Выполните миграцию имеющихся каталогов и коллекций виртуальных приложений из соединителей Workspace ONE Access версии 19.03 или 19.03.0.1 на соединители версии 22.09 с помощью панели управления переносом. Процесс переноса выполняется поэтапно, позволяя перед его завершением протестировать среду с помощью новых соединителей.

Этапы переноса

Процесс переноса включает в себя следующие этапы.

  • Установка соединителей версии 22.09

    Установите новые соединители версии 22.09, которые содержат службы синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos, а также службы виртуальных приложений. Как минимум, установите службу синхронизации каталогов. Установите службу проверки подлинности пользователей, если на устаревших соединителях настроена проверка подлинности с использованием соединителя. Установите службу проверки подлинности Kerberos, если на устаревших соединителях настроен метод проверки подлинности Kerberos. Установите службу виртуальных приложений, если на устаревших соединителях настроены коллекции виртуальных приложений.

  • Перенос каталогов

    На этом этапе осуществляется перенос всех данных каталога с помощью мастера переноса каталогов. Большая часть необходимой информации предварительно заполняется из сведений о среде, но некоторые конфиденциальные данные, такие как пароль пользователя привязки каталога, вводятся вручную.

    При переносе каталогов на этом этапе не изменяется ни один из существующих каталогов, методов проверки подлинности или конфигураций поставщиков удостоверений. Все еще используются старые соединители. Изменения вступят в силу только после перехода к этапу предварительного просмотра.

  • Миграция коллекций виртуальных приложений

    На этом этапе необходимо выбрать соединители, на которые следует перенести имеющиеся коллекции виртуальных приложений. Новые настройки вступят в силу только после перехода к этапу предварительного просмотра.

  • Предварительный просмотр

    На этапе предварительного просмотра показана среда с новыми соединителями версии 22.09. Новые службы синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos, а также службы виртуальных приложений из соединителей версии 22.09 выполняют синхронизацию каталогов, проверку подлинности пользователей и синхронизацию виртуальных приложений. Все методы проверки подлинности, кроме Kerberos, работают в режиме поддержки исходящих соединений.

    Этап предварительного просмотра предназначен для тщательного тестирования среды с новыми службами. Проверьте правильность работы синхронизации каталогов и виртуальных приложений, проверки подлинности пользователей и запуска приложений.

    На этапе предварительного просмотра нельзя создавать, изменять и удалять каталоги, методы проверки подлинности, поставщиков удостоверений или коллекции виртуальных приложений.

    На этапе предварительного просмотра можно выполнить откат к использованию старых соединителей. При откате сохраняются данные каталогов, перенос которых был выполнен на предыдущем этапе. Если позже будут внесены любые изменения в существующие каталоги, методы проверки подлинности или поставщики удостоверений, обязательно повторите перенос данных каталогов.

  • Завершение переноса

    Когда будут получены удовлетворительные результаты тестирования новой среды, можно завершить перенос. После завершения переноса откат к использованию старых соединителей будет невозможен.

Необходимые условия

  • Ознакомьтесь с требованиями, перечисленными в разделе Требования для миграции на соединитель Workspace ONE Access Connector 22.09.
  • Убедитесь, что в среде установлены только соединители версии 19.03.x. Если имеются соединители более ранней версии, обновите их до версии 19.03.x перед выполнением миграции.
  • Подготовьте один или несколько серверов Windows для соединителей версии 22.09.

    Дополнительные сведения см. в разделе Требования для миграции на соединитель Workspace ONE Access Connector 22.09.

  • При использовании локального виртуального устройства Workspace ONE Access перед миграцией соединителей обновите его до версии 22.09.
  • При установке службы проверки подлинности пользователей убедитесь, что в среде нет экземпляров службы проверки подлинности пользователей версий 22.05, 21.x или 20.x. В рамках миграции будут установлены соединители версии 22.09. Все экземпляры службы проверки подлинности пользователей в вашей среде должны иметь версию 22.09. Миграцию невозможно продолжить при наличии нескольких версий службы проверки подлинности пользователей.
  • Если на соединителях Connector 19.03.x настроен метод проверки подлинности RSA SecurID:
    • Убедитесь, что используется устройство диспетчера аутентификации RSA версии 8.2 с пакетом обновления 1 (SP1) или более поздней. Соединитель Workspace ONE Access Connector 22.09 поддерживает устройство диспетчера проверки подлинности RSA 8.2 с пакетом обновления 1 (SP1) и более поздних версий.
    • Если развернуто несколько экземпляров сервера диспетчера аутентификации RSA, их необходимо настроить за подсистемой балансировки нагрузки для должной интеграции с Workspace ONE Access. Убедитесь, что соблюдены требования, перечисленные в разделе Требования Workspace ONE Access для подсистемы балансировки нагрузки RSA SecurID в руководстве Управление методами проверки подлинности пользователей в Workspace ONE Access.
    • В консоли RSA Security Console убедитесь, что соединитель добавлен в качестве агента проверки подлинности с использованием полного доменного имени (FQDN), например connectorserver.example.com. Если соединитель уже добавлен в качестве агента проверки подлинности с использованием имени NetBIOS вместо полного доменного имени (FQDN), добавьте еще одну запись, указав полное доменное имя (FQDN). Оставьте поле IP-адреса пустым для новой записи. Не удаляйте старую запись.
    • В рамках процесса миграции необходимо настроить метод проверки подлинности RSA SecurID. К информации, необходимой для настройки метода проверки подлинности, относятся имя узла диспетчера аутентификации RSA или подсистемы балансировки нагрузки, порт связи, ключ доступа и сертификат SSL диспетчера аутентификации RSA или подсистемы балансировки нагрузки, если на сервере используется самозаверяющий сертификат. Поскольку некоторые сведения поступают из консоли RSA Security Console, также необходимы учетные данные консоли Security Console.
    • Если прокси-сервер настроен с помощью соединителя, на прокси-сервере должен быть открыт порт связи, настроенный для сервера диспетчера аутентификации RSA.
  • При установке службы проверки подлинности пользователей на новом сервере Windows перед началом переноса соединителей добавьте сервер Windows в качестве агента на сервер диспетчера аутентификации RSA.
  • Если какой-либо поставщик удостоверений связан с несколькими каталогами, измените конфигурацию так, чтобы каждый поставщик удостоверений был связан только с одним каталогом (только для локальных установок Workspace ONE Access).
  • Перед переносом каталогов включите параметр Синхронизировать участников группы с каталогом при добавлении группы и убедитесь в правильности синхронизации пользователей, групп и составов группах.
    1. В консоли Workspace ONE Access выберите Параметры > Параметры входа.
    2. Щелкните Изменить, установите флажок Синхронизировать участников группы с каталогом при добавлении группы, а затем нажмите Сохранить.
    3. Перейдите на вкладку Параметры синхронизации каталога, разверните раздел Группы и нажмите Сохранить. Затем разверните раздел Пользователи и нажмите Сохранить.
      Важно!: Этот шаг необходим для вступления в силу изменений на странице «Параметры входа».
    4. Дождитесь успешного завершения нескольких этапов синхронизации каталогов с соответствующими пользователями, группами и составами групп, синхронизируемыми с Workspace ONE Access.
  • Перед началом миграции убедитесь, что ни для одного из каталогов не запущен процесс синхронизации каталогов.
  • Если включен компонент People Search, перед началом миграции убедитесь, что ни для одного из каталогов не запущен процесс синхронизации фотографий.
  • Помните, что, если во время миграции Connector 19.03.x, с которым не связан ни один каталог, выбрать параметр Последняя версия Workspace ONE Access Connector на шаге 5, миграция считается завершенной, а Connector 19.03.x удаляется из арендатора. Если вы позже решите использовать устаревшие соединители и измените выбранные соединители с помощью кнопки Сбросить выбор соединителя, то соединитель версии 19.03.x не отобразится. Соединитель версии 19.03.x понадобится переустановить для его повторной активации в службе.

Процедура

  1. В консоли Workspace ONE Access выберите Интеграции > Соединители (устаревшие), чтобы перейти на страницу «Устаревшие соединители».
  2. На странице «Устаревшие соединители» нажмите кнопку Сбросить выбор соединителя, а затем Продолжить во всплывающем окне подтверждения.

    Вверху справа выделена кнопка «Сбросить выбор соединителя».

    Откроется диалоговое окно подтверждения сброса выбора соединителя.
  3. В диалоговом окне «Подтверждение использования соединителя» выберите Последняя версия Workspace ONE Access Connector, щелкните OK и подтвердите действие.
    Выбран параметр «Соединитель Workspace ONE Access Connector последней версии».
  4. Выберите Интеграции > Каталоги, чтобы перейти на страницу «Каталоги».
    Отобразится страница «Перенос каталогов и виртуальных приложений».
    Панель управления переносом: введение
  5. Нажмите Начать миграцию.
    Отобразится панель управления переносом. На панели управления отображаются различные шаги, необходимые для завершения миграции. Просмотрите информацию на странице.
  6. На панели управления переносом в разделе Установка последней версии соединителей Workspace ONE Access Connector нажмите Начало работы.

    На панели управления переносом в разделе «Установка последней версии соединителей Workspace ONE Access Connector» имеется кнопка «Начало работы».

    Отобразится страница «Соединители».

  7. На странице «Соединители» щелкните Создать.

    На странице «Соединители» отобразится кнопка «Создать»
  8. Следуйте указаниям мастера добавления нового соединителя, чтобы загрузить установщик соединителя и необходимый файл конфигурации, а затем установите новый соединитель.
    Страница «Загрузить установщик» в мастере добавления нового соединителя
    Сведения об установке см. в руководстве Установка соединителя VMware Workspace ONE Access Connector 22.09.
    При установке соединителя убедитесь, что установлена служба синхронизации каталогов. Установите службу проверки подлинности пользователей, если на устаревших соединителях настроена проверка подлинности с использованием соединителя. Служба проверки подлинности Kerberos требуется только в том случае, если метод проверки подлинности Kerberos настроен на любом из устаревших соединителей. Установите службу виртуальных приложений, если на устаревших соединителях настроены коллекции виртуальных приложений или их планируется настроить на новом соединителе.
    Осторожно!:
    • При создании файла конфигурации для соединителя в консоли Workspace ONE Access убедитесь, что созданный пароль отвечает требованиям.

      Длина пароля должна составлять не менее 14 символов, и он должен содержать крайней мере одну цифру, одну прописную букву и один специальный символ. Разрешено использовать только указанные ниже специальные символы.

      @ ! , # $ { } ( ) _ + . < > ? *

      Все символы должны быть видимыми, печатаемыми символами ASCII.

    • Во время установки на странице «Укажите файл конфигурации» установщика отображается параметр для включения режима FIPS. Не устанавливайте флажок Включить FIPS. При миграции с устаревших соединителей на соединитель версии 22.09 режим FIPS не поддерживается.
    • По завершении процесса установки может отобразиться запрос на перезапуск системы. Не перезапускайте систему, если новый соединитель устанавливается на сервере Connector 19.03.x. Перезапустите систему только после завершения всего процесса переноса соединителя.
    • При установке службы проверки подлинности пользователей убедитесь, что в среде используются исключительно экземпляры службы проверки подлинности пользователей версии 22.09, а не версий 22.05 или 21.x или 20.x. Миграцию невозможно продолжить, если используется несколько версий службы проверки подлинности пользователей.
  9. После успешного завершения установки соединителя перейдите в консоли администрирования на страницу Интеграции > Каталоги и нажмите кнопку Продолжить перенос.
  10. В разделе Перенос каталогов на панели управления переносом поочередно переносятся все каталоги.

    В области «Перенос каталогов» на панели управления переносом отображается два каталога с кнопкой «Перенос» рядом с каждым из них.
    В разделе «Перенос каталогов» приведены все каталоги Active Directory и LDAP в арендаторе. Прежде чем завершить перенос, необходимо выполнить перенос всех указанных каталогов.
    Примечание: При переносе каталогов на этом шаге не изменяются существующие каталоги, методы проверки подлинности или конфигурации поставщиков удостоверений. Изменения вступят в силу только после предварительного просмотра изменений на следующем шаге.
    1. а. Нажмите кнопку Перенос рядом с каталогом.
      Откроется мастер переноса каталогов. Мастер подстраивается под переносимый каталог. Для методов проверки подлинности, настроенных в каталоге, появятся дополнительные страницы.
    2. б. На странице каталога введите пароль пользователя привязки для каталога.
      В списке Узлы синхронизации каталогов отображаются новые узлы соединителя версии 22.09, на которых установлена служба синхронизации каталогов. Выберите один или несколько узлов, которые будут использоваться для синхронизации каталога.
      Мастер переноса каталогов — страница каталога
    3. в. (Отображается только в том случае, если настроен метод проверки подлинности Kerberos.) На странице «Kerberos» укажите информацию, необходимую для переноса метода проверки подлинности Kerberos.
      • Исходный соединитель. Исходный соединитель выбран предварительно. Можно выбрать другой соединитель, если предустановленный соединитель недоступен.
      • Узлы проверки подлинности Kerberos. В списке отображаются новые узлы соединителя версии 22.09, на которых установлена служба проверки подлинности Kerberos. Выберите один или несколько узлов, которые будут использоваться для проверки подлинности Kerberos.

      Перенос каталога — страница Kerberos

    4. г. На странице «Пароль» укажите информацию, необходимую для переноса метода проверки подлинности с помощью пароля.
      • Исходный соединитель. Исходный соединитель выбран предварительно. Можно выбрать другой соединитель, если предустановленный соединитель недоступен.
      • Пароль привязки. Введите пароль пользователя привязки для каталога.
      • Узлы проверки подлинности пользователей. В списке отображаются новые узлы соединителя версии 22.09, на которых установлена служба проверки подлинности пользователей. Выберите один или несколько узлов, которые будут использоваться для проверки подлинности с помощью пароля.

      Пароль для переноса каталога

    5. д. (Отображается только в том случае, если настроен метод проверки подлинности RADIUS.) На странице «RADIUS» укажите информацию, необходимую для переноса метода проверки подлинности RADIUS.
      • Исходный соединитель. Исходный соединитель выбран предварительно. Можно выбрать другой соединитель, если предустановленный соединитель недоступен.
      • Общий секрет. Общий секрет для сервера RADIUS.
      • Узлы проверки подлинности пользователей. В списке отображаются новые узлы соединителя версии 22.09, на которых установлена служба проверки подлинности пользователей. Выберите один или несколько узлов, которые будут использоваться для проверки подлинности RADIUS.

      Перенос каталога — страница RADIUS

    6. е. (Отображается только в том случае, если настроен метод проверки подлинности RSA SecurID.) На странице «SecurId» укажите информацию, необходимую для переноса метода проверки подлинности RSA SecurID.
      • Исходный соединитель. Исходный соединитель выбран предварительно. Можно выбрать другой соединитель, если предустановленный соединитель недоступен.
      • Количество разрешенных попыток проверки подлинности. Введите максимальное количество неудачных попыток входа в систему с использованием маркера RSA SecurID. По умолчанию дается пять попыток.
        Примечание: При миграции нескольких каталогов, в которых используется проверка подлинности RSA SecurID, установите для параметра Количество разрешенных попыток проверки подлинности одинаковое значение во всех конфигурациях RSA SecurID. Если это значение будет отличаться, при проверке подлинности с помощью SecurID произойдет сбой.
      • Имя узла сервера SecurID. Введите имя узла сервера диспетчера аутентификации RSA, например myserver.example.com. Если за подсистемой балансировки нагрузки настроено несколько экземпляров сервера диспетчера аутентификации RSA, вместо этого введите имя узла подсистемы балансировки нагрузки, например lb.example.com.
      • Порт связи сервера SecurID. Введите порт связи экземпляра диспетчера аутентификации RSA. По умолчанию используется порт 5555. Чтобы получить номер порта связи, войдите в консоль RSA Security Console, перейдите на страницу Настройки > Настройки системы > API-интерфейс проверки подлинности RSA SecurID и скопируйте Порт связи.
      • Ключ доступа сервера SecurID. Введите ключ доступа из экземпляра диспетчера аутентификации RSA. Чтобы получить ключ доступа, в консоли RSA Security Console перейдите на страницу Настройка > Параметры системы > API-интерфейс проверки подлинности RSA SecurID и скопируйте Ключ доступа, указанный в разделе Учетные данные агента.
      • Сертификат ЦС или SSL сервера SecurID. Если на сервере диспетчера аутентификации RSA или сервере подсистемы балансировки нагрузки имеется самозаверяющий сертификат, скопируйте и вставьте сертификат в текстовое поле. Если на сервере есть сертификат, подписанный общедоступным центром сертификации, отправка сертификата не требуется.
      • Время ожидания метода проверки подлинности в секундах. Введите время в секундах, в течение которого должна быть доступна попытка проверки подлинности. После этого время ожидания попытки проверки подлинности истекает. Значение по умолчанию — 180 секунд.
      • Узлы проверки подлинности пользователей. В списке отображаются новые узлы соединителя версии 22.09, на которых установлена служба проверки подлинности пользователей. Выберите один или несколько узлов, которые будут использоваться для проверки подлинности RSA SecurID.

      Отображается страница SecurID мастера.
    7. ё. (Отображается только в том случае, если настроена проверка подлинности Kerberos.) На странице «Поставщик удостоверений» введите полное доменное имя подсистемы балансировки нагрузки соединителя, чтобы оно использовалось для нового поставщика удостоверений, который будет создан для проверки подлинности Kerberos во время переноса.
      Для справки отображается текущее полное доменное имя подсистемы балансировки нагрузки. Это текущее значение параметра Имя узла поставщика удостоверений на странице поставщика удостоверений каталога.
      Если используется только один соединитель версии 22.09 и подсистемы балансировки нагрузки не настроены, введите полное доменное имя (FQDN) соединителя.
      Страница поставщика удостоверений в мастере переноса каталогов
    8. ж. На странице «Сводка» проверьте выбранные параметры и нажмите Сохранить.
      Данные переноса каталога будут сохранены. Чтобы просмотреть параметры, нажмите кнопку Проверить рядом с каталогом на панели управления переносом каталогов. Раздел «Перенос каталогов» на панели управления обозначен зеленым цветом. Перечисляются перенесенные каталоги, а рядом с ними отображается кнопка «Проверить».
      Если необходимо изменить введенные данные, щелкните Начать сначала на странице «Сводка». При этом сбрасываются данные переноса, введенные для каталога, и перенос каталога можно начать сначала.
      Сводка каталога
    9. з. Выполните перенос остальных каталогов.
  11. В разделе Миграция коллекций виртуальных приложений выберите соединители, на которые следует перенести коллекции виртуальных приложений.
    1. а. Нажмите кнопку Перенести.

      На панели «Миграция коллекций виртуальных приложений» есть кнопка «Перенос».
    2. б. В окне «Миграция коллекций виртуальных приложений» выберите соединитель версии 22.09, который будет использоваться для каждой коллекции виртуальных приложений. В раскрывающемся меню отобразятся все соединители, на которых установлена служба виртуальных приложений. Выберите соединитель, служба виртуальных приложений на котором находится в активном состоянии. Состояние отображается рядом с именем соединителя. Можно добавить несколько соединителей для обеспечения высокой доступности. При добавлении нескольких соединителей расположите их в порядке аварийного переключения.
      Примечание: Нужно одновременно перенести все имеющиеся коллекции виртуальных приложений. Нельзя выбрать определенные коллекции для миграции.
    3. в. Нажмите кнопку Сохранить.
    Например:
    окно «Миграция виртуальных приложений»

    Коллекции виртуальных приложений будут перенесены при переходе к этапу предварительного просмотра.

    Примечание: После завершения миграции можно добавить другие соединители. Кроме того, можно изменить соединители, выбранные для коллекций виртуальных приложений.
  12. В разделе Завершение переноса нажмите Начать предварительный просмотр, чтобы начать процесс переноса.

    На панели «Завершение переноса» отображается кнопка «Начать предварительный просмотр».
    На этапе предварительного просмотра используются новые соединители версии 22.09. Синхронизация каталогов выполняется новой службой синхронизации каталогов, проверка подлинности пользователей выполняется новой службой проверки подлинности пользователей, проверка подлинности Kerberos выполняется новой службой проверки подлинности Kerberos, а синхронизация виртуальных приложений выполняется новой службой виртуальных приложений. На этапе предварительного просмотра нельзя изменять или добавлять каталоги, методы проверки подлинности, поставщиков удостоверений или коллекции виртуальных приложений, а также создавать новые. Преобразованные поставщики удостоверений можно просмотреть на странице Интеграции > Поставщики удостоверений, а преобразованные методы проверки подлинности — на странице Интеграции > Методы проверки подлинности соединителя Connector. Все методы проверки подлинности, кроме Kerberos, работают в режиме поддержки исходящих соединений.

    Следуйте приведенным ниже рекомендациям на этапе предварительного просмотра.

    • Для каждого каталога необходимо выполнить первую синхронизацию на этапе предварительного просмотра без мер безопасности. На странице каталога выберите Синхронизация > Синхронизация без мер безопасности.

      Имейте в виду, что первая синхронизация занимает много времени, поскольку обновляются все пользователи и группы.

      После успешного завершения синхронизации каталогов убедитесь, что были синхронизированы соответствующие пользователи, группы и составы групп, прежде чем приступить к остальным этапам процесса переноса.

    • Если в развертывании включен компонент People Search, необходимо вручную синхронизировать каталоги без настроек защиты. Чтобы синхронизировать каталог без мер безопасности, на странице каталога выберите Синхронизировать > Синхронизировать без мер безопасности.
    Важно!: Тщательно протестируйте свою среду на этапе предварительного просмотра и убедитесь, что она работает должным образом. Проверьте правильность работы синхронизации каталогов и виртуальных приложений, входа пользователей в систему и запуска приложений.
  13. Если обнаружены отклонения в работе среды либо необходимо изменить каталоги, методы проверки подлинности, поставщиков удостоверений или коллекции виртуальных приложений, отмените этап предварительного просмотра и вернитесь к использованию старых соединителей.
    Перейдите на страницу «Интеграции» > «Каталоги», нажмите Продолжить перенос и на панели управления переносом каталогов щелкните Прервать в разделе Завершение переноса.
    При последующем внесении любых изменений в каталоги, методы проверки подлинности или поставщики удостоверений обязательно повторите перенос каталогов в разделе Перенос каталогов.
  14. Чтобы завершить перенос после проверки правильности работы среды на этапе предварительного просмотра, вернитесь к панели управления переносом каталогов. Для этого перейдите на страницу «Интеграции» > «Каталоги» и нажмите Продолжить перенос.
    Осторожно!: После завершения переноса откат к старым соединителям будет невозможен.

    Нажмите Завершить, чтобы завершить перенос.

Результаты

Все каталоги и коллекции виртуальных приложений будут перенесены на новые соединители версии 22.09. Новые службы синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos, а также службы виртуальных приложений теперь выполняют синхронизацию каталогов, проверку подлинности пользователей и синхронизацию виртуальных приложений.

Для каждого каталога создаются новые поставщики удостоверений, которые появляются на странице Поставщики удостоверений с именем Мигрированный IDP для каталога. Новые поставщики удостоверений имеют тип «встроенный». Для проверки подлинности Kerberos создается отдельный поставщик удостоверений типа Workspace_IDP.

Все методы проверки подлинности, кроме Kerberos, преобразуются в исходящие методы и переименовываются с добавлением суффикса (облачное развертывание). Например, метод проверки подлинности Пароль будет переименован в метод Пароль (облачная среда). Просмотр и управление новыми методами проверки подлинности доступны на странице Методы проверки подлинности соединителя Connector.

Дальнейшие действия

  • После завершения переноса нужно удалить старые версии соединителей Connector 19.03.x с серверов, на которых они установлены.

    При переносе коллекций виртуальных приложений ThinApp удалите соединители для Linux.

  • После завершения переноса Integration Broker для интеграции Citrix больше не требуется. Требуемые функции теперь являются частью службы виртуальных приложений.
  • Для интеграции Horizon и Horizon Cloud убедитесь, что серверы Horizon Connection Server или базовые серверы Horizon арендатора Horizon Cloud имеют действительные сертификаты, подписанные доверенным центром сертификации (ЦС). Если серверы Horizon имеют самозаверяющие сертификаты, необходимо отправить цепочку сертификатов в экземпляры Workspace ONE Access Connector, в которых установлена служба виртуальных приложений, для установления доверия между соединителями и серверами Horizon. Это новое требование, начиная с Workspace ONE Access Connector 21.08. Отправка сертификатов осуществляется с помощью установщика соединителя. Дополнительные сведения см. в статье Установка соединителя VMware Workspace ONE Access Connector 22.09. Обязательно перезапустите службы соединителя после отправки сертификатов.