要部署 VMware Identity Manager Connector,请确保系统满足必需的要求。
硬件要求
确保 Windows Server 满足以下硬件要求。
用户数量 |
最多 1000 |
1000 至 10,000 |
10,000 至 25,000 |
25,000 至 50,000 |
50,000 至 100,000 |
---|---|---|---|---|---|
CPU |
2 |
2 个负载平衡服务器,每个服务器具有 4 个 CPU |
2 个负载平衡服务器,每个服务器具有 4 个 CPU |
2 个负载平衡服务器,每个服务器具有 4 个 CPU |
2 个负载平衡服务器,每个服务器具有 4 个 CPU |
每个服务器的 RAM (GB) |
6 |
各 6 |
各 8 |
各 16 |
各 16 |
磁盘空间 (GB) |
50 |
各 50 |
各 50 |
各 50 |
各 50 |
每个 CPU 内核应该为 2.0 GHz 或更高。需要使用 Intel 处理器。
磁盘空间要求包括:将 1 GB 磁盘空间用于 VMware Identity Manager Connector 应用程序、Windows 操作系统和 .NET 运行时。分配额外的磁盘空间以用于日志记录。
软件要求
确保 Windows Server 满足以下软件要求。
状态检查表 |
要求 |
备注 |
---|---|---|
Windows Server 2008 R2、 Windows Server 2012 或 Windows Server 2012 R2 或 Windows Server 2016 |
||
在服务器上安装 PowerShell |
注:
如果在 Windows Server 2008 R2 上安装,则需要使用 PowerShell 4.0 版本。 |
|
安装 .NET Framework 4.6.2 |
网络要求
要配置下面列出的端口,所有流量都是单向的,即从源组件到目标组件(出站)。
出站代理或任何其他连接管理软件或硬件不能终止或拒绝来自 VMware Identity Manager Connector 的出站连接。由 VMware Identity Manager Connector 使用所需的出站连接必须始终保持打开状态。
源 |
目标 |
端口 |
协议 |
备注 |
---|---|---|---|---|
VMware Identity Manager Connector |
VMware Identity Manager 服务 VMware Identity Manager 服务主机(内部部署安装) |
443 |
HTTPS |
默认端口 必填 |
VMware Identity Manager Connector |
VMware Identity Manager 服务负载平衡器(内部部署安装) |
443 |
HTTPS |
|
浏览器 |
VMware Identity Manager Connector |
8443 |
HTTPS |
管理端口 必填 |
浏览器 |
VMware Identity Manager Connector |
80 |
HTTP |
必填 |
浏览器 |
VMware Identity Manager Connector |
443 |
HTTPS |
只有在入站模式中使用的连接器才需要此端口。 如果在连接器上配置了 Kerberos 身份验证,则需要此端口。 |
VMware Identity Manager Connector |
Active Directory |
389、636、3268、3269 |
默认端口。这些端口是可配置的。 |
|
VMware Identity Manager Connector |
DNS 服务器 |
53 |
TCP/UDP |
每个实例必须有权通过端口 53 访问 DNS 服务器,并允许通过端口 22 传输入站 SSH 流量。 |
VMware Identity Manager Connector |
域控制器 |
88、464、135、445 |
TCP/UDP |
用于 Kerberos 身份验证 |
VMware Identity Manager Connector |
RSA SecurID 系统 |
5500 |
默认端口。此端口是可配置的。 |
|
VMware Identity Manager Connector |
Horizon 连接服务器 |
389、443 |
访问 Horizon 连接服务器实例以进行 Horizon 集成 |
|
VMware Identity Manager Connector |
Integration Broker |
80、443 |
访问 Integration Broker,以便与 Citrix 发布的资源集成在一起。
重要:
如果在与 VMware Identity Manager Connector 相同的 Windows Server 上安装 Integration Broker,您必须确保 IIS 服务器默认网站站点绑定中的 HTTP 和 HTTPS 绑定端口与 VMware Identity Manager Connector 使用的端口不发生冲突。 VMware Identity Manager Connector 使用端口 80、443 和 8443。 不建议在 VMware Identity Manager Connector 服务器上安装 Integration Broker。 |
|
VMware Identity Manager Connector |
syslog 服务器 |
514 |
UDP |
用于外部 syslog 服务器(如果配置) |
VMware Identity Manager 云托管 IP 地址
(云部署)有关 VMware Identity Manager Connector 必须有权访问的 VMware Identity Manager 服务 IP 地址的列表,请参阅知识库文章 2149884。
DNS 记录和 IP 地址要求
DNS 条目和静态 IP 地址必须可用于连接器。在开始安装之前,获取要使用的 DNS 记录和 IP 地址并配置 Windows Server 的网络设置。
如果您打算配置 Kerberos 身份验证,请确保为连接器选择适当的用户友好主机名。配置 Kerberos 后,最终用户可以看到 VMware Identity Manager Connector 主机名。
配置反向查询是可选的。在执行反向查找时,您必须在 DNS 服务器上定义 PTR 记录,以便连接器使用正确的网络配置。
您可以使用以下示例 DNS 记录列表。将示例中的信息替换为您环境中的信息。该示例列出了前向 DNS 记录和 IP 地址。
域名 |
资源类型 |
IP 地址 |
---|---|---|
myconnector.company.com |
A |
10.28.128.3 |
该示例列出了反向 DNS 记录和 IP 地址。
IP 地址 |
资源类型 |
主机名称 |
---|---|---|
10.28.128.3 |
PTR |
myconnector.company.com |
完成 DNS 配置后,请验证反向 DNS 查询是否正确配置。例如,命令 host IPaddress 必须解析为 DNS 名称查找。
如果在 DNS 服务器前面的负载平衡器具有虚拟 IP 地址 (Virtual IP, VIP),请注意 VMware Identity Manager 不支持使用 VIP。您可以指定多个以逗号分隔的 DNS 服务器名称。
如果使用基于 Unix 或 Linux 的 DNS 服务器并打算将连接器加入 Active Directory 域,请确保为每个 Active Directory 域控制器创建相应的服务 (SRV) 资源记录。
时间同步
要使 VMware Identity Manager 部署正常工作,需要在所有 VMware Identity Manager 服务和连接器实例上配置时间同步。
有关为 VMware Identity Manager Connector 配置时间同步的信息,请参阅为 VMware Identity Manager Connector (Windows) 配置时间同步。
有关为 VMware Identity Manager 服务配置时间同步的信息,请参阅《安装和配置适用于 Linux 的 VMware Identity Manager》和《安装和配置适用于 Windows 的 VMware Identity Manager》。
支持的 Active Directory 版本
支持包含单个 Active Directory 域、单个 Active Directory 林中的多个域或多个 Active Directory 林中的多个域的 Active Directory 环境。
在域功能级别和林功能级别为 Windows 2003 和更高版本的 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 和 Windows Server 2016 上,VMware Identity Manager 支持 Active Directory。
某些功能可能需要更高的功能级别。例如,要允许用户从 Workspace ONE 更改 Active Directory 密码,域功能级别必须为 Windows 2008 或更高版本。