要将基于 Windows 的 Workspace ONE Access Connector 版本 22.05、21.08.x、20.10.x 或 20.01.x 升级到版本 22.09,您需要从 VMware Customer Connect 中将新安装程序下载到连接器服务器,然后运行该安装程序。您不需要卸载旧版连接器。
在升级过程中,现有的目录同步、用户身份验证、Kerberos 身份验证和虚拟应用程序服务服务将挂起。升级完成后,将自动重新启动服务。
重要注意事项
- FIPS 模式
如果从启用了 FIPS 模式的版本 22.05 安装进行升级,则升级后的连接器将在 FIPS 模式下运行。如果从未启用 FIPS 模式的版本 22.05 安装进行升级,或者从低于 22.05 的版本进行升级,则升级后的连接器将在非 FIPS 模式下运行。在升级期间或升级之后,您无法选择或取消选择 FIPS 模式。要更改 FIPS 模式设置,必须执行全新安装。有关更多信息,请参阅升级到 VMware Workspace ONE Access Connector 22.09。
- es-config.json 文件
es-config.json 配置文件将在 Workspace ONE Access 服务和连接器之间建立连接。大多数情况下,已升级的连接器可使用现有连接器所用的相同配置文件。但是,在某些情况下,必须从 Workspace ONE Access 控制台生成新的 es-config.json 文件。
- 如果要从版本 20.01.x 或 20.10.x 进行升级,并且打算在升级期间或升级之后安装虚拟应用程序服务,则必须生成并使用新的 es-config.json 配置文件。如果您不打算安装虚拟应用程序服务,则不需要新的配置文件。已升级的连接器可使用现有连接器所用的相同配置文件。
- 如果要从版本 21.08.x 或 22.05 进行升级,并在 Workspace ONE Access 21.08 版本或 2021 年 9 月云部署版本之后生成了 es-config.json 配置文件,则无需生成新的 es-config.json 文件。
- 无论要从哪个版本进行升级,如果现有 es-config.json 配置文件的密码不满足当前的密码规则,必须生成一个新的配置文件,并使其密码满足当前的密码规则。
密码必须至少具有 14 个字符,并且至少包含一个数字、一个大写字符和一个特殊字符。仅允许使用以下特殊字符:
@ ! , # $ { } ( ) _ + . < > ? *所有字符都必须是可见的打印 ASCII 字符。
- 如果您忘记了现有配置文件的密码,请生成新的配置文件并在升级期间使用该文件。
要生成新文件,请在 Workspace ONE Access 控制台中转到,单击新建,然后在向导的“下载配置文件”页面上创建新文件。
小心: 配置文件包含敏感信息,例如租户 URL、租户 ID、每个企业服务的客户端 ID 和客户端密钥以及密码哈希值。请勿共享或公开展示该文件,这一点非常重要。 - RSA SecurID(云部署)身份验证方法的配置从 21.08 版本开始发生了变化。如果要从配置了 RSA SecurID(云部署)身份验证方法的 20.10.x Connector 或更低版本连接器升级,您必须先从访问策略中删除该身验验证方法,然后再升级所有用户身份验证服务实例,并在升级后重新对其进行配置。由于这会导致基于 RSA SecurID 的登录停机,因此,请相应地规划升级时间。
执行升级的简要步骤包括:
- 确认您使用 RSA Authentication Manager 设备 8.2 SP1 或更高版本,这些是 Workspace ONE Access Connector 21.08 及更高版本支持的版本。
- 在升级连接器之前,将 RSA SecurID(云部署)身份验证方法从使用它的访问策略中移除。
- 将安装了用户身份验证服务的所有连接器升级到版本 22.09。
- 如果代理服务器配置了连接器,请确认在代理服务器上打开了为 RSA Authentication Manager 服务器配置的通信端口。
- 如果您部署了多个 RSA Authentication Manager 服务器实例,则必须在负载均衡器后面配置这些实例并满足负载均衡器的 Workspace ONE Access 要求。
- 在 RSA 安全控制台中,确认已使用完全限定域名 (Fully Qualified Domain Name, FQDN) 将连接器添加为身份验证代理,例如 connectorserver.example.com。
- 更新 RSA SecurID(云部署)身份验证方法配置。
- 将 RSA SecurID(云部署)身份验证方法添加到访问策略。
- 确保将安装了用户身份验证服务的所有连接器实例升级到版本 22.09。Workspace ONE Access 不支持混用版本 22.09、22.05、21.08 和 20.x 的用户身份验证服务。
- Workspace ONE Access Connector 22.09 支持以下类型的代理:
- 未经身份验证的 HTTP 代理
- 未经身份验证的 HTTPS (SSL) 代理
- 经过身份验证的 HTTPS (SSL) 代理
前提条件
- 回顾升级到 VMware Workspace ONE Access Connector 22.09。
- 如果您的连接器安装在虚拟 Windows Server 上,请在升级之前生成虚拟机的快照。
- 如果您计划安装 Kerberos 身份验证服务或虚拟应用程序服务,请确保将连接器服务器加入域。
- 如果已配置 RSA SecurID(云部署)身份验证方法,请确保使用的是 RSA Authentication Manager 设备版本 8.2 SP1 或更高版本。
- 如果您要从配置了 RSA SecurID(云部署)身份验证方法的 20.10.x Connector 或更低版本连接器升级,在升级所有安装了用户身份验证服务的连接器实例之前,请从访问策略中移除该身份验证方法。
- 在 Workspace ONE Access 控制台中,导航到。
- 查看每个策略并移除 RSA SecurID(云部署)身份验证方法(如果它是该策略的一部分)。
记下所做的更改,以便您具有在升级连接器后重新添加该身份验证方法所需的信息。
- 如果从版本 20.01.x 升级,并且配置了通过集成 Windows 身份验证 (Integrated Windows Authentication, IWA) 访问的 Active Directory 类型的目录,在升级之前,请在 Workspace ONE Access 控制台的目录配置中取消选择 STARTTLS 选项。升级之后,Active Directory over IWA 功能将与 STARTTLS 选项不兼容。
要编辑目录配置,请导航到页面,选择目录,取消选中此目录要求所有连接都使用 STARTTLS 复选框,然后单击保存。
注: 如果已将 知识库文章 77158 中所述的修补程序应用于 Connector 20.01 或者已升级到 Connector 20.01.0.1 或更高版本,您可能已为通过 IWA 访问的 Active Directory 取消选择 STARTTLS 选项。确认取消选择了该设置。 - 在 Workspace ONE Access 控制台中,挂起所有连接器服务。
- 选择。
- 选择连接器,然后单击管理。
- 单击每个服务名称旁边的切换按钮以挂起该服务。
- 确保您具有以下帐户信息:
- VMware Customer Connect 凭据
- 如果您的现有安装包括 Kerberos 身份验证服务或虚拟应用程序服务,则需要用于运行该服务的域用户凭据。
- 如果您计划在升级期间安装 Kerberos 身份验证服务或虚拟应用程序服务,则需要域用户帐户才能运行这些服务。虽然这些服务使用域用户帐户特权运行,但目录同步和用户身份验证服务使用较低的特权运行。
- 如果使用 RSA SecurID(云部署)身份验证方法,您必须具有 RSA 安全控制台凭据,以便获取在升级所有连接器实例后在 Workspace ONE Access 控制台中重新配置该身份验证方法所需的信息。
过程
- 双击 Workspace-ONE-Access-Connector-Installer-22.09.0.0.exe 文件以运行此安装程序。
安装程序检测到需要升级,并将引导您完成升级过程。
- 按照向导中的说明升级连接器。
- 如果升级过程中显示“指定配置”页面,请选择新的或现有的配置文件并指定其密码。默认的文件名为 es-config.json。
- 在升级过程中,将显示“安装可信根证书”页面,您可以将可信根证书上载到信任存储区。连接器可以与服务器和客户端建立安全连接,这些服务器和客户端的证书链中包含上载到信任存储区的任何证书。需要可信根证书的场景包括:
- (仅限内部部署安装)如果内部部署 Workspace ONE Access 服务实例具有自签名证书,则必须上载其根证书和中间证书(如果需要),以便在企业服务和 Workspace ONE Access 服务实例之间建立信任关系。
- (仅限 Kerberos 身份验证服务)如果在负载均衡器后面部署 Kerberos 身份验证服务的多个实例,则必须在连接器实例上安装负载均衡器的根 CA 证书,才能在连接器和负载均衡器之间建立信任关系。
- (仅限虚拟应用程序服务)如果创建要与 VMware Horizon、具有单容器代理的 Horizon Cloud Service on Microsoft Azure 或 Horizon Cloud Service on IBM Cloud 集成的虚拟应用程序集合,并且 Horizon Server 具有自签名证书,则必须将证书链上载到安装了虚拟应用程序服务的连接器实例,才能在连接器和 Horizon Server 之间建立信任关系。如果 Horizon Server 具有由公共 CA 签名的证书,则无需将证书上载到连接器信任存储区。强烈建议使用由公共 CA 签名的证书。
如果在升级过程中上载证书,请确保在升级完成后重新启动服务。
上载证书对于升级而言属于可选步骤。您也可以在升级后通过再次运行安装程序来上载证书。
- 在升级过程中,安装程序将安装 OpenJDK 11。
- 在升级过程中,您可以修改现有服务的任何设置。您还可以安装其他服务。例如,如果您的现有安装仅包含目录同步服务,并且您希望安装用户身份验证服务和 Kerberos 身份验证服务,则可以在升级过程中执行此操作。
有关要求、大小调整、安装和设置的信息,请参阅《安装 VMware Workspace ONE Access Connector 22.09》。
- (仅限虚拟应用程序服务)如果使用自定义安装流程,则将在升级期间显示新的“Citrix 配置”页面。该页面上的选项适用于 Workspace ONE Access 与配置了多站点聚合或关键字筛选的 Citrix 环境的集成。
有关信息,请参阅《在 Workspace ONE Access 中设置资源》中的在 Workspace ONE Access 中配置 Citrix 多站点聚合和关键字筛选以及《安装 Workspace ONE Access Connector》。
您可以在升级期间配置这些选项,也可以在升级后通过再次运行连接器安装程序来配置这些选项。
- 使用 22.09 Connector,您可以指定多个外部 syslog 服务器来存储应用程序级别的事件消息,而不是仅限于一台服务器。在升级过程中,您可以在向导的“指定 Syslog 服务器信息”页面上输入 syslog 服务器。
具体格式如下:
host:port,host:port,host:port
其中 host 是 syslog 服务器的完全限定域名或 IP 地址,port 是端口号。例如:
syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
- 升级成功完成后,确认升级后的服务正在 Windows Server 上运行。
如果这些服务未运行,请启动这些服务。连接器服务具有以下名称:
- VMware 目录同步服务
- VMware 用户身份验证服务
- VMware Kerberos 身份验证服务
- VMware 虚拟应用程序服务
结果
连接器升级完成。您可以通过导航到 Windows Server 上的,并检查列出的连接器版本,来确认安装的是新版本的连接器。
下一步做什么
- 在 Workspace ONE Access 控制台中,单击页面上的刷新图标,并确认升级的服务处于活动状态并且其运行状况为绿色。
例如:
如果运行状况为红色,请重新启动这些服务。
- 如果在原始安装中配置了 RSA SecurID(云部署)身份验证方法,并在升级连接器之前将其移除,那么在升级所有安装了用户身份验证服务的连接器实例后,请重新配置该身份验证方法。
- 如果您部署了多个 RSA Authentication Manager 服务器实例,则必须在负载均衡器后面配置这些实例并满足负载均衡器的 Workspace ONE Access 要求。请参阅 RSA SecurID 负载均衡器的 Workspace ONE Access 要求。
- 如果代理服务器配置了连接器,请确认在代理服务器上打开了为 RSA Authentication Manager 服务器配置的通信端口。
- 在 RSA 安全控制台中,确认已使用完全限定域名 (Fully Qualified Domain Name, FQDN) 将连接器添加为身份验证代理,例如 connectorserver.example.com。如果已使用 NetBIOS 名称(而非 FQDN)将该连接器添加为身份验证代理,请使用 FQDN 再添加一个条目。将该新条目的“IP 地址”字段留空。请不要删除旧条目。
- 对于在原始安装中包含 RSA SecurID(云部署)身份验证方法的所有目录,请更新该身份验证方法的配置。
有关新配置的信息,请参阅在 Workspace ONE Access 中配置 RSA SecurID 身份验证。
- 将 RSA SecurID(云部署)身份验证方法添加到在原始安装中包含该身份验证方法的所有访问策略中。
您可以从页面编辑访问策略。
