若要安裝目錄同步、使用者驗證或 Kerberos 驗證或虛擬應用程式服務,請在符合所有需求的 Windows Server 上執行 Workspace ONE Access Connector 安裝程式,然後選取您要安裝的服務。
您可以選擇對多數設定使用預設值的快速預設安裝,或選擇可讓您設定各種設定的自訂安裝。
| 預設安裝 | 自訂安裝 |
|---|---|
使用下列預設連接埠:
備註: 這些是執行服務所在的連接埠。僅 Kerberos 驗證服務連接埠需要輸入連線。
|
讓您為企業服務指定自訂連接埠
備註: 這些是執行服務所在的連接埠。僅 Kerberos 驗證服務連接埠需要輸入連線。
|
| 自動產生連接器的自我簽署憑證 | 讓您為連接器安裝受信任的 SSL 憑證 (Kerberos 驗證服務所需) |
| 讓您將受信任的根憑證上傳至信任存放區 | |
| 讓您設定 Proxy 伺服器 | |
| 讓您設定 Syslog 伺服器 |
無論您選擇的安裝類型為何,您都可以稍後再次執行安裝程式,並視需要修改所有設定。
在安裝過程中,還會在伺服器上安裝 OpenJDK 11。
必要條件
- 請參閱 安裝 Workspace ONE Access Connector 時的先決條件 (僅限 Workspace ONE Access 雲端)。
- 在安裝程序中,您可以從 Workspace ONE Access 主控台下載檔案。您可能需要使用 Internet Explorer 以外的瀏覽器來下載檔案。預設 Internet Explorer 設定可能會防止您下載檔案。
程序
- 在 [歡迎] 頁面中,遵循版本說明連結,檢閱「版本說明」和 VMware 產品互通性對照表,然後按下一步。
- 在問題提示中,確認您已閱讀「版本說明」,並已查看互通性對照表,然後按一下是。
![[歡迎] 頁面包含以下附註:在部署連接器之前,請確定您已閱讀「版本說明」,並已查看互通性對照表。](images/GUID-A9F4B2A3-9E9F-40FA-B779-5008BF84887A-low.png)
- 閱讀並接受授權合約,然後按下一步。
- 選取您要安裝的服務。
依預設,服務會安裝在 C:\Program Files 中。若要變更安裝資料夾,請按一下 變更,然後選取該資料夾。 - 在 [指定組態檔] 頁面上,執行以下動作。
- 選取您從 Workspace ONE Access 主控台下載的組態檔。
如果組態檔案位於與安裝程式相同的資料夾中,且具有預設名稱 es-config.json,則會自動顯示在文字方塊中。
- 輸入您在產生組態檔時為其設定的密碼。
- 如果您要在 FIPS 模式下安裝連接器,請選取啟用 FIPS 核取方塊。
FIPS 是指「聯邦資訊處理標準」,它指定了密碼編譯模組的安全性需求。在選取此選項之前,請參閱 Workspace ONE Access Connector 和 FIPS 模式 (僅限 Workspace ONE Access 雲端),以瞭解 FIPS 模式的需求。注意:
- 如果您要從舊版 19.03.x Connector 移轉到 22.05 Connector,請勿選取啟用 FIPS 選項。如果移轉或升級到 22.05 Connector,則不支援 FIPS 模式。僅新的連接器安裝才支援此模式。
- 安裝後,就無法從 FIPS 模式變更為非 FIPS 模式或從非 FIPS 模式變更為 FIPS 模式。請做出相應的決定。
- 選取您從 Workspace ONE Access 主控台下載的組態檔。
- 在預設與自訂安裝之間選取。
- 如果已選取預設安裝,請執行下列步驟。
- (僅限 Kerberos 驗證服務和虛擬應用程式服務) 在 [指定服務帳戶] 頁面上,指定用來執行 Kerberos 驗證服務和虛擬應用程式服務的網域使用者帳戶的使用者名稱和密碼。
輸入 DOMAIN\Username 格式的使用者名稱,例如 EXAMPLE\administrator。或者,按一下瀏覽,然後選取網域和使用者。
當您按一下瀏覽時,如果找不到網域或使用者,請在文字方塊中輸入上述指定格式的網域或使用者。
重要: Kerberos 驗證服務在網域使用者帳戶密碼中僅支援以下特殊字元:@!*。如果密碼包含任何其他特殊字元,Kerberos 驗證服務安裝將失敗。
備註: 僅當您安裝 Kerberos 驗證服務或虛擬應用程式服務時,才會顯示 [指定服務帳戶] 頁面。 - 按下一步。
- 在 [準備安裝程式] 頁面中,檢閱您的選項,然後按一下安裝。
安裝可能需要幾分鐘的時間。注意: 在安裝程序結束時,您可能會收到重新啟動系統的提示。如果您在連接器移轉過程中,在 19.03.x 連接器伺服器上安裝連接器,請勿重新啟動系統。只有在整個連接器移轉程序完成後,才能重新啟動系統。
- (僅限 Kerberos 驗證服務和虛擬應用程式服務) 在 [指定服務帳戶] 頁面上,指定用來執行 Kerberos 驗證服務和虛擬應用程式服務的網域使用者帳戶的使用者名稱和密碼。
- 如果已選取自訂安裝,請執行下列步驟。
- 在 [指定 Proxy 伺服器資訊] 頁面中,視需要輸入 Proxy 伺服器。
企業服務會存取網際網路上的 Web 服務。如果您的網路組態透過 HTTP Proxy 提供網際網路存取,則您必須輸入 Proxy 伺服器。如需支援的 Proxy 的詳細資訊,請參閱 Workspace ONE Access Connector 22.05 系統需求 (僅限 Workspace ONE Access 雲端)。
您也可以指定非 Proxy 主機的清單;這是應直接連線、而不經由 Proxy 伺服器的主機。
- 選取啟用 Proxy 核取方塊。
- 輸入主機名稱,可指定為完整網域名稱 (FQDN) 或 Proxy 伺服器的 IP 位址。
- 輸入 Proxy 伺服器連接埠。
- 如果您想要指定任何非 Proxy 主機 (應直接連線、而不經由 Proxy 伺服器的主機),請在非 Proxy 主機文字方塊中輸入 FQDN 或 IP 位址。請使用下列格式,並以 | 分隔每個項目:
host1|host2
- 如果 Proxy 伺服器需要驗證,請選取基本,然後輸入 Proxy 伺服器的使用者名稱和密碼。
- 按下一步。
- 在 [指定 Syslog 伺服器] 頁面上,如果您想要使用一或多個外部 Syslog 伺服器來儲存應用程式層級的事件訊息,請選取啟用 Syslog 選項,然後輸入每個 Syslog 伺服器的 IP 位址或 FQDN 以及連接埠。
若要指定單一 Syslog 伺服器,請使用下列格式:
host:port
若要指定多個 Syslog 伺服器,請使用下列格式:
host:port,host:port,host:port
其中,host 是 Syslog 伺服器的完整網域名稱或 IP 位址,而 port 是連接埠號碼。例如:
syslog1.example.com:54
或
syslog1.example.com:514,syslog2.example.com:601,syslog3.example.com:163
備註: 僅會將應用程式層級的事件匯出至 Syslog 伺服器。作業系統事件則不會匯出。 - 按下一步。
- 在 [安裝受信任的根憑證] 頁面上,視需要將根或中繼 CA 憑證上傳至信任存放區。
連接器將能夠對憑證鏈結包含任何此類憑證的伺服器和用戶端建立安全連線。將憑證上傳至信任存放區的案例包括:
- (僅限 Kerberos 驗證服務) 如果您在負載平衡器後方部署 Kerberos 驗證服務的多個執行個體,則必須在連接器執行個體上安裝負載平衡器的根 CA 憑證,才能在連接器與負載平衡器之間建立信任。
- (僅限虛擬應用程式服務) 如果您建立要與 VMware Horizon、具有單一網繭代理的 Horizon Cloud Service on Microsoft Azure 或 Horizon Cloud Service on IBM Cloud 整合的虛擬應用程式集合,並且 Horizon Server 具有自我簽署憑證,則必須將憑證鏈結上傳至安裝了虛擬應用程式服務的連接器執行個體,才能在連接器和 Horizon Connection Server 之間建立信任。如果 Horizon Server 具有由公用 CA 簽署的憑證,則無需將憑證上傳至連接器信任存放區。強烈建議使用由公用 CA 簽署的憑證。
您也可以稍後在安裝後上傳受信任的根憑證。
- 按下一步。
- 檢閱企業服務執行所在的預設連接埠,如果其他應用程式正在使用這些連接埠,請指定不同的連接埠。
Kerberos 驗證服務連接埠需要輸入連線。使用者驗證、目錄同步和虛擬應用程式服務連接埠不需要輸入連線。
- (僅限 Kerberos 驗證服務) 在 [Kerberos 驗證服務的 SSL 憑證] 頁面上,選取要用於連接器伺服器的憑證。
Kerberos 驗證服務需要由公用或內部 CA 簽署的受信任 SSL 憑證。如果您未在安裝期間上傳受信任的 SSL 憑證,則會自動產生自我簽署的憑證。您可以稍後上傳受信任的 SSL 憑證。
- 若要上傳信任 SSL 憑證,請選取是否要使用您自己的 SSL 憑證? 核取方塊,按一下瀏覽,然後選取憑證檔案。
憑證檔案必須採用 PEM 或 PFX 格式。如果您上傳 PEM 檔案,則也必須上傳私密金鑰。如果您上傳 PFX 檔案,則也必須指定憑證密碼。如需憑證需求的相關資訊,請參閱針對 Kerberos 驗證服務上傳 SSL 憑證 (僅限 Workspace ONE Access 雲端)。
- 若要使用自動產生的自我簽署憑證,請取消選取是否要使用您自己的 SSL 憑證? 核取方塊。
備註: 如果使用 Workspace ONE Access 產生的自我簽署憑證,您必須將 Workspace ONE Access 產生的根憑證新增至用戶端的信任存放區中。安裝後,您可以從 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 取得根憑證 root_ca.per。
雖然您可以使用自我簽署的憑證進行測試,但對於生產用途,建議使用由公用或內部 CA 簽署的受信任 SSL 憑證。
- 若要上傳信任 SSL 憑證,請選取是否要使用您自己的 SSL 憑證? 核取方塊,按一下瀏覽,然後選取憑證檔案。
- 按下一步。
- (僅限 Kerberos 驗證服務和虛擬應用程式服務) 在 [指定服務帳戶] 頁面上,指定用來執行 Kerberos 驗證服務和虛擬應用程式服務的網域使用者帳戶的使用者名稱和密碼。
重要: Kerberos 驗證服務在網域使用者帳戶密碼中僅支援以下特殊字元:
@!*。如果密碼包含任何其他特殊字元,Kerberos 驗證服務安裝將失敗。輸入 DOMAIN\Username 格式的使用者名稱,例如 EXAMPLE\administrator。或者,按一下瀏覽,然後選取網域和使用者。
備註: 當您按一下 瀏覽時,如果找不到網域或使用者,請在文字方塊中輸入上述指定格式的網域或使用者。備註: 僅當您安裝 Kerberos 驗證服務或虛擬應用程式服務時,才會顯示 [指定服務帳戶] 頁面。 - 在 [準備安裝程式] 頁面中,檢閱您的選項,然後按一下安裝。
安裝可能需要幾分鐘的時間。注意: 在安裝程序結束時,您可能會收到重新啟動系統的提示。如果您在連接器移轉過程中,在 19.03.x 連接器伺服器上安裝連接器,請勿重新啟動系統。只有在整個連接器移轉程序完成後,才能重新啟動系統。
- 在 [指定 Proxy 伺服器資訊] 頁面中,視需要輸入 Proxy 伺服器。
結果
成功安裝後,您安裝的企業服務即會向 Workspace ONE Access 承租人登錄,並顯示在 Workspace ONE Access 主控台的 [連接器] 頁面上。
例如:
![此頁面列出連接器和所有已安裝的服務。狀態為 [作用中],[健全狀況] 為綠色,[版本] 為 22.05。](images/GUID-B52901C0-0BFB-49C2-8252-C0F0872939B6-low.png)
下一步
- 在 Workspace ONE Access 主控台中,設定您安裝的企業服務。如需使用目錄同步服務來整合目錄的相關資訊,請參閱將目錄與 VMware Workspace ONE Access 整合。如需使用使用者驗證或 Kerberos 驗證服務來設定驗證的相關資訊,請參閱管理 VMware Workspace ONE Access 中的使用者驗證方法。如需使用虛擬應用程式服務來整合 Horizon、具有單一網繭代理的 Horizon Cloud Service on Microsoft Azure 或 Horizon Cloud Service on IBM Cloud 和 Citrix 虛擬應用程式的相關資訊,請參閱《在 VMware Workspace ONE Access 中設定資源》。
- (僅限 Kerberos 驗證服務) 如果您對 Kerberos 驗證服務使用 Workspace ONE Access 產生的自我簽署憑證,則需要將 Workspace ONE Access 產生的根憑證新增至用戶端的信任存放區。您可以從 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 取得根憑證 root_ca.per。
雖然您可以使用自我簽署的憑證進行測試,但對於生產用途,建議使用由公用或內部 CA 簽署的受信任 SSL 憑證。請參閱 針對 Kerberos 驗證服務上傳 SSL 憑證 (僅限 Workspace ONE Access 雲端)。
