Um den Workspace ONE Access Connector bereitzustellen, der als Komponenten den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst umfasst, müssen Sie sicherstellen, dass der Windows-Server die erforderlichen Voraussetzungen erfüllt. Einige Anforderungen sind je nachdem, welchen Dienst Sie installieren, unterschiedlich.
Kompatibilität zwischen Workspace ONE Access-Dienst und Connector
Sie können den Workspace ONE Access Connector mit dem Workspace ONE Access-Cloud-Dienst oder der virtuellen Appliance des lokalen Workspace ONE Access-Diensts verwenden.
Mit dem Workspace ONE Access-Cloud-Dienst können Sie alle unterstützten Versionen des Konnektors verwenden. Es wird jedoch empfohlen, die neueste Version des Konnektors zu verwenden.
Mit dem lokalen Workspace ONE Access-Dienst können Sie unterstützte Konnektorversionen verwenden, die entweder dieselbe oder eine niedrigere als die Dienstversion aufweisen. Beispielsweise können Sie mit dem Workspace ONE Access 20.10-Dienst Connector 20.10 und frühere Versionen verwenden. Sie können keine Konnektorversion verwenden, die höher als die Dienstversion ist. Beispielsweise können Sie Connector 20.10 nicht mit dem 20.01-Dienst verwenden. Es wird empfohlen, die neueste kompatible Version des Connectors zu verwenden.
Informationen zu unterstützten Versionen finden Sie unter https://www.vmware.com/support/policies/lifecycle.html.
Die erforderliche Serveranzahl
Sie können den Verzeichnissynchronisierungs-, den Benutzerauthentifizierungs- und den Kerberos-Authentifizierungsdienst zusammen auf einem einzelnen Windows-Server installieren oder die Dienste einzeln auf separaten Servern in jeder beliebigen Kombination Ihren Präferenzen entsprechend installieren. Um alle Dienste zusammen zu installieren, benötigen Sie einen leistungsfähigeren Server. Um die Dienste separat zu installieren, benötigen Sie mehrere Server.
Mehrere Server sind erforderlich, wenn Sie für einen oder mehrere der Dienste Hochverfügbarkeit einrichten möchten.
Beachten Sie auch, dass der Kerberos-Authentifizierungsdienst eingehende Konnektivität benötigt, während dies bei den anderen Diensten nicht der Fall ist.
Hardwareanforderungen
Stellen Sie sicher, dass der Windows-Server die folgenden Hardwareanforderungen erfüllt:
- Prozessor: Intel(R) Xeon(R) CPU E5-2650 [email protected] GHZ (2 Prozessoren) x64-Bit-Prozessor oder höher
| Bereitstellungsgröße | Hardwareanforderungen | Anzahl der Benutzer und Gruppen |
|---|---|---|
| Klein | 2 vCPU, 8 GB RAM, 40 GB Festplattenspeicher Java-Arbeitsspeicherzuteilung für Verzeichnissynchronisierungsdienst: xmx=4g |
Bis zu 50.000 Benutzer und 500 Gruppen |
| Mittel | 4 vCPU, 8 GB RAM, 40 GB Festplattenspeicher Java-Arbeitsspeicherzuteilung für Verzeichnissynchronisierungsdienst: xmx=4g |
Bis zu 100.000 Benutzer und 1.000 Gruppen |
| Groß | 8 vCPU, 12 GB RAM, 40 GB Festplattenspeicher Java-Arbeitsspeicherzuteilung für Verzeichnissynchronisierungsdienst: xmx=8g |
Bis zu 200.000 Benutzer und 2.000 Gruppen |
| Bereitstellungsgröße | Hardwareanforderung für den Server für den Benutzerauthentifizierungs- oder den Kerberos-Authentifizierungsdienst | Benutzerauthentifizierungsdienst | Kerberos-Authentifizierungsdienst |
|---|---|---|---|
| Klein/mittel/groß | 2 vCPU, 4 GB RAM, 40 GB Festplattenspeicher Java-Arbeitsspeicherzuteilung für den Benutzerauthentifizierungsdienst oder den Kerberos-Authentifizierungsdienst: xmx=1g |
Kennwortauthentifizierungen: 390 – 480/min Aktiver WSFed-Flow: 720 – 900/min |
Kerberos-Authentifizierungen: 420 – 480/min |
| Bereitstellungsgröße | Hardwareanforderungen | Verzeichnissynchronisierung |
|---|---|---|
| Klein | 2 vCPU, 8GB RAM, 40GB Festplattenspeicher Java-Arbeitsspeicherzuteilung: Verzeichnissynchronisierungsdienst: xmx=4g Kerberos-Authentifizierungsdienst: xmx=1g Benutzerauthentifizierungsdienst: xmx=1g |
Bis zu 50.000 Benutzer und 500 Gruppen |
| Mittel | 4 vCPU, 8 GB RAM, 40 GB Festplattenspeicher Java-Arbeitsspeicherzuteilung: Verzeichnissynchronisierungsdienst: xmx=4g Kerberos-Authentifizierungsdienst: xmx=1g Benutzerauthentifizierungsdienst: xmx=1g |
Bis zu 100.000 Benutzer und 1.000 Gruppen |
| Groß | 8 vCPU, 16GB RAM, 40 GB Festplattenspeicher Java-Arbeitsspeicherzuteilung: Verzeichnissynchronisierungsdienst: xmx=8g Kerberos-Authentifizierungsdienst: xmx=1g Benutzerauthentifizierungsdienst: xmx=1g |
Bis zu 200.000 Benutzer und 2.000 Gruppen |
- Die Arbeitsspeicheranforderungen umfassen das Betriebssystem und die VMware-Konnektor-Komponenten. Wenn Sie planen, weitere Anwendungen oder Dienste auf dem Server auszuführen, passen Sie die Anforderungen entsprechend an.
- Die für jeden Dienst aufgeführte Java-Arbeitsspeicherzuteilung bezieht sich auf den Java-Heap-Speicher. Standardmäßig werden dem Verzeichnissynchronisierungsdienst 4 GB, dem Benutzerauthentifizierungsdienst 1 GB und dem Kerberos-Authentifizierungsdienst 1 GB zugeteilt. Informationen zur Zuteilung von Arbeitsspeicher finden Sie unter Erhöhen des Java-Arbeitsspeichers für Unternehmensdienste.
- Die für den Verzeichnissynchronisierungsdienst aufgeführten Gruppen befinden sich alle auf einer Ebene. Jede Gruppe enthält 500 Benutzer, und jeder Benutzer ist mit 5 Gruppen verknüpft.
- Für Bereitstellungen mit großen Gruppen oder geschachtelten Gruppen ist mehr Arbeitsspeicher erforderlich.
Softwareanforderungen
Stellen Sie sicher, dass der Windows-Server die folgenden Softwareanforderungen erfüllt:
| Anforderung | Hinweise |
|---|---|
| Windows Server 2019 oder Windows Server 2016 oder Windows Server 2012 R2 |
|
| PowerShell | Windows-Server enthalten standardmäßig PowerShell. |
| .NET Framework 4.6.2 oder höher | Windows-Server enthalten standardmäßig .NET Framework. Workspace ONE Access Connector benötigt .NET Framework 4.6.2 oder höher. |
Netzwerkanforderungen
In der folgenden Tabelle sind die Portanforderungen für den Konnektor aufgelistet. Die aktuellsten Portinformationen finden Sie unter https://ports.vmware.com/home/Workspace-ONE-Access.
Für die Konfiguration der unten aufgelisteten Ports erfolgt sämtlicher Datenverkehr unidirektional (ausgehend) von der Quellkomponente auf die Zielkomponente. Ein ausgehender Proxy-Server oder eine andere Verbindungsmanagement-Software oder -Hardware darf die vom Workspace ONE Access Connector ausgehende Verbindung nicht beenden oder ablehnen. Die ausgehende Verbindung muss jederzeit geöffnet bleiben.
| Quelle | Ziel | Port | Protokoll | Hinweise |
|---|---|---|---|---|
| Workspace ONE Access Connector | Workspace ONE Access-Dienst (Cloud) Workspace ONE Access-Diensthost (lokale Installationen) |
443 | HTTPS | Standardport, erforderlich Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst. |
| Workspace ONE Access Connector | Lastausgleichsdienst für den Workspace ONE Access-Dienst (lokale Installationen) | 443 | HTTPS | Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst. |
| Browser | Workspace ONE Access Connector | 443 | HTTPS | Erforderlich für den Kerberos-Authentifizierungsdienst |
| Workspace ONE Access Connector | Active Directory | 389, 636, 3268, 3269 | Standardports, diese Ports sind konfigurierbar Gilt für den Verzeichnissynchronisierungsdienst. Gilt auch für den Benutzerauthentifizierungsdienst, wenn die Kennwortauthentifizierung verwendet wird. |
|
| Workspace ONE Access Connector | DNS-Server | 53 | TCP/UDP | Jede Konnektor-Instanz muss über Zugriff auf den DNS-Server über Port 53 verfügen und eingehenden SSH-Datenverkehr über Port 22 zulassen. Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst. |
| Workspace ONE Access Connector | Domänencontroller | 88, 464, 135, 445 | TCP/UDP | Gilt für den Verzeichnissynchronisierungsdienst und den Kerberos-Authentifizierungsdienst. |
| Workspace ONE Access Connector | RSA SecurID-System | 5500 | Standardport, dieser Port ist konfigurierbar Gilt für den Benutzerauthentifizierungsdienst, wenn RSA SecurID verwendet wird. |
|
| Workspace ONE Access Connector | Syslog-Server | 514 | UDP | Standardport, dieser Port ist konfigurierbar Port für externen Syslog-Server, sofern konfiguriert. Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst. |
Cloud-IP-Adressen für Workspace ONE Access
Unter https://kb.vmware.com/s/article/68035 finden Sie eine Liste der IP-Adressen des Workspace ONE Access-Cloud-Diensts, auf die der Workspace ONE Access Connector Zugriff haben muss.
Anforderungen für DNS-Datensätze und IP-Adressen
Für den Konnektor müssen ein DNS-Eintrag und eine statische IP-Adresse verfügbar sein. Fordern Sie vor Beginn der Installation den DNS-Datensatz und die IP-Adresse, die verwendet werden sollen, und konfigurieren Sie die Netzwerkeinstellungen für den Windows-Server.
Achten Sie darauf, einen geeigneten, benutzerfreundlichen Hostnamen für den Konnektor-Server auszuwählen, wenn Sie den Kerberos-Authentifizierungsdienst installieren möchten. Der Hostname des Workspace ONE Access Connector ist für Endbenutzer sichtbar, wenn die Kerberos-Authentifizierung konfiguriert ist.
Das Konfigurieren von Reverse-Lookup ist optional. Wenn Sie Reverse-Lookup implementieren, müssen Sie einen PTR-Datensatz auf dem DNS-Server definieren, damit der Konnektor die richtige Netzwerkkonfiguration verwendet.
Sie können die folgende Beispielliste von DNS-Datensätzen verwenden. Ersetzen Sie die Beispielinformationen durch entsprechende Informationen aus Ihrer Umgebung. Dieses Beispiel verdeutlicht Forward-DNS-Datensätze und IP-Adressen.
| Domänenname | Ressourcentyp | IP-Adresse |
|---|---|---|
| myconnector.example.com | A | 10.28.128.3 |
Dieses Beispiel verdeutlicht Reverse-DNS-Datensätze und IP-Adressen.
| IP-Adresse | Ressourcentyp | Hostname |
|---|---|---|
| 10.28.128.3 | PTR | myconnector.example.com |
Nachdem Sie die DNS-Konfiguration abgeschlossen haben, vergewissern Sie sich, dass das Reverse-DNS-Lookup korrekt konfiguriert ist. Der Befehl host IPaddress muss z.˚B. in das DNS-Namen-Lookup aufgelöst werden.
Lastausgleichsdienst
Ein Lastausgleichsdienst ist erforderlich, wenn Sie die Hochverfügbarkeit für die Kerberos-Authentifizierung konfigurieren möchten.
Uhrzeitsynchronisierung
Die Konfiguration der Uhrzeitsynchronisierung für alle Workspace ONE Access-Dienst- und Connector-Instanzen ist für die ordnungsgemäße Funktion einer Workspace ONE Access-Bereitstellung erforderlich. Richten Sie die Uhrzeitsynchronisierung mithilfe eines NTP-Servers ein.
Proxy-Anforderungen
Der Konnektor greift auf Webdienste im Internet zu. Wenn Ihre Netzwerkkonfiguration den Internetzugriff über einen HTTP-Proxy bereitstellt, müssen Sie einen Proxy-Server konfigurieren. Sie geben die Proxy-Serverinformationen während oder nach der Installation in das Installationsprogramm des Workspace ONE Access Connector ein.
