要部署 Workspace ONE Access Connector(包括目录同步服务、用户身份验证服务、Kerberos 身份验证服务和虚拟应用程序服务以作为组件),请确保 Windows 服务器满足所需的要求。某些要求会因所安装的服务而异。
Workspace ONE Access 服务和连接器之间的兼容性
您可以将 Workspace ONE Access Connector 与 Workspace ONE Access 云服务或内部部署 Workspace ONE Access 服务虚拟设备结合使用。
对于 Workspace ONE Access 云服务,您可以使用连接器的所有支持版本。但是,建议使用最新版本的连接器。
对于 Workspace ONE Access 内部部署安装,您可以使用与 Workspace ONE Access 服务版本相同或低于该服务版本的受支持连接器版本。例如,对于 Workspace ONE Access 22.09 服务,您可以使用 Connector 22.09 及更低版本。不能使用高于服务版本的连接器版本。例如,不能将 22.09 Connector 与 21.08 服务结合使用。建议使用连接器的最新兼容版本。
有关受支持版本的信息,请参阅 https://www.vmware.com/support/policies/lifecycle.html。
需要的服务器数量
您可以将目录同步、用户身份验证、Kerberos 身份验证和虚拟应用程序服务一起安装在单个 Windows 服务器上,也可以按任意组合将其安装在单独的服务器上,具体取决于您的喜好。要同时安装所有服务,您需要一个功能更强大的服务器。要单独安装服务,您必须获取多个服务器。
如果要为任何服务设置高可用性,则需要多个服务器。
同时还要考虑到,Kerberos 身份验证服务需要入站连接,而其他服务则不需要。
硬件要求
确保 Windows Server 满足以下硬件要求。
- 处理器:Inte(R)Xeon(R) CPU E5-2650 [email protected] GHZ(2 个处理器)x64 位处理器或更高版本
| 部署规模 | 目录同步服务服务器的硬件要求 | 用户和组的数量 |
|---|---|---|
| 小型 | 2 个 vCPU、8 GB RAM、40 GB 磁盘空间 为目录同步服务分配的 Java 内存:xmx=4g |
最多 50000 个用户和 500 个组 |
| 中型 | 4 个 vCPU、8 GB RAM、40 GB 磁盘空间 为目录同步服务分配的 Java 内存:xmx=4g |
最多 100,000 个用户和 1,000 个组 |
| 大型 | 8 个 vCPU、12 GB RAM、40 GB 磁盘空间 为目录同步服务分配的 Java 内存:xmx=8g |
最多 200,000 个用户和 2,000 个组 |
| 部署规模 | 用户身份验证服务或 Kerberos 身份验证服务服务器的硬件要求 | 用户身份验证服务 | Kerberos 身份验证服务 |
|---|---|---|---|
| 小型/中型/大型 | 2 个 vCPU、4 GB RAM、40 GB 磁盘空间 为用户身份验证服务或 Kerberos 身份验证服务分配的 Java 内存:xmx=1g |
密码身份验证:390 至 480/分钟 WSFed 活动流量:720 至 900/分钟 |
Kerberos 身份验证:420 至 480/分钟 |
| 部署规模 | 虚拟应用程序服务服务器的硬件要求 | 虚拟应用程序和授权数 |
|---|---|---|
| 小型/中型/大型 | 2 个 vCPU、4 GB RAM、40 GB 磁盘空间 虚拟应用程序服务的 Java 内存分配:xmx=1g |
最多 500 个虚拟应用程序,具有 125,000 个授权 |
| 部署规模 | 硬件要求 | 用户和组的数量 |
|---|---|---|
| 小型 | 4 个 vCPU、12 GB RAM、50 GB 磁盘空间 Java 内存分配: 目录同步服务:xmx=4g Kerberos 身份验证服务:xmx=1g 用户身份验证服务:xmx=1g 虚拟应用程序服务:xmx=1g |
最多 100,000 个用户和 1,000 个组 |
| 中型 | 8 个 vCPU、16 GB RAM、50 GB 磁盘空间 Java 内存分配: 目录同步服务:xmx=8g Kerberos 身份验证服务:xmx=1g 用户身份验证服务:xmx=1g 虚拟应用程序服务:xmx=2g |
最多 200,000 个用户和 2,000 个组 |
| 大型 | 12 个 vCPU、32 GB RAM、80 GB 磁盘空间 Java 内存分配: 目录同步服务:xmx=12g Kerberos 身份验证服务:xmx=1g 用户身份验证服务:xmx=1g 虚拟应用程序服务:xmx=2g |
最多 300,000 个用户和 3,000 个组 |
- 内存要求包括操作系统和 VMware 连接器组件。如果计划在服务器上运行任何其他应用程序或服务,请相应地调整要求。
- 为每个服务列出的 Java 内存分配是指 Java 堆内存。默认情况下,4 GB 分配给目录同步服务,1 GB 分配给用户身份验证服务,1 GB 分配给 Kerberos 身份验证服务,1 GB 分配给虚拟应用程序服务。有关如何分配内存的信息,请参见为 Workspace ONE Access Connector 企业服务增加 Java 内存。
- 为目录同步服务列出的组都是一个级别,每个组包含 500 个用户,每个用户都与 5 个组相关联。
- 具有大型组或嵌套组的部署需要更多内存。
- 对于 Citrix 集成,每个资源最多支持 630 个用户或组授权。
软件要求
确保 Windows Server 满足以下软件要求。
| 要求 | 备注 |
|---|---|
| Windows Server 的以下版本之一:
|
所有企业服务(目录同步、用户身份验证、Kerberos 身份验证及虚拟应用程序服务)都可以安装在 Windows Server 2022 上运行的连接器上。 |
| PowerShell | 默认情况下,Windows Server 包含 PowerShell。 |
| .NET Framework 4.8 或更高版本 | 默认情况下,Windows Server 包含 .NET Framework。Workspace ONE Access Connector 需要 .NET Framework 4.8 或更高版本。如果 .NET Framework 未安装或与所需版本不匹配,则连接器安装程序会提示您在安装期间安装正确的版本。 |
| Citrix Studio (Citrix PowerShell SDK) | 仅在安装虚拟应用程序服务并计划集成 Citrix 虚拟应用程序和桌面时才需要。Citrix Studio 包括 PowerShell SDK,这是将 Citrix 与 Workspace ONE Access 集成所必需的。Citrix Studio 版本必须与 Citrix 部署版本兼容。您可以在安装 Workspace ONE Access Connector 之前或之后安装 Citrix Studio。有关安装 Citrix Studio 的信息,请参阅 Citrix 文档。 |
网络要求
下表列出了连接器的端口要求。有关最新的端口信息,请参阅 https://ports.vmware.com/home/Workspace-ONE-Access。
要配置列出的端口,所有流量都是单向的,即,从源组件到目标组件(出站)。出站代理或任何其他连接管理软件或硬件不能终止或拒绝来自 Workspace ONE Access Connector 的出站连接。出站连接必须始终保持开放状态。
| 源 | 目标 | 端口 | 协议 | 备注 |
|---|---|---|---|---|
| Workspace ONE Access Connector | Workspace ONE Access 服务(云) Workspace ONE Access 服务主机(内部部署安装) |
443 | HTTPS | 默认端口;必需。 适用于目录同步服务、用户身份验证服务、Kerberos 身份验证服务和虚拟应用程序服务。 |
| Workspace ONE Access Connector | Workspace ONE Access 服务负载均衡器(内部部署安装) | 443 | HTTPS | 适用于目录同步服务、用户身份验证服务、Kerberos 身份验证服务和虚拟应用程序服务。 |
| 浏览器 | Workspace ONE Access Connector | 443 | HTTPS | 对于 Kerberos 身份验证服务是必需的。 |
| Workspace ONE Access Connector | Active Directory | 389、636、3268、3269 | 默认端口;这些端口为可配置端口。 适用于目录同步服务。如果使用密码身份验证,那么也适用于用户身份验证服务。 |
|
| Workspace ONE Access Connector | DNS 服务器 | 53 | TCP/UDP | 每个连接器实例必须能够通过端口 53 访问 DNS 服务器。 适用于目录同步服务、用户身份验证服务、Kerberos 身份验证服务和虚拟应用程序服务。 |
| Workspace ONE Access Connector | 域控制器 | 88、464、135、445 | TCP/UDP | 适用于目录同步服务和 Kerberos 身份验证服务。 |
| Workspace ONE Access Connector | RSA SecurID 服务器 | 5555 | 默认端口;此端口为可配置端口。 如果使用了 RSA SecurID,则适用于用户身份验证服务。 |
|
| Workspace ONE Access Connector | syslog 服务器 | 514 | UDP | 默认端口;此端口为可配置端口。 外部 syslog 服务器的端口(如果已配置)。适用于目录同步服务、用户身份验证服务、Kerberos 身份验证服务和虚拟应用程序服务。 |
| Workspace ONE Access Connector | Horizon Connection Server | 443 | 用于 VMware Horizon 集成。 仅适用于虚拟应用程序服务。 |
|
| Workspace ONE Access Connector | Citrix StoreFront 服务器 | 为 Citrix StoreFront 服务器配置的端口 | 用于 Citrix 部署集成。 仅适用于虚拟应用程序服务。 |
|
| Workspace ONE Access Connector | Citrix XenApp 或 XenDesktop 服务器 | 443 | 用于 Citrix 部署集成。 仅适用于虚拟应用程序服务。 |
|
| 浏览器 | 为 Horizon 和 Citrix 虚拟应用程序集合配置的客户端访问 FQDN | 为客户端访问 FQDN 配置的端口 | 仅适用于虚拟应用程序服务。 |
Workspace ONE Access 云 IP 地址
有关 Workspace ONE Access Connector 必须有权访问的 Workspace ONE Access 云服务 IP 地址的列表,请访问 https://kb.vmware.com/s/article/68035。
DNS 记录和 IP 地址要求
连接器需要 DNS 条目和静态 IP 地址。在开始安装之前,获取要使用的 DNS 记录和 IP 地址并配置 Windows 服务器的网络设置。
如果您打算安装 Kerberos 身份验证服务,请确保为连接器服务器选择适当的用户友好主机名。配置 Kerberos 身份验证后,最终用户可以看到 Workspace ONE Access Connector 主机名。
配置反向查询是可选的。在执行反向查找时,您必须在 DNS 服务器上定义 PTR 记录,以便连接器使用正确的网络配置。
您可以使用以下示例 DNS 记录列表。将示例中的信息替换为您环境中的信息。该示例列出了前向 DNS 记录和 IP 地址。
| 域名 | 资源类型 | IP 地址 |
|---|---|---|
| myconnector.example.com | A | 10.28.128.3 |
该示例列出了反向 DNS 记录和 IP 地址。
| IP 地址 | 资源类型 | 主机名称 |
|---|---|---|
| 10.28.128.3 | PTR | myconnector.example.com |
完成 DNS 配置后,请验证反向 DNS 查询是否正确配置。例如,命令 host IPaddress 必须解析为 DNS 名称查找。
负载均衡器
如果要为 Kerberos 身份验证配置高可用性,则 Workspace ONE Access Connector 需要使用负载均衡器。
时间同步
要使 Workspace ONE Access 部署正常工作,需要在所有 Workspace ONE Access 服务和连接器实例上配置时间同步。使用 NTP 服务器设置时间同步。
对于该连接器,请在连接器服务器上配置时间同步。
代理要求
连接器需要访问 Internet 上的 Web 服务。如果您的网络配置通过 HTTP 代理提供 Internet 访问,则必须配置代理服务器。您可以在安装期间或之后在 Workspace ONE Access Connector 安装程序中输入代理服务器信息。
Workspace ONE Access Connector 支持以下类型的代理:
- 未经身份验证的 HTTP 代理
- 未经身份验证的 HTTPS (SSL) 代理
- 经过身份验证的 HTTPS (SSL) 代理
