要部署 Enterprise Systems Connector,请确保系统满足所需的要求。

硬件要求

可以将以下要求作为基础以创建 Enterprise Systems Connector 服务器。

如果仅安装 ACC 组件,请使用以下要求。

表 1. ACC 要求

用户数量

最多 10,000

10,000 至 50,000

50,000 至 100,000

CPU 内核

2

2 个具有 2 个 CPU 内核的负载平衡服务器

3 个具有 2 个 CPU 内核的负载平衡服务器

每个服务器的 RAM (GB)

4

各 4

各 8

磁盘空间 (GB)

50

各 50

各 50

VMware Identity Manager Connector 组件具有以下附加要求。如果同时安装 ACC 和 VMware Identity Manager Connector 组件,请将这些要求与 ACC 要求相加。

表 2. VMware Identity Manager Connector 要求

用户数量

最多 1000

1000 至 10,000

10,000 至 25,000

25,000 至 50,000

50,000 至 100,000

CPU

2

2 个负载平衡服务器,每个服务器具有 4 个 CPU

2 个负载平衡服务器,每个服务器具有 4 个 CPU

2 个负载平衡服务器,每个服务器具有 4 个 CPU

2 个负载平衡服务器,每个服务器具有 4 个 CPU

每个服务器的 RAM (GB)

6

各 6

各 8

各 16

各 16

磁盘空间 (GB)

50

各 50

各 50

各 50

各 50

注:
  • 对于 ACC 组件,流量是由 AWCM 组件自动进行负载平衡的。它不需要使用单独的负载平衡器。如果相同组织组中的多个 ACC 实例连接到相同的 AWCM 服务器以实现高可用性,则这些实例可能都会收到流量(实时-实时配置)。流量的路由方式由 AWCM 确定并取决于当前负载。

  • 对于 VMware Identity Manager Connector 组件,请参阅为 VMware Identity Manager Connector 配置高可用性

  • 每个 CPU 内核应该为 2.0 GHz 或更高。需要使用 Intel 处理器。

  • 磁盘空间要求包括:将 1 GB 磁盘空间用于 Enterprise Systems Connector 应用程序、Windows 操作系统和 .NET 运行时。分配额外的磁盘空间以用于日志记录。

软件要求

确保 Enterprise Systems Connector 服务器满足所有以下软件要求。

状态检查表

要求

备注

Windows Server 2008 R2、

Windows Server 2012 或

Windows Server 2012 R2 或

Windows Server 2016

对两个组件是必需的

在服务器上安装 PowerShell

对两个组件是必需的

注:

(AirWatch Cloud Connector 组件)如果部署 PowerShell MEM 直接电子邮件模式,则需要使用 PowerShell 3.0+ 版本。要检查您的版本,请打开 PowerShell 并运行 $PSVersionTable 命令。

注:

VMware Identity Manager Connector 组件)如果在 Windows Server 2008 R2 上安装,则需要使用 PowerShell 4.0 版本。

安装 .NET Framework 4.6.2

对两个组件是必需的

注:

(AirWatch Cloud Connector 组件)在将 Enterprise Systems Connector 服务器更新为 NET Framework 4.6.2 后,AirWatch Cloud Connector 自动更新功能才能正常工作。自动更新功能不会自动更新 .NET Framework。在执行升级之前,请在 Enterprise Systems Connector 服务器上手动安装 .NET Framework 4.6.2。

常规要求

确保 Enterprise Systems Connector 服务器满足以下常规要求,以确保成功进行安装。

状态检查表

要求

备注

确保您可以远程访问安装 AirWatch 的服务器

VMware AirWatch 建议安装 Remote Desktop Connection Manager 以管理多个服务器。您可以从 https://www.microsoft.com/en-us/download/details.aspx?id=44989 中下载该安装程序。

通常,安装是通过 AirWatch 顾问提供的 Web 会议或屏幕共享远程执行的。某些客户还会为 AirWatch 提供 VPN 凭据以直接访问环境。

Notepad++ 安装(建议)

VMware AirWatch 建议安装 Notepad++。

进行身份验证以访问后端系统的服务帐户

使用 LDP.exe 工具(请参阅 http://www.computerperformance.co.uk/ScriptsGuy/ldp.zip)验证 AD 连接方法:LDAP、BES、PowerShell 等。

网络要求

要配置下面列出的端口,所有流量都是单向的,即从源组件到目标组件(出站)。

出站代理或任何其他连接管理软件或硬件不能终止或拒绝来自 Enterprise Systems Connector 的出站连接。由 Enterprise Systems Connector 使用所需的出站连接必须始终保持打开状态。

注:

您希望通过 ACC 访问的任何资源(例如证书颁发机构)必须位于同一个域中。

表 3. AirWatch Cloud Connector 组件端口要求 (SaaS)

状态检查表

源组件

目标组件

协议

端口

验证

Enterprise Systems Connector 服务器

AirWatch AWCM,例如:https://awcm274.awmdm.com

HTTPS

443

输入 https://awcmXXX.awmdm.com/awcm/status 以进行验证,并确保没有出现证书信任错误。(将“XXX”替换为环境 URL 中使用的相同编号,例如,“100”表示 cn100。)

Enterprise Systems Connector 服务器

AirWatch 控制台,例如,https://cn274.awmdm.com

HTTP 或 HTTPS

80 或 443

输入 https://cnXXX.awmdm.com 以进行验证,并确保没有出现证书信任错误。(将“XXX”替换为环境 URL 中使用的相同编号,例如,“100”表示 cn100。)如果启用了自动更新,ACC 必须能够使用端口 443 在 AirWatch 控制台中查询更新。

Enterprise Systems Connector 服务器

AirWatch API,例如,https://as274.awmdm.com

HTTPS

443

输入 https://asXXX.awmdm.com/api/help 以进行验证,并确保提示您输入凭据。(将“XXX”替换为环境 URL 中使用的相同编号,例如,“100”表示 cn100。)需要具有 ACC 到 API 访问权限,AirWatch 诊断服务才能正常工作。

Enterprise Systems Connector 服务器

CRL:http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP

80

验证各种服务是否正常工作

可选的集成

Enterprise Systems Connector 服务器

内部 SMTP

SMTP

25

Enterprise Systems Connector 服务器

内部 LDAP

LDAP 或 LDAPS

389、636、3268 或 3269

Enterprise Systems Connector 服务器

内部 SCEP

HTTP 或 HTTPS

80 或 443

Enterprise Systems Connector 服务器

内部 ADCS

DCOM

135、1025-5000、49152-65535

Enterprise Systems Connector 服务器

内部 BES

HTTP 或 HTTPS

80 或 443

Enterprise Systems Connector 服务器

内部 Exchange 2010 或更高版本

HTTP 或 HTTPS

80 或 443

表 4. AirWatch Cloud Connector 组件端口要求(内部部署)

源组件

目标组件

协议

端口

验证

Enterprise Systems Connector 服务器

AirWatch 云消息服务器

HTTPS

2001

使用 Telnet 通过端口从 Enterprise Systems Connector 连接到 AWCM 服务器,或者在安装后进行验证。

输入 https://<AWCM URL>:2001/awcm/status 以进行验证,并确保没有出现证书信任错误。

如果启用了自动更新,ACC 必须能够使用端口 443 在 AirWatch 控制台中查询更新。

如果将 ACC 与 AWCM 一起使用,具有多个 AWCM 服务器并希望进行负载平衡,则需要配置持久性。

有关使用 F5 设置 AWCM 持久性规则的详细信息,请参阅以下知识库文章:https://support.air-watch.com/articles/115001666028。

Enterprise Systems Connector 服务器

AirWatch 控制台

HTTP 或 HTTPS

80 或 443

使用 Telnet 通过端口从 Enterprise Systems Connector 连接到控制台,或者在安装后进行验证。

输入 https://<Console URL> 以进行验证,并确保没有出现证书信任错误。

如果启用了自动更新,ACC 必须能够使用端口 443 在 AirWatch 控制台中查询更新。

Enterprise Systems Connector 服务器

API 服务器(或安装 API 的任意位置)

HTTPS

443

导航到 API 服务器 URL 以进行验证。

需要具有 ACC 到 API 访问权限,AirWatch 诊断服务才能正常工作。

Enterprise Systems Connector 服务器

CRL:http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP

80

验证各种服务是否正常工作

可选的集成

Enterprise Systems Connector 服务器

内部 SMTP

SMTP

25

Enterprise Systems Connector 服务器

内部 LDAP

LDAP 或 LDAPS

389、636、3268 或 3269

Enterprise Systems Connector 服务器

内部 SCEP

HTTP 或 HTTPS

80 或 443

Enterprise Systems Connector 服务器

内部 ADCS

DCOM

135、1025-5000、49152-65535

Enterprise Systems Connector 服务器

内部 BES

HTTP 或 HTTPS

80 或 443

Enterprise Systems Connector 服务器

内部 Exchange 2010 或更高版本

HTTP 或 HTTPS

80 或 443

表 5. VMware Identity Manager Connector 组件端口要求(SaaS 或内部部署)

状态检查表

源组件

目标组件

端口

协议

备注

VMware Identity Manager Connector

VMware Identity Manager 服务

VMware Identity Manager 服务主机(内部部署安装)

443

HTTPS

默认端口。此端口是可配置的。

VMware Identity Manager Connector

VMware Identity Manager 服务负载平衡器(内部部署安装)

443

HTTPS

浏览器

VMware Identity Manager Connector

8443

HTTPS

管理端口。

必填

浏览器

VMware Identity Manager Connector

80

HTTP

必填

浏览器

VMware Identity Manager Connector

443

HTTPS

只有在入站模式中使用的连接器才需要此端口。

如果在连接器上配置了 Kerberos 身份验证,则需要此端口。

VMware Identity Manager Connector

Active Directory

389、636、3268、3269

默认端口。这些端口是可配置的。

VMware Identity Manager Connector

DNS 服务器

53

TCP/UDP

每个实例必须有权通过端口 53 访问 DNS 服务器,并允许通过端口 22 传输入站 SSH 流量。

VMware Identity Manager Connector

域控制器

88、464、135、445

TCP/UDP

VMware Identity Manager Connector

RSA SecurID 系统

5500

默认端口。此端口可配置

VMware Identity Manager Connector

View 连接服务器

389、443

访问 View 连接服务器实例以进行 Horizon View 集成

VMware Identity Manager Connector

Integration Broker

80、443

访问 Integration Broker,以便与 Citrix 发布的资源集成在一起。

重要:

如果在与 Enterprise Systems Connector 相同的 Windows 服务器上安装 Integration Broker,您必须确保 IIS 服务器默认网站站点绑定中的 HTTP 和 HTTPS 绑定端口与 VMware Identity Manager Connector 组件使用的端口不发生冲突。

VMware Identity Manager Connector 始终使用端口 80。它还使用 443,除非在安装期间配置了不同的端口。

VMware Identity Manager Connector

syslog 服务器

514

UDP

用于外部 syslog 服务器(如果配置)

VMware Identity Manager Connector 组件)VMware Identity Manager 云托管 IP 地址

(SaaS 客户)有关 VMware Identity Manager Connector 必须有权访问的 VMware Identity Manager 服务 IP 地址的列表,请参阅知识库文章 2149884

VMware Identity Manager Connector 组件)DNS 记录和 IP 地址要求

DNS 条目和静态 IP 地址必须可用于连接器。在开始安装之前,请求要使用的 DNS 记录和 IP 地址并配置 Windows 服务器的网络设置。

配置反向查询是可选的。在执行反向查找时,您必须在 DNS 服务器上定义 PTR 记录,以便连接器使用正确的网络配置。

您可以使用以下示例 DNS 记录列表。将示例中的信息替换为您环境中的信息。该示例列出了前向 DNS 记录和 IP 地址。

表 6. 前向 DNS 记录和 IP 地址示例

域名

资源类型

IP 地址

myidentitymanager.company.com

A

10.28.128.3

该示例列出了反向 DNS 记录和 IP 地址。

表 7. 反向 DNS 记录和 IP 地址示例

IP 地址

资源类型

主机名称

10.28.128.3

PTR

myidentitymanager.company.com

完成 DNS 配置后,请验证反向 DNS 查询是否正确配置。例如,虚拟设备命令 host IPaddress 必须解析为 DNS 名称查找。

注:

如果在 DNS 服务器前面的负载平衡器具有虚拟 IP 地址 (Virtual IP, VIP),请注意 VMware Identity Manager 不支持使用 VIP。您可以指定多个以逗号分隔的 DNS 服务器名称。

注:

如果使用基于 Unix 或 Linux 的 DNS 服务器并打算将连接器加入 Active Directory 域,请确保为每个 Active Directory 域控制器创建相应的服务 (SRV) 资源记录。

VMware Identity Manager Connector 组件)支持的 Active Directory 版本

支持包含单个 Active Directory 域、单个 Active Directory 林中的多个域或多个 Active Directory 林中的多个域的 Active Directory 环境。

VMware Identity Manager 在 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2 上支持 Active Directory,并且域功能级别和林功能级别为 Windows 2003 和更高版本。

注:

某些功能可能需要更高的功能级别。例如,要允许用户从 Workspace ONE 更改 Active Directory 密码,域功能级别必须为 Windows 2008 或更高版本。