VMware Horizon 7.12 Security Yedekleme Gereksinimi ?

Horizon Security Server, Horizon kurulumunun yapılandırması hakkında herhangi bir bilgi içermez ve bu nedenle yedekleme gereksinimi de yoktur.

Kendinden imzalı SSL sertifikasının güvenilir bir dahili veya Public sertifika yetkilisinden biriyle değiştirildiği varsayılarak, bu sertifikanın özel anahtarı içeren bir yedeğinin tutulması önemlidir.

Horizon Security Server herkese açık olarak erişilebilen bir sunucu olduğundan, günlük dosyalarını düzenli olarak yedeklemek isteyebilirsiniz. Bu dosyalar her Horizon Security Server sunucusunda aynı klasörde bulunur: “%ALLUSERSPROFILE%\Application Data\VMware\VDM\logs” periyodik olarak bu dizinin yedeklenmesi önemlidir.  

Hizmet kalitesinde herhangi bir kesintiye karşı önlem almak adına; periyodik olarak sanal makine yedeklemesi yapabilirsiniz.

VMware Horizon 7.12 Security Server Kurulumu

Horizon Server kurulumu için önkoşullar yerinde getirilmesi ve eşleştirme parolası ayarlandığında, artık Security Server’ı yükleyebiliriz. Horizon Security Server yazılımı, “VMware-Horizon-Connection-Server-x86_64-7.12.0-15770369.exe” benzer bir biçimde adlandırılan tek bir yürütülebilir (EXE) dosya olarak teslim edilir.

Kurulum sihirbazını başlatmak için Horizon Connection Server kurulum paketi “Run as administrator” seçeneği ile başlatılır.

Kurulum sihirbazının karşılama adımında sihirbazını başlatmak için “Next” butonuna basılır.

Okumaya devam et “VMware Horizon 7.12 Security Server Kurulumu”

VMware Horizon 7.12 Security Server’de Pairing Password Yapıladırması

VMware Horizon Security Server kurulumuna başlamadan önce, bir eşleştirme parolası oluşturarak Connection Server’da Security Server için hazırlık gerekecektir. Bu şifre iki sunucuyu güvenli bir şekilde birbirine bağlamak için kullanılacaktır. Bu bağlantıyı ben bluetooth cep telefonunuzun arabanızdaki eller serbest sistemiyle eşleştirmek için kullandığınız işleme benzetirim.

Horizon Security Server, Horizon Administrator konsolunda belirtilen bir parola kullanılarak Horizon Connection Server ile eşleştirilir. Bu parola Security Server’ın yüklenmesi sırasında girilir ve özel ağdaki Connection Server ile güvenli iletişim kurulmasını sağlar.

Aşağıdaki adımlarda parolanın nasıl oluşturulacağı adım adım açıklanmaktadır.

VMware Horizon Connection Server’da yönetici ayrıcalıklarına sahip kullanıcı hesabı ile Horizon Administrator (Flex) ile oturun açınız.

Açılan Horizon Manager sayfasında sırasıyla; “View Configuration” -> “Servers” -> “Connection Servers” sayfasına gidiniz.

Security Server ile eşleştirmek istediğiniz Connection Server’i seçiniz, “More Commands” butonuna tıklatınız ve “Specify Security Server Pairing Password …” seçiniz.

Specify Security Server Pairing Password” penceresinde bir parola ve geçerli olacağı süreyi belirtin.

Bu ekranda parola belirtildiğinde, Security Server yüklemesi işlemine başlayabilirsiniz. Parola zaman aşımı kutusuna bu parolanın geçerli olması için bir zaman girin. Ayarladığınız sürenin Security Server’ı kurmak için size yeterli zaman tanıdığından emin olun. Parolanın süresi dolmadan kurulumun tamamlanamaması durumunda, yeni bir parola oluşturmanız yeterlidir. Bu durum geri dönmeniz ve yeni bir eşleme şifresi ayarlamanıza engel olur. Açılır kutudan şifre için yaşayacağınız sürenin saat mi yoksa dakika mı olduğunu da seçebilirsiniz. Bu ekranda işlemler tamamladığınızda “OK” butonuna tıklayınız.

VMware Horizon 7.12 Security Server Sistem Gereksinimleri

Horizon Security Server için kurulum ve yapılandırma işlemi bir miktar hazırlık gerektirir. Bu bölüm, kuruluma başlamadan önce nelerin gerekli olduğunu açıklayacaktır. Horizon Security Server yüklenmeden önce ele alınması gereken birkaç önkoşul vardır:

  • Lisans anahtarına sahip ve yapılandırılmış en az bir adet Horizon Connection Server olmalıdır.
  • Horizon Security Server rolünü barındırmak için; Windows 2008 R2 SP1, Windows Server 2012, Windows Server R2, Windows Server 2016 veya Windows Server 2019 sunucusu gerekir.
  • Security Server sunucusu için her biri için iki ağ bağdaştırıcınız ve statik bir IP adresiniz olmalıdır (bir bağdaştırıcı Public, diğeri LAN ağında olmalıdır).
  • Security Server sunucusu, eşleştireceği Connection Server FQDN’sini DNS veya hosts dosyasını kullanarak isim çözümleyebilmelidir.
  • Geçerli bir Horizon Connection Server eşleştirme (pairing password) parolanızın olması gerekir.
  • Güvenlik duvarı erişimi, Horizon Security Server ile özel ağdaki gerekli Horizon bileşenleri arasında gereklidir.
  • Internet ve Horizon Security Server arasında güvenlik duvarı erişimi.
  • Horizon Security Server’a erişmek için kullanılacak çözümlenebilir bir genel URL. (public dns de ptr kaydı)
  • Security Server’da yerel yönetici (local administrator) erişiminizin olması gerekir.

VMware Horizon 7.12 Security Server Network Port Gereksinimi

Aşağıdaki diyagramda Horizon Security Server tarafından kullanılan birincil protokollerin Horizon altyapısının diğer bileşenleri ile nasıl çalıştığı gösterilmektedir. Diyagram bir Horizon altyapısının aşağıdaki bileşenlerini göstermektedir:

  • Horizon Security Server ile Horizon Masaüstü veya Uygulaması arasındaki iletişim.
  • Horizon Security Server ile Horizon Connection Server arasındaki iletişim.

Oklar, varsayılan ayarların kullanıldığı varsayılarak her protokolün hareket ettiği yönü gösterir:

Okumaya devam et “VMware Horizon 7.12 Security Server Network Port Gereksinimi”

VMware Horizon 7.12 Security Server High-Availability

Horizon Security Server’ları dağıtırken bunun yüksek kullanılabilirlik gereksinimlerimizi nasıl etkilediğini bilmek oldukça önemlidir. Bu bölümde, hem iç, hem de dış istemcilere hizmet vermesi gereken yüksek düzeyde kullanılabilir bir Horizon altyapısının nasıl görüneceğine genel bir bakış sunacaktır.

Aşağıdaki şemada, aşağıdaki dört gereksinimi karşılayan bir Horizon altyapısı gösterilmektedir:

  • Internal Horizon istemcileri, Connection Server’larda yük dengeli bağlantılar kullanır.
  • Remote Horizon istemcileri, Connection Server’larda yük dengeli bağlantılar kullanır.
  • DMZ’ye kurulan Security Server’lar.
  • Yalnızca uzak Horizon istemcileri için geçerli olan iki faktörlü kimlik doğrulama veya bağlantı tünelleme kullanabilirler.

Diyagram Horizon masaüstlerine veya uygulamalarına bağlantıları göstermez; sadece yük dengeleme cihazlarının yerleşimini göstermek ve birden fazla Horizon Security Server içeren bir ortamda gerçek yüksek kullanılabilirliğin nasıl elde edilebileceğini göstermek içindir. Ayrıca, bu istemciler uzak istemcilerle aynı güvenlik ayarlarını gerektirmediğinden, iç istemciler için ek Connection Server’ları kullanıldığını gösterir:

Bu Horizon mimarisi, Horizon istemcilerinin şu iki senaryodan birinin gerçekleşmesi durumunda bağlanabilmesini veya yeniden bağlanabilmesini sağlar:

  • Şemada gösterilen dört Connection Server’dan herhangi birinde sorun yaşanması durumunda,
  • Security Server’dan herhangi birinde sorun yaşanması durumunda. Tek bir Horizon Security Server, birden fazla Connection Server ile eşleştirilemediğinden, Securty Server ile Connection Server arasına bir yük dengeleyici yerleştirmeye gerek yoktur. Security Server’ların yük dengelemesi, bir Security Server veya eşleştirildiği Connection Server olsun, hangi sunucunun başarısız olduğuna bakılmaksızın Horizon istemci bağlantısının korunmasını sağlar.

VMware Horizon 7.12 Security Server Limitleri

Horizon Security Server, bağlandığı Connection Server destekleyebileceği sayının yarısı olan 2.000’e kadar eşzamanlı Horizon istemci bağlantısını destekleyebilir. Bu nedenle hem kapasite hem de kullanılabilirlik gereksinimlerinin karşılanması için birden fazla Security Server kullanılması oldukça önemlidir.

Her Horizon Security Server bağımsız bir örnektir; bu nedenle, kaç tanesinin konuşlandırılabileceğine dair özel bir kılavuz yoktur. Horizon Security Server, yalnızca bir Horizon Connection Server ile eşleştirilebilirken, Connection Server birden çok Security Server ile eşleştirilebilir.

Ne kadar çok Horizon Connection Server kurarsanız, o kadar çok Security kullanmanız gerektiğini unutmayın. Örneğin, en fazla 7 etkin Connection Server dağıtırsanız ve Security Server hepsiyle eşleştirmek istiyorsanız, yedeklilik sağlamak için 14 Security Server veya Connection Server başına iki tane dağıtmanız gerekir. Horizon altyapınızı tasarlarken, tüm katmanlarını gereksiz hale getirmek isteyeceksiniz, çünkü son kullanıcılarınızın ihtiyaç duyacağı yüksek kullanılabilirlik ve performans seviyelerini sağlamanın tek yolu budur.

https://docs.vmware.com/en/VMware-Horizon-7/7.12/horizon-architecture-planning/GUID-1AC83D7C-BDC6-4E32-A35C-652107BDB6D0.html

VMware Horizon Security Server Nedir? Nasıl Çalışır?

VMware Horizon Security Server, bağlantı kullanmanıza veya internetten Horizon Connection Server’a doğrudan erişim sağlamanıza gerek kalmadan; uygulamalara ve masaüstlerine güvenli uzaktan erişim sağlayan Horizon platformunun temel bir özelliğidir. Horizon Security Server, uzak Horizon istemcileri ve masaüstü bilgisayarlar veya özel bir ağda barındırılan uygulamalar arasında bağlantı noktası görevi gören özel bir Horizon Connection Server kurulumudur. Horizon Security Server DMZ ağı içinde bulunması ve bu nedenle domain ortamına dahil edilmezler. Bu son kullanıcıların sanal masaüstü makinelerine harici bir ağdan veya internetten VPN’ye ihtiyaç duymadan güvenli bir şekilde bağlanmasına olanak tanır.

Horizon Security Server’ın bazı işlevleri ve özellikleri aşağıdakileri içerir:

  • Uzak Horizon istemcilerine kendine özel Horizon bağlantı brokerleri ile optimum kullanıcı deneyimi sağlar.
  • Uzak Horizon İstemcileri ile dahili Horizon tarafından yönetilen kaynaklar arasındaki aracı bağlantıları sağlar.
  • Kullanıcı bağlantısı isteklerinin kimliğini doğrular.
  • İsteğe bağlı iki faktörlü kullanıcı kimlik doğrulamasını etkinleştirmek için hem RSA SecureID hem de RADIUS’u destekler; şu anda desteklenen RADIUS sağlayıcıları arasında VASCO DIGIPASS, SMS Parolası, SafeNet ve diğerleri bulunmaktadır.
  • Security Server’ı özel ağdan daha fazla izole etmek için bir DMZ’ye yerleştirilebilir.
  • Güvenlik nedenlerinden dolayı; Active Directory (AD) etki alanının üyesi olması gerekmez.

Horizon Security Server, Horizon Connection Server ile iletişim kurarak istemcilerin kimliğini doğrular ve ardından Horizon Masaüstü veya Uygulamalar da dahil olmak üzere yetkili kaynaklara erişmelerini sağlar.

Security Server’ın Connection Server ile bire bir ilişkisi olduğunu unutmayınız. Bir dizi Security Server dağıtmak isterseniz, birden fazla Connection Server’a sahip olmanız gerekiyor.

Security Server Nasıl Çalışır?

Connection Server DMZ’nizin içinde bulunur ve eşleştirildiği local ağınızdaki Connection Server işe iletişim kurar. Böylece, dahili Connection Server harici olarak açığa çıkmadığından, artık ağdaki bir VPN’ye bağlanmaya gerek kalmadan sanal masaüstü makinelerine harici olarak erişebileceği fikriyle ekstra bir güvenlik katmanı sağlar.

Kullanıcı Horizon istemcisinden oturum açtığında, Connection Server’a erişmek için Security Server’in dış URL’sini kullanır ve bu da kullanıcının Active Directory’ye karşı kimliğini doğrular. Connection Server bir PCoIP ağ geçidi olarak yapılandırılmışsa, bağlantı ve adres bilgilerini Horizon istemcisine iletir. Bu bağlantı bilgileri ile; Horizon istemcisinin PCoIP kullanarak güvenlik sunucusuna bağlanmasına izin verecektir. Security Server daha sonra PCoIP bağlantısını sanal masaüstü makinesine ileterek kullanıcı için bağlantı oluşturur. Sanal masaüstü makinesi, seçilen ekran protokolü (PCoIP, Blast Extreme veya RDP) kullanılarak Horizon istemci penceresinde görüntülenir / dağıtılır.

VMware Horizon 7.12 Composer Server Kurulum sırasında “BootStrapper-build-8801065| Setup exit code is: 1603” hatasının giderilmesi

Windows Server 2016 ve Windows Server 2019 işletim sisteminde Secure Boot seçeneği etkin olan işletim sistemlerine View Composer uygulaması kurulumunda aşağıdaki hata ekranı ile karşılaşabilirsiniz.

Ek olarak Horizon Composer Server kurulum loglarında (%TEMP%\vminst.log_date_timestamp) aşağıdaki hata mesajından doğrulayabilirsiniz.

2020-07-22 11:39:01| BootStrapper-build-8801065| Setup exit code is: 1603

Bu sorunu gidermek için Windows işletim sisteminde “Secure Boot” özelliği devre dışı bırakılır ve “vstor2” önyükleme sürücüsünün yüklenmesi engellenir. “Secure Boot” özelliğini devre dışı bırakmak için aşağıdaki işlemleri yapmanız gerekecektir.

  • Composer sunucusu vCenter Server daki envanter’den bulunur ve sanal makine üzerinde sağ tıklayın ve “Edit Settings” seçeneğini seçiniz.
  • Açılan seçeneklerden “ VM Options” sekmesine tıklayınız ve “Boot Options” bölümünü genişletiniz.
  • Boot Options” bölümünün alt kısmında yer alan “Firmware” seçeneğini “EFI” olarak değiştiriniz.
  • Secure Boot” bölümündeki “Secure Boot (EFI boot only)” kutucuğu boşaltınız.

VMware Horizon 7.12 Composer Server Veritabanı ve SSL Sertifikasının Geri Yüklenmesi

Bu bölümde Horizon Composer’ı kurtarmak veya yeni bir sunucuya taşımak için gerekli olan işlemlere açıklanacaktır. Horizon Composer sunucusunda tanımlı olan ayarları korumak için geri yüklenmesi gereken tek şey Horizon Composer veritabanı ve RSA anahtar container’in yada public SSL sertifikasının geri yüklenmesi olacaktır.

  1. Horizon Composer Veritabanının Geri Yüklenmesi;

Horizon Composer veritabanı sviconfig.exe komut satırı aracı kullanılarak geri yüklenmektedir. Bu araç Horizon Composer sunucusunda “C:\Program Files (x86)\VMware\VMware View Composer” dizinindedir.

Veritabanını geri yüklemek için aşağıdaki bilgilere ihtiyacınız olacaktır:

Okumaya devam et “VMware Horizon 7.12 Composer Server Veritabanı ve SSL Sertifikasının Geri Yüklenmesi”