要将基于 Windows 的 Workspace ONE Access Connector 版本 21.08.x、20.10.x 或 20.01.x 升级到版本 22.05,您需要将新安装程序从 VMware Customer Connect 下载到连接器服务器,然后运行该安装程序。您不需要卸载旧版连接器。

在升级过程中,现有的目录同步、用户身份验证、Kerberos 身份验证和虚拟应用程序服务服务将挂起。升级完成后,将自动重新启动服务。

重要注意事项

  • Workspace ONE Access Connector 22.05 仅与 Workspace ONE Access 云部署版本兼容。它与内部部署的 Workspace ONE Access 虚拟设备不兼容。
  • 升级到版本 22.05 时,升级后的连接器将在非 FIPS 模式下运行。升级后无法启用 FIPS 模式。如果要使用 FIPS 模式,必须执行版本 22.05 的全新安装,而不是升级。有关更多信息,请参阅升级到 VMware Workspace ONE Access Connector 22.05(仅限 Workspace ONE Access 云部署版本)
  • 如果要从版本 20.01.x 或 20.10.x 进行升级,并且要在升级期间或升级后安装虚拟应用程序服务,则必须从 Workspace ONE Access 控制台下载并使用新的 es-config.json 配置文件,以便在 Workspace ONE Access 服务与连接器之间建立连接。如果您不打算安装虚拟应用程序服务,则不需要新的配置文件。已升级的连接器可使用现有连接器所用的相同配置文件。

    如果要从版本 21.08.x 进行升级,并在 2021 年 9 月云部署版本之后生成了 es-config.json 配置文件,则无需生成新的 es-config.json 文件。

    无论要从哪个版本进行升级,如果现有 es-config.json 配置文件的密码包含字符 & 或 %,则会生成一个新的配置文件,其密码不包含这些字符。不支持 & 和 % 字符。

  • RSA SecurID(云部署)身份验证方法的配置从 21.08 版本开始发生了变化。如果要从配置了 RSA SecurID(云部署)身份验证方法的 20.10.x Connector 或更低版本连接器升级,您必须先从访问策略中删除该身验验证方法,然后再升级所有用户身份验证服务实例,并在升级后重新对其进行配置。由于这会导致基于 RSA SecurID 的登录停机,因此,请相应地规划升级时间。

    执行升级的简要步骤包括:

    1. 确认您使用 RSA Authentication Manager 设备 8.2 SP1 或更高版本,这些是 Workspace ONE Access Connector 21.08 及更高版本支持的版本。
    2. 在升级连接器之前,将 RSA SecurID(云部署)身份验证方法从使用它的访问策略中移除。
    3. 将安装了用户身份验证服务的所有连接器升级到版本 22.05。
    4. 如果代理服务器配置了连接器,请确认在代理服务器上打开了为 RSA Authentication Manager 服务器配置的通信端口。
    5. 如果您部署了多个 RSA Authentication Manager 服务器实例,则必须在负载均衡器后面配置这些实例并满足负载均衡器的 Workspace ONE Access 要求。
    6. 在 RSA 安全控制台中,确认已使用完全限定域名 (Fully Qualified Domain Name, FQDN) 将连接器添加为身份验证代理,例如 connectorserver.example.com
    7. 更新RSA SecurID(云部署)身份验证方法配置。
    8. 将RSA SecurID(云部署)身份验证方法添加到访问策略。
  • 确保将安装了用户身份验证服务的所有连接器实例升级到版本 22.05。Workspace ONE Access 不支持混用版本 22.05、21.08 和 20.x 的用户身份验证服务。
  • Workspace ONE Access Connector 22.05 支持以下类型的代理:
    • 未经身份验证的 HTTP 代理
    • 未经身份验证的 HTTPS (SSL) 代理
    • 经过身份验证的 HTTPS (SSL) 代理

前提条件

  • 回顾升级到 VMware Workspace ONE Access Connector 22.05(仅限 Workspace ONE Access 云部署版本)
  • 如果您的连接器安装在虚拟 Windows Server 上,请在升级之前生成虚拟机的快照。
  • 如果您计划安装 Kerberos 身份验证服务或虚拟应用程序服务,请确保将连接器服务器加入域。
  • 如果已配置 RSA SecurID(云部署)身份验证方法,请确保使用的是 RSA Authentication Manager 设备版本 8.2 SP1 或更高版本。
  • 如果您要从配置了 RSA SecurID(云部署)身份验证方法的 20.10.x Connector 或更低版本连接器升级,在升级所有安装了用户身份验证服务的连接器实例之前,请从访问策略中移除该身份验证方法。
    1. Workspace ONE Access 控制台中,如果打开了全新导航切换开关,请导航到资源 > 策略页面。

      在旧版导航中,页面位置为身份和访问管理 > 管理 > 策略

    2. 查看每个策略并移除 RSA SecurID(云部署)身份验证方法(如果它是该策略的一部分)。

      记下所做的更改,以便您具有在升级连接器后重新添加该身份验证方法所需的信息。

  • 如果要从版本 20.01.x 升级,并且配置了通过集成 Windows 身份验证 (Integrated Windows Authentication, IWA) 访问的 Active Directory 类型的目录,在升级到版本 22.05 之前,请在 Workspace ONE Access 控制台的目录配置中取消选择 STARTTLS 选项。在升级之后,通过 IWA 访问的 Active Directory 的功能将与 STARTTLS 选项不兼容。

    要编辑目录配置,请导航到身份和访问管理 > 管理 > 目录页面,选择目录,取消选中此目录要求所有连接都使用 STARTTLS 复选框,然后单击保存

    注: 如果已将 知识库文章 77158 中所述的修补程序应用于 Connector 20.01 或升级到 Connector 20.01.0.1 或 20.10,您可能已为通过 IWA 访问的 Active Directory 取消选择 STARTTLS 选项。确认取消选择了该设置。
  • Workspace ONE Access 控制台中,挂起所有连接器服务。
    1. 导航到集成 > 连接器页面。

      在旧版导航中,页面位置为身份和访问管理 > 设置 > 连接器

    2. 选择连接器,然后单击管理
    3. 单击每个服务名称旁边的切换按钮以挂起该服务。
  • 您需要以下帐户信息:
    • VMware Customer Connect 凭据
    • 如果已安装 Kerberos 身份验证服务,则需要使用用于运行服务的域用户凭据
    • 如果您计划在升级期间安装 Kerberos 身份验证服务或虚拟应用程序服务,则需要域用户帐户才能运行这些服务。虽然这些服务使用域用户帐户特权运行,但目录同步和用户身份验证服务使用较低的特权运行。
    • 如果使用 RSA SecurID(云部署)身份验证方法,您需要使用 RSA 安全控制台凭据获取所需的信息,以便在升级所有连接器实例后在 Workspace ONE Access 控制台中重新配置该身份验证方法。

过程

  1. 如果需要,请在 Workspace ONE Access 控制台中生成新的配置文件。
    1. 以系统域管理员身份登录到 Workspace ONE Access 控制台。
      提示: 在云部署中,系统域管理员是在您获取 Workspace ONE Access 租户时收到的凭据所属的管理员。
    2. 导航到集成 > 连接器页面。
    3. 单击新建
    4. 在“添加新连接器”向导中,单击下一步
    5. 在“下载配置文件”页面中,创建一个密码并单击下载配置文件以生成配置文件。
      密码必须至少具有 14 个字符,并且包含一个大写字符、一个小写字符、一个数字和一个特殊字符。请勿使用 & 或 % 字符。所有字符都必须是可见的打印 ASCII 字符。
      配置文件用于在您安装的企业服务和 Workspace ONE Access 租户之间建立通信。默认情况下,该文件名为 es-config.json
      小心: 配置文件包含敏感信息,例如租户 URL、租户 ID、每个企业服务的客户端 ID 和客户端密钥以及密码哈希值。请勿共享或公开展示该文件,这一点非常重要。
    6. 将配置文件传输到装有旧版本连接器的 Windows Server 上。
  2. 从 VMware Customer Connect 下载 Workspace ONE Access Connector 22.05。
    1. 登录 https://customerconnect.vmware.com/
    2. 导航到 Workspace ONE Access Connector 下载页面。
    3. 下载 Workspace-ONE-Access-Connector-Installer-22.05.exe
  3. 将安装程序文件保存到装有旧版本连接器的 Windows Server 上。
  4. 双击 Workspace-ONE-Access-Connector-Installer-22.05.exe 文件以运行此安装程序。
    安装程序检测到需要升级,并将引导您完成升级过程。
    ""
  5. 按照向导中的说明升级连接器。
    • 如果升级过程中显示“指定配置”页面,请选择新的或现有的配置文件并指定其密码。默认的文件名为 es-config.json
    • 在升级过程中,将显示“安装可信根证书”页面,您可以将可信根证书上载到信任存储区。连接器可以与服务器和客户端建立安全连接,这些服务器和客户端的证书链中包含上载到信任存储区的任何证书。需要可信根证书的场景包括:
      • (仅 Kerberos 身份验证服务)如果在负载均衡器后面部署 Kerberos 身份验证服务的多个实例,则必须在连接器实例上安装负载均衡器的根 CA 证书,才能在连接器和负载均衡器之间建立信任关系。
      • (仅虚拟应用程序服务)如果创建要与 VMware Horizon、具有单容器代理的 Horizon Cloud Service on Microsoft Azure 或 Horizon Cloud Service on IBM Cloud 集成的虚拟应用程序集合,并且 Horizon Server 具有自签名证书,则必须将证书链上载到安装了虚拟应用程序服务的连接器实例,才能在连接器和 Horizon Server 之间建立信任关系。如果 Horizon Server 具有由公共 CA 签名的证书,则无需将证书上载到连接器信任存储区。强烈建议使用由公共 CA 签名的证书。

      如果在升级过程中上载证书,请确保在升级完成后重新启动服务。

      上载证书对于升级而言属于可选步骤。您也可以在升级后通过再次运行安装程序来上载证书。

      安装向导 - 可信根证书页面
    • 在升级过程中,安装程序将安装 OpenJDK 11。
    • 在升级过程中,您可以修改现有服务的任何设置。您还可以安装其他服务。例如,如果您的现有安装仅包含目录同步服务,并且您希望安装用户身份验证服务和 Kerberos 身份验证服务,则可以在升级过程中执行此操作。

      有关要求、大小调整、安装和设置的信息,请参阅《安装 VMware Workspace ONE Access Connector 22.05》

    • 使用 22.05 Connector,您可以指定多个外部 syslog 服务器来存储应用程序级别的事件消息,而不是仅限于一台服务器。在升级过程中,您可以在向导的“指定 Syslog 服务器信息”页面上输入 syslog 服务器。

      具体格式如下:

      host:port,host:port,host:port

      其中 host 是 syslog 服务器的完全限定域名或 IP 地址,port 是端口号。例如:

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163

  6. 升级成功完成后,确认升级后的服务正在 Windows Server 上运行。
    连接器服务具有以下名称:
    • VMware 目录同步服务
    • VMware 用户身份验证服务
    • VMware Kerberos 身份验证服务
    • VMware 虚拟应用程序服务

    服务显示“正在运行”状态。

结果

连接器升级完成。您可以通过导航到 Windows Server 上的控制面板 > 程序 > 程序和功能,并检查列出的连接器版本,来确认安装的是新版本的连接器。

下一步做什么

  • Workspace ONE Access 控制台中,单击集成 > 连接器页面上的刷新图标,并确认升级的服务处于活动状态并且其运行状况为绿色。
    例如:
    “连接器”页面列出一个具有目录同步、用户身份验证和虚拟应用程序服务的连接器。服务处于活动状态,并在“运行状况”列中显示绿色复选框。
  • 如果在原始安装中配置了 RSA SecurID(云部署)身份验证方法,并在升级连接器之前将其移除,那么在升级所有安装了用户身份验证服务的连接器实例后,请重新配置该身份验证方法。
    1. 如果您部署了多个 RSA Authentication Manager 服务器实例,则必须在负载均衡器后面配置这些实例并满足负载均衡器的 Workspace ONE Access 要求。请参阅 RSA SecurID 负载均衡器的 Workspace ONE Access 要求
    2. 如果代理服务器配置了连接器,请确认在代理服务器上打开了为 RSA Authentication Manager 服务器配置的通信端口。
    3. 在 RSA 安全控制台中,确认已使用完全限定域名 (Fully Qualified Domain Name, FQDN) 将连接器添加为身份验证代理,例如 connectorserver.example.com。如果已使用 NetBIOS 名称(而非 FQDN)将该连接器添加为身份验证代理,请使用 FQDN 再添加一个条目。将该新条目的“IP 地址”字段留空。请不要删除旧条目。
    4. 对于在原始安装中包含 RSA SecurID(云部署)身份验证方法的所有目录,请更新该身份验证方法的配置。

      有关新配置的信息,请参阅在 Workspace ONE Access 中配置 RSA SecurID 身份验证

    5. 将 RSA SecurID(云部署)身份验证方法添加到在原始安装中包含该身份验证方法的所有访问策略中。

      您可以从资源 > 策略页面编辑访问策略。如果在管理控制台中关闭了全新导航开关,则页面位置为身份和访问管理 > 管理 > 策略