VMware Identity Manager Connector 19.03 (Windows) 的系统要求

VMware Identity Manager 服务和连接器之间的兼容性

您可以将 VMware Identity Manager Connector 与 VMware Identity Manager 云服务或内部部署 VMware Identity Manager 服务虚拟设备结合使用。

对于 VMware Identity Manager 云服务，您可以使用连接器的所有支持版本。但是，建议使用最新版本的连接器。

对于 VMware Identity Manager 内部部署服务，您可以使用与服务版本相同或低于服务版本的受支持连接器版本。例如，对于 VMware Identity Manager 19.03 服务，您可以使用 Connector 19.03 及更低版本。不能使用高于服务版本的连接器版本。例如，不能将 20.01 Connector 与 19.03 服务结合使用。建议使用连接器的最新兼容版本。

有关受支持版本的信息，请参阅 https://www.vmware.com/support/policies/lifecycle.html。

硬件要求

确保 Windows Server 满足以下硬件要求。

表 1. VMware Identity Manager Connector 要求
用户数量	最多 1000	1000 至 10,000	10,000 至 25,000	25,000 至 50,000	50,000 至 100,000
CPU	2	2 个负载均衡服务器，每个服务器具有 4 个 CPU	2 个负载均衡服务器，每个服务器具有 4 个 CPU	2 个负载均衡服务器，每个服务器具有 4 个 CPU	2 个负载均衡服务器，每个服务器具有 4 个 CPU
每个服务器的 RAM (GB)	6	各 6	各 8	各 16	各 16
磁盘空间 (GB)	50	各 50	各 50	各 50	各 50

注：

每个 CPU 内核应该为 2.0 GHz 或更高。需要使用 Intel 处理器。
磁盘空间要求包括：将 1 GB 磁盘空间用于 VMware Identity Manager Connector 应用程序、Windows 操作系统和 .NET 运行时。分配额外的磁盘空间以用于日志记录。
要在安装连接器后增加内存，请参阅更新 VMware Identity Manager Connector 19.03 的 Java 内存。

软件要求

确保 Windows Server 满足以下软件要求。

要求	备注
Windows Server 2019 或 Windows Server 2016 或 Windows Server 2012 R2	注：从 2020 年 9 月起，不再支持 Windows Server 2012 和 2008 R2。
在服务器上安装 PowerShell	注：如果在 Windows Server 2008 R2 上安装，则需要使用 PowerShell 4.0 版本。注：从 2020 年 9 月起，不再支持 Windows Server 2012 和 2008 R2。
安装 .NET Framework 4.6.2

要求

备注

Windows Server 2019 或

Windows Server 2016 或

Windows Server 2012 R2

注：从 2020 年 9 月起，不再支持 Windows Server 2012 和 2008 R2。

在服务器上安装 PowerShell

注：如果在 Windows Server 2008 R2 上安装，则需要使用 PowerShell 4.0 版本。

注：从 2020 年 9 月起，不再支持 Windows Server 2012 和 2008 R2。

安装 .NET Framework 4.6.2

网络要求

要配置下面列出的端口，所有流量都是单向的，即从源组件到目标组件（出站）。

出站代理或任何其他连接管理软件或硬件不能终止或拒绝来自 VMware Identity Manager Connector 的出站连接。由 VMware Identity Manager Connector 使用所需的出站连接必须始终保持打开状态。

表 2. VMware Identity Manager Connector 端口要求
源	目标	端口	协议	备注
VMware Identity Manager Connector	VMware Identity Manager 服务 VMware Identity Manager 服务主机（内部部署安装）	443	HTTPS	默认端口必填
VMware Identity Manager Connector	VMware Identity Manager 服务负载均衡器（内部部署安装）	443	HTTPS
浏览器	VMware Identity Manager Connector	8443	HTTPS	管理端口必填
浏览器	VMware Identity Manager Connector	80	HTTP	必填
浏览器	VMware Identity Manager Connector	443	HTTPS	只有在入站模式中使用的连接器才需要此端口。如果在连接器上配置了 Kerberos 身份验证，则需要此端口。
VMware Identity Manager Connector	Active Directory	389、636、3268、3269		默认端口。这些端口是可配置的。
VMware Identity Manager Connector	DNS 服务器	53	TCP/UDP	每个实例必须有权通过端口 53 访问 DNS 服务器，并允许通过端口 22 传输入站 SSH 流量。
VMware Identity Manager Connector	域控制器	88、464、135、445	TCP/UDP	用于 Kerberos 身份验证
VMware Identity Manager Connector	RSA SecurID 系统	5500		默认端口。此端口是可配置的。
VMware Identity Manager Connector	Horizon 连接服务器	389、443		访问 Horizon 连接服务器实例以进行 Horizon 集成
VMware Identity Manager Connector	Integration Broker	80、443		访问 Integration Broker，以便与 Citrix 发布的资源集成在一起。重要事项：如果在与 VMware Identity Manager Connector 相同的 Windows Server 上安装 Integration Broker，您必须确保 IIS 服务器默认网站站点绑定中的 HTTP 和 HTTPS 绑定端口与 VMware Identity Manager Connector 使用的端口不发生冲突。 VMware Identity Manager Connector 使用端口 80、443 和 8443。不建议在 VMware Identity Manager Connector 服务器上安装 Integration Broker。
VMware Identity Manager Connector	syslog 服务器	514	UDP	用于外部 syslog 服务器（如果配置）

VMware Identity Manager 云托管 IP 地址

（云部署）有关 VMware Identity Manager Connector 必须有权访问的 VMware Identity Manager 服务 IP 地址的列表，请参阅知识库文章 68035。

DNS 记录和 IP 地址要求

DNS 条目和静态 IP 地址必须可用于连接器。在开始安装之前，获取要使用的 DNS 记录和 IP 地址并配置 Windows Server 的网络设置。

如果您打算配置 Kerberos 身份验证，请确保为连接器选择适当的用户友好主机名。配置 Kerberos 后，最终用户可以看到 VMware Identity Manager Connector 主机名。

配置反向查询是可选的。在执行反向查找时，您必须在 DNS 服务器上定义 PTR 记录，以便连接器使用正确的网络配置。

您可以使用以下示例 DNS 记录列表。将示例中的信息替换为您环境中的信息。该示例列出了前向 DNS 记录和 IP 地址。

表 3. 前向 DNS 记录和 IP 地址示例
域名	资源类型	IP 地址
myconnector.company.com	A	10.28.128.3

该示例列出了反向 DNS 记录和 IP 地址。

表 4. 反向 DNS 记录和 IP 地址示例
IP 地址	资源类型	主机名称
10.28.128.3	PTR	myconnector.company.com

完成 DNS 配置后，请验证反向 DNS 查询是否正确配置。例如，命令 host IPaddress 必须解析为 DNS 名称查找。

注：如果在 DNS 服务器前面的负载均衡器具有虚拟 IP 地址 (Virtual IP, VIP)，请注意 VMware Identity Manager 不支持使用 VIP。您可以指定多个以逗号分隔的 DNS 服务器名称。

注：如果使用基于 Unix 或 Linux 的 DNS 服务器并打算将连接器加入 Active Directory 域，请确保为每个 Active Directory 域控制器创建相应的服务 (SRV) 资源记录。

时间同步

要使 VMware Identity Manager 部署正常工作，需要在所有 VMware Identity Manager 服务和连接器实例上配置时间同步。

有关为 VMware Identity Manager Connector 配置时间同步的信息，请参阅为 VMware Identity Manager Connector (Windows) 配置时间同步。

有关为 VMware Identity Manager 服务配置时间同步的信息，请参阅《安装和配置适用于 Linux 的 VMware Identity Manager》和《安装和配置适用于 Windows 的 VMware Identity Manager》。

支持的 Active Directory 版本

支持包含单个 Active Directory 域、单个 Active Directory 林中的多个域或多个 Active Directory 林中的多个域的 Active Directory 环境。

VMware Identity Manager 支持 Windows Server 2012 R2、2016 和 2019 上的 Active Directory（域功能级别和林功能级别为 Windows 2003 及更高版本）。

注：从 2020 年 9 月起，不再支持 Windows Server 2008、2008 R2 和 2012。

注：某些功能可能需要更高的功能级别。例如，要允许用户从 Workspace ONE 更改 Active Directory 密码，域功能级别必须为 Windows 2008 或更高版本。

限制连接器数量

VMware Identity Manager 控制台只能显示 20 个旧版连接器（19.03 或更低版本的连接器）。根据您使用的 VMware Identity Manager 服务的版本，旧版连接器将列在“身份和访问管理”>“设置”>“连接器”页面或“身份和访问管理”>“设置”>“旧版连接器”页面上。请勿向服务添加超过 20 个旧版连接器实例。

此限制不适用于 Workspace ONE Access Connector 20.01 或更高版本。