線上升級 VMware Identity Manager 虛擬應用裝置之前,請執行這些先決條件工作。

重要:VMware Identity Manager 19.03.0.0 開始, VMware Identity Manager 服務不再包含內嵌式連接器,且外部 Linux 型連接器已過時。新版的外部 Linux 型連接器已無法再使用。

如果您從使用內嵌式連接器的部署進行升級,您必須切換為外部 Windows 型連接器。如果您使用外部 Linux 型連接器,則最佳做法是在此升級期間切換為外部 Windows 型連接器。否則,您將無法使用更新的連接器所提供的最新功能。如果您使用外部 Windows 型連接器,您可以繼續使用現有的執行個體,但最佳做法是升級外部 Windows 型連接器執行個體,以啟用最新功能。

VMware Identity Manager 19.03.0.0 Windows 連接器 不支援 VMware ThinApp® 套件。如果您的部署可讓您存取您想要維護的 ThinApp 套件,則不要升級至 VMware Identity Manager 19.03.0.0 Windows 連接器

目前已有移轉套件可供您將內嵌式連接器或外部 Linux 型連接器資訊移轉至外部 Windows 型連接器。

當您在內嵌式連接器或外部 Linux 型連接器上執行移轉套件時,密碼驗證方法以外的所有驗證方法都會停用。停用之後,連接器 IP 位址之類的組態設定即可進行更新。在您安裝對應的 Windows 型連接器執行個體後,您必須以正確的組態設定重新啟用已停用的驗證方法。

執行下列先決條件工作。

  • 確認虛擬應用裝置的主要根磁碟分割上至少有 4 GB 的磁碟空間。
  • 建立快照以備份虛擬應用裝置。如需如何取得快照的相關資訊,請參閱 vSphere 文件。
  • 如果您依照 https://docs.vmware.com/tw/VMware-Identity-Manager/3.3/vidm-install/GUID-5B533EE2-8F6C-4716-A94A-8B7AA3F5BC75.html 中的說明撤銷 Microsoft SQL 資料庫的 db_owner 角色,您必須重新加以新增再執行更新,否則升級將會失敗。

    請將 db_owner 角色新增至在安裝期間使用的相同使用者:

    1. 以具有 sysadmin 權限的使用者身分登入 Microsoft SQL Server Management Studio。
    2. 連線至 VMware Identity Manager 的資料庫執行個體。
    3. 輸入下列命令。

      如果您使用的是 Windows 驗證模式,請使用下列命令:

      USE <saasdb>;
      ALTER ROLE db_owner ADD MEMBER <domain\username>; GO 
      						  

      請確保將 <saasdb> 取代為您的資料庫名稱,並將 <domain\username> 取代為相關的網域和使用者名稱。

      如果您使用的是 SQL Server 驗證模式,請使用下列命令:
      USE <saasdb>;
      ALTER ROLE db_owner ADD MEMBER <loginusername>; GO 
      						  

      請確保將 <saasdb> 取代為您的資料庫名稱,並將 <loginusername> 取代為相關的使用者名稱。

  • 建立外部資料庫的快照或備份。
  • 確認 VMware Identity Manager 已正確設定。
  • 確認虛擬應用裝置可解析以及在連接埠 80 和 443 上透過 HTTP 存取 vapp-updates.vmware.com。
  • 如果輸出 HTTP 存取需要 HTTP Proxy 伺服器,請為虛擬應用裝置設定 Proxy 伺服器設定。請參閱設定 VMware Identity Manager 應用裝置的 Proxy 伺服器組態
  • 確認 VMware Identity Manager 升級存在。執行適當的命令來檢查升級。請參閱檢查 VMware Identity Manager 線上升級的可用性
  • 如果您要升級的 VMware Identity Manager 部署同時使用內嵌式連接器和憑證式驗證,請記下內嵌式連接器中設定的 CertificateAuthAdapter 元件設定。
    備註: 由於內嵌式連接器已無法使用,因此在內嵌式連接器中設定的 CertificateAuthAdapter 元件也已無法使用。憑證 (雲端部署) 驗證方法取代了 CertificateAuthAdapter 元件。移轉程序會處理從 CertificateAuthAdapter 元件轉換為憑證 (雲端部署) 驗證方法的作業。

    現在,在移轉之前,請記下 CertificateAuthAdapter 元件中的設定,以便您在移轉之後可以確認移轉前設定與移轉後設定相符。

    1. 登入 VMware Identity Manager 管理主控台,並選取身分識別與存取管理 > 設定
    2. 在 [連接器] 頁面上,選取被取代的內嵌式連接器執行個體的 [工作執行緒] 連結。
    3. 按一下驗證配接器,然後按一下 CertificateAuthAdapter
    4. 記下 [憑證服務驗證配接器] 頁面上的設定。
  • 準備連接器移轉檔案。

    若要從 19.03.0.0 版之前的 VMware Identity Manager 版本升級至 19.03.0.0 版或更新版本,請從 My VMware 或 My Workspace ONE 將移轉套件 (cluster-support.tgz) 下載到您現有 VMware Identity Manager 應用裝置的 /root 目錄下。

    無論您目前的部署是否使用內嵌式連接器,移轉套件都必須存在於 /root 目錄下。在升級期間,移轉套件中的指令碼會建立 cluster-hostname-conn-timestamp.enc 檔案,而指令碼會將內嵌式連接器的組態資訊儲存到此處。

    如果您目前的部署使用內嵌式連接器,則您可以選取是否要移轉您的連接器核取方塊,以在部署新的外部 Windows 型連接器時使用 cluster...enc 檔案。收集到的內嵌式連接器資訊 (包括目錄和驗證方法) 會移轉至新部署的外部 Windows 型連接器。請參閱對應版本的《安裝和設定 VMware Identity Manager Connector (Windows)》指南。

    如果您目前的部署使用外部 Linux 型連接器的一或多個執行個體,但現已過時,則最佳做法是更新您的部署以使用外部 Windows 型連接器。外部 Linux 系統型連接器沒有新版本可供使用,且現有版本沒有新的外部 Windows 型連接器所具備的更新功能。若要將外部 Linux 型連接器執行個體切換為外部 Windows 型連接器,請將移轉套件下載到各個對應的 Linux 主機,並執行 generateClusterFile.sh 移轉指令碼。此指令碼會將特定的外部 Linux 型連接器執行個體的組態資訊儲存到 cluster...enc 組態套件檔案。請參閱 儲存外部 Linux 型連接器組態資訊。若要將收集到的外部 Linux 型連接器資訊移轉至外部 Windows 型連接器,請將每個 cluster...enc 檔案複製到個別的 Windows 主機,並使用 cluster...enc 組態套件檔案安裝新的 Windows 型連接器執行個體。請參閱對應版本的《安裝和設定 VMware Identity Manager Connector (Windows)》指南。

    如果您目前的部署使用外部 Windows 型連接器的一或多個執行個體,您可以使用現有的外部 Windows 型連接器執行個體,但舊版的外部 Windows 型連接器執行個體並不是最新的。若要確保外部 Windows 型連接器的完整功能,請升級連接器執行個體。升級外部 Windows 型連接器執行個體時,並不需要使用移轉套件。請參閱對應的《安裝和設定 VMware Identity Manager Connector (Windows)》指南的升級小節。

  • 如果 VMware Identity Manager 部署在負載平衡的環境中,請確認該環境已正確設定。
    如果您使用 F5 負載平衡伺服器,當您升級至 VMware Identity Manager 19.03.0.0 時,請視需要重新設定負載平衡器。是否需要重新設定 F5 負載平衡伺服器,取決於您升級 VMware Identity Manager 的來源版本。若要升級 F5 負載平衡伺服器,請參閱 在升級前驗證 F5 負載平衡器組態
    VMware Identity Manager 版本 所需的動作
    3.3 之前 根據參考指示重新設定 F5 負載平衡伺服器。
    3.3 及更新版本 無。如果您的 F5 負載平衡伺服器與 VMware Identity Manager 3.3 或更新版本搭配運作,該負載平衡器伺服器已正確設定。