若要將 Windows 型 Workspace ONE Access Connector 20.10.x 或 20.01.x 升級至 21.08 版,您可以從 My VMware 將新的安裝程式下載至連接器伺服器,並執行安裝程式。您不需要解除安裝舊版的連接器。

在升級期間,會暫停現有的目錄同步、使用者驗證和 Kerberos 驗證服務。升級完成後,服務會自動重新啟動。

重要考量事項

  • 如果您打算安裝虛擬應用程式服務,您必須從 主控台中,下載並使用新的 es-config.jsonWorkspace ONE Access 組態檔,以便建立 Workspace ONE Access 服務與連接器之間的連線。如果未安裝虛擬應用程式服務,則不需要新的組態檔。已升級的連接器會使用現有連接器所使用的相同組態檔。
  • RSA SecurID (雲端部署) 驗證方法的組態在 21.08 版本中已有所變更。如果您設定了 RSA SecurID (雲端部署) 驗證方法,在升級所有使用者驗證服務執行個體之前,必須先將該驗證方法從存取原則中刪除,並在升級後重新設定它。由於這會導致基於 RSA SecurID 的登入停機,因此,請據以規劃您的升級時間。

    執行升級的高層級步驟包括:

    1. 確認您使用的是 RSA 驗證管理員應用裝置 8.2 SP1 或更新版本,這是 Workspace ONE Access Connector 21.08 支援的版本。
    2. 在升級連接器之前,先將 RSA SecurID (雲端部署) 驗證方法從使用其存取原則中移除。
    3. 將安裝了使用者驗證服務的所有連接器升級至 21.08 版。
    4. 如果 Proxy 伺服器設有連接器,請確認在 Proxy 伺服器上,設定給 RSA 驗證管理員伺服器的通訊連接埠已開啟。
    5. 如果您部署了多個 RSA 驗證管理員伺服器執行個體,則必須在負載平衡器後方設定這些執行個體,並符合負載平衡器的 Workspace ONE Access 需求。
    6. 更新 RSA SecurID (雲端部署) 驗證方法組態。
    7. 將 RSA SecurID (雲端部署) 驗證方法新增至存取原則。
  • 請確定已將安裝了使用者驗證服務的所有連接器執行個體升級至 21.08。Workspace ONE Access 不支援混用 21.08 和 20.X 版的使用者驗證服務。
  • Workspace ONE Access Connector 21.08 支援以下類型的 Proxy:
    • 未經驗證的 HTTP Proxy
    • 未經驗證的 HTTPS (SSL) Proxy
    • 經過驗證的 HTTPS (SSL) Proxy

必要條件

  • 請檢閱升級至 VMware Workspace ONE Access Connector 21.08
  • 如果您的連接器安裝位於虛擬 Windows Server 上,請在升級之前先建立虛擬機器的快照。
  • 如果您打算安裝 Kerberos 驗證服務或虛擬應用程式服務,請確定已將連接器伺服器加入網域。
  • 如果您已設定 RSA SecurID (雲端部署) 驗證方法,請確定您使用的是 RSA 驗證管理員應用裝置 8.2 版 SP1 或更新版本。
  • 如果您設定了 RSA SecurID (雲端部署) 驗證方法,在升級所有安裝了使用者驗證服務的連接器執行個體之前,請先將該驗證方法從存取原則中移除。
    1. Workspace ONE Access 主控台中,導覽至身分識別與存取管理 > 管理 > 原則頁面。
    2. 檢閱每一項原則,並移除 RSA SecurID (雲端部署) 驗證方法 (如果它是該原則的一部分)。

      記下所做的變更,以便在升級連接器後,若要重新新增該驗證方法,就能提供相關的必要資訊。

  • 如果您是從 20.01.x 版升級,且已設定「透過整合式 Windows 驗證 (IWA) 的 Active Directory」類型的目錄,請在 Workspace ONE Access 主控台中,取消選取目錄組態中的 [STARTTLS] 選項,然後再升級至 21.08 Connector。升級之後,Active Directory over IWA 的功能將無法與 [STARTTLS] 選項相容。

    若要編輯目錄組態,請導覽至身分識別與存取管理 > 管理 > 目錄頁面、選取目錄、取消選取此目錄要求所有連線使用 STARTTLS 核取方塊,然後按一下儲存

    備註: 如果您已將 知識庫文章 77158 中所述的 Hotfix 套用至 Connector 20.01,或已升級至 Connector 20.01.0.1 或 20.10,您可能已取消選取 Active Directory over IWA 的 [STARTTLS] 選項。請確認已取消選取該設定。
  • Workspace ONE Access 主控台中,暫停目前安裝的連接器服務。
    1. 導覽至 [身分識別與存取管理] > [設定] > [連接器] 頁面。
    2. 選取連接器,然後按一下管理
    3. 按一下每個服務名稱旁邊的切換以暫停服務。
  • 您需要下列帳戶資訊:
    • My VMware 認證
    • 如果已安裝 Kerberos 驗證服務,則需要用以執行該服務的網域使用者認證
    • 在升級期間,如果您打算安裝 Kerberos 驗證服務或虛擬應用程式服務,則需要網域使用者帳戶,才能執行這些服務。雖然這些服務在執行時,使用網域使用者帳戶權限,但目錄同步和使用者驗證服務在執行時使用的是較低的權限。
    • 如果使用 RSA SecurID (雲端部署) 驗證方法,您需要使用 RSA 安全性主控台認證來取得必要的資訊,以便在升級所有連接器執行個體後,在 Workspace ONE Access 主控台中重新設定該驗證方法。

程序

  1. 如果您打算安裝虛擬應用程式服務,請從 Workspace ONE Access 主控台下載新的組態檔。
    1. 以系統網域管理員身分登入 Workspace ONE Access 主控台。
      提示: 在雲端部署中,系統網域管理員是您在取得 Workspace ONE Access 承租人時所收到其認證的管理員。在內部部署中,系統網域管理員是您安裝 Workspace ONE Access 時所建立的管理員使用者。
    2. 導覽至身分識別與存取管理 > 設定 > 連接器頁面。
    3. 按一下新增
    4. 在 [新增連接器] 精靈中,按下一步
    5. 在 [下載組態檔] 頁面中,建立密碼,並按一下下載組態檔,以產生組態檔。
      密碼必須至少為 14 個字元,且包含一個大寫字元、一個小寫字元、一個數字和一個特殊字元。所有字元都必須為可顯示且可列印的 ASCII 字元。
      此組態檔案可用來建立您安裝的企業服務與 Workspace ONE Access 承租人之間的通訊。依預設,此檔案名為 es-config.json
      注意: 此組態檔案包含敏感資訊,例如承租人 URL、承租人識別碼、每個企業服務的用戶端識別碼和用戶端密碼,以及密碼雜湊。請確保不要將該檔案進行共用或公開曝光。
    6. 將組態檔傳輸至連接器伺服器。
  2. 從 My VMware 下載 Workspace ONE Access Connector 21.08.0.0。
    1. 登入 https://my.vmware.com
    2. 導覽至 VMware Workspace ONE Access 21.08 的 [下載] 頁面。
    3. 下載 Workspace ONE Access Connector 21.08.0.0
  3. 將安裝程式檔案儲存在安裝舊版連接器所在的 Windows Server 上。
  4. 按兩下 Workspace One Access Connector Installer.exe 檔案,以執行安裝程式。
    安裝程式會偵測到需要升級,並引導您完成升級程序。 精靈會顯示升級頁面。
  5. 依照精靈的指示升級連接器。
    升級時,請留意以下幾點:
    • 在升級期間,安裝程式會安裝 OpenJDK 8。
    • 在升級期間,您可以修改現有服務的任何設定。您也可以安裝其他服務。例如,您可以安裝新的虛擬應用程式服務。或者,如果您的現有安裝僅包含目錄同步服務,且您想安裝使用者驗證服務和 Kerberos 驗證服務,則可以在升級期間執行此動作。

      如需有關需求、大小調整、安裝和設定的資訊,請參閱《安裝 VMware Workspace ONE Access Connector 21.08》

    • 使用 21.08 Connector 時,您可以指定多個外部 Syslog 伺服器來儲存應用程式層級的事件訊息,而非僅限於一個伺服器。在升級期間,您可以在精靈的 [指定 Syslog 伺服器資訊] 頁面上輸入 Syslog 伺服器。

      使用以下格式:

      host:port,host:port,host:port

      其中,host 是 Syslog 伺服器的完整網域名稱或 IP 位址,而 port 是連接埠號碼。例如:

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163

  6. 升級成功完成之後,請確認升級後的服務正在 Windows Server 上執行。
    連接器服務具有下列名稱:
    • VMware 目錄同步服務
    • VMware 使用者驗證服務
    • VMware Kerberos 驗證服務
    • VMware 虛擬應用程式服務

    服務顯示 [執行中] 狀態。

結果

連接器升級作業隨即完成。您可以在 Windows Server 上導覽至主控台 > 程式集 > 程式和功能,並檢查列出的連接器版本,以確認是否已安裝新版的連接器。

下一步

  • Workspace ONE Access 主控台中,按一下 [身分識別與存取管理] > [設定] > [連接器] 頁面上的重新整理圖示,並確認已升級的服務處於作用中狀態,且健全狀況狀態為綠色。
    例如:
    [連接器] 頁面會列出一個連接器,其中安裝了目錄同步、使用者驗證、Kerberos 驗證和虛擬應用程式服務。所有服務都處於作用中狀態,且 [健全狀況] 資料行會顯示綠色核取方塊。
  • 如果您在原始安裝中設定了 RSA SecurID (雲端部署) 驗證方法,在升級所有安裝了使用者驗證服務的連接器執行個體後,請重新設定該驗證方法。
    1. 如果您部署了多個 RSA 驗證管理員伺服器執行個體,則必須在負載平衡器後方設定這些執行個體,並符合負載平衡器的 Workspace ONE Access 需求。請參閱 RSA SecurID 負載平衡器的 Workspace ONE Access 需求
    2. 如果 Proxy 伺服器設有連接器,請確認在 Proxy 伺服器上,設定給 RSA 驗證管理員伺服器的通訊連接埠已開啟。
    3. 針對原始安裝中包含 RSA SecurID (雲端部署) 驗證方法的所有目錄,請更新其驗證方法的組態。

      如需新組態的相關資訊,請參閱在 Workspace ONE Access 中設定 RSA SecurID 驗證

    4. 將 RSA SecurID (雲端部署) 驗證方法,新增至原始安裝中包含該驗證方法的所有存取原則中。

      您可以從身分識別與存取管理 > 管理 > 原則頁面,來編輯存取原則。