アップグレードする予定の接続サーバ インスタンスがセキュリティ サーバとペアになっている場合は、この手順を使用します。
この手順では、セキュリティ サーバと接続サーバ インスタンスのペア 1 つをアップグレードした上で、次のセキュリティ サーバと接続サーバ インスタンスのペアのアップグレードに進みます。この方法によって、ゼロ ダウンタイムが実現されます。インスタンスがセキュリティ サーバとペアになっていない場合は、レプリカ グループ内の Connection Server のアップグレードの手順を使用します。
この手順では、まず、接続サーバ インスタンスをアップグレードします。接続サーバをアップグレードした後は、セキュリティ サーバの IPsec ルールを削除してから、セキュリティ サーバをアップグレードします。アクティブ なセキュリティ サーバに対して IPsec ルールを削除すると、セキュリティ サーバのすべての通信は、セキュリティ サーバのアップグレードまたは再インストールまで失われます。
デフォルトでは、セキュリティ サーバとそのペアの接続サーバ インスタンス間の通信は IPsec ルールによって制御されています。アップグレードまたは再インストールの前に IPsec ルールが削除されない場合、セキュリティ サーバと接続サーバの間のペアリングが失敗し、アップグレード後に新しい IPsec ルールのセットを確立できません。
前提条件
- この手順をいつ実行すべきかを判断します。利用可能なデスクトップメンテナンス期間を選択します。各セキュリティ サーバとそのペアの接続サーバ インスタンスにつき 15 ~ 30 分を予定してください。
- View Composer を使用する場合、View Composer がアップグレードされていることを確認してください。View Composer のアップグレードを参照してください。接続サーバをアップグレード後は、Horizon Administrator を使用して View Composer を追加する必要があります。
- Horizon 7 のセキュリティ関連の要件について理解し、これらの要件を満たしていることを確認します。Horizon 接続サーバのアップグレード要件を参照してください。証明書の失効情報を含む 認証局 (CA) 署名付き TLS サーバ証明書を取得およびインストールし、[セキュリティが強化された Windows ファイアウォール] を [オン] に設定し、IPsec をサポートするようにバックエンドのファイアウォールを構成する必要がある場合があります。
- 現在のセキュリティ サーバと接続サーバ インスタンスがインストールされている仮想マシンまたは物理マシンがシステム要件を満たしていることを確認します。
Horizon Connection Server の要件を参照してください。
- アップグレードのための接続サーバの準備に一覧表示されているタスクを実行します。
- 新しいバージョンのライセンスがあることを確認します。
- インストーラとアップグレードを実行する際に使用するホストに対して管理権限のあるユーザー アカウントを持っていることを確認します。
- セキュリティ サーバとペアにする接続サーバのインスタンスが、セキュリティ サーバをインストールする予定のコンピュータからアクセスできることを確認します。
注: Connection Server を
Horizon 7 バージョン 7.5 にアップグレードした場合、IPsec が無効になっているセキュリティ サーバを再インストールする必要があります。セキュリティ サーバの IP アドレスが変更された場合、再インストールする必要があります。セキュリティ サーバが動的 NAT の背後にある場合、セキュリティ サーバのペアリングが正しく機能しません。
手順
- ロード バランサを使用して Connection Server インスタンスとペアになっているセキュリティ サーバを管理する場合、アップグレードする Connection Server インスタンスとペアになっているセキュリティ サーバを無効にします。
- このセキュリティ サーバとペアになっている接続サーバ インスタンスをアップグレードします。
- アップグレードした接続サーバ インスタンスとペアになっているセキュリティ サーバの IPsec ルールを削除します。
- Horizon Administrator で、 の順にクリックします。
- [セキュリティ サーバ] タブで、セキュリティ サーバを選択し、 をクリックします。
セキュリティ サーバをインストールする前に IPsec ルールを無効にした場合は、この設定は無効です。この場合、再インストールまたはアップグレード前に IPsec ルールを削除する必要はありません。
- [OK] をクリックします。
IPsec ルールが削除され、
[アップグレードまたは再インストールを準備] 設定が無効になります。つまりセキュリティ サーバを再インストールまたはアップグレードできます。
- Horizon Administrator の最新バージョンを使用して、セキュリティ サーバのペアリング パスワードを設定します。『Horizon 7 のインストール』の「セキュリティ サーバのペアリング パスワードの設定」を参照してください。
- セキュリティ サーバのホストで、接続サーバの最新バージョンのインストーラをダウンロードして実行します。
インストーラのファイル名は、
VMware-viewconnectionserver-x86_64-y.y.y-xxxxxx.exe です。
xxxxxx は、ビルド番号であり、
y.y.y はバージョン番号です。旧バージョンがすでにインストールされているかどうかがインストーラによって判別され、アップグレードが実行されます。新規インストールの場合は、インストーラに表示されるインストール オプションの数が少なくなります。
セキュリティ サーバのペアリング パスワードを入力するように求められます。
セキュリティ サーバ サービスが停止したことを通知するメッセージ ボックスを消去するように求められる場合があります。インストーラはアップグレードの準備のためにサービスを停止します。
- インストーラ ウィザードの終了後に、VMware Horizon View セキュリティ サーバ サービスが開始されていることを確認します。
- このセキュリティ サーバの管理にロード バランサを使用している場合は、このサーバを負荷分散グループに戻します。
- Horizon Administrator にログインして、ダッシュボードでセキュリティ サーバを選択し、セキュリティ サーバが最新バージョンになっていることを確認します。
- リモート デスクトップにログインできることを確認します。
- Horizon Administrator で タブの順に移動し、重複したセキュリティ サーバをリストから削除します。
自動化されたセキュリティ サーバ ペアリング メカニズムでは、完全なシステム名が、セキュリティ サーバが最初に作成されたときに割り当てられた名前と一致しない場合、
[セキュリティ サーバ] の一覧に重複したエントリが作成される場合があります。
- vdmexport.exe ユーティリティを使用して、新しくアップグレードされた View LDAP データベースをバックアップします。
レプリカ グループ内に Connection Server インスタンスが複数存在する場合は、1 つのインスタンスからデータをエクスポートするだけでかまいません。
- Horizon Administrator にログインし、ダッシュボードを調べて、vCenter Server と View Composer アイコンが緑になっていることを確認します。
これらのアイコンのいずれかが赤になっており、[無効な証明書が検出されました]ダイアログ ボックスが表示される場合、
[検証]をクリックして、「次の手順」で説明されているように信頼されていない証明書の指紋を受け入れるか、CA によって署名された有効な SSL 証明書をインストールします。
vCenter Server のデフォルト証明書の置換の詳細については、『VMware vSphere Examples and Scenarios』ドキュメントを参照してください。
- Connection Server インスタンスのダッシュボード アイコンも緑であることを確認します。
いずれかのインスタンスのアイコンが赤の場合は、インスタンスをクリックして、複製ステータスを確認します。次のいずれかの理由で、複製が失敗することがあります。
- ファイアウォールによって通信がブロックされている
- Connection Server インスタンスで VMware VDMDS サービスが停止している可能性がある
- VMware VDMS DSA オプションによって複製がブロックされている
- ネットワークの問題が発生している
次のタスク
vCenter Server または View Composer のデフォルト、つまり自己署名証明書を使用するには、デフォルトの TLS 証明書のサムプリントを受け入れるを参照してください。
1 つ以上の接続サーバ インスタンスでアップグレードが失敗する場合は、接続サーバをスナップショットに戻した後のレプリカ グループの作成を参照してください。
重要: JMS メッセージに拡張されたメッセージ セキュリティ モードを使用する場合、ファイアウォールにより Connection Server インスタンスが、デスクトップおよびセキュリティ サーバから 4002 ポートに入ってくる JMS トラフィックを受信できるようになっているか確認します。また、ポート 4101 を開いて他のConnection Server インスタンスからの通信を受け入れます。
パフォーマンス データを監視するようにデータ コレクタ セットが構成されているサーバに Connection Server を再インストールしてある場合は、データ コレクタ セットを停止して再起動してください。