若要將 Windows 型 Workspace ONE Access Connector 21.08.x 版、20.10.x 版或 20.01.x 版升級到 22.05 版,您需要從 VMware Customer Connect 將新的安裝程式下載到連接器伺服器,然後執行該安裝程式。您不需要解除安裝舊版的連接器。

在升級期間,會暫停現有的目錄同步、使用者驗證、Kerberos 驗證和虛擬應用程式服務。升級完成後,服務會自動重新啟動。

重要考量事項

  • Workspace ONE Access Connector 22.05 僅與 Workspace ONE Access 雲端相容。它與內部部署的 Workspace ONE Access 虛擬應用裝置不相容。
  • 升級至 22.05 版時,升級後的連接器會在非 FIPS 模式下執行。在升級之後,就無法啟用 FIPS 模式。如果您要使用 FIPS 模式,必須執行 22.05 版全新安裝,而不是升級。如需詳細資訊,請參閱升級到 VMware Workspace ONE Access Connector 22.05 (僅限 Workspace ONE Access 雲端)
  • 如果您要從 20.01.x 版或 20.10.x 版升級,且您想在升級期間或升級後安裝虛擬應用程式服務,則必須從 Workspace ONE Access 主控台下載並使用新的 es-config.json 組態檔,以便在 Workspace ONE Access 服務與連接器之間建立連線。如果您不打算安裝虛擬應用程式服務,則不需要新的組態檔。已升級的連接器可使用現有連接器所使用的相同組態檔。

    如果您要從 21.08.x 版升級,且您在 2021 年 9 月雲端版本之後產生了 es-config.json 組態檔,則無需產生新的 es-config.json 檔。

    無論要從哪個版本進行升級,如果現有 es-config.json 組態檔的密碼包含 & 或 % 字元,請產生新的組態檔,使其密碼不包含這些字元。不支援 & 和 % 字元。

  • RSA SecurID (雲端部署) 驗證方法的組態在 21.08 版中已有所變更。如果您要從設定了 RSA SecurID (雲端部署) 驗證方法的 20.10.x Connector 或更早版本的連接器升級,您必須先從存取原則中刪除該驗證方法,然後再升級所有使用者驗證服務執行個體,並在升級後重新設定它。由於這會導致基於 RSA SecurID 的登入停機,因此,請據以規劃您的升級時間。

    執行升級的高層級步驟包括:

    1. 請確認您使用的是 RSA 驗證管理員應用裝置 8.2 SP1 或更新版本,這是 Workspace ONE Access Connector 21.08 和更新版本支援的版本。
    2. 在升級連接器之前,先將 RSA SecurID (雲端部署) 驗證方法從使用其存取原則中移除。
    3. 將安裝了使用者驗證服務的所有連接器升級至 22.05 版。
    4. 如果 Proxy 伺服器設有連接器,請確認在 Proxy 伺服器上,設定給 RSA 驗證管理員伺服器的通訊連接埠已開啟。
    5. 如果您部署了多個 RSA 驗證管理員伺服器執行個體,則必須在負載平衡器後方設定這些執行個體,並符合負載平衡器的 Workspace ONE Access 需求。
    6. 在 RSA 安全性主控台中,請確認使用完整網域名稱 (FQDN) (例如 connectorserver.example.com),將連接器新增為驗證代理程式。
    7. 更新 RSA SecurID (雲端部署) 驗證方法組態。
    8. 將 RSA SecurID (雲端部署) 驗證方法新增至存取原則。
  • 請確定已將安裝了使用者驗證服務的所有連接器執行個體升級至 22.05。Workspace ONE Access 不支援混用 22.05、21.08 和 20.x 版的使用者驗證服務。
  • Workspace ONE Access Connector 22.05 支援以下類型的 Proxy:
    • 未經驗證的 HTTP Proxy
    • 未經驗證的 HTTPS (SSL) Proxy
    • 經過驗證的 HTTPS (SSL) Proxy

必要條件

  • 請檢閱升級到 VMware Workspace ONE Access Connector 22.05 (僅限 Workspace ONE Access 雲端)
  • 如果您的連接器安裝位於虛擬 Windows Server 上,請在升級之前先建立虛擬機器的快照。
  • 如果您打算安裝 Kerberos 驗證服務或虛擬應用程式服務,請確定已將連接器伺服器加入網域。
  • 如果您已設定 RSA SecurID (雲端部署) 驗證方法,請確定您使用的是 RSA 驗證管理員應用裝置 8.2 版 SP1 或更新版本。
  • 如果您要從設定了 RSA SecurID (雲端部署) 驗證方法的 20.10.x Connector 或更早版本的連接器升級,在升級所有安裝了使用者驗證服務的連接器執行個體之前,請從存取原則中移除該驗證方法。
    1. Workspace ONE Access 主控台中,如果開啟了新增導覽切換,請導覽至資源 > 原則頁面。

      在舊有導覽中,頁面位置為身分識別與存取管理 > 管理 > 原則

    2. 檢閱每一項原則,並移除 RSA SecurID (雲端部署) 驗證方法 (如果它是該原則的一部分)。

      記下所做的變更,以便在升級連接器後,若要重新新增該驗證方法,就能提供相關的必要資訊。

  • 如果您要從 20.01.x 版升級,且已設定了「透過整合式 Windows 驗證 (IWA) 的 Active Directory」類型的目錄,在升級到 22.05 版之前,請在 Workspace ONE Access 主控台中,取消選取目錄組態中的 STARTTLS 選項。在升級之後,Active Directory over IWA 的功能將與 STARTTLS 選項不相容。

    若要編輯目錄組態,請導覽至身分識別與存取管理 > 管理 > 目錄頁面、選取目錄、取消選取此目錄要求所有連線使用 STARTTLS 核取方塊,然後按一下儲存

    備註: 如果您已將 知識庫文章 77158 中所述的 Hotfix 套用至 Connector 20.01,或已升級至 Connector 20.01.0.1 或 20.10,您可能已取消選取 Active Directory over IWA 的 STARTTLS 選項。請確認已取消選取該設定。
  • Workspace ONE Access 主控台中,暫停所有連接器服務。
    1. 導覽至整合 > 連接器頁面。

      在舊有導覽中,頁面位置為身分識別與存取管理 > 設定 > 連接器

    2. 選取連接器,然後按一下管理
    3. 按一下每個服務名稱旁邊的切換以暫停服務。
  • 您需要下列帳戶資訊:
    • VMware Customer Connect 認證
    • 如果已安裝 Kerberos 驗證服務,則需要用以執行該服務的網域使用者認證
    • 在升級期間,如果您打算安裝 Kerberos 驗證服務或虛擬應用程式服務,則需要網域使用者帳戶,才能執行這些服務。雖然這些服務在執行時,使用網域使用者帳戶權限,但目錄同步和使用者驗證服務在執行時使用的是較低的權限。
    • 如果使用 RSA SecurID (雲端部署) 驗證方法,您需要使用 RSA 安全性主控台認證來取得必要的資訊,以便在升級所有連接器執行個體後,在 Workspace ONE Access 主控台中重新設定該驗證方法。

程序

  1. 如果需要,請在 Workspace ONE Access 主控台中產生新的組態檔。
    1. 以系統網域管理員身分登入 Workspace ONE Access 主控台。
      提示: 在雲端部署中,系統網域管理員是您在取得 Workspace ONE Access 承租人時所收到其認證的管理員。
    2. 導覽至整合 > 連接器頁面。
    3. 按一下新增
    4. 在 [新增連接器] 精靈中,按下一步
    5. 在 [下載組態檔] 頁面中,建立密碼,並按一下下載組態檔,以產生組態檔。
      密碼必須至少為 14 個字元,且包含一個大寫字元、一個小寫字元、一個數字和一個特殊字元。請勿使用 & 或 % 字元。所有字元都必須為可顯示且可列印的 ASCII 字元。
      此組態檔案可用來建立您安裝的企業服務與 Workspace ONE Access 承租人之間的通訊。依預設,此檔案名為 es-config.json
      注意: 此組態檔案包含敏感資訊,例如承租人 URL、承租人識別碼、每個企業服務的用戶端識別碼和用戶端密碼,以及密碼雜湊。請確保不要將該檔案進行共用或公開曝光。
    6. 將組態檔傳輸到舊版連接器安裝所在的 Windows Server 上。
  2. 從 VMware Customer Connect 下載 Workspace ONE Access Connector 22.05。
    1. 登入 https://customerconnect.vmware.com/
    2. 導覽至 Workspace ONE Access Connector 下載頁面。
    3. 下載 Workspace-ONE-Access-Connector-Installer-22.05.exe
  3. 將安裝程式檔案儲存在安裝舊版連接器所在的 Windows Server 上。
  4. 按兩下 Workspace-ONE-Access-Connector-Installer-22.05.exe 檔案,以執行安裝程式。
    安裝程式會偵測到需要升級,並引導您完成升級程序。
    ""
  5. 依照精靈的指示升級連接器。
    • 如果升級過程中顯示 [指定組態] 頁面,請選取新的或現有的組態檔並指定其密碼。該檔案的預設名稱為 es-config.json
    • 在升級過程中,將顯示 [安裝受信任的根憑證] 頁面,您可以將受信任的根憑證上傳至信任存放區。連接器可以與伺服器和用戶端建立安全連線,這些伺服器和客戶端的憑證鏈結中包含上傳至信任存放區的任何憑證。需要受信任的根憑證的案例包括:
      • (僅限 Kerberos 驗證服務) 如果您在負載平衡器後方部署 Kerberos 驗證服務的多個執行個體,則必須在連接器執行個體上安裝負載平衡器的根 CA 憑證,才能在連接器與負載平衡器之間建立信任。
      • (僅限虛擬應用程式服務) 如果您建立要與 VMware Horizon、具有單一網繭代理的 Horizon Cloud Service on Microsoft Azure 或 Horizon Cloud Service on IBM Cloud 整合的虛擬應用程式集合,並且 Horizon Server 具有自我簽署憑證,則必須將憑證鏈結上傳至安裝了虛擬應用程式服務的連接器執行個體,才能在連接器和 Horizon Server 之間建立信任。如果 Horizon Server 具有由公用 CA 簽署的憑證,則無需將憑證上傳至連接器信任存放區。強烈建議使用由公用 CA 簽署的憑證。

      如果在升級過程中上傳憑證,請確保在升級完成後重新啟動服務。

      上傳憑證對於升級而言是選擇性的步驟。您也可以在升級後透過再次執行安裝程式來上傳憑證。

      安裝精靈 - 受信任的根憑證頁面
    • 在升級期間,安裝程式會安裝 OpenJDK 11。
    • 在升級期間,您可以修改現有服務的任何設定。您也可以安裝其他服務。例如,如果您的現有安裝僅包含目錄同步服務,且您想安裝使用者驗證服務和 Kerberos 驗證服務,則可以在升級期間執行此動作。

      如需有關需求、大小調整、安裝和設定的資訊,請參閱《安裝 VMware Workspace ONE Access Connector 22.05》

    • 使用 22.05 Connector 時,您可以指定多個外部 Syslog 伺服器來儲存應用程式層級的事件訊息,而非僅限於一個伺服器。在升級期間,您可以在精靈的 [指定 Syslog 伺服器資訊] 頁面上輸入 Syslog 伺服器。

      使用以下格式:

      host:port,host:port,host:port

      其中,host 是 Syslog 伺服器的完整網域名稱或 IP 位址,而 port 是連接埠號碼。例如:

      syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163

  6. 升級成功完成之後,請確認升級後的服務正在 Windows Server 上執行。
    連接器服務具有下列名稱:
    • VMware 目錄同步服務
    • VMware 使用者驗證服務
    • VMware Kerberos 驗證服務
    • VMware 虛擬應用程式服務

    服務顯示 [執行中] 狀態。

結果

連接器升級作業隨即完成。您可以在 Windows Server 上導覽至主控台 > 程式集 > 程式和功能,並檢查列出的連接器版本,以確認是否已安裝新版的連接器。

下一步

  • Workspace ONE Access 主控台中,按一下整合 > 連接器頁面上的重新整理圖示,並確認升級後的服務處於作用中,且其健全狀況的狀態為綠色。
    例如:
    [連接器] 頁面會列出一個連接器,且其具有目錄同步、使用者驗證和虛擬應用程式服務。服務都處於作用中狀態,且 [健全狀況] 資料行會顯示綠色核取方塊。
  • 如果您在原始安裝中設定了 RSA SecurID (雲端部署) 驗證方法,並在升級連接器之前將其移除,則在升級所有安裝了使用者驗證服務的連接器執行個體後,請重新設定該驗證方法。
    1. 如果您部署了多個 RSA 驗證管理員伺服器執行個體,則必須在負載平衡器後方設定這些執行個體,並符合負載平衡器的 Workspace ONE Access 需求。請參閱 RSA SecurID 負載平衡器的 Workspace ONE Access 需求
    2. 如果 Proxy 伺服器設有連接器,請確認在 Proxy 伺服器上,設定給 RSA 驗證管理員伺服器的通訊連接埠已開啟。
    3. 在 RSA 安全性主控台中,請確認使用完整網域名稱 (FQDN) (例如 connectorserver.example.com),將連接器新增為驗證代理程式。如果您已使用 NetBIOS 名稱 (而非 FQDN) 將連接器新增為驗證代理程式,請使用 FQDN 來新增其他項目。將新輸入的 IP 位址欄位保留空白。請勿刪除舊的項目。
    4. 針對原始安裝中包含 RSA SecurID (雲端部署) 驗證方法的所有目錄,請更新其驗證方法的組態。

      如需新組態的相關資訊,請參閱在 Workspace ONE Access 中設定 RSA SecurID 驗證

    5. 將 RSA SecurID (雲端部署) 驗證方法,新增至原始安裝中包含該驗證方法的所有存取原則中。

      您可以從資源 > 原則頁面,來編輯存取原則。如果在管理主控台中關閉了新增導覽切換,則頁面位置為身分識別與存取管理 > 管理 > 原則