Чтобы обновить Workspace ONE Access Connector 20.10.x или 20.01.x для Windows до версии 21.08, загрузите новый установщик с портала My VMware на сервер соединителя и запустите установщик. Удалять старую версию соединителя не нужно.

Во время обновления приостанавливается работа имеющихся служб синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos. По завершении обновления данные службы будут автоматически перезапущены.

Важные рекомендации

  • Если планируется установить службу виртуальных приложений, необходимо загрузить и использовать новый файл конфигурации es-config.json из консоли Workspace ONE Access, чтобы установить соединение между службой Workspace ONE Access и соединителем. Если служба виртуальных приложений не устанавливается, новый файл конфигурации не требуется. Обновленный и имеющийся соединители могут использовать один файл конфигурации.
    Примечание: Если пароль существующего файла конфигурации es-config.json содержит символы & или %, создайте новый файл конфигурации с паролем, который не содержит этих символов. Символы & и % не поддерживаются.
  • Конфигурация метода проверки подлинности RSA SecurID (облачная среда) изменена в выпуске 21.08. Если настроен метод проверки подлинности RSA SecurID (облачная среда), необходимо удалить его из политик доступа перед обновлением всех экземпляров службы проверки подлинности пользователей, а затем перенастроить после обновления. Так как это приводит к простою при входе с использованием RSA SecurID, соответствующим образом спланируйте время обновления.

    Ниже приведены шаги высокого уровня по обновлению.

    1. Убедитесь, что используется устройство диспетчера аутентификации RSA 8.2 с пакетом обновления 1 (SP1) или более поздних версий, которые поддерживает Workspace ONE Access Connector 21.08.
    2. Перед обновлением соединителя удалите метод проверки подлинности RSA SecurID (облачная среда) из политик доступа, в которых он используется.
    3. Обновите все соединители, на которых установлена служба проверки подлинности пользователей, до версии 21.08.
    4. Если прокси-сервер настроен с соединителями, убедитесь, что на нем открыт порт связи, настроенный для сервера диспетчера аутентификации RSA.
    5. Если развернуто несколько экземпляров сервера диспетчера аутентификации RSA, необходимо настроить их за подсистемой балансировки нагрузки и выполнить требования Workspace ONE Access к подсистеме балансировки нагрузки.
    6. В консоли RSA Security Console убедитесь, что соединитель добавлен в качестве агента проверки подлинности с использованием полного доменного имени (FQDN), например connectorserver.example.com.
    7. Обновите конфигурацию метода проверки подлинности RSA SecurID (облачная среда).
    8. Добавьте метод проверки подлинности RSA SecurID (облачная среда) в политики доступа.
  • Убедитесь, что все экземпляры соединителя, на которых установлена служба проверки подлинности пользователей, обновлены до версии 21.08. Workspace ONE Access не поддерживает сочетание версий 21.08 и 20.x службы проверки подлинности пользователей.
  • Workspace ONE Access Connector 21.08 поддерживает указанные ниже типы прокси-серверов.
    • Прокси-серверы HTTP, не прошедшие проверку подлинности
    • Прокси-серверы HTTPS (SSL), не прошедшие проверку подлинности
    • Прокси-серверы HTTPS (SSL), прошедшие проверку подлинности

Необходимые условия

  • См. раздел Обновление до VMware Workspace ONE Access Connector 21.08.
  • Если установленные соединитель расположен на виртуальном сервере Windows, сделайте моментальный снимок виртуальной машины перед обновлением.
  • Если планируется установить службу проверки подлинности Kerberos или службу виртуальных приложений, убедитесь, что сервер соединителя присоединен к домену.
  • Если настроен метод проверки подлинности RSA SecurID (облачная среда), убедитесь, что используется устройство диспетчера аутентификации RSA версии 8.2 с пакетом обновления 1 (SP1) или более поздней версии.
  • Если настроен метод проверки подлинности RSA SecurID (облачная среда), удалите этот метод из политик доступа, прежде чем обновить все экземпляры соединителя, для которых установлена служба проверки подлинности пользователей.
    1. В консоли Workspace ONE Access перейдите на страницу Управление учетными данными и доступом > Управление > Политики.
    2. Просмотрите каждую политику и удалите метод проверки подлинности RSA SecurID (облачная среда), если он входит в политику.

      Запишите внесенные изменения, чтобы у вас была информация, необходимая для обратного добавления этого метода проверки подлинности после обновления соединителя.

  • Если выполняется обновление с версии 20.01.x и при этом настроен каталог типа «Active Directory со встроенной проверкой подлинности Windows (IWA)», отмените выбор параметра STARTTLS в конфигурации каталога в консоли Workspace ONE Access перед обновлением до Connector 21.08. После обновления возможности каталога Active Directory с протоколом IWA будут несовместимы с параметром STARTTLS.

    Чтобы изменить конфигурацию каталога, перейдите на страницу Управление учетными данными и доступом > Управление > Каталоги, выберите каталог, снимите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола STARTTLS и нажмите кнопку Сохранить.

    Примечание: Если к соединителю Connector 20.01 применено исправление, описанное в статье базы знаний 77158, либо он обновлен до версии 20.01.0.1 или 20.10, возможно, выбор параметра STARTTLS уже отменен для каталога Active Directory с протоколом IWA. Убедитесь, что выбор данного параметра отменен.
  • В консоли Workspace ONE Access приостановите работу установленных служб соединителя.
    1. Перейдите на страницу «Управление учетными данными и доступом» > «Настройка» > «Соединители».
    2. Выберите соединитель, а затем щелкните элемент Управление.
    3. Щелкните переключатель рядом с именем каждой службы, чтобы приостановить ее работу.
  • Необходимы приведенные ниже сведения об учетной записи.
    • Учетные данные My VMware
    • Учетные данные пользователя домена, используемые для запуска службы (если уже установлена служба проверки подлинности Kerberos)
    • Если планируется установить службу проверки подлинности Kerberos или службу виртуальных приложений во время обновления, для запуска этих служб необходима учетная запись пользователя домена. В то время как эти службы выполняются с правами учетной записи пользователя домена, службы синхронизации каталогов и проверки подлинности пользователей выполняются с более низкими правами.
    • Если используется метод проверки подлинности RSA SecurID (облачная среда), требуются учетные данные консоли RSA Security Console, чтобы получить сведения, необходимые для повторной настройки метода проверки подлинности в консоли Workspace ONE Access после обновления всех экземпляров соединителя.

Процедура

  1. Если нужен новый файл конфигурации, создайте его в консоли Workspace ONE Access.
    1. а. Войдите в консоль Workspace ONE Access в качестве администратора домена системы.
      Совет: При облачных развертываниях администратором домена системы является администратор, учетные данные которого предоставляются при получении арендатора Workspace ONE Access. При локальных развертываниях администратором домена системы является администратор, созданный при установке экземпляра Workspace ONE Access.
    2. б. Перейдите на страницу Управление учетными данными и доступом > Настройка > Соединители.
    3. в. Нажмите кнопку Создать.
    4. г. В мастере добавления нового соединителя нажмите кнопку Далее.
    5. д. На странице «Загрузка файла конфигурации» создайте файл конфигурации, создав пароль и нажав кнопку Загрузить файл конфигурации.
      Длина пароля должна составлять минимум 14 символов. Он должен включать в себя прописные буквы, строчные буквы, цифры и специальные символы. Не используйте символы & или %. Все символы должны быть видимыми, печатаемыми символами ASCII.
      Файл конфигурации используется для создания связи между устанавливаемыми корпоративными службами и арендатором Workspace ONE Access. По умолчанию файл называется es-config.json.
      Осторожно!: Файл конфигурации содержит конфиденциальную информацию, например URL-адрес клиента, идентификатор арендатора, идентификатор клиента и секретный ключ клиента для каждой из корпоративных служб, а также хэш пароля. Очень важно не предоставлять общий доступ к файлу и не публиковать его.
    6. е. Перенесите файл конфигурации на сервер соединителя.
  2. Загрузите Workspace ONE Access Connector 21.08.0.0 с портала My VMware.
    1. а. Войдите на веб-сайт https://my.vmware.com.
    2. б. Перейдите на страницу загрузки VMware Workspace ONE Access 21.08.
    3. в. Загрузите Workspace ONE Access Connector 21.08.0.0.
  3. Сохраните файл установщика на сервере Windows, где установлен соединитель предыдущей версии.
  4. Дважды щелкните файл Workspace ONE Access Connector Installer.exe, чтобы запустить установщик.
    Установщик определит необходимость обновления и поможет выполнить обновление. В мастере отображается страница обновления.
  5. Следуйте указаниям мастера для обновления соединителя.
    При обновлении учитывайте приведенные ниже сведения.
    • Во время обновления установщик устанавливает OpenJDK 8.
    • Во время обновления можно изменить любые настройки для имеющихся служб. Кроме того, можно установить другие службы. Например, можно установить новую службу виртуальных приложений. Либо если имеющаяся установка включает в себя только службу синхронизации каталогов, а вы хотите установить службы проверки подлинности пользователей и проверки подлинности Kerberos, это можно сделать во время обновления.

      Подробнее о требованиях, масштабировании, установке и настройках см. в разделе Установка VMware Workspace ONE Access Connector 21.08.

    • С помощью Connector 21.08 вместо одного сервера можно указать несколько внешних серверов системного журнала для хранения сообщений о событиях на уровне приложений. Данные серверов системного журнала можно ввести на странице «Указание сведений о сервере системного журнала» во время обновления.

      Используйте следующий формат:

      host:port,host:port,host:port

      Здесь host — это полное доменное имя или IP-адрес сервера системного журнала, а port — это номер порта. Пример:

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163

  6. После успешного завершения обновления убедитесь, что на сервере Windows запущены обновленные службы.
    Службы соединителя имеют указанные ниже имена.
    • Служба синхронизации каталогов VMware
    • Служба проверки подлинности пользователей VMware
    • Служба проверки подлинности Kerberos VMware
    • Служба виртуальных приложений VMware

    В службах отображается состояние «Выполняется».

Результаты

Обновление соединителя завершено. Чтобы убедиться, что установлена новая версия соединителя, перейдите в раздел Панель управления > Программы > Программы и компоненты на сервере Windows и проверьте указанную версию соединителя.

Дальнейшие действия

  • В консоли Workspace ONE Access щелкните значок обновления на странице «Управление учетными данными и доступом» > «Настройка» > «Соединители» и убедитесь, что обновленные службы активны, а состояние работоспособности помечено зеленым цветом.
    Например:
    На странице «Соединители» приведен один соединитель с установленными службами синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos, а также службой виртуальных приложений. Все службы являются активными, а в столбце «Работоспособность» отображается зеленый флажок.
  • Если в исходной установке был настроен метод проверки подлинности RSA SecurID (облачная среда), перенастройте его после обновления всех экземпляров соединителя, для которых установлена служба проверки подлинности пользователей.
    1. Если развернуто несколько экземпляров сервера диспетчера аутентификации RSA, необходимо настроить их за подсистемой балансировки нагрузки и выполнить требования Workspace ONE Access к подсистеме балансировки нагрузки. См. раздел Требования Workspace ONE Access для подсистемы балансировки нагрузки RSA SecurID.
    2. Если прокси-сервер настроен с соединителями, убедитесь, что на нем открыт порт связи, настроенный для сервера диспетчера аутентификации RSA.
    3. В консоли RSA Security Console убедитесь, что соединитель добавлен в качестве агента проверки подлинности с использованием полного доменного имени (FQDN), например connectorserver.example.com. Если соединитель уже добавлен в качестве агента проверки подлинности с использованием имени NetBIOS вместо полного доменного имени (FQDN), добавьте еще одну запись, указав полное доменное имя (FQDN). Оставьте поле IP-адреса пустым для новой записи. Не удаляйте старую запись.
    4. Обновите конфигурацию метода проверки подлинности RSA SecurID (облачная среда) для всех каталогов, которые включали его в исходной установке.

      Подробнее о новой конфигурации см. в разделе Настройка проверки подлинности RSA SecurID в Workspace ONE Access.

    5. Добавьте метод проверки подлинности RSA SecurID (облачная среда) во все политики доступа, включенные в исходную установку.

      Политики доступа можно изменять на странице Управление учетными данными и доступом > Управление > Политики.