一.问题说明在Horizon环境下交付桌面之前,在验证过程中使用Horizon client登录错误消息。 无法建立安全的加密链接连接,如下图所示。
UAG软件版本: 3.9
二.分析处理1、检查客户端SSL配置选项。 下图:
2、检查租户UAG admin管理接口TLS协议版本是否正确选择:
如上所述,UAG页面允许您设置安全协议和加密算法,以加密客户端和统一访问网关设备之间的通信。
默认设置包括使用128位或256位AES加密的密码套件(匿名DH算法除外),并按强度排序。 默认情况下,TLS v1.2处于启用状态。 TLS v1.0、TLS v1.1和SSL v3.0已被禁用。
3、检查UAG是否来了和协议URL是否正确配置。 使用域名连接登录桌面时,URL也需要使用域名,不需要pcoip :
4、上述检查成功后,重新登录连接测试验证:
如上所述,此时可以正常登录。
三.附录:知识扩展的UAG高级管理和监控1 )部署统一访问网关设备时生成默认的TLS/SSL服务器证书。 对于生产环境,VMware建议尽快更换默认证书。 默认证书不是由受信任的证书颁发机构签名的。 请仅在非生产环境中使用默认证书。
2 ) UAG的API标准: https://access-point-appliance.example.com :9443/rest/swagger.YAML。 这里,AP的ip是UAG的ip。
创建一个指定要使用的协议和密码套件的JSON请求。
{ ' cipher suites ' : ' TLS _ ECD he _ RSA _ with _ AES _ 128 _ GCM _ sha 256,TLS _ ECD he _ RSA _ with _ AES _ AES ' SSL 30启用' : ' false ',' TL S10启用' 3360 ' falled ' ' TLS 12启用' : ' true ' ' curl或postman等**REST
curl-k-d @-- u ' admin '-h ' content-type : application/JSON '-xput https://access-point-appliance.example . ciphers.json是上面创建的JSON请求。 通过这种配置,客户端连接到桌面时,将使用指定的加密加密套件和传输协议来确保数据和连接的安全。 相关密码套件和协议的特定属性:有关cipherSuites、SSL 30禁用、TL S10启用、t ls11禁用和TLS 12启用的信息,请自行通过互联网联系相关资料
3 )监视Edge服务会话统计信息
统一访问网关提供有关每个Edge服务器的活动会话的信息。 通过Edge服务管理UI,可以快速验证部署的服务是否已配置,以及是否已成功启动和运行。
如果配置充分,将显示更多列表。
说明:
Edge 服务:列出要查看其会话统计信息的特定Edge服务。
总会话数:显示活动会话和非活动会话的总数。
活动会话 (已登录会话):显示已验证且正在进行的会话数。
非活动会话:显示未验证的会话数。
失败登录尝试次数:显示登录尝试失败的次数。
会话上限:显示给定时间点的最大并发会话数。
33558 www.Sina.com/:显示使用pcoip建立的会话数。
33558 www.Sina.com/:显示使用blast建立的会话数。
33558 www.Sina.com/:显示使用horizon隧道建立的会话数。
PCoIP 会话:Horizon、反向代理(jira )、反向代理(sp_blr )和反向代理(sp_https )
_saml)、反向代理 (sp_multi_domain)、VMware Tunnel实际的会话统计信息是由API获得:https://:9443/rest/v1/monitor/stats,如下:
说明:下图是分别Horizon View、Web 反向代理、VMware Tunnel各功能模块下属性含义
3)UAG已部署服务的运行状况监控
上图指示灯为绿色,表当前部署的服务是否已正确配置且已成功启动运行,与目标服务通信正常:另说明其他颜色编码含义,如下所示:
●黑色空圈 - 表设置未进行配置。
●红色圆圈 - 表服务已关闭。
●黄色圆圈 -表服务正在部分运行,或部分服务运行异常导致通信异常。
●绿色圆圈 - 服务正在运行,不存在任何问题。
4)Unified Access Gateway 显示“连接到主机 https://gears.opswat.com 时请求超时 (The request timed out while connecting to the host https://gears.opswat.com)”
原因:如果 UAG 中horizon 连接的URL条目 gears.opswat.com 的配置不正确,或者 https://gears.opswat.com 不接受连接请求,会发生此错误。
5)UAG实例虚拟机删安装tcpudump,执行以下脚本:
/etc/vmware/gss-support/install.sh
6)运行以下命令以测试UAG到后端连接服务器或 Web 服务器的连接:
curl -v -k https://:443/ ##TA的IP,可以在 esmanager.log 文件中查看后端服务器连接问题
但不能使用 tcpdump 测试到后端虚拟桌面(例如 PCoIP 4172 和 Blast 22443)的连接,因为这些桌面在会话准备就绪之前不侦听这些端口号。
curl -v telnet://:32111 ##测试 Horizon 框架通道 TCP 连接
curl -v telnet://:9427 ##测试 Horizon MMR/CDR TCP 连接
curl -v telnet://:22443 ##测试从 Unified Access Gateway 到虚拟桌面的端口连接
如果使用PowerShell 命令行,可运行以下命令可监控特定端口的连接:
Test-NetConnection -port 443
Test-NetConnection -port 8443
Test-NetConnection -port 4172
7)UAG的root密码和 Grub2 密码
root 密码将在部署 OVA 文件 365 天后过期。使用 Grub2 密码以 root 用户身份进行登录。从 Unified Access Gateway 3.1 开始,默认情况下将设置 Grub2 编辑密码。用户名是 root,密码与部署 Unified Access Gateway 时配置的 root 密码相同。除非您通过登录到计算机来明确重置此密码,否则将永远不会对其进行重置。
8)从 Unified Access Gateway 设备收集日志
从管理 UI 的“支持设置”部分中下载 UAG-log-archive.zip 文件。该 ZIP 文件包含来自 Unified Access Gateway 设备的所有日志,这些日志文件是从UAG设备上的 /opt/vmware/gateway/logs 目录中收集的。
另外,UAG设备上其他系统信息可以帮助进行故障排除的文件,可参考下图所列:
Unified Access Gateway 的日志文件说明:
注:以“-std-out.log”结尾的日志文件包含写入到各种进程的 stdout 中的信息,这些文件通常是空文件。