Wenden Sie diesen Vorgang an, wenn die Verbindungsserver-Instanz, für die ein Upgrade durchgeführt werden soll, mit einem Sicherheitsserver kombiniert ist.
Mit diesem Vorgang lässt sich das Upgrade für einen Sicherheitsserver und die damit kombinierte Verbindungsserver-Instanz durchführen. Erst dann sollte das Upgrade kann für den nächsten Sicherheitsserver und die damit kombinierte Verbindungsserver-Instanz fortgesetzt werden. Mit dieser Vorgehensweise kommt es zu keiner Ausfallzeit. Wenn die Instanz nicht mit einem Sicherheitsserver kombiniert ist, gehen Sie vor, wie unter Upgrade von Verbindungsserver-Instanzen in einer replizierten Gruppe erläutert.
Zu den ersten Schritten dieses Vorgangs gehört das Upgrade der Verbindungsserver-Instanz. Nach dem Upgrade des Verbindungsservers, aber noch vor dem Sicherheitsserver-Upgrade, beschreibt ein Schritt das Entfernen der IPsec-Regeln für den Sicherheitsserver. Wenn Sie die IPsec-Regeln für einen aktiven Sicherheitsserver entfernen, verlieren Sie so lange die gesamte Kommunikation mit dem Sicherheitsserver, bis Sie den Sicherheitsserver wieder installieren.
Standardmäßig wird die Kommunikation zwischen einem Sicherheitsserver und der dazugehörigen Verbindungsserver-Instanz durch IPSec-Regeln gesteuert. Wenn die vorhandenen IPsec-Regeln vor dem Upgrade oder der Neuinstallation nicht entfernt werden, können der Sicherheitsserver und der Verbindungsserver nicht kombiniert werden und es können keine neuen IPsec-Regeln nach dem Upgrade eingerichtet werden.
Voraussetzungen
- Legen Sie fest, wann Sie das Upgrade durchführen möchten. Wählen Sie ein verfügbares Desktop-Wartungsfenster. Planen Sie 15 bis 30 Minuten für jeden Sicherheitsserver und die Verbindungsserver-Instanz ein, mit der der Sicherheitsserver kombiniert ist.
- Wenn Sie View Composer verwenden, überprüfen Sie, ob View Composer aktualisiert wurde. Siehe Upgrade für View Composer. Nachdem Sie den Verbindungsserver aktualisiert haben, müssen Sie View Composer mit Horizon Administrator hinzufügen.
- Machen Sie sich mit den sicherheitsbezogenen Anforderungen von Horizon 7 vertraut und stellen Sie sicher, dass diese Anforderungen erfüllt werden. Siehe Upgrade-Anforderungen für Horizon-Verbindungsserver. Eventuell müssen Sie ein von einer Zertifizierungsstelle signiertes TLS-Serverzertifikat mit Informationen zur Zertifikatsperre installieren, sicherstellen, dass „Windows-Firewall mit erweiterter Sicherheit“ aktiviert ist, und alle Back-End-Firewalls zur Unterstützung von IPsec konfigurieren.
- Stellen Sie sicher, dass die virtuellen bzw. physischen Maschinen, auf denen der aktuelle Sicherheitsserver und die Verbindungsserver-Instanzen installiert sind, die Systemanforderungen erfüllen.
Siehe Horizon-Verbindungsserver – Serveranforderungen.
- Führen Sie die unter Vorbereiten des Verbindungsservers für ein Upgrade aufgeführten Aufgaben aus.
- Stellen Sie sicher, dass Sie über eine Lizenz für die neue Version verfügen.
- Stellen Sie sicher, dass Sie über ein Benutzerkonto mit Administratorrechten auf den Hosts verfügen, auf denen Sie das Installationsprogramm ausführen und das Upgrade installieren möchten.
- Stellen Sie sicher, dass der Computer, auf dem Sie den Sicherheitsserver installieren möchten, auf die mit dem Sicherheitsserver zu koppelnde Verbindungsserver-Instanz zugreifen kann.
Hinweis: Nach einem Verbindungsserver-Upgrade auf
Horizon 7 Version 7.5 müssen Sicherheitsserver mit deaktiviertem IPsec erneut installiert werden. Wenn die IP-Adresse eines Sicherheitsservers geändert wird, muss er erneut installiert werden. Das Koppeln von Sicherheitsservern funktioniert nicht ordnungsgemäß, wenn der Sicherheitsserver sich hinter der dynamischen NAT befindet.
Prozedur
- Wenn Sie mit einem Lastausgleichsdienst Sicherheitsserver verwalten, die mit Verbindungsserver-Instanzen gekoppelt sind, deaktivieren Sie den Sicherheitsserver, der mit der Verbindungsserver-Instanz gekoppelt ist, für die Sie ein Upgrade durchführen möchten.
- Führen Sie ein Upgrade für die Verbindungsserver-Instanz durch, die mit diesem Sicherheitsserver kombiniert ist.
- Entfernen Sie die IPsec-Regeln für den Sicherheitsserver, der mit der Verbindungsserver-Instanz kombiniert ist, für die das Upgrade durchgeführt wurde.
- Klicken Sie in Horizon Administrator auf .
- In der Registerkarte Sicherheitsserver wählen Sie einen Sicherheitsserver aus und klicken auf .
Wenn Sie IPsec-Regeln deaktiviert haben, bevor Sie den Sicherheitsserver installierten, ist diese Einstellung inaktiv. In diesem Fall müssen Sie keine IPsec-Regeln entfernen, bevor Sie neu installieren oder aktualisieren.
- Klicken Sie auf OK.
Die IPsec-Regeln werden entfernt und die Einstellung
Auf Aktualisierung oder Neuinstallation vorbereiten wird inaktiv, was anzeigt, dass Sie den Sicherheitsserver installieren oder aktualisieren können.
- Konfigurieren Sie mit der aktuellen Version von Horizon Administrator ein Sicherheitsserverkennwort für die Kombination. Informationen finden Sie im Abschnitt zur Konfiguration eines Sicherheitsserverkennworts für die Kombination im Dokument Horizon 7-Installation.
- Laden Sie auf dem Host des Sicherheitsservers das Installationsprogramm für die neueste Version des Verbindungsservers herunter und führen Sie es aus.
Der Dateiname des Installationsprogramms lautet
VMware-viewconnectionserver-x86_64-y.y.y-xxxxxx.exe. Hierbei ist
xxxxxx die Buildnummer und
y.y.y die Versionsnummer. Das Installationsprogramm ermittelt, dass bereits eine ältere Version installiert ist und führt ein Upgrade durch. Bei einem Upgrade werden weniger Installationsoptionen als bei einer Neuinstallation angezeigt.
Sie werden aufgefordert, das Kennwort für die Paarbildung mit dem Sicherheitsserver anzugeben.
Sie werden möglicherweise aufgefordert, ein Meldungsfeld wegzuklicken, das Sie darüber informiert, dass der Sicherheitsserver-Dienst gestoppt wurde. Der Installateur hält den Dienst in Vorbereitung auf die Aktualisierung an.
- Wenn der Installationsassistent abgeschlossen ist, prüfen Sie, ob der VMware Horizon View-Sicherheitsserver-Dienst gestartet wurde.
- Wenn Sie diesen Sicherheitsserver mit einem Lastausgleichsmodul verwalten, fügen Sie diesen Server wieder der Gruppe mit dem Lastausgleich hinzu.
- Melden Sie sich bei Horizon Administrator an, wählen Sie den Sicherheitsserver im Dashboard aus und prüfen Sie, ob dessen Version die neueste ist.
- Stellen Sie sicher, dass Sie sich bei einem Remote-Desktop anmelden können.
- Wechseln Sie in Horizon Administrator zur Registerkarte und entfernen Sie dann alle Duplikate von Sicherheitsservern aus der Liste.
Der automatische Paarbildungsmechanismus für Sicherheitsserver kann doppelte Einträge in der Liste
Sicherheitsserver erzeugen, wenn der vollständige Systemname nicht dem Namen entspricht, der dem Sicherheitsserver bei seiner ursprünglichen Erstellung zugewiesen wurde.
- Verwenden Sie das Dienstprogramm vdmexport.exe, um die soeben aktualisierte View LDAP-Datenbank zu sichern.
Wenn mehrere Verbindungsserver-Instanzen in einer replizierten Gruppe vorhanden sind, müssen Sie die Daten nur aus einer Instanz exportieren.
- Melden Sie sich bei Horizon Administrator an und überprüfen Sie dort das Dashboard, um sicherzustellen, dass die Symbole für vCenter Server und View Composer grün sind.
Falls eines der Symbole rot ist und das Dialogfeld "Ungültiges Zertifikat festgestellt" erscheint, müssen Sie auf
Überprüfen klicken und dann entweder wie in "Nächste Schritte" beschrieben den Fingerabdruck des nicht vertrauenswürdigen Zertifikats akzeptieren oder ein gültiges, von einer CA signiertes SSL-Zertifikat installieren.
Informationen zum Ersetzen des Standardzertifikats für vCenter Server finden Sie im Dokument VMware vSphere – Beispiele und Szenarien.
- Überprüfen Sie, ob die Dashboard-Symbole für die Verbindungsserver-Instanzen ebenfalls grün dargestellt werden.
Wird für eine Instanz ein rotes Symbol angezeigt, klicken Sie auf diese Instanz, um den Replikationsstatus zu ermitteln. Die Replikation kann aus folgenden Gründen beeinträchtigt sein:
- Eine Firewall blockiert die Kommunikation
- Der VMware VDMDS-Dienst wurde auf der Verbindungsserver-Instanz eventuell angehalten.
- Die VMware VDMS DSA-Optionen blockieren die Replikationen
- Ein Netzwerkfehler ist aufgetreten
Nächste Maßnahme
Wie Sie ein standardmäßiges oder selbst signiertes Zertifikat von vCenter Server oder View Composer verwenden, erfahren Sie unter Akzeptieren des Fingerabdrucks eines standardmäßigen TLS-Zertifikats.
Wenn das Upgrade für eine oder mehrere Verbindungsserver-Instanzen fehlschlägt, finden Sie weitere Informationen unter Erstellen einer replizierten Gruppe nach dem Zurücksetzen des Verbindungsservers auf einen Snapshot.
Wichtig: Wenn Sie für JMS-Nachrichten den erweiterten Sicherheitsmodus für Nachrichten verwenden möchten, müssen Sie sicherstellen, dass die Firewalls für Verbindungsserver-Instanzen den Empfang von eingehendem JMS-Datenverkehr auf Port 4002 von Desktops und Sicherheitsservern zulassen. Öffnen Sie außerdem Port 4101, um Verbindungen von anderen Verbindungsserver-Instanzen zuzulassen.
Wenn Sie den Verbindungsserver später auf einem Server neu installieren, für den ein Datenerfassungs-Set zur Überwachung der Leistungsdaten konfiguriert ist, stoppen Sie das Datenerfassungs-Set und starten Sie es dann erneut.