一、问题描述
前方人员反馈在Horizon环境中交付桌面前,验证过程中,使用Horizon client登录错误报:无法建立安全加密链路连接,如下图所示:
UAG软件版本:3.9
二、分析处理
1、检查客户端SSL配置选项,如下图:
2、检查租户UAG admin管理界面TLS 协议版本是否正确选定:
如上图示,在UAG页面可配置用于加密客户端和 Unified Access Gateway 设备之间的通信的安全协议和加密算法。
默认设置包括使用 128 位或 256 位 AES 加密的密码套件,匿名 DH 算法除外,并按强度对其进行排序。默认情况下,TLS v1.2 处于启用状态。TLS v1.0、TLS v1.1 和 SSL v3.0 处于禁用状态。
3、检查UAG的来呢及协议URL是否配置正确,如果用域名连接登录桌面,URL也需要用域名,pcoip不需要:
4、以上检查正常后,重新登录连接测试验证:
如上,这时已经可正常登录。
三、附录:知识扩充之UAG高级管理及监控
1)在部署 Unified Access Gateway 设备时,将生成一个默认 TLS/SSL 服务器证书。对于生产环境,VMware 建议您尽快更换默认证书。默认证书不是由受信任的 CA 签名的。只应在非生产环境中使用默认证书。
2)UAG的API规范:https://access-point-appliance.example.com:9443/rest/swagger.yaml,其中AP的ip即UAG的IP。
创建一个 JSON 请求以指定要使用的协议和密码套件:
{
"cipherSuites": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384","ssl30Enabled": "false","tls10Enabled": "false","tls11Enabled": "false","tls12Enabled": "true"
}
使用 **REST 客户端(如 curl 或 postman)**通过 JSON 请求调用 Unified Access Gateway REST API 并配置协议和密码套件:
curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-appliance.example.com:9443/rest/v1/config/system < ~/ciphers.json
##其中,access-point-appliance.example.com 是 Unified Access Gateway 设备的完全限定域名;ciphers.json 是在上面创建的 JSON 请求。
这样配置之后,客户端连接桌面时,将使用指定的加密密码套件和传输协议,保证数据及连接安全。涉及的密码套件和协议的特定属性:cipherSuites、ssl30Disabled、tls10Enabled、tls11Disabled 和 tls12Enabled,请自行网络查询相关资料。
3)监控 Edge 服务会话统计信息
Unified Access Gateway 提供有关每项 Edge 服务的活动会话的信息。您可以从 Edge 服务的管理 UI 快速查看您所部署的服务是否已进行配置以及是否已成功启动并正在运行。
如果配置充分的话,会列出更多:
说明:
➽Edge 服务:列出为其显示会话统计信息的特定 Edge 服务。
➽总会话数:指示活动会话数和非活动会话数的总和。
➽活动会话 (已登录会话) :指示已通过身份验证且正在进行的会话数。
➽非活动会话 :指示未经身份验证的会话数。
➽失败登录尝试次数:指示登录尝试失败的次数。
➽会话上限:指示在给定时间点并发会话的最大数量。
➽PCoIP 会话:指示使用 PCoIP 建立的会话数量。
➽BLAST 会话:指示使用 Blast 建立的会话数量。
➽隧道会话:指示使用 Horizon 隧道建立的会话数量。
➽Edge 服务:Horizon、反向代理 (jira)、反向代理 (sp_blr)、反向代理 (sp_https_saml)、反向代理 (sp_multi_domain)、VMware Tunnel
实际的会话统计信息是由API获得:https://:9443/rest/v1/monitor/stats,如下:
说明:下图是分别Horizon View、Web 反向代理、VMware Tunnel各功能模块下属性含义
3)UAG已部署服务的运行状况监控
上图指示灯为绿色,表当前部署的服务是否已正确配置且已成功启动运行,与目标服务通信正常:另说明其他颜色编码含义,如下所示:
●黑色空圈 - 表设置未进行配置。
●红色圆圈 - 表服务已关闭。
●黄色圆圈 -表服务正在部分运行,或部分服务运行异常导致通信异常。
●绿色圆圈 - 服务正在运行,不存在任何问题。
4)Unified Access Gateway 显示“连接到主机 https://gears.opswat.com 时请求超时 (The request timed out while connecting to the host https://gears.opswat.com)”
原因:如果 UAG 中horizon 连接的URL条目 gears.opswat.com 的配置不正确,或者 https://gears.opswat.com 不接受连接请求,会发生此错误。
5)UAG实例虚拟机删安装tcpudump,执行以下脚本:
/etc/vmware/gss-support/install.sh
6)运行以下命令以测试UAG到后端连接服务器或 Web 服务器的连接:
curl -v -k https://:443/ ##TA的IP,可以在 esmanager.log 文件中查看后端服务器连接问题
但不能使用 tcpdump 测试到后端虚拟桌面(例如 PCoIP 4172 和 Blast 22443)的连接,因为这些桌面在会话准备就绪之前不侦听这些端口号。
curl -v telnet://:32111 ##测试 Horizon 框架通道 TCP 连接
curl -v telnet://:9427 ##测试 Horizon MMR/CDR TCP 连接
curl -v telnet://:22443 ##测试从 Unified Access Gateway 到虚拟桌面的端口连接
如果使用PowerShell 命令行,可运行以下命令可监控特定端口的连接:
Test-NetConnection -port 443
Test-NetConnection -port 8443
Test-NetConnection -port 4172
7)UAG的root密码和 Grub2 密码
root 密码将在部署 OVA 文件 365 天后过期。使用 Grub2 密码以 root 用户身份进行登录。从 Unified Access Gateway 3.1 开始,默认情况下将设置 Grub2 编辑密码。用户名是 root,密码与部署 Unified Access Gateway 时配置的 root 密码相同。除非您通过登录到计算机来明确重置此密码,否则将永远不会对其进行重置。
8)从 Unified Access Gateway 设备收集日志
从管理 UI 的“支持设置”部分中下载 UAG-log-archive.zip 文件。该 ZIP 文件包含来自 Unified Access Gateway 设备的所有日志,这些日志文件是从UAG设备上的 /opt/vmware/gateway/logs 目录中收集的。
另外,UAG设备上其他系统信息可以帮助进行故障排除的文件,可参考下图所列:
Unified Access Gateway 的日志文件说明:
注:以“-std-out.log”结尾的日志文件包含写入到各种进程的 stdout 中的信息,这些文件通常是空文件。
