Um den Workspace ONE Access Connector bereitzustellen, der als Komponenten den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst umfasst, müssen Sie sicherstellen, dass der Windows-Server die erforderlichen Voraussetzungen erfüllt. Einige Anforderungen sind je nachdem, welchen Dienst Sie installieren, unterschiedlich.

Kompatibilität zwischen Workspace ONE Access-Dienst und Connector

Sie können den Workspace ONE Access Connector mit dem Workspace ONE Access-Cloud-Dienst oder der virtuellen Appliance des lokalen Workspace ONE Access-Diensts verwenden.

Mit dem Workspace ONE Access-Cloud-Dienst können Sie alle unterstützten Versionen des Konnektors verwenden. Es wird jedoch empfohlen, die neueste Version des Konnektors zu verwenden.

Mit dem lokalen Workspace ONE Access-Dienst können Sie unterstützte Konnektorversionen verwenden, die entweder dieselbe oder eine niedrigere als die Dienstversion aufweisen. Beispielsweise können Sie mit dem Workspace ONE Access 20.10-Dienst Connector 20.10 und frühere Versionen verwenden. Sie können keine Konnektorversion verwenden, die höher als die Dienstversion ist. Beispielsweise können Sie Connector 20.10 nicht mit dem 20.01-Dienst verwenden. Es wird empfohlen, die neueste kompatible Version des Connectors zu verwenden.

Informationen zu unterstützten Versionen finden Sie unter https://www.vmware.com/support/policies/lifecycle.html.

Die erforderliche Serveranzahl

Sie können den Verzeichnissynchronisierungs-, den Benutzerauthentifizierungs- und den Kerberos-Authentifizierungsdienst zusammen auf einem einzelnen Windows-Server installieren oder die Dienste einzeln auf separaten Servern in jeder beliebigen Kombination Ihren Präferenzen entsprechend installieren. Um alle Dienste zusammen zu installieren, benötigen Sie einen leistungsfähigeren Server. Um die Dienste separat zu installieren, benötigen Sie mehrere Server.

Mehrere Server sind erforderlich, wenn Sie für einen oder mehrere der Dienste Hochverfügbarkeit einrichten möchten.

Beachten Sie auch, dass der Kerberos-Authentifizierungsdienst eingehende Konnektivität benötigt, während dies bei den anderen Diensten nicht der Fall ist.

Hardwareanforderungen

Stellen Sie sicher, dass der Windows-Server die folgenden Hardwareanforderungen erfüllt:

  • Betriebssystem: Windows Server 2012 R2 Standard (64 Bit oder höher)
  • Prozessor: Intel(R) Xeon(R) CPU E5-2650 0@2.00 GHZ (2 Prozessoren) x64-Bit-Prozessor oder höher
Tabelle 1. Dimensionierungsrichtlinien nur für den Verzeichnissynchronisierungsdienst
Bereitstellungsgröße Hardwareanforderungen Anzahl der Benutzer und Gruppen
Klein 2 vCPU, 8 GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung für Verzeichnissynchronisierungsdienst: xmx=4g

Bis zu 50.000 Benutzer und 500 Gruppen
Mittel 4 vCPU, 8 GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung für Verzeichnissynchronisierungsdienst: xmx=4g

Bis zu 100.000 Benutzer und 1.000 Gruppen
Groß 8 vCPU, 12 GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung für Verzeichnissynchronisierungsdienst: xmx=8g

Bis zu 200.000 Benutzer und 2.000 Gruppen
Tabelle 2. Dimensionierungsrichtlinien nur für den Benutzerauthentifizierungsdienst oder den Kerberos-Authentifizierungsdienst
Bereitstellungsgröße Hardwareanforderung für den Server für den Benutzerauthentifizierungs- oder den Kerberos-Authentifizierungsdienst Benutzerauthentifizierungsdienst Kerberos-Authentifizierungsdienst
Klein/mittel/groß 2 vCPU, 4 GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung für den Benutzerauthentifizierungsdienst oder den Kerberos-Authentifizierungsdienst: xmx=1g

Kennwortauthentifizierungen: 390 – 480/min

Aktiver WSFed-Flow: 720 – 900/min

Kerberos-Authentifizierungen: 420 – 480/min
Hinweis: Die Benutzerauthentifizierungsdienst- und die Kerberos-Authentifizierungsdienst-Knoten sind nicht vertikal skalierbar. Fügen Sie weitere Knoten hinzu, um einen besseren Durchsatz zu erzielen.
Tabelle 3. Dimensionierungsrichtlinien für alle auf einem einzelnen Server installierten Dienste
Bereitstellungsgröße Hardwareanforderungen Verzeichnissynchronisierung
Klein 2 vCPU, 8GB RAM, 40GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung:

Verzeichnissynchronisierungsdienst: xmx=4g

Kerberos-Authentifizierungsdienst: xmx=1g

Benutzerauthentifizierungsdienst: xmx=1g

Bis zu 50.000 Benutzer und 500 Gruppen
Mittel 4 vCPU, 8 GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung:

Verzeichnissynchronisierungsdienst: xmx=4g

Kerberos-Authentifizierungsdienst: xmx=1g

Benutzerauthentifizierungsdienst: xmx=1g

Bis zu 100.000 Benutzer und 1.000 Gruppen
Groß 8 vCPU, 16GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung:

Verzeichnissynchronisierungsdienst: xmx=8g

Kerberos-Authentifizierungsdienst: xmx=1g

Benutzerauthentifizierungsdienst: xmx=1g

Bis zu 200.000 Benutzer und 2.000 Gruppen
Hinweis:
  • Die Arbeitsspeicheranforderungen umfassen das Betriebssystem und die VMware-Konnektor-Komponenten. Wenn Sie planen, weitere Anwendungen oder Dienste auf dem Server auszuführen, passen Sie die Anforderungen entsprechend an.
  • Die für jeden Dienst aufgeführte Java-Arbeitsspeicherzuteilung bezieht sich auf den Java-Heap-Speicher. Standardmäßig werden dem Verzeichnissynchronisierungsdienst 4 GB, dem Benutzerauthentifizierungsdienst 1 GB und dem Kerberos-Authentifizierungsdienst 1 GB zugeteilt. Informationen zur Zuteilung von Arbeitsspeicher finden Sie unter Erhöhen des Java-Arbeitsspeichers für Unternehmensdienste.
  • Die für den Verzeichnissynchronisierungsdienst aufgeführten Gruppen befinden sich alle auf einer Ebene. Jede Gruppe enthält 500 Benutzer, und jeder Benutzer ist mit 5 Gruppen verknüpft.
  • Für Bereitstellungen mit großen Gruppen oder geschachtelten Gruppen ist mehr Arbeitsspeicher erforderlich.

Softwareanforderungen

Stellen Sie sicher, dass der Windows-Server die folgenden Softwareanforderungen erfüllt:

Anforderung Hinweise

Windows Server 2019 oder

Windows Server 2016 oder

Windows Server 2012 R2

PowerShell Windows-Server enthalten standardmäßig PowerShell.
.NET Framework 4.6.2 oder höher Windows-Server enthalten standardmäßig .NET Framework. Workspace ONE Access Connector benötigt .NET Framework 4.6.2 oder höher.

Netzwerkanforderungen

Für die Konfiguration der unten aufgelisteten Ports erfolgt sämtlicher Datenverkehr unidirektional (ausgehend) von der Quellkomponente auf die Zielkomponente. Ein ausgehender Proxy-Server oder eine andere Verbindungsmanagement-Software oder -Hardware darf die vom Workspace ONE Access Connector ausgehende Verbindung nicht beenden oder ablehnen. Die ausgehende Verbindung muss jederzeit geöffnet bleiben.

Quelle Ziel Port Protokoll Hinweise
Workspace ONE Access Connector Workspace ONE Access-Dienst (Cloud)

Workspace ONE Access-Diensthost (lokale Installationen)

443 HTTPS Standardport, erforderlich

Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst.

Workspace ONE Access Connector Lastausgleichsdienst für den Workspace ONE Access-Dienst (lokale Installationen) 443 HTTPS Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst.
Browser Workspace ONE Access Connector 443 HTTPS Erforderlich für den Kerberos-Authentifizierungsdienst
Workspace ONE Access Connector Active Directory 389, 636, 3268, 3269 Standardports, diese Ports sind konfigurierbar

Gilt für den Verzeichnissynchronisierungsdienst. Gilt auch für den Benutzerauthentifizierungsdienst, wenn die Kennwortauthentifizierung verwendet wird.

Workspace ONE Access Connector DNS-Server 53 TCP/UDP Jede Konnektor-Instanz muss über Zugriff auf den DNS-Server über Port 53 verfügen und eingehenden SSH-Datenverkehr über Port 22 zulassen.

Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst.

Workspace ONE Access Connector Domänencontroller 88, 464, 135, 445 TCP/UDP Gilt für den Verzeichnissynchronisierungsdienst und den Kerberos-Authentifizierungsdienst.
Workspace ONE Access Connector RSA SecurID-System 5500 Standardport, dieser Port ist konfigurierbar

Gilt für den Benutzerauthentifizierungsdienst, wenn RSA SecurID verwendet wird.

Workspace ONE Access Connector Syslog-Server 514 UDP Standardport, dieser Port ist konfigurierbar

Port für externen Syslog-Server, sofern konfiguriert. Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst.

Cloud-IP-Adressen für Workspace ONE Access

Unter https://kb.vmware.com/s/article/68035 finden Sie eine Liste der IP-Adressen des Workspace ONE Access-Cloud-Diensts, auf die der Workspace ONE Access Connector Zugriff haben muss.

Anforderungen für DNS-Datensätze und IP-Adressen

Für den Konnektor müssen ein DNS-Eintrag und eine statische IP-Adresse verfügbar sein. Fordern Sie vor Beginn der Installation den DNS-Datensatz und die IP-Adresse, die verwendet werden sollen, und konfigurieren Sie die Netzwerkeinstellungen für den Windows-Server.

Achten Sie darauf, einen geeigneten, benutzerfreundlichen Hostnamen für den Konnektor-Server auszuwählen, wenn Sie den Kerberos-Authentifizierungsdienst installieren möchten. Der Hostname des Workspace ONE Access Connector ist für Endbenutzer sichtbar, wenn die Kerberos-Authentifizierung konfiguriert ist.

Das Konfigurieren von Reverse-Lookup ist optional. Wenn Sie Reverse-Lookup implementieren, müssen Sie einen PTR-Datensatz auf dem DNS-Server definieren, damit der Konnektor die richtige Netzwerkkonfiguration verwendet.

Sie können die folgende Beispielliste von DNS-Datensätzen verwenden. Ersetzen Sie die Beispielinformationen durch entsprechende Informationen aus Ihrer Umgebung. Dieses Beispiel verdeutlicht Forward-DNS-Datensätze und IP-Adressen.

Tabelle 4. Beispiel für Forward-DNS-Datensätze und IP-Adressen
Domänenname Ressourcentyp IP-Adresse
myconnector.example.com A 10.28.128.3

Dieses Beispiel verdeutlicht Reverse-DNS-Datensätze und IP-Adressen.

Tabelle 5. Beispiel für Reverse-DNS-Datensätze und IP-Adressen
IP-Adresse Ressourcentyp Hostname
10.28.128.3 PTR myconnector.example.com

Nachdem Sie die DNS-Konfiguration abgeschlossen haben, vergewissern Sie sich, dass das Reverse-DNS-Lookup korrekt konfiguriert ist. Der Befehl host IPaddress muss z.˚B. in das DNS-Namen-Lookup aufgelöst werden.

Lastausgleichsdienst

Ein Lastausgleichsdienst ist erforderlich, wenn Sie die Hochverfügbarkeit für die Kerberos-Authentifizierung konfigurieren möchten.

Uhrzeitsynchronisierung

Die Konfiguration der Uhrzeitsynchronisierung für alle Workspace ONE Access-Dienst- und Connector-Instanzen ist für die ordnungsgemäße Funktion einer Workspace ONE Access-Bereitstellung erforderlich. Richten Sie die Uhrzeitsynchronisierung mithilfe eines NTP-Servers ein.

Proxy-Anforderungen

Der Konnektor greift auf Webdienste im Internet zu. Wenn Ihre Netzwerkkonfiguration den Internetzugriff über einen HTTP-Proxy bereitstellt, müssen Sie einen Proxy-Server konfigurieren. Sie geben die Proxy-Serverinformationen während oder nach der Installation in das Installationsprogramm des Workspace ONE Access Connector ein.

Hinweis: Aktivieren Sie den Proxy, damit dieser nur den Internetdatenverkehr verarbeitet. Damit der Proxy korrekt eingerichtet wird, legen Sie den Parameter für internen Datenverkehr innerhalb der Domäne auf no-proxy fest.