要部署 Workspace ONE Access Connector(包括目录同步服务、用户身份验证服务和 Kerberos 身份验证服务作为组件),请确保您的 Windows 服务器满足必备要求。某些要求会因所安装的服务而异。

服务器数量

您可以将目录同步、用户身份验证和 Kerberos 身份验证服务同时安装在单个 Windows 服务器上,也可以通过任意组合将其安装在单独的服务器上,具体取决于您的偏好。要同时安装所有服务,您需要一个功能更强大的服务器。要单独安装服务,您需要获取多个服务器。

如果要为任何服务设置高可用性,则需要多个服务器。

同时还要考虑到,Kerberos 身份验证服务需要入站连接,而其他服务则不需要。

硬件要求

确保 Windows Server 满足以下硬件要求。

  • 操作系统:Windows Server 2012 R2 Standard 64 位或更高版本
  • 处理器:Inte(R)Xeon(R) CPU E5-2650 [email protected] GHZ(2 个处理器)x64 位处理器或更高版本
表 1. 仅适用于目录同步服务的规模调整指南
部署规模 硬件要求 用户和组的数量
小尺寸 2 个 vCPU、8 GB RAM、40 GB 磁盘空间

为目录同步服务分配的 Java 内存:xmx=4g

最多 50000 个用户和 500 个组
中型 4 个 vCPU、8 GB RAM、40 GB 磁盘空间

为目录同步服务分配的 Java 内存:xmx=4g

最多 100,000 个用户和 1,000 个组
大尺寸 8 个 vCPU、12 GB RAM、40 GB 磁盘空间

为目录同步服务分配的 Java 内存:xmx=8g

最多 200,000 个用户和 2,000 个组
表 2. 仅适用于用户身份验证服务或 Kerberos 身份验证服务的规模调整指南
部署规模 用户身份验证或 Kerberos 身份验证服务服务器的硬件要求 用户身份验证服务 Kerberos 身份验证服务
小型/中型/大型 2 个 vCPU、4 GB RAM、40 GB 磁盘空间

为用户身份验证服务或 Kerberos 身份验证服务分配的 Java 内存:xmx=1g

密码身份验证:390 至 480/分钟

WSFed 活动流量:720 至 900/分钟

Kerberos 身份验证:420 至 480/分钟
注: 用户身份验证服务和 Kerberos 身份验证服务节点无法垂直扩展。为了提高吞吐量,请添加更多节点。
表 3. 适用于单个服务器上安装的所有服务的规模调整指南
部署规模 硬件要求 目录同步
小尺寸 2 个 vCPU、8 GB RAM、40 GB 磁盘空间

Java 内存分配:

目录同步服务:xmx=4g

Kerberos 身份验证服务:xmx=1g

用户身份验证服务:xmx=1g

最多 50000 个用户和 500 个组
中型 4 个 vCPU、8 GB RAM、40 GB 磁盘空间

Java 内存分配:

目录同步服务:xmx=4g

Kerberos 身份验证服务:xmx=1g

用户身份验证服务:xmx=1g

最多 100,000 个用户和 1,000 个组
大尺寸 8 个 vCPU、16 GB RAM、40 GB 磁盘空间

Java 内存分配:

目录同步服务:xmx=8g

Kerberos 身份验证服务:xmx=1g

用户身份验证服务:xmx=1g

最多 200,000 个用户和 2,000 个组
注:
  • 内存要求包括操作系统和 VMware 连接器组件。如果计划在服务器上运行任何其他应用程序或服务,请相应地调整要求。
  • 为每个服务列出的 Java 内存分配是指 Java 堆内存。默认情况下,将 4 GB 分配给目录同步服务,将 1 GB 分配给用户身份验证服务,同时将 1 GB 分配给 Kerberos 身份验证服务。有关如何分配内存的信息,请参见为企业服务增大 Java 内存
  • 为目录同步服务列出的组都是一个级别,每个组包含 500 个用户,每个用户都与 5 个组相关联。
  • 具有大型组或嵌套组的部署需要更多内存。

软件要求

确保 Windows Server 满足以下软件要求。

要求 备注

Windows Server 2019

Windows Server 2016 或

Windows Server 2012 R2 或

Windows Server 2008 R2

在服务器上安装 PowerShell
注: 如果在 Windows Server 2008 R2 上安装,则需要使用 PowerShell 4.0 版本。
安装 .NET Framework 4.6.2

网络要求

要配置下面列出的端口,所有流量都是单向的,即从源组件到目标组件(出站)。出站代理或任何其他连接管理软件或硬件不能终止或拒绝来自 Workspace ONE Access Connector 的出站连接。出站连接必须始终保持开放状态。

目标 端口 协议 备注
Workspace ONE Access Connector Workspace ONE Access 服务(云)

Workspace ONE Access 服务主机(内部部署安装)

443 HTTPS 默认端口;必需

适用于目录同步服务、用户身份验证服务和 Kerberos 身份验证服务

Workspace ONE Access Connector Workspace ONE Access 服务负载平衡器(内部部署安装) 443 HTTPS 适用于目录同步服务、用户身份验证服务和 Kerberos 身份验证服务
浏览器 Workspace ONE Access Connector 443 HTTPS 对于 Kerberos 身份验证服务是必需的
Workspace ONE Access Connector Active Directory 389、636、3268、3269 默认端口;这些端口可配置

适用于目录同步服务。如果使用密码身份验证,那么也适用于用户身份验证服务。

Workspace ONE Access Connector DNS 服务器 53 TCP/UDP 每个连接器实例必须有权通过端口 53 访问 DNS 服务器,并允许通过端口 22 传输入站 SSH 流量。

适用于目录同步服务、用户身份验证服务和 Kerberos 身份验证服务。

Workspace ONE Access Connector 域控制器 88、464、135、445 TCP/UDP 适用于目录同步服务和 Kerberos 身份验证服务
Workspace ONE Access Connector RSA SecurID 系统 5500 默认端口;此端口可配置

如果使用 RSA SecurID,那么适用于用户身份验证服务

Workspace ONE Access Connector syslog 服务器 514 UDP 默认端口;此端口可配置

外部 syslog 服务器的端口(如果已配置)。适用于目录同步服务、用户身份验证服务和 Kerberos 身份验证服务

Workspace ONE Access Cloud IP 地址

有关 Workspace ONE Access Connector 必须访问的 Workspace ONE Access 云服务 IP 地址的列表,请访问 https://kb.vmware.com/s/article/68035

DNS 记录和 IP 地址要求

连接器需要 DNS 条目和静态 IP 地址。在开始安装之前,获取要使用的 DNS 记录和 IP 地址并配置 Windows 服务器的网络设置。

如果您打算安装 Kerberos 身份验证服务,请确保为连接器服务器选择适当的用户友好主机名。配置 Kerberos 身份验证后,最终用户可以看到 Workspace ONE Access Connector 主机名。

配置反向查询是可选的。在执行反向查找时,您必须在 DNS 服务器上定义 PTR 记录,以便连接器使用正确的网络配置。

您可以使用以下示例 DNS 记录列表。将示例中的信息替换为您环境中的信息。该示例列出了前向 DNS 记录和 IP 地址。

表 4. 前向 DNS 记录和 IP 地址示例
域名 资源类型 IP 地址
myconnector.example.com A 10.28.128.3

该示例列出了反向 DNS 记录和 IP 地址。

表 5. 反向 DNS 记录和 IP 地址示例
IP 地址 资源类型 主机名称
10.28.128.3 PTR myconnector.example.com

完成 DNS 配置后,请验证反向 DNS 查询是否正确配置。例如,命令 host IPaddress 必须解析为 DNS 名称查找。

负载平衡器

如果要为 Kerberos 身份验证配置高可用性,则需要使用负载平衡器。

时间同步

要使 Workspace ONE Access 部署正常工作,需要在所有 Workspace ONE Access 服务和连接器实例上配置时间同步。使用 NTP 服务器设置时间同步。