时是必需的。输入 View XML API 代理的 SAML 服务提供程序名称。该名称必须与

使用 Unified Access Gateway 配置的服务提供程序的名称相匹配，或者是特殊值

DEMO。如果存在多个使用 Unified Access Gateway 配置的服务提供程序，它们的

名称必须是唯一的。




VMware, Inc. 108

8 配置以下身份桥接设置。

选项说明

身份验证类型选择“SAML”。

SAML 属性作为请求标头传递的 SAML 属性列表。仅当将启用身份桥接设置为是，并将身份验

证类型设置为 SAML 时，此选项才可见。单击“+”可添加 SAML 属性以作为标头

的一部分。

SAML 受众确保已选择 SAML 身份验证类型。

输入受众 URL。

注如果将此文本框留空，受众将不受限制。

要了解 UAG 支持 SAML 受众的方式，请参阅 SAML 受众。

身份提供程序从下拉菜单中，选择“身份提供程序”。

Keytab 在下拉菜单中，为该反向代理选择已配置的 Keytab。

目标服务主体名称输入 Kerberos 服务主体名称。每个主体始终采用领域名称进行完全限定。例如，

myco_hostname@MYCOMPANY。以大写字母形式键入领域名称。如果您未向文本框中

添加名称，则服务主体名称将派生自代理目标 URL 的主机名。

服务登录页面在断言得到验证后，进入身份提供程序中用户被重定向到的页面。默认设置为 /。

用户标头名称对于基于标头的身份验证，输入包含派生自断言的用户 ID 的 HTTP 标头名称。

9 在“下载 SP 元数据”部分中，单击下载。

保存服务提供程序元数据文件。

10 单击保存。

后续步骤

将 Unified Access Gateway 服务提供程序元数据文件添加到 Workspace ONE Access 服务中的 Web 应用程序配置页面。

将元数据文件添加到 VMware Workspace ONE Access 服务

必须将下载的 Unified Access Gateway 服务提供程序元数据文件上载到 Workspace ONE Access 服务

中的 Web 应用程序配置页面。

所用的 SSL 证书必须与在多个负载平衡的 Unified Access Gateway 服务器间使用的证书相同。

前提条件

您必须已将 Unified Access Gateway 服务提供程序元数据文件保存到计算机。

步骤

1 登录到 Workspace ONE Access 管理控制台。

2 在“目录”选项卡中，单击添加应用程序并选择创建一个新应用程序。

3 在“应用程序详细信息”页面内的“名称”文本框中，输入一个终用户友好名称。


VMware, Inc. 110

4 选择 SAML 2.0 POST 身份验证配置文件。

您还可以添加对此应用程序的描述和显示给 Workspace ONE 门户中终用户的图标。

5 单击下一步并在应用程序配置页面中，向下滚动到配置方式部分。

6 选择元数据 XML 单选按钮，并将 Unified Access Gateway 服务提供程序元数据文本粘贴到元数据

XML 文本框中。

7 （可选）在“属性映射”部分中，将以下属性名称映射到用户配置文件值。“格式”字段值为“基

本”。属性名称必须以小写字母输入。

名称配置的值

upn userPrincipalName

userid Active Directory 用户 ID

8 单击保存。

后续步骤

授权用户和组使用此应用程序。

注 Unified Access Gateway 仅支持单域用户。如果身份提供程序设置了多个域，则只有单域中的用户有

权使用此应用程序。

配置用于身份桥接（证书到 Kerberos）的 Web 反向代理

需先配置 Workspace ONE UEM 控制台以提取并使用 CA 证书，然后再配置 Unified Access Gateway 桥接功能，以便使用证书验证对内部部署的旧版非 SAML 应用程序进行单点登录 (SSO)。

允许 Workspace ONE UEM 控制台提取并使用 CA 证书

您可以在 CA 服务器中添加用户模板，并在 Workspace ONE UEM Console 中配置相应设置，以允许

Workspace ONE UEM 提取并使用 CA 证书。

步骤

1 添加用户模板

要允许 Workspace ONE UEM 提取证书，第一步是在 CA 服务器中添加用户模板。

2 在控制台中添加证书颁发机构

在 Workspace ONE UEM 控制台中添加证书颁发机构 (CA)。

3 添加证书颁发机构请求模板

在 Workspace ONE UEM 控制台中添加了证书颁发机构之后，需添加 CA 请求模板。

4 更新安全策略以使用提取的 CA 证书

在 Workspace ONE UEM 控制台中更新安全策略以使用提取的 CA 证书。


VMware, Inc. 111

添加用户模板要允许 Workspace ONE UEM 提取证书，第一步是在 CA 服务器中添加用户模板。

步骤

1 登录到配置了 CA 的服务器。

2 单击开始，然后键入 mmc.exe。

3 在 MMC 窗口中，转到文件 > 添加/删除管理单元。

4 在添加或删除管理单元窗口中，选择证书模板，然后单击添加。

5 单击确定。

6 在证书模板窗口中，向下滚动并选择用户 > 复制模板。

7 在新模板的属性窗口中，选择常规选项卡，然后为模板显示名称提供一个名称。

模板名称中会自动填充此名称（不含空格）。

8 选择使用者名称选项卡，然后选择在请求中提供。

9 单击应用，然后单击确定。

10 在 MMC 窗口中，转到文件 > 添加/删除管理单元。

11 在添加或删除管理单元窗口中，选择证书颁发机构，然后单击添加。

12 在 MMC 窗口中，选择证书颁发机构 > 证书模板。

13 右键单击证书颁发机构，然后选择新建 > 要颁发的证书模板。

14 选择在第 6 步中创建的模板。

后续步骤

确认您添加的模板显示在列表中。

登录到 Workspace ONE UEM 控制台并添加 CA。

在控制台中添加证书颁发机构在 Workspace ONE UEM 控制台中添加证书颁发机构 (CA)。

前提条件

n 您必须已在 CA 服务器中添加了用户模板。

n 您必须具有 CA 颁发者的名称。可登录到 Active Directory (AD) 服务器并从命令提示符中运行

certutil 命令，以获取 CA 颁发者名称。

n 将 CA 的 Username 指定为 service account 类型。

步骤

1 登录到 Workspace ONE UEM 控制台并选择相应的组织组。

2 转到所有设置，然后从下拉菜单中单击企业集成 > 证书颁发机构。

3 单击证书颁发机构选项卡，然后单击添加。


VMware, Inc. 112

4 输入证书颁发机构的以下信息：

选项说明

名称有效的 CA 名称

颁发机构类型 Microsoft ADCS

协议 ADCS

服务器主机名 AD 服务器的主机名

颁发机构名称 CA 颁发者名称

身份验证服务帐户

用户名具有服务帐户的用户名，格式为 domain\username。

密码该用户名对应的密码

其他选项无

5 单击保存。

添加证书颁发机构请求模板在 Workspace ONE UEM 控制台中添加了证书颁发机构之后，需添加 CA 请求模板。

前提条件

1 您必须已在 CA 服务器中添加了用户模板。

2 您必须已在 Workspace ONE UEM 控制台中添加了 CA。

步骤

1 登录到 Workspace ONE UEM 控制台，转到所有设置，然后从下拉列表中单击企业集成 > 证书颁发

机构。

2 单击请求模板选项卡，然后单击添加。

3 输入模板的以下信息：

选项说明

名称有效的证书模板名称

描述（可选）模板的描述

证书颁发机构先前添加的证书颁发机构

颁发模板在 CA 服务器中创建的用户模板的名称

使用者名称要添加使用者名称，请将光标放置在值字段中（位于默认值“CN=”之后），然后

单击“+”按钮并选择相应的电子邮件地址

私钥长度 2048

私钥类型选择签名

SAN 类型单击添加，然后选择用户主体名称

自动续订证书（可选）


VMware, Inc. 113

选项说明

启用证书吊销（可选）

发布私钥（可选）

4 单击保存。

更新安全策略以使用提取的 CA 证书在 Workspace ONE UEM 控制台中更新安全策略以使用提取的 CA 证书。

前提条件

步骤

1 登录到 Workspace ONE UEM 控制台，转到所有设置，然后从下拉菜单中单击应用程序 > 安全与策

略 > 安全策略。

2 为“当前设置”选择覆盖。

3 启用集成化身份验证。

a 选择使用证书。

b 将凭据来源设置为定义的证书颁发机构。

c 指定先前设置的证书颁发机构和证书模板。

4 将允许的网站设置为 *。

5 单击保存。

配置用于身份桥接（证书到 Kerberos）的 Web 反向代理

可以配置 Unified Access Gateway 桥接功能，以便使用证书验证对内部部署的旧版非 SAML 应用程序进

行单点登录 (SSO)。

前提条件

在开始配置过程之前，请先确保您拥有以下文件和证书：

n 后端应用程序（例如 Sharepoint 或 JIRA）的 Keytab 文件

n 根 CA 证书或包含用户中间证书的整个证书链

n 您必须已在 Workspace ONE UEM 控制台中添加并上载了证书。请参阅允许 Workspace ONE UEM 控制台提取并使用 CA 证书。

请参阅相关产品文档，以便为非 SAML 应用程序生成根证书和用户证书以及 Keytab 文件。

确保打开了 TCP/UDP 端口 88，因为 Unified Access Gateway 使用该端口与 Active Directory 进行

Kerberos 通信。


VMware, Inc. 114

步骤

1 从身份验证设置 > X509 证书中，转到：

a 在根和中间 CA 证书中，单击选择并上载整个证书链。

b 在启用证书吊销处，将设置切换为是。

c 选中启用 OCSP 吊销复选框。

d 在 OCSP URL 文本框中输入 OCSP 响应程序 URL。

Unified Access Gateway 会将 OCSP 请求发送到指定的 URL，并接收一条响应，该响应中包含

指示证书是否已吊销的信息。

e 仅当存在将 OCSP 请求发送到客户端证书中的 OCSP URL 的用例时，才选中使用证书中的 OCSP URL 复选框。如果未启用此设置，将默认使用 OCSP URL 文本框中的值。

2 从高级设置 > 身份桥接设置 > OSCP 设置中，单击添加。

a 单击选择并上载 OCSP 签名证书。

3 选择领域设置齿轮箱图标，并按照配置领域设置中的说明配置领域设置。

4 从常规设置 > Edge 服务设置中，选择反向代理设置齿轮箱图标。

5 将启用身份桥接设置设置为是，并配置以下身份桥接设置，然后单击保存。


VMware, Inc. 115

选项说明

身份验证类型从下拉菜单中选择“证书”。

Keytab 在下拉菜单中，为该反向代理选择已配置的 Keytab。

目标服务主体名称输入 Kerberos 服务主体名称。每个主体始终采用领域名称进行完全限定。例如，

myco_hostname@MYCOMPANY。以大写字母形式键入领域名称。如果您未向文本框中

添加名称，则服务主体名称将派生自代理目标 URL 的主机名。

用户标头名称对于基于标头的身份验证，输入包含派生自断言的用户 ID 的 HTTP 标头名称，或使

用默认名称 AccessPoint-User-ID。

后续步骤

使用 Workspace ONE Web 访问目标网站时，该目标网站会充当反向代理。Unified Access Gateway 会验证所提供的证书。如果证书有效，浏览器将显示后端应用程序的用户界面页。

有关具体的错误消息和故障排除信息，请参阅错误故障排除：身份桥接。

针对 Unified Access Gateway 和第三方身份提供程序集成配置 Horizon

如果您使用的是 SAML 2.0 身份提供程序，则可以直接将身份提供程序与 UAG (Unified Access Gateway) 相集成，以支持 Horizon Client 用户身份验证。要将 SAML 第三方与 UAG 相集成，您必须使

用 Horizon 连接服务器 7.11 或更高版本。

身份验证序列可以是用于 SAML 身份验证和 AD 密码身份验证的 SAML 和直通，也可以在使用 Horizon True SSO 时仅使用 SAML。

在与 SAML 身份提供程序集成时，Unified Access Gateway 支持登录 Unified Access Gateway 的

Horizon Client 用户进行未验证访问。在使用 Unified Access Gateway 进行初始身份验证后，用户无需

进行任何其他身份验证，即可接收已发布应用程序的授权。“SAML 和未验证”方法支持此功能。

支持 UAG 和第三方 SAML 身份提供程序集成的情况下，不使用 Workspace ONE Access 安装。

要将 UAG 与身份提供程序集成，您必须使用服务提供程序 (UAG) 信息配置身份提供程序，将身份提供程

序的元数据文件上载到 UAG，并在 UAG 管理 UI 控制台上配置 Horizon 设置。


VMware, Inc. 116

有关在不提示输入 Active Directory 凭据的情况下对用户进行身份验证以访问 Horizon Client 的信息，请

参阅位于 VMware Docs 的《Horizon 管理指南》中的“在不需要凭据的情况下对用户进行身份验证”及

相关信息。

使用 Unified Access Gateway 信息配置身份提供程序

要将 UAG（服务提供程序）与身份提供程序集成，您必须使用服务提供程序信息（如实体 ID 和断言使用

者端点 URL）配置身份提供程序。在这种情况下，UAG 是服务提供程序。

步骤

1 登录到身份提供程序的管理控制台。

2 要创建 SAML 应用程序，请按照身份提供程序的管理控制台上的相应步骤进行操作。

如果身份提供程序具有加密断言功能，请确保在身份提供程序上所创建应用程序的 SAML 设置中禁用

该功能。

3 通过以下方式之一使用 UAG 信息配置身份提供程序：

选项说明

从 UAG 下载 SAML 服务提供程序元数

据。

要将 SAML 元数据导入身份提供程序，请确保身份提供程序支持导入功能。

a 在 UAG 管理 UI 的手动配置部分中，单击选择。

b 对于 Edge 服务设置，在常规设置部分中，单击显示。

c 单击 Horizon 设置齿轮箱图标。

d 在 Horizon 设置页面上，单击更多。

e 选择身份验证方法。

身份验证方法可以是 SAML、SAML and Passthrough 或 SAML and Unauthenticated。

注如果选择 SAML and Unauthenticated，请确保按照在 Unified Access Gateway 上配置用于 SAML 集成的 Horizon 设置中对此身份验证方法的所述

来配置 Horizon Connection Server 设置。

f 单击下载 SAML 服务提供程序元数据。

g 在下载 SAML 服务提供程序元数据窗口中，输入外部主机名。

h 单击下载。

i 将 .xml 元数据文件保存到您有权访问的计算机上的某个位置。

j 登录到身份提供程序的管理控制台。

k 将下载的元数据文件导入到身份提供程序中。

在身份提供程序的管理控制台上配置以下

SAML 设置。

a 将实体 ID 设置为 https://<uagIP/domain>/portal

b 将断言使用者端点 URL 设置为 https://<uagIP/domain>/portal/samlsso。

有关 Unified Access Gateway 与第三方身份提供程序集成的身份验证方法的详细信息，请参阅

Unified Access Gateway 和第三方身份提供程序集成的身份验证方法。


VMware, Inc. 117


4 （可选）使用用户名配置自定义属性。

在 Unified Access Gateway 管理 UI 中，如果选择 SAML and Unauthenticated 作为身份验证方法，

并且使用此处指定的相同属性名称配置 SAML 未验证用户名属性，那么在对 SAML 断言进行验证后，

Unified Access Gateway 会向为此自定义属性配置的用户名提供未验证访问。

要了解 Unified Access Gateway 如何为此用户名提供未验证访问，请参阅 Unified Access Gateway 和第三方身份提供程序集成的身份验证方法。

后续步骤

将身份提供程序的 SAML 元数据 XML 文件上载到 UAG。

将身份提供程序的 SAML 元数据上载到 Unified Access Gateway

要在 Horizon 中配置 SAML 以及 SAML 和直通身份验证方法，您必须将身份提供程序的 SAML 证书元数

据 XML 文件上载到 UAG (Unified Access Gateway)。上载后，UAG 可以通过使用身份提供程序的公钥

验证断言的签名来信任该身份提供程序。

前提条件

您必须已从身份提供程序下载了 SAML 元数据 XML 文件，并将此文件保存到您可以访问的计算机中。

步骤

1 在 UAG 管理控制台的手动配置部分中，单击选择。

2 在高级设置 > 身份桥接设置部分中，选择上载身份提供程序元数据齿轮图标。

3 在实体 ID 文本框中输入身份提供程序的实体 ID。

如果您没有在“实体 ID”文本框中输入任何值，将会解析元数据文件中的身份提供程序名称，并将其

用作身份提供程序的实体 ID。

4 在 IDP 元数据部分中，单击选择，然后浏览至已保存元数据文件的位置。

5 单击打开。

6 单击保存。

将显示以下消息：已成功保存配置。

后续步骤

在 UAG 上配置 Horizon 设置，以选择身份验证方法并选择所需的身份提供程序。

在 Unified Access Gateway 上配置用于 SAML 集成的 Horizon 设置

您必须选择相关的 SAML 身份验证方法，并在 UAG (Unified Access Gateway) 的 Horizon 设置页面中

选择您的组织支持的 IDP（身份提供程序）。在将 Horizon Client 与 UAG 一起使用时，身份验证方法决

定了用户的登录流程。

有关身份验证方法的信息，请参阅 Unified Access Gateway 和第三方身份提供程序集成的身份验证方法


VMware, Inc. 118

前提条件

n 确保使用的是 Horizon 连接服务器 7.11 或更高版本。

n 您必须已将身份提供程序的元数据上载到 UAG。

请参阅将身份提供程序的 SAML 元数据上载到 Unified Access Gateway。

步骤

1 在 UAG 管理 UI 的手动配置部分中，单击选择。

2 对于 Edge 服务设置，在常规设置部分中，单击显示。

3 单击 Horizon 设置齿轮箱图标。

4 在 Horizon 设置页面上，单击更多以配置以下设置：

选项说明

身份验证方法选择 SAML、SAML and Passthrough 或 SAML and Unauthenticated

注如果在 Horizon 连接服务器上启用了 TrueSSO，则必须仅使用 SAML 身份验

证方法。

重要事项如果选择 SAML and Unauthenticated，请确保将 Horizon Connection Server 中的登录减速级别配置为 Low。访问远程桌面或应用程序时，需要进行此配

置以避免端点登录长时间延迟。

有关如何配置登录减速级别的详细信息，请参阅位于 VMware Docs 的《Horizon 管理指南》文档。

身份提供程序选择必须与 UAG 集成的身份提供程序。

注仅当身份提供程序的元数据上载到 UAG 时，身份提供程序才可供选择。

要配置其他 Horizon 设置，请参阅配置 Horizon 设置。

Unified Access Gateway 和第三方身份提供程序集成的身份验证方法

“SAML”、“SAML 和直通”以及“SAML 和未验证”是受支持的身份验证方法，可用于将 UAG (Unified Access Gateway) 与第三方身份提供程序集成，以控制对 Horizon 桌面和应用程序的访问。身

份验证方法可确定对 Horizon 用户进行身份验证的方式。

在 UAG 中配置 Horizon 设置时，您必须选择一种身份验证方法。

SAML

在 SAML 身份验证方法中，UAG 首先验证 SAML 断言。如果 SAML 断言有效，UAG 会将 SAML 断言传

递到 Horizon Connection Server。要使 Horizon Connection Server 接受断言，必须使用身份提供程序

的元数据配置该连接服务器。用户访问 Horizon Client 时，系统会向用户提供授权，而不会提示用户提供

Active Directory 凭据。

注如果在 Horizon Connection Server 上启用了 TrueSSO 设置，则必须使用 SAML 身份验证方法。


VMware, Inc. 119


SAML 和直通

在“SAML 和直通”身份验证方法中，UAG 会验证 SAML 断言。如果 SAML 断言有效，则在访问

Horizon Client 时，系统会提示用户提供 Active Directory 身份验证凭据。在此身份验证方法中，UAG 不会将 SAML 断言传递到 Horizon Connection Server。

SAML 和未验证

在“SAML 和未验证”方法中，Unified Access Gateway 会将 SAML 用户身份验证与 Horizon 的未验证

访问功能结合使用。如果 SAML 断言有效，则用户可以访问 RDS 托管的应用程序，而无需进行进一步身

份验证。在 Horizon 未验证访问功能中，会将基于角色的用户别名与 Horizon 结合使用以确定应用程序授

权。用户别名可由 Horizon 用作默认别名。此别名还可以在 Unified Access Gateway 配置（默认未验证

用户名）中指定为默认值，或者作为在身份提供程序所发送 SAML 断言中作为声明提供的命名 SAML 属性

的值。

Unified Access Gateway 管理 UI 具有两个可用于指定用户别名的文本框：SAML 未验证用户名属性和默

认未验证用户名。当身份验证方法为“SAML 和未验证”时，这些文本框会显示在管理 UI 上。

在管理 UI 中设置 SAML 未验证用户名属性文本框后，当 Unified Access Gateway 验证 SAML 断言时，

如果 SAML 断言中存在该名称，则 Unified Access Gateway 会使用该值作为 Horizon 的未验证访问用

户别名。

当 SAML 未验证用户名属性文本框为空，或者 SAML 断言中缺少此文本框中指定的属性名称时，Unified Access Gateway 会将在默认未验证用户名文本框中配置的默认用户名用作 Horizon 的未验证访问用户别

名。

如果未使用 SAML 未验证用户名属性，并且默认未验证用户名文本框为空，则 Unified Access Gateway 将使用在 Horizon 中配置的默认用户别名。

有关为未验证访问用户设置配置的详细信息，请参阅位于 VMware 文档的《Horizon 管理指南》中的为已

发布的应用程序提供未验证访问和相关信息。

有关向未验证访问用户提供授权（已发布的应用程序）的详细信息，请参阅位于 VMware 文档的

《Horizon 管理指南》中的授权未验证访问用户访问已发布的应用程序和相关信息。

Unified Access Gateway 上的 Workspace ONE UEM 组件

您可以使用 Unified Access Gateway 设备部署 VMware Tunnel。Unified Access Gateway 支持在

ESXi 或 Microsoft Hyper-V 环境中进行部署。VMware Tunnel 为单个应用程序访问企业资源提供了一种

安全且有效的方法。Content Gateway (CG) 是 Workspace ONE UEM 内容管理解决方案的一个组件，

通过该组件可以安全地访问移动设备上的内部部署存储库内容。

VMware Tunnel 和 Content Gateway 的 DNS 要求

在同一设备上同时启用了 VMware Tunnel 和 Content Gateway 服务，并且还启用了 TLS 端口共享时，

DNS 名称对于每项服务必须是唯一的。如果未启用 TLS，则只有一个 DNS 名称可用于这两项服务，因为

端口将区分入站流量。


VMware, Inc. 120



在 Unified Access Gateway 上部署 VMware Tunnel

使用 Unified Access Gateway 设备部署 VMware Tunnel 为各个应用程序提供了一种安全有效的方法以

访问企业资源。Unified Access Gateway 支持在 ESXi 或 Microsoft Hyper-V 环境中进行部署。

VMware Tunnel 由两个独立的组件构成：隧道代理和每应用隧道。您可以使用单层或多层网络架构模型

部署 VMware Tunnel。

隧道代理和每应用隧道部署模型都可用于 Unified Access Gateway 设备上的多层网络。部署内容包括部

署在 DMZ 中的前端 Unified Access Gateway 服务器，以及部署在内部网络中的后端服务器。

隧道代理组件通过 Workspace ONE UEM 上部署的 Workspace ONE Web 或任何启用 Workspace ONE SDK 的应用程序，保护终用户设备和网站之间的网络流量。该移动应用程序将创建与隧道代理服

务器的安全 HTTPS 连接并保护敏感数据。设备将按照 Workspace ONE UEM 控制台中的配置，使用通

过 SDK 颁发的证书对隧道代理进行身份验证。通常，当存在需要安全访问内部资源的未受管设备时，应使

用此组件。

对于完全注册的设备，每应用隧道组件允许设备直接连接到内部资源，而无需使用 Workspace ONE SDK。此组件使用 iOS、Android、Windows 10 和 macOS 操作系统的本机每应用 VPN 功能。

有关这些平台和 VMware Tunnel 组件功能的更多信息，请参阅 Workspace ONE UEM 文档页面上的

新 Tunnel 文档。

为您的 Workspace ONE UEM 环境部署 VMware Tunnel 的过程包括以下步骤：

1 在 Workspace ONE UEM 控制台中配置 VMware Tunnel 主机名和端口信息。请参阅基于 DMZ 的

Unified Access Gateway 设备的防火墙规则。

2 下载并部署 Unified Access Gateway OVF 模板。

3 手动配置 VMware Tunnel。


VMware, Inc. 121


图 4-10. VMware Tunnel 多层部署：隧道代理和每应用隧道

内部资源：-SharePoint-Wiki-内部网

VMwareAirwatch

VMware Tunnel后端服务器

VMware Tunnel前端服务器

DMZ

内部网络

最终用户设备

80、443

443

443

2010、8443

2020、8443

AirWatch v9.1 和更高版本支持将级联模式作为 VMware Tunnel 的多层部署模型。级联模式要求每个隧

道组件具有一个从 Internet 到前端隧道服务器的专用入站端口。前端和后端服务器都必须能够与

Workspace ONE UEM API 和 AWCM 服务器进行通信。对于每应用隧道组件，VMware Tunnel 级联模

式支持多层架构。

有关 Content Gateway 和隧道代理的负载平衡注意事项，请参阅 Unified Access Gateway 负载平衡拓

扑。

有关 Workspace ONE UEM 指南和发行说明的完整列表，请访问 VMware Workspace ONE UEM 文档

页面。

配置 VMware Tunnel 代理

可使用配置向导来配置 VMware Tunnel 代理。向导中配置的选项都打包在安装程序中，可从

Workspace ONE UEM 控制台下载此安装程序并将其迁移至 Tunnel 服务器。

在 UEM Console 的组与设置 > 所有设置 > 系统 > 企业集成 > VMware Tunnel > 代理中配置 VMware Tunnel 代理。该向导将逐步指导您完成安装程序配置。向导中配置的选项都打包在安装程序中，可从

Workspace ONE UEM 控制台下载此安装程序并将其迁移至 Tunnel 服务器。更改此向导中的详细信息通

常需要重新安装含新配置的 VMware Tunnel。


VMware, Inc. 122


要配置 VMware Tunnel 代理，需要具有计划安装该产品的服务器的详细信息。在配置之前，先确定部署

模型、主机名和端口，以及要实施的 VMware Tunnel 的功能。您可以考虑更改访问日志集成、SSL 卸载、企业证书颁发机构集成等。

注该向导会根据您的选择动态显示相应的选项，配置屏幕可能会显示不同的文本框和选项。

步骤

1 导航到组与设置 > 所有设置 > 系统 > 企业集成 > VMware Tunnel > 代理。

n 如果您是首次配置 VMware Tunnel，请选择配置，然后按照配置向导屏幕进行操作。

n 如果您是首次配置 VMwareTunnel，请选择覆盖，然后选择已启用 VMware Tunnel 切换开关，

接着再选择配置。

注覆盖 VMware Tunnel 代理设置不会覆盖 VMware Tunnel 配置设置。

2 在部署类型屏幕上，选择启用代理（Windows 和 Linux）切换开关，然后使用代理配置类型下拉菜单

选择要配置的组件。

3 在显示的下拉菜单中，选择要配置中继端点部署还是代理配置类型部署。要查看所选类型的示例，请选

择信息图标。

4 选择下一步。

5 在详细信息屏幕上，配置以下设置。详细信息屏幕上显示的选项取决于您在代理配置类型下拉菜单中选

择的配置类型。

u 对于基本代理配置类型，请输入以下信息：

设置说明

主机名输入 Tunnel 服务器的公共主机名的 FQDN，例如，tunnel.acmemdm.com。此主

机名必须公开可用，因为它将作为设备用于在 Internet 之间进行连接的 DNS。

中继端口代理服务安装在此端口上。设备会连接到 <relayhostname>:<port> 以使用

VMware Tunnel 代理功能。默认值为 2020。

中继主机名（仅限中继端点部署）。输入 Tunnel 中继服务器的公共主机名的 FQDN，例如，

tunnel.acmemdm.com。此主机名必须公开可用，因为它将作为设备用于在

Internet 之间进行连接的 DNS。


VMware, Inc. 123

设置说明

启用 SSL 卸载如果要使用 SSL 卸载来减轻来自 VMware Tunnel 服务器的加密和解密流量负担，

请选中此复选框。

使用 Kerberos 代理要允许访问目标后端 Web 服务的 Kerberos 身份验证，请选择 Kerberos 代理支

持。此功能当前不支持 Kerberos 约束委派 (KCD)。有关更多信息，请参阅配置

Kerberos 代理设置。

端点服务器必须与 KDC 位于相同域中，这样 Kerberos 代理才能与 KDC 成功通

信。

u 如果选择中继端点代理配置类型，请输入以下信息：

设置说明

中继主机名（仅限中继端点部署）。输入 Tunnel 中继服务器的公共主机名的 FQDN，例如，

tunnel.acmemdm.com。此主机名必须公开可用，因为它将作为设备用于在

Internet 之间进行连接的 DNS。

端点主机名 Tunnel 端点服务器的内部 DNS。该值是中继服务器在中继端点端口上连接到的主

机名。如果计划在 SSL 卸载服务器上安装 VMware Tunnel，请在主机名中输入该

服务器的名称。

输入主机名时，请勿包含协议，如 http://、https:// 等。

中继端口代理服务安装在此端口上。设备会连接到 <relayhostname>:<port> 以使用

VMware Tunnel 代理功能。默认值为 2020。

端点端口（仅限中继端点部署）。该值是用于在 VMware Tunnel 中继与 VMware Tunnel 端点之间进行通信的端口。默认值为 2010。

如果使用代理和每应用隧道的组合，则中继端点将作为级联模式前端服务器的一部

分进行安装。端口应采用不同的值。

启用 SSL 卸载如果要使用 SSL 卸载来减轻来自 VMware Tunnel 服务器的加密和解密流量负担，

请选中此复选框。

使用 Kerberos 代理要允许访问目标后端 Web 服务的 Kerberos 身份验证，请选择 Kerberos 代理支

持。此功能当前不支持 Kerberos 约束委派 (KCD)。有关更多信息，请参阅配置

Kerberos 代理设置。

端点服务器必须与 KDC 位于相同域中，这样 Kerberos 代理才能与 KDC 成功通

信。

在领域文本框中，输入 KDC 服务器的领域。


7 在 SSL 屏幕上，您可配置公共 SSL 证书，以保护从设备上的已启用应用程序到 VMware Tunnel 的客

户端-服务器通信。默认情况下，此设置使用 AirWatch 证书来保护服务器-客户端通信。

a 如果您希望使用第三方 SSL 证书来加密 Workspace ONE Web 或启用 SDK 的应用程序与

VMware Tunnel 服务器之间的通信，请选择使用公共 SSL 证书选项。

b 选择上载以上载 .PFX 或 .P12 证书文件，并输入密码。此文件必须包含公钥和私钥对。不支持

CER 和 CRT 文件。



VMware, Inc. 124

9 在身份验证屏幕上，配置以下设置以选择设备用于在 VMware Tunnel 中进行身份验证的证书。

默认情况下，所有组件均使用 AirWatch 颁发的证书。要将企业 CA 证书用于客户端-服务器身份验

证，请选择企业 CA 选项。

a 选择默认可使用 AirWatch 颁发的证书。默认的 AirWatch 颁发的客户端证书不会自动续订。要

续订这些证书，请将 VPN 配置文件重新发布到包含即将过期或已过期客户端证书的设备。通过导

航到设备 > 设备详细信息 > 更多 > 证书，可查看设备的证书状态。

b 选择企业 CA 代替 AirWatch 颁发的证书，因为 Workspace ONE Web、启用每应用隧道的应用

程序或启用 SDK 的应用程序与 VMware Tunnel 之间的身份验证要求先在 Workspace ONE UEM 环境中设置证书颁发机构和证书模板，然后再配置 VMware Tunnel。

c 选择用于向 CA 请求证书的证书颁发机构和证书模板。

d 选择上载以将证书颁发机构的完整公钥链上载到配置向导。

CA 模板必须在使用者名称中包含 CN=UDID。受支持的 CA 包括 ADCS、RSA 和 SCEP。

证书会根据您的 CA 模板设置自动续订。

10 单击添加以添加中间证书。


12 在其他屏幕上，可以对代理或每应用隧道组件使用访问日志。启用访问日志切换开关可配置该功能。

如果您打算使用此功能，现在必须在配置过程中对其进行配置，因为稍后只能通过重新配置 Tunnel 并重新运行安装程序来启用该功能。有关这些设置的更多信息，请参阅访问日志和 syslog 集成，以及配

置 VMware Tunnel 的高级设置。

a 在 Syslog 主机名字段中输入 syslog 主机的 URL。此设置在启用“访问日志”后显示。

b 在 UDP 端口字段中输入要用于与 syslog 主机通信的端口。

13 选择下一步，查看配置摘要，确认所有主机名、端口和设置正确无误，然后选择保存。

现在，安装程序已经准备就绪，可在 VMware Tunnel 配置屏幕上进行下载。

14 在配置屏幕上，选择常规选项卡。常规选项卡允许您执行以下操作：

a 您可以选择测试连接以验证连接情况。

b 您可以选择下载配置 XML 以作为 XML 文件检索现有 VMware Tunnel 实例配置。

c 您可以选择下载 Unified Access Gateway 超链接。此按钮会下载非 FIPS OVA 文件。下载的文

件还包括 PowerShell 部署方法对应的 PowerShell 脚本和 .ini 模板文件。您必须从“My Workspace ONE”下载 VHDX 或 FIPS OVA。

d 要使用传统安装程序方法，可选择下载 Windows 安装程序。

此按钮会下载用于部署 VMware Tunnel 服务器的单个 BIN 文件。确认证书密码后，可从

Workspace ONE UEM 控制台下载安装所需的配置 XML 文件。

15 选择保存。


VMware, Inc. 125

单层部署模型

如果使用的是单层部署模型，请使用基本端点模式。VMware Tunnel 的基本端点部署模型是安装在具有

公开可用 DNS 的服务器上的单个产品实例。

基本 VMware Tunnel 通常安装在 DMZ 中负载均衡器后的内部网络中，负载均衡器会将已配置的端口上

的流量转发到 VMware Tunnel，后者随后直接连接到内部 Web 应用程序。所有部署配置都支持负载均衡

和反向代理。

基本端点 Tunnel 服务器与 API 和 AWCM 通信以接收允许访问 VMware Tunnel 的已批准客户端列表。

代理和每应用隧道组件都支持使用出站代理与此部署模型中的 API/AWCM 进行通信。当设备连接到

VMware Tunnel 时，将根据由 Workspace ONE UEM 颁发的唯一 X.509 证书来对其进行身份验证。对

设备进行身份验证后，VMware Tunnel（基本端点）会将请求转发至内部网络。

如果基本端点安装在 DMZ 中，必须进行适当的网络更改才允许 VMware Tunnel 通过所需的端口访问各

种内部资源。通过将此组件安装在 DMZ 中的负载均衡器后，可大程度地减少实施 VMware Tunnel 时所做的网络更改数量，并可提供一个安全层，因为公共 DNS 不会直接指向托管 VMware Tunnel 的服务

器。

最终用户

设备

443

80、443 80、443

8443/2020

VMware AirWatch

内部

网络

DMZ

最终用户

设备

VMware Tunnel 服务器

SaaS 单层模型内部部署单层模型

内部资源：- Share Point - Wiki - Intranet

VMware Tunnel 服务器API/AWCM

443/2001

8443/2020


内部

网络

DMZ

级联模式部署

级联部署模型架构包含两个具有单独角色的 VMware Tunnel 的实例。在级联模式中，前端服务器位于

DMZ 中，并与内部网络中的后端服务器进行通信。

仅每应用隧道组件支持级联部署模型。如果仅使用代理组件，那么必须使用中继端点模型。有关更多信

息，请参阅中继端点部署。


VMware, Inc. 126

设备会使用已配置的主机名通过已配置的端口访问级联模式的前端服务器。用于访问前端服务器的默认端

口为端口 8443。级联模式的后端服务器安装在托管 Intranet 站点和 Web 应用程序的内部网络中。该部

署模型将公开可用的前端服务器与直接连接到内部资源的后端服务器分开，从而提供一个额外的安全层。

对 VMware Tunnel 发出请求时，前端服务器通过连接到 AWCM 来对设备实施身份验证。当设备对

VMware Tunnel 发起请求时，前端服务器会判断设备是否有权访问此服务。在进行身份验证后，将使用

TLS 通过一个端口将请求安全地转发到后端服务器。

后端服务器会连接到设备请求的内部 DNS 或 IP。

级联模式通过 TLS 连接（或可选的 DTLS 连接）进行通信。您可以根据需要托管任意数量的前端服务器和

后端服务器。在搜索可将设备连接到内部网络的活动后端服务器时，每个前端服务器会单独做出判断。您

可以在 DNS 查找表中设置多个 DNS 条目，以允许进行负载均衡。

前端和后端服务器都会与 Workspace ONE UEM API 服务器和 AWCM 进行通信。API 服务器提供

VMware Tunnel 配置，AWCM 提供设备身份验证、设备访问控制列表和流量规则。除非启用出站代理调

用，否则前端和后端服务器会通过直接 TLS 连接与 API/AWCM 通信。如果前端服务器无法访问 API/AWCM 服务器，请使用此连接。如果已启用，前端服务器将通过后端服务器连接到 API/AWCM 服务器。

此流量以及后端流量会使用服务器端流量规则进行路由。有关更多信息，请参阅每应用隧道的网络流量规

则

下图显示了级联模式下每应用隧道组件的多层部署：


VMware, Inc. 127

最终用户

设备

443

80、443 80、443

8443

8443

VMware AirWatch

内部

网络

DMZ

最终用户

设备

VMware Tunnel 前端

服务器

SaaS 多层模型内部部署多层模型

VMware Tunnel 后端

服务器


VMware Tunnel 前端

服务器API/AWCM

443/2001

8443

8443

443/2001VMware Tunnel 后端

服务器


内部

网络

DMZ

中继端点部署

如果您使用的是多层部署模型和 VMware Tunnel 的代理组件，请使用中继端点部署模式。中继端点部署

模式架构包含两个具有单独角色的 VMware Tunnel 的实例。VMware Tunnel 中继服务器位于 DMZ 中，

并且可通过配置的端口从公共 DNS 访问。

如果仅使用每应用隧道组件，请考虑使用级联模式部署。有关更多信息，请参阅级联模式部署。

默认情况下，用于访问公共 DNS 的端口为端口 8443（用于每应用隧道）和端口 2020（用于代理）。

VMware Tunnel 端点服务器安装在托管 Intranet 站点和 Web 应用程序的内部网络中。此服务器必须具

有一个可由中继服务器解析的内部 DNS 记录。该部署模型将公开可用的服务器与直接连接到内部资源的服

务器分开，从而提供一个额外的安全层。

中继服务器角色包括与 API 和 AWCM 组件通信，以及在对 VMware Tunnel 发出请求时对设备进行身份

验证。在此部署模型中，可通过端点服务器将从中继服务器到 API 和 AWCM 的通信路由至出站代理。每

应用隧道服务必须直接与 API 和 AWCM 通信。当设备对 VMware Tunnel 发起请求时，中继服务器会判

断设备是否有权访问此服务。在进行身份验证后，将使用 HTTPS 通过一个端口（默认端口为 2010）将请

求安全地转发到 VMware Tunnel 端点服务器。


VMware, Inc. 128

端点服务器的角色是连接到设备请求的内部 DNS 或 IP。除非在 Workspace ONE UEM Console 的

VMware Tunnel 设置中将通过代理启用 API 和 AWCM 出站调用设为已启用，否则端点服务器不会与

API 或 AWCM 通信。中继服务器会定期执行运行状况检查以确保端点处于活动和可用状态。

这些组件可安装在共享或专用服务器上。在专用 Linux 服务器上安装 VMware Tunnel 可确保性能不受同

一服务器上运行的其他应用程序影响。对于中继端点部署，代理和每应用隧道组件安装在同一个中继服务

器上。

图 4-11. 中继端点部署的内部部署配置

DMZ 内部网络

设备服务/AWCM

AirWatch Tunnel 中继

浏览器（代理）流量

通过您定义的端口发送。

有关更多信息，请参阅“隧道管理指南”中的

“HTTPS 隧道连接”部分。

仅用于 Linux 的隧道：每应用

隧道流量通过 TCP (8443) 发送。

HTTPS 或加密的 HTTP 流量

代理流量（默认端口：2020）

AirWatch MDM 流量 HTTPS (433)

证书流量 HTTPS (433)

设备

注册


通过您选择的端口来传输，

并在 AirWatch 管理控制台中设置。

已创建并

交付到设备的证书

DS 服务器通过 AWCM 将证书交付到

AW Tunnel

所有证书的 AW Tunnel 初始更新

内部资源：网站 - SharePoint - Wiki - Intranet

控制台/API 服务器

AirWatch Tunnel 端点


VMware, Inc. 129

图 4-12. 中继端点部署的 SaaS 配置

DMZ 内部网络

AirWatch Tunnel 中继

AirWatch Cloud


通过您定义的端口发送。

有关更多信息，请参阅“隧道管理指南”中的

“HTTPS 隧道连接”部分。

仅用于 Linux 的隧道：每应用

隧道流量通过 TCP (8443) 发送。

代理流量（默认端口：2020）

AirWatch MDM 流量 HTTPS (433)

证书流量 HTTPS (433)

设备

注册

AW Tunnel 检索

用于身份验证的

证书

最终用户

设备


通过您选择的端口来传输，

并在 AirWatch 管理

控制台中设置。

已创建并

交付到

设备的证书

内部资源：网站 - SharePoint - Wiki - IntranetAirWatch Tunnel

端点

为 Workspace ONE UEM 配置 VMware Tunnel 设置

隧道代理部署通过 Workspace ONE Web 移动应用程序保护终用户设备和网站之间的网络流量。

步骤


2 导航到常规设置 > Edge 服务设置，然后单击显示。

3 单击 VMware Tunnel 设置齿轮箱图标。

4 将“否”更改为是以启用隧道代理。

5 配置以下 Edge 服务设置资源：

选项说明

API 服务器 URL 输入 Workspace ONE UEM API 服务器 URL。例如，输入为 https://example.com:<port>。

API 服务器用户名输入用于登录到 API 服务器的用户名。

API 服务器密码输入用于登录到 API 服务器的密码。


VMware, Inc. 130

选项说明

组织组 ID 输入用户的组织。

Tunnel 服务器主机名输入在 Workspace ONE UEM 控制台中配置的 VMware Tunnel 外部主机名。


选项说明

出站代理主机输入安装了出站代理的主机名。

注这不是隧道代理。

出站代理端口输入出站代理的端口号。

出站代理用户名输入用于登录到出站代理的用户名。

出站代理密码输入用于登录到出站代理的密码。

NTLM 身份验证将“否”更改为是以指定出站代理请求需要使用 NTLM 身份验证。

用于 VMware Tunnel 代理将“否”更改为是以将该代理作为 VMware Tunnel 的出站代理。如果未启用，则

Unified Access Gateway 会将此代理用于初始 API 调用，以便从 Workspace ONE UEM 控制台中获取配置。




alias。可以单击“+”号以添加多个主机条目。


受信任证书选择 PEM 格式的受信任证书文件以添加到信任存储中。默认情况下，别名是 PEM 证书的文件名。可以编辑别名文本框以提供不同的名称。

7 单击保存。

使用 PowerShell 为 Workspace ONE UEM 部署 VMware Tunnel

您可以使用 PowerShell 为 Workspace ONE UEM 部署 VMware Tunnel。

有关使用 PowerShell 部署 VMware Tunnel 的信息，请观看以下视频：

VMware Tunnel PowerShell 部署

(http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell)

关于 TLS 端口共享

每次将多个 Edge 服务配置为使用 TCP 端口 443 时，将在 Unified Access Gateway 上默认启用 TLS 端口共享。支持的 Edge 服务包括 VMware Tunnel（每应用 VPN）、Content Gateway、Secure Email Gateway 和 Web 反向代理。

注如果要共享 TCP 端口 443，请确保每个配置的 Edge 服务具有指向 Unified Access Gateway 的唯一

外部主机名。


VMware, Inc. 131

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_airwatch_tunnel_powershell

Unified Access Gateway 上的 Content Gateway

Content Gateway (CG) 是 Workspace ONE UEM 内容管理解决方案的一个组件，通过该组件可以安全

地访问移动设备上的内部部署存储库内容。

前提条件

您必须先使用 Workspace ONE UEM 控制台配置 Content Gateway 节点，然后才能在 Unified Access Gateway 上配置 Content Gateway。在配置该节点后，请记下自动生成的 Content Gateway 配置

GUID。

注 CG 缩写还用于表示 Content Gateway。

步骤

1 导航到常规设置 > Edge 服务设置 > Content Gateway 设置，然后单击齿轮箱图标。

2 选择是以启用 Content Gateway 设置。

3 配置以下设置

选项说明

标识符指示此服务已启用。

API 服务器 URL Workspace ONE UEM API 服务器 URL [http[s]://]hostname[:port]

目标 URL 中必须包含协议、主机名或 IP 地址以及端口号。例如：https://load-

balancer.example.com:8443

Unified Access Gateway 从 API 服务器中提取 Content Gateway 配置。

API 服务器用户名用于登录到 API 服务器的用户名。

注要求管理员帐户至少具有与 Content Gateway 角色相关联的权限

API 服务器密码用于登录到 API 服务器的密码。

CG 主机名用于配置 Edge 设置的主机名。

CG 配置 GUID Workspace ONE UEM Content Gateway 配置 ID。此 ID 是在 Workspace ONE UEM 控制台上配置 Content Gateway 时自动生成的。该配置 GUID 显示在 UEM Console 上 Content Gateway 页面中的设置 > 内容 > Content Gateway 下面。

出站代理主机安装出站代理的主机。Unified Access Gateway 通过出站代理（如果配置）建立

到 API 服务器的连接。

出站代理端口出站代理的端口。

出站代理用户名用于登录到出站代理的用户名。

出站代理密码用于登录到出站代理的密码。

NTLM 身份验证指定出站代理是否需要 NTLM 身份验证。


VMware, Inc. 132

选项说明

受信任证书将受信任的证书添加到该 Edge 服务中。可以单击“+”以选择 PEM 格式的证书并

添加到信任存储中，或单击“-”以将证书从信任存储中移除。默认情况下，别名是

PEM 证书的文件名。可以编辑别名文本框以提供不同的名称。




alias。可以单击“+”以添加多个主机条目。


注由于 Edge Service Manager 已使用 TCP 端口 80，因此，不允许在 Unified Access Gateway 中的端口 80 上传输 Content Gateway 的 HTTP 流量。

4 单击保存。

Content Gateway 配置

在 Workspace ONE UEM console 中配置 Content Gateway 设置以建立节点并对捆绑到配置文件中的

设置进行预配置，从而无需在服务器上完成安装后手动配置设置。

配置包括选择平台、配置模型、关联的端口以及（如果需要）上载 SSL 证书。

从 Workspace ONE UEM Console 版本 9.6 开始，配置 Content Gateway 节点时建议采用 Unified Access Gateway (UAG) 安装类型。您可以使用该选项在 Unified Access Gateway 上配置新的

Content Gateway，或者将现有 Content Gateway 迁移到 Unified Access Gateway。

有关在 Unified Access Gateway 上配置 Content Gateway 的更多信息，请参阅 UAG 文档中的

“Unified Access Gateway 上的 Workspace ONE UEM 组件”。有关迁移的信息，请参阅“将

Content Gateway 迁移到 Unified Access Gateway”文档。

有关 Content Gateway 的自定义值的信息，请参阅位于 VMware Docs 的 Workspace ONE UEM 文档

中包含的 Content Gateway 文档。

步骤

1 在您选择的“组织组”中导航到组与设置 > 所有设置 > 系统 > 企业集成 > Content Gateway。

2 将启用 Content Gateway 设置为已启用。

您可能需要选择覆盖以解锁 Content Gateway 设置。

3 单击添加。


VMware, Inc. 133

https://docs.vmware.com/cn/VMware-Workspace-ONE-UEM/2001/Content_Gateway/GUID-AWT-CG-INTRO.html

4 完成显示的字段以配置 Content Gateway 实例。

a 配置安装类型。

设置说明

安装类型为 Content Gateway 服务器选择操作系统。

b 配置内容配置设置。

设置说明

配置类型 n 基本 - 无中继组件的端点配置。

n 中继 - 含中继组件的端点配置。

名称请提供一个可在将此 Content Gateway 实例附加到内容存储库、存储库模板或

RFS 节点时，用于选中此实例的唯一名称。

Content Gateway 中继地址如果实施中继配置，请输入用于从 Internet 访问 Content Gateway 中继的

URL。

Content Gateway 中继端口如果实施中继配置，请输入中继服务器端口。

Content Gateway 端点地址输入 Content Gateway 端点的主机名。在已配置的端口上绑定的公共 SSL 证书

必须对此条目有效。

Content Gateway 端点端口输入端点服务器端口。

c 配置内容 SSL 证书设置。

设置说明

公共 SSL 证书（根据 Linux 要求，需

要此证书）

如果需要，请为 Content Gateway 安装程序上载含完整证书链的 PKCS12 (.pfx) 证书文件以绑定到端口。完整的证书链包括密码、服务器证书、中间证

书、根证书和私钥。

注为确保 PFX 文件包含整个证书链，可使用命令行工具（例如，Certutil 或

OpenSSL）运行 certutil -dump myCertificate.pfx 或 openssl pkcs12 -in myCertificate.pfx -nokeys 等命令。这些命令可显示完整的证书信息。

要求因平台和 SSL 配置而有所不同。

忽略 SSL 错误（不推荐）如果使用自签名证书，请考虑启用此功能。如果启用，Content Gateway 会忽

略证书信任错误和证书名称不匹配。

从 Workspace ONE UEM Console 版本 9.7 开始，不再支持 ICAP 代理配置。但可对现有配置进

行编辑。有关配置 ICAP 代理的信息，请参阅 https://support.workspaceone.com/articles/115001675368。

5 选择添加。

6 选择保存。

后续步骤

在配置过程中，为 Content Gateway 指定平台和配置模型。在 UEM Console 中配置设置后，下载安装

程序、配置其他节点或者管理已配置的节点。


VMware, Inc. 134

https://support.air-watch.com/articles/115001675368

https://support.air-watch.com/articles/115001675368

Content Gateway 基本（仅端点）部署模型

VMware Content Gateway 的基本端点部署模型是安装在具有公开可用 DNS 的服务器上的单个产品实

例。

在基本部署模型中，VMware Content Gateway 通常安装在 DMZ 中负载平衡器后的内部网络中，负载

平衡器会将已配置端口上的流量转发到 VMware Content Gateway。随后，VMware Content Gateway 直接连接到您的内部内容存储库。所有部署配置都支持负载平衡和反向代理。

基本端点 Content Gateway 服务器与设备服务进行通信。设备服务会将终用户设备连接到正确的

Content Gateway。

如果基本端点安装在 DMZ 中，必须进行适当的网络更改，VMware Content Gateway 才能通过所需的

端口访问各种内部资源。通过将此组件安装在 DMZ 中的负载平衡器后，可大程度地减少实施 VMware Content Gateway 时所做的网络更改数量。它提供了一个安全层，因为公共 DNS 不会直接指向托管

VMware Content Gateway 的服务器。

Content Gateway 中继端点部署模型

中继端点部署模型架构包含两个具有单独角色的 VMware Content Gateway 的实例。

VMware Content Gateway 中继服务器位于 DMZ 中，并且可通过配置的端口从公共 DNS 访问。

默认情况下，使用端口 443 访问 Content Gateway。VMware Content Gateway 端点服务器安装在托

管内部资源的内部网络中。此服务器必须具有中继服务器可以解析的内部 DNS 记录。该部署模型将公开可

用的服务器与直接连接到内部资源的服务器分开，从而提供一个额外的安全层。

端点服务器的角色是连接到设备请求的内部存储库或内容。中继服务器会定期执行运行状况检查以确保端

点处于活动和可用状态。

这些组件可安装在共享或专用服务器上。为确保在同一服务器上运行的其他应用程序不会影响性能，请在

专用服务器上安装 VMware Content Gateway。


VMware, Inc. 135

Unified Access Gateway 上的 Secure Email Gateway

Secure Email Gateway 是 Workspace ONE UEM 的一个组件，可帮助您保护邮件基础架构和启用移动

电子邮件管理 (Mobile Email Management, MEM) 功能。

前提条件

您必须先使用 Workspace ONE UEM Console 配置 Secure Email Gateway，然后才能在 Unified Access Gateway 上配置 Secure Email Gateway。在配置该节点后，请记下自动生成的 Secure Email Gateway 配置 GUID。有关更多信息，请参阅 Secure Email Gateway 文档。

注 Secure Email Gateway 也会使用缩写 SEG 来表示。

注 n 所有 Unified Endpoint Management (UEM) 版本均支持 Secure Email Gateway。

n Secure Email Gateway 配置为使用 Syslog 配置，并将作为 Unified Access Gateway 系统设置的

一部分进行配置。默认情况下，Secure Email Gateway 中只有 app.log 的内容将作为 Syslog 事件触

发。有关更多信息，请参阅 Unified Access Gateway 系统设置。

步骤

1 导航到常规设置 > Edge 服务设置 > Secure Email Gateway 设置，然后单击齿轮箱图标。

2 选择是可启用 Secure Email Gateway 设置。


VMware, Inc. 136

https://docs.vmware.com/cn/VMware-Workspace-ONE-UEM/1905/WS1-Secure-Email-Gateway/GUID-AWT-INTRO-SEG.html

https://docs.vmware.com/cn/Unified-Access-Gateway/3.7/com.vmware.uag-37-deploy-config.doc/GUID-F71E6283-E24B-49F5-8AC6-D28915CD41AD.html

3 配置以下设置。


API 服务器 URL Workspace ONE UEM API 服务器 URL [http[s]://]hostname[:port]

目标 URL 中必须包含协议、主机名或 IP 地址以及端口号。例如：https://load-

balancer.example.com:8443

Unified Access Gateway 会从 API 服务器中提取 Secure Email Gateway 配置。

API 服务器用户名用于登录到 API 服务器的用户名。

注要求管理员帐户至少具有与 Secure Email Gateway 角色相关联的权限。

API 服务器密码用于登录到 API 服务器的密码。

Secure Email Gateway 服务器主机名用于配置 Edge 设置的主机名。

MEM 配置 GUID Workspace ONE UEM 移动电子邮件管理配置 ID。此 ID 是在 Workspace ONE UEM console Console 上配置移动电子邮件管理时自动生成的。配置 GUID 显示在

UEM Console 的“移动电子邮件管理配置”页面上。

添加 SSL 证书如果在 UEM Console 的“电子邮件设置”下启用了以本地方式上载 SSL 证书的选

项，则切换到“添加 SSL 证书”。

SSL 证书单击“选择”以上载 .PFX 或 .P12 证书文件。

注您还可以在 Workspace ONE UEM Console 中上载 SSL 证书。

在本地上载证书时，将在管理 GUI 上显示证书的指纹。

密码输入 SSL 证书的密码。

出站代理主机安装出站代理的主机。Unified Access Gateway 通过出站代理（如果配置）建立

到 API 服务器的连接。

出站代理端口出站代理的端口。

出站代理用户名用于登录到出站代理的用户名。

出站代理密码用于登录到出站代理的密码。



主机条目输入要添加到 /etc/hosts 文件中的详细信息。每个条目均应按顺序包含一个 IP、一

个主机名和一个可选主机名别名，并且以空格分隔。例如，10.192.168.1 example1.com, 10.192.168.2 example2.com example-alias。可以单击“+”以添

加多个主机条目。

注只有在您单击保存后，才会保存主机条目。

4 单击保存。

在 Unified Access Gateway 上更改 Secure Email Gateway 的日志记录级别

您可以在 Unified Access Gateway 中更改 Secure Email Gateway 的日志记录级别。

前提条件

在 Linux 虚拟机上启用 SSH （如果尚未启用）。


VMware, Inc. 137

步骤

1 使用安全 Shell 连接到 Unified Access Gateway Secure Email Gateway 计算机。

2 使用命令编辑 SEG 的日志配置文件。

vi /opt/vmware/docker/seg/container/config/logback.xml

3 查找要更改日志记录级别的相应记录器。例如，logger name="com.airwatch" groupKey="app.logger"

level="error"

4 将属性 level 的值从 error 更改为任何级别，如 warn,Info、Debug。

5 保存该文件。

结果

日志记录级别更改将反映在日志中。

在 Secure Email Gateway 上启用 EWS 代理

SEG (Secure Email Gateway) 为 ENS (VMware Email Notification Service) 所使用的 EWS (Exchange Web Services) 流量提供授权和合规性。

您也可以通过在 Workspace ONE UEM Console 上配置 Secure Email Gateway 键值对来启用 EWS 代理。要使用键值对，您必须具有所需的 Secure Email Gateway 自定义设置功能（特定的 Windows 和

Unified Access Gateway 版本）。有关更多信息，请参阅 Secure Email Gateway 文档中的《SEG 自定

义网关设置》。

通过从 Workspace ONE UEM Console 中使用键值对，您可以同时为所有 Unified Access Gateway 设备启用 EWS 代理。

步骤

1 使用安全 Shell 连接到 Unified Access Gateway Secure Email Gateway 计算机。

2 使用以下命令编辑属性文件

vi /opt/vmware/docker/seg/container/config/override/application-override.properties

3 在 application-override.properties 文件中添加条目。

enable.boxer.ens.ews.proxy=true

4 保存该文件。

5 再次在 Unified Access Gateway 管理 UI 上保存 SEG 配置。

其他部署用例

您可以在同一设备上使用多个 Edge 服务部署 Unified Access Gateway，例如，使用 Horizon 和 Web 反向代理，以及使用 VMware Tunnel、Content Gateway 和 Web 反向代理来部署 Unified Access Gateway。


VMware, Inc. 138

https://docs.vmware.com/cn/VMware-Workspace-ONE-UEM/services/WS1-Secure-Email-Gateway/GUID-AWT-INTRO-SEG.html

使用多个服务部署 Unified Access Gateway 的注意事项

在同时部署这些 Edge 服务之前，请注意以下重要事项。

n 了解并满足网络连接要求 - 请参阅基于 DMZ 的 Unified Access Gateway 设备的防火墙规则。

n 遵循大小调整准则 - 请参阅使用 OVF 模板向导部署 Unified Access Gateway 主题中的大小调整选项

部分。

n 如果代理模式发生重叠，则 Horizon Connection Server 无法与已启用的 Web 反向代理一起使用。

因此，如果在同一个 Unified Access Gateway 实例上同时为 Horizon 和 Web 反向代理实例配置并

启用了代理模式，请从 Horizon 设置中移除代理模式“/”，并在 Web 反向代理中保留该模式，以防

止发生重叠。在 Web 反向代理实例中保留“/”代理模式可确保在用户单击了 Unified Access Gateway 的 URL 后，系统会显示正确的 Web 反向代理页面。如果仅配置 Horizon 设置，则不需要

进行上述更改。

n 结合使用 VMware Tunnel、Content Gateway、Secure Email Gateway 和 Web 反向代理这些服

务来部署 Unified Access Gateway 时，如果对所有这些服务都使用 443 这个端口，则每个服务都应

拥有唯一的外部主机名。请参阅关于 TLS 端口共享。

n 可以使用管理 UI 单独配置不同的 Edge 服务，还可以根据需要导入任何以前的设置。如果使用

PowerShell 进行部署，INI 文件可使部署直接用于生产。

n 如果在同一 Unified Access Gateway 设备上启用了 Horizon Blast 和 VMware Tunnel，则必须将

VMware Tunnel 配置为使用 443 或 8443 以外的其他端口。如果要为 VMware Tunnel 使用端口

443 或 8443，必须在单独的 Unified Access Gateway 设备上部署 Horizon Blast 服务。


VMware, Inc. 139

使用 TLS/SSL 证书配置 Unified Access Gateway 5您必须为 Unified Access Gateway 设备配置 TLS/SSL 证书。

注为 Unified Access Gateway 设备配置 TLS/SSL 证书仅适用于 Horizon、Horizon Air 和 Web 反向

代理。


n 为 Unified Access Gateway 设备配置 TLS/SSL 证书

为 Unified Access Gateway 设备配置 TLS/SSL 证书

到 Unified Access Gateway 设备的客户端连接需要使用 TLS/SSL。终止 TLS/SSL 连接的面向客户端的

Unified Access Gateway 设备和中间服务器需要使用 TLS/SSL 服务器证书。

TLS/SSL 服务器证书是由证书颁发机构 (Certificate Authority, CA) 签名的。CA 是确保证书及其创建者

身份的受信机构。如果证书是由受信任的 CA 签发，则系统不会向用户显示要求验证证书的消息，且瘦客

户端设备可以在无需额外配置的情况下进行连接。

在部署 Unified Access Gateway 设备时，将生成一个默认 TLS/SSL 服务器证书。对于生产环境，

VMware 建议您尽快更换默认证书。默认证书不是由受信任的 CA 签名的。只应在非生产环境中使用默认

证书。

选择正确的证书类型

您可以将不同类型的 TLS/SSL 证书与 Unified Access Gateway 一起使用。为您的部署选择正确的证书

类型是至关重要的。不同的证书类型具有不同的成本，具体取决于可以使用它们的服务器数。

请使用证书的完全限定域名 (Fully Qualified Domain Name, FQDN) 以遵循 VMware 安全建议，而无论

选择哪种类型。不要使用简单的服务器名称或 IP 地址，即使内部域中的通信也是如此。

单服务器名称证书

您可以为特定服务器生成具有使用者名称的证书。例如：dept.example.com。

如果仅一个 Unified Access Gateway 设备需要证书，这种类型的证书是非常有用的。

在将证书签名请求提交到 CA 时，您可以提供要与证书关联的服务器名称。请确保 Unified Access Gateway 设备可以解析提供的服务器名称，以使其与证书的关联名称相匹配。

VMware, Inc. 140

使用者备用名称

使用者备用名称 (Subject Alternative Name, SAN) 是一个在颁发证书时可添加到证书中的属性。可以使

用该属性将使用者名称 (URL) 添加到证书中，以便它可以验证多个服务器。

例如，可以为负载平衡器后面的 Unified Access Gateway 设备颁发三个证书：ap1.example.com、

ap2.example.com 和 ap3.example.com。通过添加表示负载平衡器主机名的主体备用名称（如此示例中

的 horizon.example.com），该证书将变为有效证书，因为它与客户端指定的主机名相匹配。

在将证书签名请求提交到 CA 后，您可以提供外部接口负载平衡器虚拟 IP 地址 (virtual IP address, VIP) 来作为公用名称和 SAN 名称。请确保 Unified Access Gateway 设备可以解析提供的服务器名称，以使

其与证书的关联名称相匹配。

此证书在端口 443 上使用。

通配证书

可以生成一个通配证书，以便将其用于多个服务。例如，*.example.com。

如果多个服务器需要使用证书，则通配证书是非常有用的。除了 Unified Access Gateway 设备以外，如

果环境中的其他应用程序需要使用 TLS/SSL 证书，您也可以在这些服务器中使用通配证书。不过，如果使

用与其他服务共享的通配证书，则 VMware Horizon 产品的安全性还取决于这些其他服务的安全性。

注您只能在单个域级别使用通配证书。例如，可以将具有使用者名称 *.example.com 的通配证书用于

dept.example.com，但不能用于 dept.it.example.com。

客户端计算机必须信任导入到 Unified Access Gateway 设备的证书，并且这些证书还必须适用于所有

Unified Access Gateway 实例和任何负载平衡器（通过使用通配证书或使用者备用名称 (Subject Alternative Name, SAN) 证书）。

将证书文件转换为单行 PEM 格式

要使用 Unified Access Gateway REST API 配置证书设置，或使用 PowerShell 脚本，您必须将证书转

换为用于证书链和私钥的 PEM 格式文件，然后将 .pem 文件转换为包含嵌入的换行符的单行格式。

在配置 Unified Access Gateway 时，可能需要转换三种类型的证书。

n 应始终为 Unified Access Gateway 设备安装和配置 TLS/SSL 服务器证书。

n 如果打算使用智能卡身份验证，您必须为放在智能卡中的证书安装和配置可信 CA 颁发者证书。

n 如果打算使用智能卡身份验证，VMware 建议您为 Unified Access Gateway 设备上安装的 SAML 服务器证书的签名 CA 安装并配置根证书。

对于所有这些类型的证书，请执行相同的步骤以将证书转换为包含证书链的 PEM 格式的文件。对于

TLS/SSL 服务器证书和根证书，还应将每个文件转换为包含私钥的 PEM 文件。然后，必须将每个 .pem 文件转换为可在 JSON 字符串中传递给 Unified Access Gateway REST API 的单行格式。

前提条件

n 确认您具有证书文件。该文件可以采用 PKCS#12（.p12 或 .pfx）格式，也可以采用 Java JKS 或

JCEKS 格式。


VMware, Inc. 141

n 熟悉用于转换证书的 openssl 命令行工具。请参阅 https://www.openssl.org/docs/apps/openssl.html。

n 如果证书采用 Java JKS 或 JCEKS 格式，请熟悉 Java keytool 命令行工具，以便先将证书转换

为 .p12 或 .pks 格式，然后再转换为 .pem 文件。

步骤

1 如果证书采用 Java JKS 或 JCEKS 格式，请使用 keytool 将证书转换为 .p12 或 .pks 格式。

重要事项在该转换过程中，请使用相同的源和目标密码。

2 如果证书采用 PKCS#12（.p12 或 .pfx）格式，或者在将证书转换为 PKCS#12 格式后，请使用

openssl 将证书转换为 .pem 文件。

例如，如果证书名称是 mycaservercert.pfx，请使用以下命令转换证书：

openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem

openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem

openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem

3 编辑 mycaservercert.pem，并移除任何不需要的证书条目。它应当包含一个 SSL 服务器证书，并后

跟任何必需的中间 CA 证书和根 CA 证书。

4 使用以下 UNIX 命令将每个 .pem 文件转换为可在 JSON 字符串中传递给 Unified Access Gateway REST API 的值：

awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' cert-name.pem

在此示例中，cert-name.pem 是证书文件的名称。证书与以下示例类似。


VMware, Inc. 142

https://www.openssl.org/docs/apps/openssl.html

https://www.openssl.org/docs/apps/openssl.html

图 5-1. 一行中的证书文件

新格式将所有证书信息放在包含嵌入的换行符的一行中。如果您拥有中间证书，则该证书也必须具有单

行格式并添加到第一个证书，以便两个证书在同一行中。

结果

现在，您可以将这些 .pem 文件与博客帖子“使用 PowerShell 部署 VMware Unified Access Gateway”(Using PowerShell to Deploy VMware Unified Access Gateway)（网址为 https://communities.vmware.com/docs/DOC-30835）附带的 PowerShell 脚本结合使用来配置 Unified Access Gateway 的证书。或者，也可以创建并使用 JSON 请求来配置证书。

后续步骤

您可以使用 CA 签名的证书来更新默认的自签名证书。请参阅更新 SSL 服务器签名证书。有关智能卡证

书，请参阅在 Unified Access Gateway 设备上配置证书或智能卡身份验证。

更改用于 TLS 或 SSL 通信的安全协议和密码套件

虽然在几乎所有情况下都不需要更改默认设置，但您可以配置用于加密客户端和 Unified Access Gateway 设备之间的通信的安全协议和加密算法。

默认设置包括使用 128 位或 256 位 AES 加密的密码套件，匿名 DH 算法除外，并按强度对其进行排序。

默认情况下，TLS v1.2 处于启用状态。TLS v1.0、TLS v1.1 和 SSL v3.0 处于禁用状态。

前提条件

n 熟悉 Unified Access Gateway REST API。安装了 Unified Access Gateway 的虚拟机上的以下

URL 中提供了该 API 的规范：https://access-point-appliance.example.com:9443/rest/

swagger.yaml。


VMware, Inc. 143



n 熟悉用于配置密码套件和协议的特定属性：cipherSuites、ssl30Disabled、tls10Enabled、

tls11Disabled 和 tls12Enabled。

步骤

1 创建一个 JSON 请求以指定要使用的协议和密码套件。

以下示例使用默认设置。

{

"cipherSuites":

"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AE

S_128_CBC_SHA256

, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384",

"ssl30Enabled": "false",

"tls10Enabled": "false",

"tls11Enabled": "false",

"tls12Enabled": "true"

}

2 使用 REST 客户端（如 curl 或 postman）通过 JSON 请求调用 Unified Access Gateway REST API 并配置协议和密码套件。

在此示例中，access-point-appliance.example.com 是 Unified Access Gateway 设备的完全限定

域名。

curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-

appliance.example.com:9443/rest/v1/config/system < ~/ciphers.json

ciphers.json 是在上一步中创建的 JSON 请求。

结果

将使用指定的密码套件和协议。


VMware, Inc. 144

在 DMZ 中配置身份验证 6在初部署 Unified Access Gateway 时，Active Directory 密码身份验证设置为默认值。用户输入其

Active Directory 用户名和密码，这些凭据将发送到后端系统以进行身份验证。

您可以配置 Unified Access Gateway 服务以执行证书/智能卡身份验证、RSA SecurID 身份验证、

RADIUS 身份验证以及 RSA 自适应身份验证。

注只能为 Edge 服务指定一种双因素用户身份验证方法。该方法可以是证书/智能卡身份验证、RADIUS 身份验证或 RSA 自适应身份验证。

注针对 Active Directory 的密码身份验证是可用于部署的唯一身份验证方法。


n 在 Unified Access Gateway 设备上配置证书或智能卡身份验证

n 在 Unified Access Gateway 中配置 RSA SecurID 身份验证

n 为 Unified Access Gateway 配置 RADIUS

n 在 Unified Access Gateway 中配置 RSA 自适应身份验证

n 生成 Unified Access Gateway SAML 元数据

在 Unified Access Gateway 设备上配置证书或智能卡身份验证

您可以在 Unified Access Gateway 中配置 x509 证书身份验证，以允许客户端在其桌面或移动设备上使

用证书进行身份验证或使用智能卡适配器进行身份验证。

基于证书的身份验证基于用户拥有的资源（私钥或智能卡）和掌握的信息（私钥的密码或智能卡 PIN）。

智能卡身份验证通过验证用户是否具有智能卡以及用户是否知道 PIN 来提供双因素身份验证。终用户可

以使用智能卡登录到远程 Horizon 桌面操作系统以及访问启用智能卡的应用程序，例如，使用证书对电子

邮件进行签名以证明发件人身份的电子邮件应用程序。

通过使用该功能，将针对 Unified Access Gateway 服务执行智能卡证书身份验证。Unified Access Gateway 使用 SAML 断言将有关终用户的 X.509 证书和智能卡 PIN 的信息传送到 Horizon Server。

VMware, Inc. 145

您可以配置证书吊销检查以防止对已吊销用户证书的用户进行身份验证。当用户离开组织、丢失智能卡或

从一个部门调往另一个部门时，通常会吊销其证书。支持使用证书吊销列表 (Certificate Revocation List, CRL) 和在线证书状态协议 (Online Certificate Status Protocol, OCSP) 进行证书吊销检查。CRL 是由颁

发证书的 CA 发布的吊销证书列表。OCSP 是用于获取证书吊销状态的证书验证协议。

您可以在证书身份验证适配器配置中配置 CRL 和 OCSP。如果配置这两种类型的证书吊销检查并启用

OCSP 失败时使用 CRL 复选框，将先检查 OCSP；如果 OCSP 失败，吊销检查将改用 CRL。

注如果 CRL 失败，吊销检查不会改用 OCSP。

注对于 Workspace ONE Access，身份验证信息将始终通过 Unified Access Gateway 传递到

Workspace ONE Access 服务。只有在将 Unified Access Gateway 与 Horizon 7 一起使用时，才能将

智能卡身份验证配置为在 Unified Access Gateway 设备上执行。

在 Unified Access Gateway 上配置证书身份验证

您可以从 Unified Access Gateway 管理控制台启用并配置证书身份验证。

前提条件

n 从对用户提供的证书进行签名的 CA 获取根证书和中间证书。

请参阅获取证书颁发机构证书

n 确认在服务提供程序上添加了 Unified Access Gateway SAML 元数据，并且将服务提供程序 SAML 元数据复制到 Unified Access Gateway 设备。

n （可选）用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。

n 对于吊销检查，CRL 的文件位置以及 OCSP 服务器的 URL。

n （可选）OCSP 响应签名证书文件位置。

n 同意表单内容（如果在身份验证之前显示同意表单）。

步骤

1 在 Unified Access Gateway 管理 UI 中，导航到手动配置部分，然后单击选择。

2 在常规设置 > 身份验证设置中，单击显示。

3 单击“X.509 证书”齿轮箱。


VMware, Inc. 146

4 配置 X.509 证书表单。

星号表示必填文本框。所有其他文本框都是可选的。

选项说明

启用 X.509 证书将“否”更改为是以启用证书身份验证。

*根 CA 证书和中间 CA 证书要上载证书文件，请单击选择。

您可以选择多个编码为 DER 或 PEM 的根 CA 证书和中间 CA 证书。

注如果上载多个具有相同 DN 的证书，则新上载的证书将替换现有证书。因

此，多个具有相同 DN 的证书不能在 Unified Access Gateway 中共存。

启用证书吊销将“否”更改为是以启用证书吊销检查。吊销检查可防止对吊销了用户证书的用户

进行身份验证。

使用来自证书的 CRL 选中该复选框以使用颁发证书的 CA 发布的证书吊销列表 (Certificate Revocation List, CRL) 验证证书的状态（吊销或未吊销）。

CRL 位置输入从中检索 CRL 的服务器文件路径或本地文件路径。

启用 OCSP 吊销选中该复选框以使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态。

OCSP 失败时使用 CRL 如果配置 CRL 和 OCSP，您可以选中该框以在 OCSP 检查不可用时改用 CRL。

发送 OCSP Nonce 如果您希望在响应中发送 OCSP 请求的唯一标识符，请选中该复选框。

OCSP URL 如果启用了 OCSP 吊销，请输入 OCSP 服务器地址以进行吊销检查。

使用证书中的 OCSP URL 选中此框以使用 OCSP URL。

在进行身份验证前启用同意表单选中该复选框以包含在用户使用证书身份验证登录到其 Workspace ONE 门户之前

显示的同意表单页面。

5 单击保存。

后续步骤

如果配置了 X.509 证书身份验证并在负载平衡器后面设置了 Unified Access Gateway 设备，请确保将负

载平衡器配置为在负载平衡器上使用 SSL 直通，并且未配置为终止 SSL。这种配置可确保在 Unified Access Gateway 和客户端之间进行 SSL 握手以便将证书传递给 Unified Access Gateway。

获取证书颁发机构证书

您必须为用户和管理员提供的智能卡上的所有受信任的用户证书获取所有相应的 CA（证书颁发机构）证

书。如果用户的智能卡证书是由中间证书颁发机构颁发的，则这些证书包括根证书，并且可以包括中间证

书。

如果您没有获取对用户和管理员提供的智能卡上的证书签名的 CA 的根证书或中间证书，则可以从 CA 签名的用户证书或包含此类证书的智能卡中导出这些证书。请参阅从 Windows 获取 CA 证书。


VMware, Inc. 147

步骤

u 从以下某个源中获取 CA 证书。

n 运行 Microsoft 证书服务的 Microsoft IIS 服务器。有关安装 Microsoft IIS、颁发证书以及在组织

中分发证书的信息，请参见 Microsoft TechNet 网站。

n 受信任的 CA 签名的公用根证书。如果环境中具有智能卡基础架构，以及标准的智能卡分发和身份

验证方式，就属于常用的根证书源。

后续步骤

将根证书和/或中间证书添加到服务器信任存储区文件中。

从 Windows 获取 CA 证书

如果您拥有 CA 签发的用户证书或包含 CA 签发的用户证书的智能卡，且 Windows 信任此根证书，则可

以从 Windows 导出此根证书。如果用户证书的颁发者是中间证书颁发机构，则您可以导出该证书。

步骤

1 如果用户证书存储在智能卡上，您只需将智能卡插入读卡器，就可以将用户证书添加到您的个人存储区

中。

如果用户证书未显示在您的个人存储区中，可使用读取器软件将用户证书导出到文件中。此文件在该流

程的步骤 4 中使用。

2 在 Internet Explorer 中，选择工具 > Internet 选项。

3 在内容选项卡上，单击证书。

4 在个人选项卡上，选择您要使用的证书，然后单击查看。

如果用户证书未显示在列表中，请单击导入从文件中手动导入该证书。导入证书后，您就可以从列表中

选择该证书。

5 在证书路径选项卡上，选择树状结构顶端的证书，然后单击查看证书。

如果用户证书是作为信任层次结构的一部分签发的，则签发证书可能由另一较高级别的证书签发。选择

父证书（即实际签发用户证书的证书）作为您的根证书。在某些情况下，颁发者可能是中间 CA。

6 在详细信息选项卡上，单击复制到文件。

屏幕上将显示证书导出向导。

7 单击下一步 > 下一步，然后键入要导出的文件的名称和位置。

8 单击下一步将该文件作为根证书保存到指定的位置。

后续步骤

将 CA 证书添加到服务器信任存储区文件中。


VMware, Inc. 148

在 Unified Access Gateway 中配置 RSA SecurID 身份验证

在 RSA SecurID 服务器中将 Unified Access Gateway 设备配置为身份验证代理后，必须将 RSA SecurID 配置信息添加到 Unified Access Gateway 设备。

前提条件

n 确认已安装并正确配置 RSA Authentication Manager（RSA SecurID 服务器）。

n 从 RSA SecurID 服务器中下载压缩的 sdconf.rec 文件并提取服务器配置文件。

步骤


2 在“常规设置”>“身份验证设置”部分中，单击显示。

3 单击“RSA SecurID”行中的齿轮箱。

4 配置 RSA SecurID 页面。

在配置 SecurID 页面时，需要提供在 RSA SecurID 服务器上使用的信息和生成的文件。

选项操作

启用 RSA SecurID

将“否”更改为是以启用 SecurID 身份验证。

*名称名称为 securid-auth。

*迭代次数输入允许的身份验证尝试次数。这是在使用 RSA SecurID 令牌时的大失败登录尝试次数。默认为尝试 5 次。

注如果配置了多个目录，并且为其他目录实施 RSA SecurID 身份验证，请将每个 RSA SecurID 配置的允

许的身份验证尝试次数配置为相同的值。如果该值不相同，SecurID 身份验证将失败。

*外部主机名输入 Unified Access Gateway 实例的 IP 地址。输入的值必须与将 Unified Access Gateway 设备作为身份

验证代理添加到 RSA SecurID 服务器时使用的值一致。

*内部主机名在 RSA SecurID 服务器中输入为 IP 地址提示分配的值。

*服务器配置单击更改以上载 RSA SecurID 服务器配置文件。首先，您必须从 RSA SecurID 服务器中下载压缩文件，然

后提取默认名称为 sdconf.rec 的服务器配置文件。

*名称 ID 后以 @somedomain.com 格式输入名称 ID。用于将域名等额外内容发送到 RADIUS 服务器或 RSA SecurID 服务器。例如，如果用户以 user1 身份登录，则会将 [email protected] 发送到服务器。

为 Unified Access Gateway 配置 RADIUS

您可以配置 Unified Access Gateway，以便要求用户使用强大的 RADIUS 双因素身份验证。您可以在

Unified Access Gateway 设备上配置 RADIUS 服务器信息。

RADIUS 支持提供了各种第三方双因素身份验证选项。要在 Unified Access Gateway 上使用 RADIUS 身份验证，您必须已配置 RADIUS 服务器，且该服务器可以从 Unified Access Gateway 联网访问。


VMware, Inc. 149

当用户登录时，如果已启用 RADIUS 身份验证，则用户需在登录对话框中输入其 RADIUS 身份验证用户名

和通行码。如果 RADIUS 服务器发起 RADIUS 访问质询，Unified Access Gateway 会向用户显示另外一

个对话框，提示其输入质询响应文本，如通过短信或其他带外机制传送给用户的代码。RADIUS 通行码和

质询响应仅支持基于文本的输入。输入正确的质询响应文本后即可完成身份验证。

如果 RADIUS 服务器要求用户输入其 Active Directory 密码作为 RADIUS 通行码，则在 Horizon 用例

中，管理员可以在 Unified Access Gateway 上启用 Horizon Windows 单点登录功能，以便在完成

RADIUS 身份验证时，用户将不会收到提醒其重新输入同一个 Active Directory 域密码的后续提示。

配置 RADIUS 身份验证

在 Unified Access Gateway 设备上，您必须启用 RADIUS 身份验证，输入 RADIUS 服务器中的配置设

置，然后将身份验证类型更改为 RADIUS 身份验证。

前提条件

n 确认要用作身份验证管理器服务器的服务器安装并配置了 RADIUS 软件。设置 RADIUS 服务器，然后

从 Unified Access Gateway 中配置 RADIUS 请求。有关设置 RADIUS 服务器的信息，请参阅

RADIUS 供应商的设置指南。

需要使用以下 RADIUS 服务器信息。

n RADIUS 服务器的 IP 地址或 DNS 名称。

n 身份验证端口号。身份验证端口通常为 1812。

n 身份验证类型。身份验证类型包括 PAP（密码身份验证协议）、CHAP（质询握手身份验证协议）、

MSCHAP1 和 MSCHAP2（Microsoft 质询握手身份验证协议版本 1 和 2）。

n 用于在 RADIUS 协议消息中加密和解密的 RADIUS 共享密码。

n RADIUS 身份验证所需的特定超时和重试值。

步骤



3 单击“RADIUS”行中的齿轮箱。

选项操作

启用 RADIUS 将“否”更改为是以启用 RADIUS 身份验证。

名称* 名称为 radius-auth。

身份验证类型* 输入 RADIUS 服务器支持的身份验证协议。PAP、CHAP、MSCHAP1 或 MSCHAP2。

共享密码* 输入 RADIUS 共享密码。

允许的身份验证

尝试次数*输入在使用 RADIUS 登录时的大失败登录尝试次数。默认为尝试 3 次。

尝试连接

RADIUS 服务

器的次数*

输入总重试尝试次数。如果主服务器没有响应，该服务将等待配置的时间，然后再重试。


VMware, Inc. 150

选项操作

服务器超时 (以秒为单位)*

输入 RADIUS 服务器超时（秒）；如果 RADIUS 服务器没有响应，将在这段时间过后发送重试。

RADIUS 服务

器主机名*输入 RADIUS 服务器的主机名或 IP 地址。

身份验证端口* 输入 Radius 身份验证端口号。该端口通常为 1812。

领域前（可选）用户帐户位置称为领域。

如果指定领域前字符串，在将用户名发送到 RADIUS 服务器时，将在名称开头放置该字符串。例如，如果

将用户名输入为 jdoe 并指定领域前 DOMAIN-A\，则将用户名 DOMAIN-A\jdoe 发送到 RADIUS 服务

器。如果未配置这些字段，则仅发送输入的用户名。

领域后（可选）如果配置领域后，则在用户名末尾放置该字符串。例如，如果后为 @myco.com，则将用户名

[email protected] 发送到 RADIUS 服务器。

名称 ID 后以 @somedomain.com 格式输入名称 ID。用于将域名等额外内容发送到 RADIUS 服务器或 RSA SecurID 服务器。例如，如果用户以 user1 身份登录，则会将 [email protected] 发送到服务器。

登录页面密码短

语提示

输入在用户登录页面上的消息中显示的文本字符串，以指示用户输入正确的 RADIUS 通行码。例如，如果为

该字段配置了 AD password first and then SMS passcode，登录页面消息将显示 Enter your AD password first and then SMS passcode。默认文本字符串为 RADIUS Passcode。

启用基本 MS-CHAPv2 验证

将“否”更改为是，以启用基本 MS-CHAPv2 验证。如果将此选项设为是，则不会对来自 RADIUS 服务器的

响应执行额外的验证。默认情况下，将执行完整验证。

启用辅助服务器将“否”更改为是以配置辅助 RADIUS 服务器以实现高可用性。请按照步骤 3 中所述配置辅助服务器信息。

4 单击保存。

在 Unified Access Gateway 中配置 RSA 自适应身份验证

可以实施 RSA 自适应身份验证，以提供比针对 Active Directory 的仅用户名和密码身份验证更强的多因

素身份验证。自适应身份验证根据风险级别和策略监视和验证用户登录尝试。

如果启用了自适应身份验证，将使用在 RSA 策略管理应用程序中设置的风险策略中指定的风险指标以及自

适应身份验证的 Unified Access Gateway 配置确定是使用用户名和密码验证用户身份，还是需要提供额

外的信息以验证用户身份。

支持的 RSA 自适应身份验证方法

Unified Access Gateway 中支持的 RSA 自适应身份验证强大身份验证方法是通过电话、电子邮件或短信

和质询问题进行的带外身份验证。您可以在该服务上启用可提供的 RSA 自适应身份验证方法。RSA 自适

应身份验证策略确定使用哪种辅助身份验证方法。

带外身份验证过程要求发送额外的验证以及用户名和密码。当用户在 RSA 自适应身份验证服务器中注册

时，他们将提供电子邮件地址和/或电话号码，具体取决于服务器配置。如果需要额外的验证，RSA 自适应

身份验证服务器将通过提供的通道发送一次性通行码。用户输入该通行码及其用户名和密码。

当用户在 RSA 自适应身份验证服务器中注册时，质询问题要求他们回答一系列问题。您可以配置回答的注

册问题数以及在登录页面上显示的质询问题数。


VMware, Inc. 151

在 RSA 自适应身份验证服务器中注册用户

必须在 RSA 自适应身份验证数据库中置备用户，才能使用自适应身份验证进行身份验证。在用户首次使用

其用户名和密码登录时，这些用户将添加到 RSA 自适应身份验证数据库中。根据在该服务中配置 RSA 自适应身份验证的方式，在用户登录时，可能会要求他们提供其电子邮件地址、电话号码、短信服务号

(SMS)，或者要求他们设置质询问题响应。

注 RSA 自适应身份验证不允许在用户名中使用国际字符。如果要允许在用户名中使用多字节字符，请与

RSA 支持部门联系以配置 RSA 自适应身份验证和 RSA Authentication Manager。

在 Unified Access Gateway 中配置 RSA 自适应身份验证

要在该服务上配置 RSA 自适应身份验证，请启用 RSA 自适应身份验证，选择要应用的自适应身份验证方

法，然后添加 Active Directory 连接信息和证书。

前提条件

n 为 RSA 自适应身份验证正确配置了身份验证方法以用于辅助身份验证。

n 有关 SOAP 端点地址和 SOAP 用户名的详细信息。

n 提供了 Active Directory 配置信息和 Active Directory SSL 证书。

步骤



3 单击“RSA 自适应身份验证”行中的齿轮箱。

4 为您的环境选择相应的设置。

注星号表示必填字段。其他字段是可选的。

选项说明

启用 RSA AA 适配器将“否”更改为是以启用 RSA 自适应身份验证。

名称* 名称为 rsaaa-auth。

SOAP 端点* 输入 SOAP 端点地址以将 RSA 自适应身份验证适配器与该服务集成在一起。

SOAP 用户名* 输入用于对 SOAP 消息进行签名的用户名和密码。

SOAP 密码* 输入 RSA 自适应身份验证 SOAP API 密码。

RSA 域输入自适应身份验证服务器的域地址。

启用 OOB 电子邮件选择“是”以启用带外身份验证，该身份验证通过电子邮件向终用户发送一次性

通行码。

启用 OOB 短信选择“是”以启用带外身份验证，该身份验证通过短信向终用户发送一次性通行

码。

启用 SecurID 选择“是”以启用 SecurID。要求用户输入其 RSA 令牌和通行码。

启用机密问题如果要使用注册和质询问题进行身份验证，请选择“是”。


VMware, Inc. 152

选项说明

注册问题数* 输入用户在身份验证适配器服务器中注册时需要设置的问题数。

质询问题数* 输入用户必须正确回答才能登录的质询问题数。

允许的身份验证尝试次数* 输入在身份验证失败之前向尝试登录的用户显示质询问题的次数。

目录类型* 支持的唯一目录是 Active Directory。

使用 SSL 如果将 SSL 用于目录连接，请选择“是”。您可以在“目录证书”字段中添加

Active Directory SSL 证书。

服务器主机* 输入 Active Directory 主机名。

服务器端口输入 Active Directory 端口号。

使用 DNS 服务位置如果 DNS 服务位置用于目录连接，请选择“是”。

基本 DN 输入从中开始搜索帐户的 DN。例如，OU=myUnit,DC=myCorp,DC=com。

绑定 DN* 输入可以在其中搜索用户的帐户。例如，

CN=binduser,OU=myUnit,DC=myCorp,DC=com。

绑定密码输入绑定 DN 帐户的密码。

搜索属性输入包含用户名的帐户属性。

目录证书要建立安全 SSL 连接，请在文本框中添加目录服务器证书。如果具有多个服务器，

请添加证书颁发机构的根证书。

使用 STARTTLS 将“否”更改为是以使用 STARTTLS。

5 单击保存。

生成 Unified Access Gateway SAML 元数据

您必须在 Unified Access Gateway 设备上生成 SAML 元数据，然后与服务器交换元数据以建立智能卡身

份验证所需的相互信任关系。

安全断言标记语言 (SAML) 是一种基于 XML 的标准，用于在不同安全域之间描述和交换身份验证及授权信

息。SAML 使用称为 SAML 声明的 XML 文档在身份提供程序与服务提供程序之间传递有关用户的信息。

在此方案中，Unified Access Gateway 是身份提供程序，服务器是服务提供程序。

前提条件

n 可以在 Unified Access Gateway 设备上配置时钟 (UTC) 以使设备具有正确的时间。例如，在

Unified Access Gateway 虚拟机上打开控制台窗口，并使用箭头按钮选择正确的时区。还要确认

ESXi 主机时间与 NTP 服务器进行同步，并且在设备虚拟机中运行的 VMware Tools 将虚拟机上的时

间与 ESXi 主机上的时间进行同步。

重要事项如果 Unified Access Gateway 设备上的时钟与服务器主机上的时钟不匹配，智能卡身份

验证可能无法正常工作。


VMware, Inc. 153

n 获取可用于对 Unified Access Gateway 元数据进行签名的 SAML 签名证书。

注如果在您的设置中具有多个 Unified Access Gateway 设备，VMware 建议您创建并使用特定的

SAML 签名证书。在这种情况下，必须为所有设备配置相同的签名证书，以使服务器可以接受来自任

何 Unified Access Gateway 设备的断言。在使用特定的 SAML 签名证书时，所有设备中的 SAML 元数据是相同的。

n 如果尚未执行此操作，请将 SAML 签名证书转换为 PEM 格式文件，并将 .pem 文件转换为单行格式。

请参阅将证书文件转换为单行 PEM 格式。

步骤


2 在高级设置部分，单击 SAML 设置齿轮箱图标。

3 单击 SAML 身份提供程序设置部分。

4 选择提供证书。

5 要添加专用密钥文件，请单击选择并浏览到证书的专用密钥文件。

6 要添加证书链文件，请单击选择并浏览到证书链文件。

7 单击保存。

8 在“主机名”文本框中，输入主机名并下载身份提供程序设置。

创建由其他服务提供程序使用的 SAML 身份验证器

在 Unified Access Gateway 设备上生成 SAML 元数据后，您可以将该数据复制到后端服务提供程序中。

将此数据复制到服务提供程序是 SAML 身份验证器创建过程的一部分，这样 Unified Access Gateway 便可被用作身份提供程序。

对于 Horizon Air 服务器，请参阅产品文档以了解具体说明。

将服务提供程序 SAML 元数据复制到 Unified Access Gateway

在创建并启用 SAML 身份验证器以使 Unified Access Gateway 可用作身份提供程序后，您可以在该后端

系统上生成 SAML 元数据，并使用该元数据在 Unified Access Gateway 设备上创建服务提供程序。这种

数据交换可在身份提供程序 (Unified Access Gateway) 和后端服务提供程序（例如 Horizon Connection Server）之间建立信任。

前提条件

确认您已在后端服务提供程序服务器上为 Unified Access Gateway 创建 SAML 身份验证器。

步骤

1 检索服务提供程序 SAML 元数据，它通常采用 XML 文件格式。

有关说明，请参阅服务提供程序的文档。


VMware, Inc. 154

不同的服务提供程序具有不同的操作过程。例如，您必须打开浏览器并输入一个 URL，如：https://connection-server.example.com/SAML/metadata/sp.xml

之后，您可以使用另存为命令将网页保存为 XML 文件。该文件的内容以下面的文本开头：

<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ...

2 在 Unified Access Gateway 管理 UI 的“手动配置”部分中，单击选择。

3 在“高级设置”部分中，单击 SAML 服务提供程序设置齿轮箱图标。

4 在“服务提供程序名称”文本框中，输入服务提供程序名称。

5 在“元数据 XML”文本框中，粘贴在步骤 1 中创建的元数据文件。

6 单击保存。

结果

Unified Access Gateway 和服务提供程序现在可以交换身份验证和授权信息。


VMware, Inc. 155

Unified Access Gateway 部署故障排除 7您可以使用各种过程来诊断和修复在您的环境中部署 Unified Access Gateway 时遇到的问题。

您可以采取故障排除操作来调查问题原因并尝试自行解决问题，也可以从 VMware 技术支持部门获取帮

助。


n 监控 Edge 服务会话统计信息

n 监控 SEG 运行状况和诊断情况

n 监控已部署服务的运行状况

n 部署错误故障排除

n 错误故障排除：身份桥接

n 错误故障排除：Cert-to-Kerberos

n 端点合规性故障排除

n 管理 UI 中的证书验证故障排除

n 防火墙和连接问题故障排除

n 以 root 用户身份登录问题故障排除

n 从 Unified Access Gateway 设备收集日志

n Syslog 格式和事件

n 导出 Unified Access Gateway 设置

n 导入 Unified Access Gateway 设置

n 错误故障排除：Content Gateway

n 高可用性故障排除

n 安全性故障排除：佳实践

n 受 Unified Access Gateway 管理 UI 设置中更改影响的用户会话

VMware, Inc. 156

监控 Edge 服务会话统计信息

Unified Access Gateway 提供有关每项 Edge 服务的活动会话的信息。您可以从 Edge 服务的管理 UI 快速查看您所部署的服务是否已进行配置以及是否已成功启动并正在运行。

步骤

1 导航到支持设置 > Edge 服务会话统计信息。

2 在支持设置部分，单击 Edge 服务会话统计信息齿轮箱图标。

图 7-1. Edge 服务会话统计信息

n Edge 服务列出为其显示会话统计信息的特定 Edge 服务。

n 总会话数指示活动会话数和非活动会话数的总和。

n 活动会话（已登录会话）指示已通过身份验证且正在进行的会话数。

n 非活动会话指示未经身份验证的会话数。

n 失败登录尝试次数指示登录尝试失败的次数。

n 会话上限指示在给定时间点并发会话的大数量。

n PCoIP 会话指示使用 PCoIP 建立的会话数量。

n BLAST 会话指示使用 Blast 建立的会话数量。

n 隧道会话指示使用 Horizon 隧道建立的会话数量。

表 7-1. Edge 服务会话统计信息示例

Edge 服务会话总数

活动 (已登

录) 会话非活动会话

失败登录尝

试次数会话上限

PCoIP 会话

BLAST 会话隧道会话

Horizon 11 0 11 8 11 0 0 0

反向代理

(jira)10 0 10 10 10 - - -

反向代理

(sp_blr)11 0 11 11 11 - - -

反向代理

(sp_https_saml)

4 0 4 0 5 - - -


VMware, Inc. 157

表 7-1. Edge 服务会话统计信息示例（续）

Edge 服务会话总数

活动 (已登

录) 会话非活动会话

失败登录尝

试次数会话上限

PCoIP 会话

BLAST 会话隧道会话

反向代理

(sp_multi_domain)

8 0 8 8 8 - - -

VMware Tunnel

1 1 0 0 1 - - -

总数 45 1 44 37 - - -

监控会话统计信息 API

此处列出的参数描述了在上一个监控时间间隔捕获的会话统计信息。

URL 调用： https://<UAGIP>:9443/rest/v1/monitor/stats

表 7-2. Horizon View

属性说明

totalSessions 指示活动会话数和非活动会话数的总和。

管理 UI：会话总数。

highWaterMarkOfSessions 指示在给定时间点并发会话的大数量。

管理 UI：会话上限。

authenticatedSessions 指示正在进行的已通过身份验证的会话（已登录会话）数。

管理 UI：活动 (已登录) 会话。

unauthenticatedSessions 指示未经身份验证的会话数。

管理 UI：非活动会话。

failedLoginAttempts 指示失败登录尝试的次数。

管理 UI：失败登录尝试次数。

userCount 指示当前已通过身份验证的唯一用户数。

BLAST

sessions 指示活动的 BLAST 会话数。

maxSessions 指示已授权的 BLAST 会话数。

PCoIP

sessions 指示在桌面或应用程序启动过程中创建的活动 PCoIP 会话数。

maxSessions 指示在给定时间点并发 PCoIP 会话的大数量。

VMware Tunnel

sessions 指示在通过 View Client 进行身份验证时创建的活动 VMware Tunnel 会话数。

maxSessions 指示在给定时间点并发 VMware Tunnel 会话的大数量。


VMware, Inc. 158

表 7-3. Web 反向代理

属性说明

totalSessions 指示活动会话数和非活动会话数的总和。

管理 UI：会话总数。

highWaterMarkOfSessions 指示在给定时间点并发会话的大数量。

管理 UI：会话上限。

authenticatedSessions 指示正在进行的已通过身份验证的会话（已登录会话）数。

管理 UI：活动 (已登录) 会话。

unauthenticatedSessions 指示未经身份验证的会话数。

管理 UI：非活动会话。

failedLoginAttempts 指示失败登录尝试的次数。

管理 UI：失败登录尝试次数。

userCount 指示当前已通过身份验证的唯一用户数。

backendStatus

status 指示后端应用程序是否可访问。（正在运行、不可访问）

reason 指示并说明状态及原因。（可访问、错误详细信息）

kcdStatus

status 指示 kcd 服务器是否可访问。（正在运行、不可访问）

reason 指示并说明状态及原因。（可访问、错误详细信息）

表 7-4. VMware Tunnel

属性说明

identifier 指示 VMware Tunnel 服务已启用。

status VMware Tunnel 服务（vpnd 服务）的状态。

reason 指示并说明 VMware Tunnel 服务的状态及原因。“已启动”或“已关闭”标签表示服务状态。例

如，当服务已启动并在运行时，它可以访问，而当服务已关闭时，VMware Tunnel 服务器不可访

问。

totalSessions 指示在通过 VMware Tunnel 客户端进行身份验证时创建的活动 VMware Tunnel 会话数。

connections 指示 VMware Tunnel 服务器中的活动出站连接数。

upTime 指示 VMware Tunnel 服务的活动（运行）时间。

apiConnectivity VMware Tunnel 服务器到 API 的连接。例如，True 或 False。

awcmConnectivity VMware Tunnel 服务器到 AWCM 的连接。例如，True 或 False。

cascadeMode 提供级联信息。例如，关闭表示基本模式，前端或后端表示级联设置。

Horizon 的 Unified Access Gateway 会话流

为了帮助您了解 Horizon Edge 服务 Unified Access Gateway 会话中会话统计信息是如何变化的，本主

题介绍了一个事件流。

此处所述的会话流不包括在 Unified Access Gateway 管理 UI 中为 Horizon 配置的任何身份验证方法。


VMware, Inc. 159

将根据监控时间间隔（Unified Access Gateway 管理 UI 中的高级系统配置设置）中配置的值进行 Edge 服务运行状况检查。

要查看有关此处提到的会话统计信息的定义，请参见监控 Edge 服务会话统计信息。

1 当 Horizon Client 通过 Unified Access Gateway 向 Horizon Connection Server 发送 XMLAPI 请求时，将在 Unified Access Gateway 中创建一个新会话。

在后续的 Edge 服务运行状况检查中，会话统计信息将具有以下值：

会话统计信息值

Total Sessions 1

Active Sessions 0

Inactive Sessions 1

Failed Login Attempts 0

Session High Water Mark 1

收到来自 Horizon Connection Server 的响应后，Unified Access Gateway 会将响应发送到

Horizon Client，并在终用户的设备上显示身份验证提示。

2 根据身份验证提示，终用户的操作可能有所不同。根据操作的不同，会话统计信息将具有不同的值。

a 如果终用户的身份验证成功，则在后续 Edge 服务运行状况检查中，会话统计信息将具有以下

值：


Total Sessions 1

Active Sessions 1

Inactive Sessions 0



b 如果终用户提交的用于进行身份验证的凭据不正确，则会话统计信息会发生变化，且变化取决于

Horizon Connection Server 允许的登录尝试次数。

n 如果允许的登录尝试次数超过 1，则会话将保持非活动状态，直到登录尝试次数达到 Horizon Connection Server 允许的大限制为止。

每次登录尝试失败时，Failed Login Attempts 参数将增加 1。



Total Sessions 1

Active Sessions 0

Inactive Sessions 1


VMware, Inc. 160




n 如果允许的尝试次数仅为 1，则会话将被移除。

注当会话被移除时，Total Sessions 和 Inactive Sessions 会减 1。



Total Sessions 0

Active Sessions 0

Inactive Sessions 0



c 如果终用户在身份验证超时（系统配置设置，在 Unified Access Gateway 管理 UI 中配置）之

后尝试进行身份验证，则身份验证将失败并且会话将被移除。



Total Sessions 0

Active Sessions 0

Inactive Sessions 0



d 如果终用户取消身份验证提示，则会话将不会进行身份验证并保持此状态，直到创建会话的时间

大于身份验证超时值为止。当大于身份验证超时值时，会话将过期。

注过期的会话将作为 Total Sessions 的一部分包含在内，直到达到会话总数的限制为止。此限

制取决于 Unified Access Gateway 设备的大小。



Total Sessions 1

Active Sessions 0

Inactive Sessions 1


VMware, Inc. 161




3 成功完成身份验证后，如果在 Unified Access Gateway 中启用了 VMware Tunnel，并且使用

Horizon Client，则会在 Unified Access Gateway 中创建一个隧道会话。



Total Sessions 1

Active Sessions 1

Inactive Sessions 0



Tunnel Sessions 1

注如果在 Unified Access Gateway 中禁用了 Tunnel，则

该值为 0。

4 根据终用户为启动桌面或应用程序选择的显示协议（PCOIP 或 Blast），相应的协议会话统计信息会

受到影响。

例如，如果配置为使用 Blast 协议，则在后续 Edge 服务运行状况检查中，会话统计信息具有以下

值：


Total Sessions 1

Active Sessions 1

Inactive Sessions 0



Tunnel Sessions 1

Blast Sessions 1

PCoIP Sessions 0

5 如果终用户断开已启动的桌面或应用程序的连接，则在后续 Edge 服务运行状况检查中，会话统计

信息具有以下值：


Total Sessions 1

Active Sessions 1


VMware, Inc. 162


Inactive Sessions 0



Tunnel Sessions 1

Blast Sessions 0

PCoIP Sessions 0

6 终用户注销可能是由于各种原因导致的，例如用户启动的注销、用户身份验证后处于不活动状态或会

话到期。终用户注销后，在后续 Edge 服务运行状况检查中，会话统计信息具有以下值：


Total Sessions 0

Active Sessions 0

Inactive Sessions 0



Tunnel Sessions 0

Blast Sessions 0

PCoIP Sessions 0

监控 SEG 运行状况和诊断情况

您可以使用 SEG V2 管理页面监控 SEG 的运行状况和诊断情况。

以下过程介绍了查看 SEG 运行状况和诊断信息的步骤。

1 导航到支持设置 > Edge 服务会话统计信息。

2 在支持设置部分中，单击 Edge 服务会话统计信息齿轮箱图标。如果启用了 SEG，将显示以下屏幕。


VMware, Inc. 163

3 单击活动以打开“SEG 运行状况和诊断”监控屏幕。此时会显示以下屏幕。


VMware, Inc. 164

SEG 诊断屏幕为用户提供了以下选项：

n 查看或下载 SEG 诊断 JSON。

n 从 SEG 缓存中查找特定策略。

n 存档并下载 SEG 缓存的策略、重定向映射和诊断信息。

n 清除 SEG 缓存中的重定向映射。

下图显示了 SEG 的“诊断”屏幕。

SEG 诊断 API

下表介绍了用于访问 SEG 诊断信息的 API 路径和参数。

SEG 诊断 URL：GET https://<UAGIP>:9443/rest/v1/monitor/seg/diagnostics/<apiPath>。

API 路径说明

诊断查看 SEG 诊断 JSON。

policy/device/<easDeviceId> 查找给定 EAS 设备 ID 的设备策略。

policy/account/<accountId> 使用帐户 ID 查找给定用户或组的策略。

policy/easdevicetype/<easdevicetype> 查找给定 EAS 设备类型的策略。

policy/mailclient/<mailclientname> 查找给定邮件客户端的策略。


VMware, Inc. 165

API 路径说明

cache/archive 存档并下载 SEG 缓存的策略、重定向映射和诊断信息。

policy/account/<accountId> 查找给定 EAS 设备 ID 的设备策略。

下表列出了用于清除 SEG 缓存中的重定向映射的 API。

清除重定向缓存映射 URL：DELETE https://<UAGIP>:9443/rest/v1/monitor/seg/cache/<parameter>

参数说明

451 清除 SEG 缓存中的 451 重定向映射。

302 清除 SEG 缓存中的 302 重定向映射。

SEG 运行状况 API

下表介绍了 SEG 运行状况统计信息响应属性。

SEG 运行状况 URL：GET https://<UAGIP>:9443/rest/v1/monitor/seg/healthStats

响应属性说明

diagnosticExportTime 指定自 UNIX 时间戳起生成统计信息的时间（以毫秒为单位）。

apiConnectivity 从 SEG 到 API 服务器的连接状态。状态值可以为 Success 或

Failed。

policyDataLoaded 加载到 SEG 缓存中的策略数据的状态。状态值可以是

Success、In Progress 或 Failed。

totalDevicePolicyCount 指定已加载到 SEG 缓存中的设备策略计数。

lastPolicyPartialUpdate 指定自 UNIX 时间戳起近一次成功执行部分策略更新的时间

（以毫秒为单位）。

lastPolicyFullUpdate 指定自 UNIX 时间戳起近一次成功执行策略更新的时间（以毫

秒为单位）。

lastPolicyDeltaUpdate 指定自 UNIX 时间戳起近一次执行增量策略更新的时间（以毫

秒为单位）。

policyDeltaSyncEnabled 指示是否已启用策略增量同步的标记。

emailServerConnectivity 从 SEG 到 API 服务器的连接状态。

属性值可以为 Success 或 Failed。

requestsSinceSEGstartup 自启动 SEG 服务器以来的 ActiveSync 请求数。

lastHourRequests 过去 1 小时内的 ActiveSync 请求数。

last24hourRequests 过去 24 小时内的 ActiveSync 请求数。

syncStat

n count

n latency

指定 Sync 请求的相应统计信息。

n 过去 1 小时持续时间内的请求计数。

n 过去 24 小时持续时间内的平均延迟。

itemOperationsStat

n count

n latency

指定 itemOperations 请求的相应统计信息。




VMware, Inc. 166

响应属性说明

sendMailStat

n count

n latency

指定 sendMail 请求的相应统计信息。



smartForwardStat

n count

n latency

指定 smartForward 请求的相应统计信息。



smartReplyStat

n count

n latency

指定 smartReply 请求的相应统计信息。



clusteringEnabled 指示集群是否已启用的标记。

nodesOnline 集群中处于活动状态的节点列表。

nodesOffline MEM 配置中已列出但在集群中处于不活动状态的节点列表。

nodesSynchronized 指示集群中的所有节点是否同步的标记。

监控已部署服务的运行状况

您可以从 Edge 设置的管理 UI 快速查看您所部署的服务是否已进行配置以及是否已成功启动并在运行。

图 7-2. 运行状况检查

在服务前显示有一个圆圈。其颜色编码如下所示。

n 黑色圆圈 - 设置未进行配置。

n 红色圆圈 - 服务已关闭。

n 琥珀色圆圈 - 服务正在部分运行。

n 绿色圆圈 - 服务正在运行，不存在任何问题。


VMware, Inc. 167

部署错误故障排除

在您的环境中部署 Unified Access Gateway 时，您可能会遇到一些困难。您可以使用不同的过程诊断和

修复部署问题。

在运行从 Internet 下载的脚本时出现安全警告

验证 PowerShell 脚本是您要运行的脚本，然后从 PowerShell 控制台运行以下命令：

unblock-file .\uagdeploy.ps1

未找到 ovftool 命令

验证 Windows 计算机上已安装 OVF Tool 软件，以及该软件安装在脚本所预期的位置。

netmask1 属性中的网络无效

该消息可能指示 netmask0、netmask1 或 netmask2。检查是否在 INI 文件中为以下三个网络分别设置了

一个值：netInternet、netManagementNetwork 和 netBackendNetwork。

显示有关不支持操作系统标识符的警告消息

显示警告消息，指示选定主机不支持指定的操作系统标识符 SUSE Linux Enterprise Server 12.0 64 位

(id:85)。它将映射到以下 OS 标识符：其他 Linux（64 位）。

请忽略此警告信息。它将自动映射到受支持的操作系统。

定位符未引用对象错误

该错误通知 vSphere OVF Tool 使用的 target= value 不适用于您的 vCenter Server 环境。请使用

https://communities.vmware.com/docs/DOC-30835 中列出的表格获取用于引用 vCenter 主机或群集

的目标格式示例。顶级对象指定如下：

target=vi://[email protected]:[email protected]/

该对象现在列出了下一个层级所使用的可能名称。

target=vi://[email protected]:[email protected]/Datacenter1/

target=vi://[email protected]:[email protected]/Datacenter1/host

target=vi://[email protected]:[email protected]/Datacenter1/host/Cluster1/

or

target=vi://[email protected]:[email protected]/Datacenter1/host/esxhost1

目标中使用的文件夹名称、主机名和群集名称区分大小写。

错误消息：无法从以下会话中检索客户端证书: sessionId (Unable to retrieve client certificate from session: sessionId)

n 检查是否在浏览器中正确安装了用户证书。


VMware, Inc. 168


n 检查是否在浏览器和 Unified Access Gateway 中启用了默认 TLS 协议版本 1.2。

无法使用在 Chrome 浏览器中启动的 VMware vSphere Web Client 部署 Unified Access Gateway OVA

您必须在用于在 vSphere Web Client 上部署 OVA 文件的浏览器中安装客户端集成插件。在 Chrome 浏览器中安装该插件后，将显示一条错误消息，指示未安装浏览器，因此，无法在源位置中输入 OVA 文件

URL。这是 Chrome 浏览器问题，与 Unified Access Gateway OVA 无关。建议您使用不同的浏览器部

署 Unified Access Gateway OVA。

无法使用 VMware vSphere HTML4/5 Web Client 部署 Unified Access Gateway OVA

您可能会遇到一些错误，例如，为属性指定的值无效 (Invalid value specified for property)。该

问题与 Unified Access Gateway OVA 无关。建议您改用 vSphere FLEX 客户端部署 OVA。

无法使用 VMware vSphere 6.7 HTML5 Web Client 部署 Unified Access Gateway OVA

您可能会发现在 VMware vSphere 6.7 HTML5 Web Client 上的部署属性页中缺少字段。该问题与

Unified Access Gateway OVA 无关。建议您改用 vSphere FLEX 客户端部署 OVA。

无法在 Workspace ONE Access 上从 Chrome 中启动 XenApp

从 Workspace ONE Access 中将 Unified Access Gateway 部署为 Web 反向代理后，您可能无法从

Chrome 浏览器中启动 XenApp。

请按照以下步骤解决该问题。

1 使用以下 REST API 从 Workspace ONE Access 服务中禁用 orgUseNonNPAPIForCitrixLaunch 功能标记。

PUT https://fqdn/SAAS/jersey/manager/api/tenants/settings?tenantId=tenantname

{ "items":[ {"name":"orgUseNonNPAPIForCitrixLaunch","value": "false"} ] }

with the following two headers:

Content-Type application/vnd.vmware.horizon.manager.tenants.tenant.config.list+json

Authorization HZN value_of_HZN_cookie_for_admin_user

2 等待 24 小时以使更改生效，或重新启动 Workspace ONE Access 服务。

n 要在 Linux 上重新启动该服务，请登录到虚拟设备并运行以下命令：service horizon-workspace

restart。

n 要在 Windows 上重新启动该服务，请运行以下脚本：install_dir\usr\local\horizon\scripts

\horizonService.bat restart 。


VMware, Inc. 169

错误故障排除：身份桥接

您在环境中配置证书到 Kerberos 或 SAML 到 Kerberos 时可能会遇到困难。您可以使用各种过程来诊断

和修复这些问题。

监控 KDC 服务器和后端应用程序服务器的运行状况。

您可以从 Edge 设置的管理 UI 快速查看您所部署的服务是否已进行配置以及是否已成功启动并在运行。

图 7-3. 运行状况检查 - 反向代理设置

在服务前显示有一个圆圈。其颜色编码如下所示。

n 红色圆圈：如果状态为红色，则可能意味着出现了以下某种情况。

n Unified Access Gateway 与 Active Directory 之间的连接出现了问题

n Unified Access Gateway 和 Active Directory 之间出现了端口阻止问题。

注确保在 Active Directory 计算机中同时打开了 TCP 和 UDP 端口 88。

n 在上载的 Keytab 文件中可能具有不正确的主体名称和密码凭据。

n 绿色圆圈：如果状态为绿色，则意味着 Unified Access Gateway 能够使用 Keytab 文件中提供的凭

据登录到 Active Directory。

创建 Kerberos 上下文时出错：时钟偏差太大 (Clock skew too great)

以下错误消息：

ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-

a8d9-5e288ac800fe]: Error creating kerberos context.

Identity bridging may not work

javax.security.auth.login.LoginException: Clock skew too great"

在 Unified Access Gateway 时间与 AD 服务器时间显著不同步时显示。重置 AD 服务器上的时间，使其

与 Unified Access Gateway 上的 UTC 时间完全匹配。


VMware, Inc. 170

创建 Kerberos 上下文时出错：名称或服务未知 (Name or service not known)

以下错误消息：

wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context.

Identity bridging may not work

javax.security.auth.login.LoginException: Name or service not known

在 Unified Access Gateway 使用 Keytab 文件中的用户详细信息无法访问配置的领域或无法连接到 KDC 时显示。确认以下内容：

n 已使用正确的 SPN 用户帐户密码生成 Keytab 文件，并已将其上载到 Unified Access Gateway

n 后端应用程序 IP 地址和主机名已正确添加到主机条目中。

接收用户 [email protected] 的 Kerberos 令牌时出错，错误: Kerberos 委派错误: 方法名称: gss_acquire_cred_impersonate_name: 未指定的 GSS 失败。次要代码可能会提供更多信息 (Error in receiving Kerberos token for user: [email protected], error: Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Unspecified GSS failure. Minor code may provide more information)

"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found

in Kerberos database"

如果显示此消息，请确认：

n 域之间的信任正常。

n 目标 SPN 名称配置正确。

错误故障排除：Cert-to-Kerberos

您在环境中配置 Cert-to-Kerberos 时，可能会遇到一些问题。您可以使用各种过程来诊断和修复这些问

题。

错误消息：内部错误。请联系您的管理员 (Internal error. Please contact your administrator)

在 /opt/vmware/gateway/logs/authbroker.log 中查找以下消息

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with

"Could not send OCSP request to responder: Connection refused (Connection refused) , will

attempt CRL validation"

此消息表示“X.509 证书”中配置的 OCSP URL 不可访问或不正确。


VMware, Inc. 171

OCSP 证书无效时发生的错误

"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify

signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."

当上载了无效的 OCSP 证书，或者 OCSP 证书被吊销时，会显示上述错误。

OCSP 响应验证失败时发生的错误

"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response:

CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN

revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify

signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."

OCSP 响应验证失败时，有时会显示上述错误。

错误消息：无法从以下会话检索客户端证书: <sessionId> (unable to retrieve client certificate from session: <sessionId>)

如果显示此消息：

n 请检查 X.509 证书设置并确定是否已进行配置

n 如果配置了 X.509 证书设置：请检查安装在客户端浏览器上的客户端证书，以确定该证书的颁发者是

否为 X.509 证书设置中“根和中间 CA 证书”字段上载的同一 CA。

端点合规性故障排除

您在环境中部署端点合规性检查提供程序时，可能会遇到一些问题。您可以使用各种过程来诊断和修复部

署问题。

注 Esmanager.log 中记录了有关用于合规性检查的设备的 MAC 地址信息。如果设备有多个网卡，或者

切换到不同的网络，此日志可帮助确定用于端点合规性检查的 MAC 地址。

Unified Access Gateway 显示“错误的客户端凭据 (Bad client credentials)”

Unified Access Gateway 通过调用 OPSWAT API 来验证所提供的客户端密钥和客户端密码。如果凭据

不正确，则不会保存设置，从而导致

错误的客户端凭据 (Bad client credentials)

错误。

验证“用户名”和“密码”字段中的客户端密钥和客户端密码正确无误。

要生成客户端凭据，请在此处 (https://gears.opswat.com/o/app/register) 注册您的应用程序。


VMware, Inc. 172

HTTPS://GEARS.OPSWAT.COM/O/APP/REGISTER

Unified Access Gateway 显示“DNS 无法解析主机 https://gears.opswat.com (DNS is not able to resolve the host https://gears.opswat.com)”

使用 ping 命令找到您所在区域的 gears.opswat.com 的 IP 地址。

然后，使用通过 ping 命令发现的 IP 地址为 https://gears.opswat.com 创建一个 /etc/hosts 条目。

从管理 UI 导航到“Horizon 设置”，并为 View Edge 服务提供主机条目中的值。

Unified Access Gateway 显示“连接到主机 https://gears.opswat.com 时请求超时 (The request timed out while connecting to the host https://gears.opswat.com)”

如果 UAG 中主机条目 gears.opswat.com 的配置不正确，或者 https://gears.opswat.com 不接受连

接请求，会发生此错误。

管理 UI 中的证书验证故障排除

如果您在验证 PEM 格式的证书时遇到错误，请在此处查找相关错误消息，以了解更多信息。

以下是可能会产生错误的情景列表。

错误问题

无效的 PEM 格式。可能是由于错误的 BEGIN 格式所致。请参阅

日志了解更多详细信息 (Invalid PEM format. Could be due to wrong BEGIN format. See log for more details)。

PrivateKey BEGIN 证书无效。

无效的 PEM 格式。异常消息: -----未找到 END RSA 私钥。请参

阅日志了解更多详细信息 (Invalid PEM format. Exception message: -----END RSA PRIVATE KEY not found. See log for more details)。

PrivateKey END 证书无效。

无效的 PEM 格式。异常消息: 创建 RSA 私钥

java.lang.IllegalArgumentException 时出现问题: 从 byte[] 构建序列失败: 损坏的流 - 找到超出范围的长度。请参阅日志了解更

多详细信息 (Invalid PEM format. Exception message: problem creating RSA private key: java.lang.IllegalArgumentException: failed to construct sequence from byte[]: corrupted stream - out of bounds length found. See log for more details)。

证书中的 PrivateKey 已损坏。

未能从 PEM 字符串中解析证书。请参阅日志了解更多详细信息

(Failed to parse certificates from PEM string. See log for more details)。

PublicKey BEGIN 证书无效。

遇到格式错误的 PEM 数据。请参阅日志了解更多详细信息

(Malformed PEM data encountered. See log for more details)。

PublicKey END 证书无效。

遇到格式错误的 PEM 数据。请参阅日志了解更多详细信息

(Malformed PEM data encountered. See log for more details)。

证书中的 PublicKey 已损坏。


VMware, Inc. 173

错误问题

没有目标/ 终证书可用于构建链接 (There are no target/end certificates to build the chaining)。

没有目标/ 终证书。

无法构建证书链路径，所有目标证书都无效。可能缺少中间/根证

书 (Not able to build cert chain path, all target certs are invalid. May be missing an intermediate/root certificates)。

没有可构建的证书链。

不明确的错误: 发现多个证书链，不确定该返回哪一个

(Ambiguous Error: Found more than one cert chain not sure which one to return)

存在多个证书链。

无法构建证书链路径，CertificateExpiredException: 证书已于

20171206054737GMT+00:00 过期。请参阅日志了解更多详细

信息 (Not able to build cert chain path, CertificateExpiredException: certificate expired on 20171206054737GMT+00:00. See log for more details)。

证书已过期。

上载 PEM 格式的证书时显示错误消息“在流中检测到意外数

据”(Unexpected data detected in stream)。链证书中的叶证书和中间证书之间缺少空行或其他属性。在叶证

书和中间证书之间添加一个空行可解决此问题。

图 7-4. 示例

防火墙和连接问题故障排除

您可以使用各种工具和命令（例如，tcpdump 和 curl）来监控、测试 Unified Access Gateway 实例中

出现的防火墙和连接问题，并对这些问题进行故障排除。

安装并运行 tcpdump

tcpdump 是一个命令行工具，您可以使用此工具来分析 TCP 数据包以进行故障排除和测试。

如果尚未在 Unified Access Gateway 实例上安装 tcpdump，请从命令行运行以下命令以安装 tcpdump：

/etc/vmware/gss-support/install.sh

以下示例显示了 tcpdump 的用法：

n 运行以下命令可监控特定端口上存在的流量。

注如果您指定端口 8443，请确保外部防火墙未阻止 UDP 8443。

a tcpdump -i eth0 -n -v udp port 8443

b tcpdump -i eth0 -n -v tcp port 8443

c tcpdump -i any -n -v port 22443


VMware, Inc. 174

n 运行以下命令可跟踪往返于 RADIUS 服务器与 Unified Access Gateway 之间的数据包：

nslookup <radius-server-hostname>

tracepath <radius-server-hostname>

tcpdump -i any -n -v port 1812

n 运行以下命令可跟踪往返于 RSA SecurID 服务器与 Unified Access Gateway 之间的数据包。

nslookup <rsa-auth-server-hostname>

tracepath <rsa-auth-server-hostname>

使用 curl 命令

您还可以使用 curl 命令检索有关网络连接的信息。

n 运行以下命令以测试到后端连接服务器或 Web 服务器的连接：

curl -v -k https://<hostname-or-ip-address>:443/

您可以在 esmanager.log 文件中查看后端服务器连接问题：

07/14 07:29:03,882[nioEventLoopGroup-7-1]ERROR

view.ViewEdgeService[onFailure: 165][]: Failed to resolve hostname

address in proxyDestinationUrl:xref:mbxxx-cs.xyz.in

n 您不能使用 tcpdump 测试到后端虚拟桌面（例如 PCoIP 4172 和 Blast 22443）的连接，因为这些桌

面在会话准备就绪之前不侦听这些端口号。请查看相关日志，以了解这些端口可能出现的连接故障。

n 运行以下命令以测试 Horizon 框架通道 TCP 连接：

curl -v telnet://<virtualdesktop-ip-address>:32111

n 运行以下命令以测试 Horizon MMR/CDR TCP 连接：


n 运行以下命令以测试从 Unified Access Gateway 到虚拟桌面的端口连接。在运行该命令之前，

请确保到虚拟桌面的会话处于活动状态。


PowerShell 命令

从 PowerShell 命令行运行以下命令可监控特定端口的连接情况：

1 Test-NetConnection <uag-hostname-or-ip-address> -port 443




VMware, Inc. 175

以 root 用户身份登录问题故障排除

如果您使用正确的用户名和密码以 root 用户身份登录到 Unified Access Gateway 控制台时收到“登录

不正确 (Login incorrect)”错误，请检查是否存在键盘映射问题并重置 root 密码。

出现登录错误的原因有多种：

n 使用的键盘没有根据 Unified Access Gateway 的键盘定义正确映射某些密码字符。

n 密码已过期。root 密码将在部署 OVA 文件 365 天后过期。

n 部署设备时未正确设置密码。这是较低版本的 Unified Access Gateway 存在的一个已知问题。

n 忘记了密码。

要测试键盘是否正确映射了字符，请尝试在响应“登录:”用户名提示时输入密码。这样您就能看到每个密

码字符，并且可以识别字符在何处被误解。

对于所有其他原因，请重置设备的 root 密码。

注要重置 root 密码，您必须：

n 拥有 vCenter 登录权限

n 知道 vCenter 登录密码

n 拥有设备控制台访问权限

如果您已经为设备设置了 Grub2 引导加载程序菜单密码，则需要在以下过程中输入此密码。

步骤

1 从 vCenter 重新启动设备并立即连接到控制台。

2 显示 Photon OS 初始屏幕时，按 e 进入 GNU GRUB 编辑菜单


VMware, Inc. 176

3 在 GNU GRUB 编辑菜单中，转到以 linux 开头的行结尾处，添加一个空格，然后键入 /boot/$photon_linux root=$rootpartition rw init=/bin/bash。添加这些值之后，GNU GRUB 编辑菜单

应与下图完全一样：

注对于 FIPS 设备，该行应为 linux /boot/$photon_linux root=$rootpartition rw init=/bin/bash fips=1


VMware, Inc. 177

4 按 F10 键，然后在 bash 命令提示符下输入 passwd 以更改密码。

passwd

New password:

Retype new password:

passwd: password updated successfully

5 重新引导设备 reboot -f

n 引导设备后，使用新设置的密码以 root 用户身份登录。

关于 Grub2 密码

您可以使用 Grub2 密码以 root 用户身份进行登录。

从 Unified Access Gateway 3.1 开始，默认情况下将设置 Grub2 编辑密码。

用户名是 root，密码与部署 Unified Access Gateway 时配置的 root 密码相同。除非您通过登录到计算

机来明确重置此密码，否则将永远不会对其进行重置。

注通过使用任何命令登录到计算机来手动更改 root 密码时，将不会重置 Grub2 密码。这两者是相互排

斥的。只有在部署过程中才会为两者设置相同的密码（对于 UAG 3.1 及更高版本）。

从 Unified Access Gateway 设备收集日志

从管理 UI 的“支持设置”部分中下载 UAG-log-archive.zip 文件。该 ZIP 文件包含来自 Unified Access Gateway 设备的所有日志。

设置日志级别

您可以从管理 UI 中管理日志级别设置。转到支持设置页，然后选择日志级别设置。可生成的日志级别有

“信息”、“警告”、“错误”和“调试”。日志级别默认设置为“信息”。

下面是对日志级别收集的信息类型的说明。


VMware, Inc. 178

表 7-5. 日志级别

级别收集的信息类型

信息 “信息”级别指定突出显示服务进度的信息消息。

错误 “错误”级别指定可能仍然允许服务继续运行的错误事件。

警告 “警告”级别指定可能存在危害的情况，但它们通常是可以恢复或可以忽略的。

调试指定通常对于调试问题、查看或操纵设备的内部状态以及在您的环境中测试部署方案可能比较

有用的事件。

跟踪指示诸如收集 Unified Access Gateway 统计信息、从 Unified Access Gateway 发送到后端

服务器的请求的详细信息等信息。

收集日志

从管理 UI 的“支持设置”部分下载日志 ZIP 文件。

这些日志文件是从设备上的 /opt/vmware/gateway/logs 目录中收集的。

下面的表格包含 ZIP 文件中包含的各种文件的说明。

表 7-6. 包含系统信息以帮助进行故障排除的文件

文件名说明 Linux 命令（如果适用）

version.info 包含操作系统版本、内核、GCC 和 Unified Access Gateway 设备。

ipv4-forwardrules 在设备上配置的 IPv4 转发规则。

df.log 包含有关设备上的磁盘空间使用情况的信息。 df -a -h --total

netstat.log 包含有关打开的端口和现有 TCP 连接的信息。 netstat -anop

netstat-s.log 从设备创建时开始收集的网络统计信息（发送/接收的字节数

等）。

netstat -s

netstat-r.log 在设备上创建的静态路由。 netstat -r

uag_config.json、

uag_config.ini、

uagstats.json

Unified Access Gateway 设备的整个配置，将所有设置显示为

一个 json 文件和一个 INI 文件。

ps.log 包含在下载日志时运行的进程。 ps -elf --width 300

ifconfig.log 设备的网络接口配置。 ifconfig -a

free.log 下载日志时的 RAM 可用性。 free

top.log 按下载日志时的内存使用情况排序的进程列表。 top -b -o %MEM -n 1

iptables.log IPv4 的 IP 表。 iptables-save

ip6tables.log IPv6 的 IP 表。 ip6tables-save

w.log 有关正常运行时间、计算机上的当前用户及其进程的信息。 w

systemctl.log 设备上当前正在运行的服务列表 systemctl

resolv.conf 用于将本地客户端直接连接到所有已知的 DNS 服务器


VMware, Inc. 179

表 7-6. 包含系统信息以帮助进行故障排除的文件（续）


hastats.csv 包含每个节点的统计信息以及每种后端类型（Edge Service Manager、VMware Tunnel、Content Gateway）的总统计信

息

system_logs_archive 目录包含以下日志文件：cpu.info、mem.info、sysctl.log 和

journalctl_archive。

cpu.info 包含从 /proc/cpuinfo 收集的虚拟机的 CPU 信息。

mem.info 包含从 /proc/meminfo 收集的关于虚拟机内存的信息，例如可

用内存总量、可用内存，等等。

sysctl.log 包含关于虚拟机的所有内核参数的信息。 sysctl -a

journalctl_archive 文件包含截止到下载存档之前过去 7 天的 journalctl 日志信

息。

例如，如果管理员在今天上午 9 点从 Unified Access Gateway 管理 UI 下载日志存档，则该存档包含截止到上午 9 点（含 9 点）以前过去 7 天的信息。

如果收集的日志大小小于或等于 25 MB，则只会生成单个

journalctl 文件。如果收集的日志大小超过 25 MB，则会创建

journalctl_archive 文件夹，其中将包含多个

journalctl.log

文件。

journalctl -x --since '1

week ago'

journald.conf 包含 journalctl 日志的配置信息。

system-logs-

collection-status.log

包含指示是否已成功收集以下日志文件的信息：cpu.info、

mem.info、sysctl.log 和 journalctl_archive。

hosts 包含 /etc/hosts 条目。

firstboot 包含首次引导 Unified Access Gateway 时生成的信息。

subsequentboot 包含在后续重新引导 Unified Access Gateway 期间生成的信

息。

vami-ovf.log 包含在部署过程中与 Unified Access Gateway 设备的配置相关

的信息，例如，OVF 属性、网络等。

表 7-7. Unified Access Gateway 的日志文件


supervisord.log 主管（Edge Service Manager 的管理器、管理员和

AuthBroker）日志。

esmanager-x.log、

esmanager-std-out.log

一个或多个 Edge Service Manager 日志，显示在设备上执行的

后端进程。

audit.log 所有管理员用户操作的审核日志。

authbroker.log 包含来自 AuthBroker 进程的日志消息，该进程处理 Radius 和

RSA SecurID 身份验证。

admin.log、admin-std-

out.log

管理员 GUI 日志。包含在端口 9443 上提供 Unified Access Gateway REST API 的进程的日志消息。

bsg.log 包含 Blast 安全网关的日志消息。


VMware, Inc. 180

表 7-7. Unified Access Gateway 的日志文件（续）


SecurityGateway_xxx.l

og

包含 PCoIP 安全网关的日志消息。

utserver.log 包含来自 UDP 隧道服务器的日志消息。

activeSessions.csv 活动 Horizon 或 WRP 会话列表。

haproxy.conf 包含用于 TLS 端口共享的 HA 代理配置参数。

vami.log 包含在部署期间运行 vami 命令以设置网络接口而生成的日志消

息。

content-gateway.log、

content-gateway-

wrapper.log、

0.content-gateway-

YYYY-mm.dd.log.zip

包含来自 Content Gateway 的日志消息。

admin-zookeeper.log 包含与用于存储 Unified Access Gateway 配置的数据层相关的

日志消息。

package-updates.log 包含有关应用到 Unified Access Gateway 版本（已在您的环境

中发布和部署）的软件包更新（操作系统和 Unified Access Gateway）状态的日志消息。

tunnel.log 包含来自作为 XML API 处理一部分的隧道进程的日志消息。您

必须在 Horizon 设置中启用 Tunnel 才能看到此日志。

tunnel_snap.log 包含指示是否已成功收集 VMware Tunnel 服务器和代理日志的

信息。

tunnel-snap.tar.gz 包含 VMware Tunnel 服务器和代理日志的 Tarball。

appliance-agent.log 设备代理（用于启动 Workspace ONE UEM 服务）日志。

config.yml 包含 Content Gateway 配置和日志级别详细信息。

smb.conf 包含 SMB 客户端配置。

smb-connector.conf 包含 SMB 协议和日志级别详细信息。

以“-std-out.log”结尾的日志文件包含写入到各种进程的 stdout 中的信息，这些文件通常是空文件。

表 7-8. Unified Access Gateway 日志文件的日志轮换信息

日志文件名位置属性

admin-zookeeper.log /opt/vmware/gateway/conf/log4j-admin.properties log4j.appender.zookeeper.Ma

xFileSize=10MB

log4j.appender.zookeeper.Ma

xBackupIndex=5

admin.log /opt/vmware/gateway/conf/log4j-admin.properties log4j.appender.default.MaxF

ileSize=10MB

log4j.appender.default.MaxB

ackupIndex=5


VMware, Inc. 181

表 7-8. Unified Access Gateway 日志文件的日志轮换信息（续）

日志文件名位置属性

audit.log /opt/vmware/gateway/conf/log4j-admin.properties log4j.appender.adminAudit.M

axFileSize=10MB

log4j.appender.adminAudit.M

axBackupIndex=5

authbroker.log /opt/vmware/gateway/conf/log4j-

authbroker.properties

appender.rollingFile.polici

es.size.size=10MB

appender.rollingFile.strate

gy.max=5

bsg.log /opt/vmware/gateway/lib/bsg/absg.properties logFilesize=8*1024*1024

logBackupCount=5

esmanager.log /opt/vmware/gateway/conf/log4j-esmanager.properties log4j.appender.default.MaxF

ileSize=25MB


ackupIndex=10

tunnel.log /opt/vmware/gateway/conf/log4j-tunnel.properties log4j.appender.default.MaxF

ileSize=25MB


ackupIndex=5

/Var/log/journal 中存

在的文件

/etc/systemd/journald.conf SystemMaxUse=1G

keepalived.log /etc/logrotate.d/keepalived rotate 5

size 5M

haproxy.log /etc/logrotate.d/haproxy rotate 5

size 25M

/var/log/messages

/var/log/cron

/etc/logrotate.d/messages_and_cron rotate 20

size 50M

maxage 30

Syslog 格式和事件

Syslog 服务器会记录在 Unified Access Gateway 设备上发生的事件。这些事件捕获到具有特定格式的日

志文件中。为帮助您了解生成事件时捕获的部分信息，本主题列出了事件、事件示例和 Syslog 格式。

Syslog 格式

Syslog 审核事件记录在 audit.log 中，Syslog 事件记录在 admin.log 和 esmanager.log 文件中。所

有日志文件均采用特定格式。

下表列出了日志文件、其相应的格式和字段说明：

注生成的事件遵循日志格式；但是，这些事件可能仅包含使用相应格式的某些字段。


VMware, Inc. 182

日志文件日志格式

n audit.log

n admin.log<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>

esmanager.log

<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message>

字段说明

<timestamp> 表示事件在 Syslog 服务器中生成和记录的时间。

<UAG hostname> Unified Access Gateway 设备的主机名。

<appname> 生成事件的应用程序。

注根据日志文件，此字段的值如下：UAG-AUDIT、UAG-ADMIN 和

UAG-ESMANAGER。

<thread id> 生成事件的线程 ID。

<log level> 在日志消息中收集的信息类型。

有关日志记录级别的更多信息，请参阅从 Unified Access Gateway 设备收集日志。

<file name> 用于生成日志的文件名。

<function name> 该文件中用于生成日志的函数名称。

<line no.> 日志在文件中的行号。

<client IP> 向 Unified Access Gateway 设备发送请求的组件（例如

Horizon Client、负载均衡器等）的 IP 地址。

<session type> 为其创建会话的 Edge 服务（例如 Horizon 和 Web 反向代

理）。

如果会话用于 Web 反向代理，则会话类型为 WRP- <instanceId>。

注 <instanceId> 是 Web 反向代理 Edge 服务的实例 ID。

<session id> 会话的唯一标识符。

<log message> 提供有关事件中所发生情况的摘要。

Syslog 审核事件

下表介绍了审核事件，并提供了一些示例：


VMware, Inc. 183

事件描述事件样本

当管理员登录到 Unified Access Gateway 管理 UI、在管理 UI 中执行配置更改或注销管理 UI 时记录事件。

n Sep 8 08:50:04 UAG Name UAG-AUDIT:

[qtp1062181581-73]INFO

utils.SyslogAuditManager[logAuditLog: 418] -

LOGIN_SUCCESS:

SOURCE_IP_ADDR=Client_Machine_IP_Address

USERNAME=admin


[qtp1062181581-79]INFO


LOGOUT_SUCCESS:


USERNAME=admin


[qtp1062181581-80]INFO


CONFIG_CHANGE:


USERNAME=admin: CHANGE=allowedHostHeaderValues:

(null->) - tlsSyslogServerSettings:(null->[]) -

dns:(null->) - sshPublicKeys:(null->[]) -

ntpServers:( - null->) -

adminPasswordExpirationDays:(90->50) -

dnsSearch:(null->) - fallBackNtpServers:(null->)

-

n Sep 8 07:32:01 UAG Name UAG-ADMIN:

[qtp1062181581-27]INFO utils.SyslogManager[save:

57] -

SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:

(null->) - tlsSyslogServerSettings:(null->[]) -

dns:(null->) - sessionTimeout:

(9223372036854775807->36000000) - sshPublicKeys:

(null->[]) - ntpServers:(null->) - dnsSearch:

(null->) - fallBackNtpServers:(null->) -

Syslog 事件

下表介绍了系统事件，并提供了一些示例：


VMware, Inc. 184


当相应地启动和停止在 Unified Access Gateway 中配置的任何

Edge 服务时记录事件。

在以下事件示例中，UAG Name 选项作为管理 UI 中 Unified Access Gateway 的系统配置的一部分进行配置：

n Sep 9 05:36:55 UAG Name UAG-ESMANAGER: [Curator-

QueueBuilder-0]INFO utils.SyslogManager[start:

355][][][][] - Edge Service Manager : started

n Sep 9 05:36:54 UAG Name UAG-ESMANAGER: [Curator-

QueueBuilder-0]INFO utils.SyslogManager[stop:

1071][][][][] - Edge Service Manager : stopped

当在 Unified Access Gateway 管理 UI 上启用或禁用 Web 反向代理设置时记录事件。

n Sep 8 09:34:52 UAG Name UAG-ESMANAGER: [main-

EventThread]INFO

utils.SyslogManager[stopService: 287][][][][] -

Reverse Proxy Edge Service with instance id

'wiki' : stopped


EventThread]INFO

utils.SyslogManager[startService: 211][][][][] -

Reverse Proxy Edge Service with instance id

'wiki' : started


VMware, Inc. 185


当在 Unified Access Gateway 管理 UI 上启用或禁用 Horizon Edge 服务设置时记录事件。


EventThread]INFO

utils.SyslogManager[startService: 335][][][][] -

Horizon Edge Service : started


EventThread]INFO

utils.SyslogManager[stopService: 702][][][][] -

Horizon Edge Service : stopped

当建立的 Horizon 会话包含会话创建、用户登录、用户身份验

证、桌面启动和会话终止时记录事件。

虽然此过程中会记录多个事件，但示例事件包括登录场景、用户

身份验证成功和故障场景以及身份验证超时。在其中一个示例

中，为 Horizon 配置了 RADIUS 身份验证方法：

n Sep 8 07:28:46 UAG Name UAG-ESMANAGER:

[nioEventLoopGroup-46-1]INFO

utils.SyslogManager[write: 163]

[Client_Machine_IP_Address][][][5a0b-***-7cfa] -

Created session : 5a0b-***-7cfa



utils.SyslogManager[putUserNameInMDC: 494]

[Client_Machine_IP_Address][testradius][Horizon]

[5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa

username:testradius

n Sep 8 07:28:51 UAG Name UAG-ESMANAGER: [jersey-

client-async-executor-1]INFO

utils.SyslogManager[logMessage: 190]


[5a0b-***-7cfa] - Authentication successful for

user testradius.Auth type: RADIUS-AUTH, Sub

type: passcode



utils.SyslogManager[processDocument: 110]


[5a0b-***-7cfa] - Authentication attempt

response - partial



utils.SyslogManager[putUserNameInMDC: 494]

[Client_Machine_IP_Address][user name][Horizon]

[5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa

username:user name



utils.SyslogManager[processXmlString: 190]


[5a0b-***-7cfa] - Authentication attempt - LOGIN

initiated




VMware, Inc. 186


utils.SyslogManager[processDocument: 110]


[5a0b-***-7cfa] - Authentication attempt

response - ok



utils.SyslogManager[setAuthenticated: 384]


[5a0b-***-7cfa] -

HORIZON_SESSION:AUTHENTICATED:Horizon session

authenticated - Session count:9, Authenticated

sessions: 2



utils.SyslogManager[onSuccess: 109]


[5a0b-***-7cfa] - Horizon Tunnel connection

established



utils.SyslogManager[resolveHostName: 234]


[5a0b-***-7cfa] - Accessing virtual/rdsh desktop

using protocol BLAST with IP Address IP_Address



utils.SyslogManager[onSuccess: 293]


[5a0b-***-7cfa] - BSG route 5504-***-2905 with

auth token Ob6NP-***-aEEqK added



utils.SyslogManager[terminateSession: 450]

[Client_Machine_IP_Address][uesr name][Horizon]

[5a0b-***-7cfa] -

HORIZON_SESSION:TERMINATED:Horizon Session

terminated due to logout - Session count:9,

Authenticated sessions: 2


Secure Email Gateway 配置为使用 Syslog 配置，并将作为 Unified Access Gateway 系统设置的一部

分进行配置。默认情况下，Secure Email Gateway 中只有 app.log 的内容将作为 Syslog 事件触发。

有关 Syslog 配置的更多信息，请参阅配置 Unified Access Gateway 系统设置。

VMware Tunnel

有关更多信息，请参阅位于 VMware Docs 的 VMware Workspace ONE UEM 产品文档中的访问日志和

Syslog 集成以及配置 VMware Tunnel。


VMware, Inc. 187


导出 Unified Access Gateway 设置

可从管理 UI 中采用 JSON 和 INI 格式导出 Unified Access Gateway 配置设置。

您可以导出所有 Unified Access Gateway 配置设置，并采用 JSON 或 INI 格式保存这些设置。您可以通

过 Powershell 脚本使用导出的 INI 文件来部署 Unified Access Gateway。

步骤

1 导航到支持设置 > 导出 Unified Access Gateway 设置。

2 单击 JSON 或 INI 以采用您所需的格式导出 Unified Access Gateway 设置。要采用这两种格式保存

设置，请单击日志存档按钮。

默认情况下，这些文件将保存在您的“下载”文件夹中。

导入 Unified Access Gateway 设置

Unified Access Gateway 管理 UI 提供了一个用于以 JSON 格式导出配置设置的选项。以 JSON 格式导

出配置设置后，您可以使用导出的 JSON 文件来配置新部署版本的 Unified Access Gateway 设备。

步骤

1 导航到支持设置>导出 Unified Access Gateway 设置。

2 单击“JSON”以使用 JSON 格式导出 Unified Access Gateway 设置。

默认情况下，文件将保存在您的“下载”文件夹中

3 删除旧的 Unified Access Gateway 设备，或将其置于静默模式，以便稍后删除。

4 部署新版本的 Unified Access Gateway 设备

5 导入以前导出的 JSON 文件。

错误故障排除：Content Gateway

您在环境中配置 Content Gateway 时，可能会遇到一些问题。可使用以下过程来诊断和修复相关问题。

用户使用在 NetApp 服务器上托管的共享时遇到的同步、下载和上载问题。

1 登录 Workspace ONE UEM console。

2 导航到 Content Gateway 配置页面。

3 在自定义网关设置部分中，单击添加行。

4 在显示的表中，输入以下值：

n 键 = aw.fileshare.jcifs.active

n 类型 = Boolean

n 值 = true


VMware, Inc. 188

默认值为 false。

5 单击保存。

6 在 Unified Access Gateway 管理 UI 中，导航到 Content Gateway 设置页面。

7 单击保存。

注保存 Unified Access Gateway 管理 UI 中的设置时，将从 Workspace ONE UEM console 中获

取 Content Gateway 配置，并重新启动 Content Gateway 服务。

要使 Content Gateway 配置更改生效，必须更新 Workspace ONE UEM console 中的值，然后保存

Unified Access Gateway 管理 UI 中的 Content Gateway 设置。

高可用性故障排除

您在环境中配置“高可用性”时，可能会遇到一些问题。您可以使用各种过程来诊断和修复这些问题。

1 登录到 Unified Access Gateway 控制台。

2 运行 ip addr 命令，以检查是否已将配置的虚拟 IP 地址分配给 eth0 接口。

3 确保已在 eth0 接口所在的同一子网中分配了虚拟 IP 地址。确保该地址可以从客户机访问。如果出现

连接问题，可能是因为虚拟 IP 地址不是唯一的，且已分配给物理机或虚拟机。

4 在日志包中的 haproxy.conf 文件中，提供与当前集群相关的配置。例如，

server uag1 127.0.0.1:XXXX .....

server uag2 <IP of machine 2>:XXXX ....

server uag3 <IP of machine 3>:XXXX ....

后端配置基于 Unified Access Gateway 上配置的设置

n Lb_esmanageris 适用于 Horizon 和 Web 反向代理用例。

n lb_cg_server 适用于 Content Gateway 用例。

n Lb_tunnel_server 适用于 Tunnel 用例。

5 在日志包中的 haproxy.conf 文件中，您可以找到有关客户端连接源、已发送的相应连接，以及负责

处理连接的 Unified Access Gateway 服务器的详细信息。例如，

2018-11-27T07:21:09+00:00 ipv6-localhost haproxy[15909]:

incoming:::ffff:<IP of Client:xxxx> backend:lb_esmanager

connecting-server:uag2/<IP of uag2> connecting-through:<IP of primary

node:xxxx> wait-time:1 connect-time:0 total-incoming:1 total-outgoing:1

total-to-server:1

6 要查看统计信息，请参阅从 Unified Access Gateway 设备中收集日志。


VMware, Inc. 189

表 7-9. CSV 文件示例

列名称说明

scur 指示该服务器处理的当前并发连接数。

smax 该服务器在当前正常运行时间期间处理的并发连接数上限。

stot 指示该服务器在当前正常运行时间期间处理的总连接数。

bin 指示发送到该服务器的总字节数。

bout 指示从该服务器接收的总字节数。

status 指示该服务器的状态。例如，服务器正在运行还是已关闭。状态取决于近一次对该服务器执行的运行状况

检查。

7 在以下情况下可能看到多个主节点选取问题：

n 在用于构成集群的节点上配置了不同的组 ID 或虚拟 IP 地址。

n 虚拟 IP 地址和 eth0 位于不同的子网中。

n 在同一个子网内为 Unified Access Gateway 配置了多个网卡。

安全性故障排除：佳实践

当服务在您的 Web 服务器中检测到负载平衡设备时，这一有关您网络的附加信息会是一个漏洞。您可以

使用各种过程来诊断和修复这些问题。

可使用多种不同的技术来检测负载平衡设备是否存在，其中包括分析 HTTP 标头以及分析 IP 生存时间

(Time-To-Live, TTL) 值、IP 标识 (ID) 值和 TCP 初始序列号 (Initial Sequence Number, ISN)。负载平衡

器后面的 Web 服务器的确切数量很难确定，因此报告的数量可能不准确。

此外，Netscape Enterprise Server 版本 3.6 已知在收到多个请求时，会在 HTTP 标头中显示一个错误的

"Date:" 字段。这使得服务很难通过分析 HTTP 标头来确定负载平衡设备是否存在。

此外，执行扫描后，分析 IP ID 和 TCP ISN 值所得出的结果可能会因网络状况的不同而有所差异。通过利

用此漏洞，入侵者可以结合使用此信息和其他信息来针对您的网络实施复杂的攻击。

注如果负载平衡器后面的 Web 服务器不相同，则在每个服务器中执行的 HTTP 漏洞扫描可能得到不同

的扫描结果。

n Unified Access Gateway 是通常安装在隔离区 (DMZ) 中的设备。以下步骤可帮助您保护 Unified Access Gateway，防止漏洞扫描程序检测此问题。

n 要防止基于 HTTP 标头分析来检测负载平衡设备是否存在，您应该使用网络时间协议 (Network-Time-Protocol, NTP) 同步所有主机（至少 DMZ 中的主机）上的时钟。

n 要防止通过分析 IP TTL 值、IP ID 值和 TCP ISN 值进行检测，您可以使用带有可为这些值生成随

机数的 TCP/IP 实施的主机。但是，当今可用的大多数操作系统都不附带此类 TCP/IP 实施。


VMware, Inc. 190

受 Unified Access Gateway 管理 UI 设置中更改影响的用户会话

更改某些 Unified Access Gateway 管理 UI 设置时，现有的 XMLAPI 会话（Unified Access Gateway 会话）可能会终止，进而导致终用户无法访问已启动的桌面和应用程序。更改的设置可能只影响已启动

的桌面和应用程序，或者同时影响 XMLAPI 以及桌面或应用程序会话。

您必须计划在维护时段内更改 Unified Access Gateway 管理 UI 设置。

管理 UI 设置

影响现有 Unified Access Gateway 会话

影响已启动的桌面和应用

程序

导入设置

您可以使用此管理 UI 部分导入之前从以前的部署中

导出的 JSON 文件，以便配置 Unified Access Gateway 设备的新部署版本。

Yes Yes

Horizon 设置

启用 PCOIP No Yes

启用 Blast No Yes

启用 UDP 隧道服务器 No Yes

启用隧道 Yes Yes

禁用 Horizon Edge 服务 Yes Yes

身份验证设置

X.509 证书 Yes Yes

系统配置

区域设置 Yes Yes

密码套件 Yes Yes

启用 TLS 1.0 Yes Yes




Syslog URL Yes Yes

Syslog 审核 URL Yes Yes

要缓存的 Cookie Yes Yes

监控时间间隔 Yes Yes

网络设置 Yes Yes

高可用性设置 Yes Yes

TLS 服务器证书设置（仅限面向 Internet 的接口） Yes Yes


VMware, Inc. 191

部署和配置 vmware unified access gateway - unified ......syslog 格式和事件 182 导出...

Documents