要将基于 Windows 的 Workspace ONE Access Connector 20.10.x 或 20.01.x 升级到版本 21.08,您需要将新安装程序从 My VMware 下载到连接器服务器,然后运行该安装程序。您不需要卸载旧版连接器。

在升级过程中,现有目录同步、用户身份验证和 Kerberos 身份验证服务将挂起。升级完成后,将自动重新启动服务。

重要注意事项

  • 如果计划安装虚拟应用程序服务,您必须从 Workspace ONE Access 控制台中下载并使用新的 es-config.json 配置文件,以便在 Workspace ONE Access 服务和连接器之间建立连接。如果未安装虚拟应用程序服务,则不需要新的配置文件。已升级的连接器可使用现有连接器所用的相同配置文件。
    注: 如果现有 es-config.json 配置文件的密码包含字符 & 或 %,请生成一个新的配置文件,使其密码不包含这些字符。不支持 & 和 % 字符。
  • RSA SecurID(云部署)身份验证方法配置在 21.08 版本中发生了变化。如果您配置了 RSA SecurID(云部署)身份验证方法,必须在升级所有用户身份验证服务实例之前从访问策略中删除该身份验证方法,并在升级后重新进行配置。由于这会导致基于 RSA SecurID 的登录停机,因此,请相应地规划升级时间。

    执行升级的简要步骤包括:

    1. 确认您使用 RSA Authentication Manager 设备 8.2 SP1 或更高版本,这是 Workspace ONE Access Connector 21.08 支持的版本。
    2. 在升级连接器之前,将 RSA SecurID(云部署)身份验证方法从使用它的访问策略中移除。
    3. 将安装了用户身份验证服务的所有连接器升级到版本 21.08。
    4. 如果代理服务器配置了连接器,请确认在代理服务器上打开了为 RSA Authentication Manager 服务器配置的通信端口。
    5. 如果您部署了多个 RSA Authentication Manager 服务器实例,则必须在负载均衡器后面配置这些实例并满足负载均衡器的 Workspace ONE Access 要求。
    6. 在 RSA 安全控制台中,确认已使用完全限定域名 (Fully Qualified Domain Name, FQDN) 将连接器添加为身份验证代理,例如 connectorserver.example.com
    7. 更新RSA SecurID(云部署)身份验证方法配置。
    8. 将RSA SecurID(云部署)身份验证方法添加到访问策略。
  • 确保将安装了用户身份验证服务的所有连接器实例升级到 21.08。Workspace ONE Access 不支持混用版本 21.08 和 20.x 的用户身份验证服务。
  • Workspace ONE Access Connector 21.08 支持以下类型的代理:
    • 未经身份验证的 HTTP 代理
    • 未经身份验证的 HTTPS (SSL) 代理
    • 经过身份验证的 HTTPS (SSL) 代理

前提条件

  • 回顾升级到 VMware Workspace ONE Access Connector 21.08
  • 如果您的连接器安装在虚拟 Windows Server 上,请在升级之前生成虚拟机的快照。
  • 如果您计划安装 Kerberos 身份验证服务或虚拟应用程序服务,请确保将连接器服务器加入域。
  • 如果已配置 RSA SecurID(云部署)身份验证方法,请确保使用的是 RSA Authentication Manager 设备版本 8.2 SP1 或更高版本。
  • 如果您配置了 RSA SecurID(云部署)身份验证方法,在升级所有安装了用户身份验证服务的连接器实例之前,请从访问策略中移除该身份验证方法。
    1. Workspace ONE Access 控制台中,导航到身份和访问管理 > 管理 > 策略页面。
    2. 查看每个策略并移除 RSA SecurID(云部署)身份验证方法(如果它是该策略的一部分)。

      记下所做的更改,以便您具有在升级连接器后重新添加该身份验证方法所需的信息。

  • 如果从版本 20.01.x 升级,并且配置了通过集成 Windows 身份验证 (Integrated Windows Authentication, IWA) 访问的 Active Directory 类型的目录,在升级到 21.08 Connector 之前,请在 Workspace ONE Access 控制台的目录配置中取消选择 STARTTLS 选项。升级之后,Active Directory over IWA 功能将与 STARTTLS 选项不兼容。

    要编辑目录配置,请导航到身份和访问管理 > 管理 > 目录页面,选择目录,取消选中此目录要求所有连接都使用 STARTTLS 复选框,然后单击保存

    注: 如果已将 知识库文章 77158 中所述的修补程序应用于 Connector 20.01 或升级到 Connector 20.01.0.1 或 20.10,您可能已为通过 IWA 访问的 Active Directory 取消选择 STARTTLS 选项。确认取消选择了该设置。
  • Workspace ONE Access 控制台中,挂起当前安装的连接器服务。
    1. 导航到“身份和访问管理”>“设置”>“连接器”页面。
    2. 选择连接器,然后单击管理
    3. 单击每个服务名称旁边的切换按钮以挂起该服务。
  • 您需要以下帐户信息:
    • My VMware 凭据
    • 如果已安装 Kerberos 身份验证服务,则需要使用用于运行服务的域用户凭据
    • 如果您计划在升级期间安装 Kerberos 身份验证服务或虚拟应用程序服务,则需要域用户帐户才能运行这些服务。虽然这些服务使用域用户帐户特权运行,但目录同步和用户身份验证服务使用较低的特权运行。
    • 如果使用 RSA SecurID(云部署)身份验证方法,您需要使用 RSA 安全控制台凭据获取所需的信息,以便在升级所有连接器实例后在 Workspace ONE Access 控制台中重新配置该身份验证方法。

过程

  1. 如果需要一个新的配置文件,请从 Workspace ONE Access 控制台生成该文件。
    1. 以系统域管理员身份登录到 Workspace ONE Access 控制台。
      提示: 在云部署中,系统域管理员是在您获取 Workspace ONE Access 租户时收到的凭据所属的管理员。在内部部署中,系统域管理员是在您安装 Workspace ONE Access 实例时创建的管理员用户。
    2. 导航到身份和访问管理 > 设置 > 连接器页面。
    3. 单击新建
    4. 在“添加新连接器”向导中,单击下一步
    5. 在“下载配置文件”页面中,创建一个密码并单击下载配置文件以生成配置文件。
      密码必须至少具有 14 个字符,并且包含一个大写字符、一个小写字符、一个数字和一个特殊字符。请勿使用 & 或 % 字符。所有字符都必须是可见的打印 ASCII 字符。
      配置文件用于在您安装的企业服务和 Workspace ONE Access 租户之间建立通信。默认情况下,该文件名为 es-config.json
      小心: 配置文件包含敏感信息,例如租户 URL、租户 ID、每个企业服务的客户端 ID 和客户端密钥以及密码哈希值。请勿共享或公开展示该文件,这一点非常重要。
    6. 将配置文件传输到连接器服务器。
  2. 从 My VMware 下载 Workspace ONE Access Connector 21.08.0.0。
    1. 登录 https://my.vmware.com
    2. 导航到 VMware Workspace ONE Access 21.08 下载页面。
    3. 下载 Workspace ONE Access Connector 21.08.0.0
  3. 将安装程序文件保存到装有旧版本连接器的 Windows Server 上。
  4. 双击 Workspace One Access Connector Installer.exe 文件以运行安装程序。
    安装程序检测到需要升级,并将引导您完成升级过程。 向导显示“升级”页面。
  5. 按照向导中的说明升级连接器。
    在升级时,请牢记以下几点:
    • 在升级过程中,安装程序将安装 OpenJDK 8。
    • 在升级过程中,您可以修改现有服务的任何设置。您还可以安装其他服务。例如,您可以安装新的虚拟应用程序服务。或者,如果您的现有 安装仅包含目录同步服务,并且您希望安装用户身份验证服务和 Kerberos 身份验证服务,则可以在升级过程中执行此操作。

      有关要求、大小调整、安装和设置的信息,请参阅《安装 VMware Workspace ONE Access Connector 21.08》

    • 使用 21.08 Connector,您可以指定多个外部 syslog 服务器来存储应用程序级别的事件消息,而不是仅限于一台服务器。在升级过程中,您可以在向导的“指定 Syslog 服务器信息”页面上输入 syslog 服务器。

      具体格式如下:

      host:port,host:port,host:port

      其中 host 是 syslog 服务器的完全限定域名或 IP 地址,port 是端口号。例如:

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163

  6. 升级成功完成后,确认升级后的服务正在 Windows Server 上运行。
    连接器服务具有以下名称:
    • VMware 目录同步服务
    • VMware 用户身份验证服务
    • VMware Kerberos 身份验证服务
    • VMware 虚拟应用程序服务

    服务显示“正在运行”状态。

结果

连接器升级完成。您可以通过导航到 Windows Server 上的控制面板 > 程序 > 程序和功能,并检查列出的连接器版本,来确认安装的是新版本的连接器。

下一步做什么

  • Workspace ONE Access 控制台中,单击“身份和访问管理”>“设置”>“连接器”页面上的刷新图标,并确认升级的服务处于活动状态并且运行状况为绿色。
    例如:
    “连接器”页面列出一个安装了目录同步、用户身份验证、Kerberos 身份验证和虚拟应用程序服务的连接器。所有服务处于活动状态,并在“运行状况”列中显示绿色复选框。
  • 如果在原始安装中配置了 RSA SecurID(云部署)身份验证方法,在升级所有安装了用户身份验证服务的连接器实例后,请重新配置该身份验证方法。
    1. 如果您部署了多个 RSA Authentication Manager 服务器实例,则必须在负载均衡器后面配置这些实例并满足负载均衡器的 Workspace ONE Access 要求。请参阅 RSA SecurID 负载均衡器的 Workspace ONE Access 要求
    2. 如果代理服务器配置了连接器,请确认在代理服务器上打开了为 RSA Authentication Manager 服务器配置的通信端口。
    3. 在 RSA 安全控制台中,确认已使用完全限定域名 (Fully Qualified Domain Name, FQDN) 将连接器添加为身份验证代理,例如 connectorserver.example.com。如果已使用 NetBIOS 名称(而非 FQDN)将该连接器添加为身份验证代理,请使用 FQDN 再添加一个条目。将该新条目的“IP 地址”字段留空。请不要删除旧条目。
    4. 对于在原始安装中包含 RSA SecurID(云部署)身份验证方法的所有目录,请更新该身份验证方法的配置。

      有关新配置的信息,请参阅在 Workspace ONE Access 中配置 RSA SecurID 身份验证

    5. 将 RSA SecurID(云部署)身份验证方法添加到在原始安装中包含该身份验证方法的所有访问策略中。

      您可以从身份和访问管理 > 管理 > 策略页面中编辑访问策略。