Um den Workspace ONE Access Connector bereitzustellen, der als Komponenten die Dienste „Verzeichnissynchronisierung“, „Benutzerauthentifizierung“, „Kerberos-Authentifizierung“ und „Virtuelle App“ umfasst, müssen Sie sicherstellen, dass der Windows-Server die erforderlichen Voraussetzungen erfüllt. Einige Anforderungen sind je nachdem, welchen Dienst Sie installieren, unterschiedlich.

Kompatibilität zwischen Workspace ONE Access-Dienst und Connector

Sie können den Workspace ONE Access Connector mit dem Workspace ONE Access-Cloud-Dienst oder der virtuellen Appliance des lokalen Workspace ONE Access-Diensts verwenden.

Mit dem Workspace ONE Access-Cloud-Dienst können Sie alle unterstützten Versionen des Konnektors verwenden. Es wird jedoch empfohlen, die neueste Version des Konnektors zu verwenden.

Mit dem lokalen Workspace ONE Access-Dienst können Sie unterstützte Konnektorversionen verwenden, die entweder dieselbe oder eine niedrigere als die Dienstversion aufweisen. Beispielsweise können Sie mit dem Workspace ONE Access 21.08-Dienst Connector 21.08 und frühere Versionen verwenden. Sie können keine Konnektorversion verwenden, die höher als die Dienstversion ist. Beispielsweise können Sie Connector 21.08 nicht mit dem 20.10-Dienst verwenden. Es wird empfohlen, die neueste kompatible Version des Connectors zu verwenden.

Informationen zu unterstützten Versionen finden Sie unter https://www.vmware.com/support/policies/lifecycle.html.

Die erforderliche Serveranzahl

Sie können die Dienste „Verzeichnissynchronisierung“, „Benutzerauthentifizierung“, „Kerberos-Authentifizierung“ und „Virtuelle App“ zusammen auf einem einzelnen Windows-Server installieren oder die Dienste einzeln auf separaten Servern in jeder beliebigen Kombination Ihren Präferenzen entsprechend installieren. Um alle Dienste zusammen zu installieren, benötigen Sie einen leistungsfähigeren Server. Um die Dienste separat zu installieren, benötigen Sie mehrere Server.

Mehrere Server sind erforderlich, wenn Sie für einen oder mehrere der Dienste Hochverfügbarkeit einrichten möchten.

Beachten Sie auch, dass der Kerberos-Authentifizierungsdienst eingehende Konnektivität benötigt, während dies bei den anderen Diensten nicht der Fall ist.

Wichtig: Wenn Sie mehrere Dienste auf einem einzelnen Server installieren, stellen Sie sicher, dass der Server die Arbeitsspeicher-, Computing- und Speicheranforderungen erfüllt, die in den Größenrichtlinien angegeben sind. Insbesondere wenn Sie die Dienste „Verzeichnissynchronisierung“ und die „Virtuelle App“ auf demselben Server installieren, müssen Sie sicherstellen, dass der Server über ausreichend Arbeitsspeicher und vCPU für beide Dienste verfügt. Weitere Informationen finden Sie in den Dimensionierungsrichtlinien.

Hardwareanforderungen

Stellen Sie sicher, dass der Windows-Server die folgenden Hardwareanforderungen erfüllt:

  • Prozessor: Intel(R) Xeon(R) CPU E5-2650 [email protected] GHZ (2 Prozessoren) x64-Bit-Prozessor oder höher
Tabelle 1. Dimensionierungsrichtlinien nur für den Verzeichnissynchronisierungsdienst
Bereitstellungsgröße Hardwareanforderungen für den Server des Diensts „Verzeichnissynchronisierung“ Anzahl der Benutzer und Gruppen
Klein

2 vCPU, 8 GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung für Verzeichnissynchronisierungsdienst: xmx=4g

Bis zu 50.000 Benutzer und 500 Gruppen
Mittel

4 vCPU, 8 GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung für Verzeichnissynchronisierungsdienst: xmx=4g

Bis zu 100.000 Benutzer und 1.000 Gruppen
Groß

8 vCPU, 12 GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung für Verzeichnissynchronisierungsdienst: xmx=8g

Bis zu 200.000 Benutzer und 2.000 Gruppen
Tabelle 2. Dimensionierungsrichtlinien nur für den Benutzerauthentifizierungsdienst oder den Kerberos-Authentifizierungsdienst
Bereitstellungsgröße Hardwareanforderung für den Server des Diensts „Benutzerauthentifizierung“ oder „Kerberos-Authentifizierung“ Benutzerauthentifizierungsdienst Kerberos-Authentifizierungsdienst
Klein/mittel/groß

2 vCPU, 4 GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung für den Benutzerauthentifizierungsdienst oder den Kerberos-Authentifizierungsdienst: xmx=1g

Kennwortauthentifizierungen: 390 – 480/min

Aktiver WSFed-Flow: 720 – 900/min

Kerberos-Authentifizierungen: 420 – 480/min
Hinweis: Die Benutzerauthentifizierungsdienst- und die Kerberos-Authentifizierungsdienst-Knoten sind nicht vertikal skalierbar. Fügen Sie weitere Knoten hinzu, um einen besseren Durchsatz zu erzielen.
Tabelle 3. Dimensionierungsrichtlinien nur für den Dienst „Virtuelle App“
Bereitstellungsgröße Hardwareanforderungen für den Server des Diensts „Virtuelle App“ Anzahl der virtuellen Apps und Berechtigungen
Klein/mittel/groß

2 vCPU, 4 GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung für den Dienst „Virtuelle App“: xmx=1g

Bis zu 500 virtuelle Apps mit 125.000 Berechtigungen
Hinweis: Für Citrix-Integrationen werden maximal 630 Benutzer- oder Gruppenberechtigungen für jede Ressource unterstützt.
Tabelle 4. Dimensionierungsrichtlinien für alle auf einem einzelnen Server installierten Dienste
Bereitstellungsgröße Hardwareanforderungen Anzahl der Benutzer und Gruppen
Klein

4 vCPU, 12 GB RAM, 50 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung:

Verzeichnissynchronisierungsdienst: xmx=4g

Kerberos-Authentifizierungsdienst: xmx=1g

Benutzerauthentifizierungsdienst: xmx=1g

Dienst „Virtuelle App“: xmx = 1g

Bis zu 100.000 Benutzer und 1.000 Gruppen
Mittel

8 vCPU, 16 GB RAM, 50 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung:

Verzeichnissynchronisierungsdienst: xmx=8g

Kerberos-Authentifizierungsdienst: xmx=1g

Benutzerauthentifizierungsdienst: xmx=1g

Dienst „Virtuelle App“: xmx = 2g

Bis zu 200.000 Benutzer und 2.000 Gruppen
Groß

12 vCPU, 32 GB RAM, 80 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung:

Verzeichnissynchronisierungsdienst: xmx=12g

Kerberos-Authentifizierungsdienst: xmx=1g

Benutzerauthentifizierungsdienst: xmx=1g

Dienst „Virtuelle App“: xmx = 2g

Bis zu 300.000 Benutzer und 3.000 Gruppen
Hinweis:
  • Die Arbeitsspeicheranforderungen umfassen das Betriebssystem und die VMware-Konnektor-Komponenten. Wenn Sie planen, weitere Anwendungen oder Dienste auf dem Server auszuführen, passen Sie die Anforderungen entsprechend an.
  • Die für jeden Dienst aufgeführte Java-Arbeitsspeicherzuteilung bezieht sich auf den Java-Heap-Speicher. Standardmäßig werden dem Dienst „Verzeichnissynchronisierung“ 4 GB, dem Dienst „Benutzerauthentifizierung“ 1 GB, dem Dienst „Kerberos-Authentifizierung“ 1 GB und dem Dienst „Virtuelle App“ 1 GB zugeteilt. Informationen zur Zuteilung von Arbeitsspeicher finden Sie unter Erhöhen des Java-Arbeitsspeichers für Workspace ONE Access Connector-Unternehmensdienste.
  • Die für den Verzeichnissynchronisierungsdienst aufgeführten Gruppen befinden sich alle auf einer Ebene. Jede Gruppe enthält 500 Benutzer, und jeder Benutzer ist mit 5 Gruppen verknüpft.
  • Für Bereitstellungen mit großen Gruppen oder geschachtelten Gruppen ist mehr Arbeitsspeicher erforderlich.
  • Für Citrix-Integrationen werden maximal 630 Benutzer- oder Gruppenberechtigungen für jede Ressource unterstützt.

Softwareanforderungen

Stellen Sie sicher, dass der Windows-Server die folgenden Softwareanforderungen erfüllt:

Anforderung Hinweise

Windows Server 2019 oder

Windows Server 2016 oder

Windows Server 2012 R2

PowerShell Windows-Server enthalten standardmäßig PowerShell.
.NET Framework 4.8 oder höher Windows-Server enthalten standardmäßig .NET Framework. Workspace ONE Access Connector benötigt .NET Framework 4.8 oder höher. Wenn .NET Framework weder installiert ist noch der erforderlichen Version entspricht, werden Sie vom Installationsprogramm des Connectors zum Installieren der korrekten Version während der Installation aufgefordert.
Citrix Studio (Citrix PowerShell SDK) Nur erforderlich, wenn Sie den Dienst „Virtuelle App“ installieren und planen, virtuelle Citrix-Apps und -Desktops zu integrieren. Citrix Studio enthält das PowerShell SDK, das für die Citrix-Integration mit Workspace ONE Access erforderlich ist. Die Citrix Studio-Version muss mit Ihrer Citrix-Bereitstellungsversion kompatibel sein. Sie können Citrix Studio vor oder nach der Installation des Workspace ONE Access Connector installieren. Informationen zum Installieren von Citrix Studio finden Sie in der Citrix-Dokumentation.

Netzwerkanforderungen

In der folgenden Tabelle sind die Portanforderungen für den Konnektor aufgelistet. Die aktuellsten Portinformationen finden Sie unter https://ports.vmware.com/home/Workspace-ONE-Access.

Für die Konfiguration der aufgelisteten Ports erfolgt sämtlicher Datenverkehr unidirektional (ausgehend) von der Quellkomponente auf die Zielkomponente. Ein ausgehender Proxy-Server oder eine andere Verbindungsmanagement-Software oder -Hardware darf die vom Workspace ONE Access Connector ausgehende Verbindung nicht beenden oder ablehnen. Die ausgehende Verbindung muss jederzeit geöffnet bleiben.

Quelle Ziel Port Protokoll Hinweise
Workspace ONE Access Connector Workspace ONE Access-Dienst (Cloud)

Workspace ONE Access-Diensthost (lokale Installationen)

443 HTTPS Standardport, erforderlich

Gilt für die Dienste „Verzeichnissynchronisierung“, „Benutzerauthentifizierung“, „Kerberos-Authentifizierung“ und „Virtuelle App“

Workspace ONE Access Connector Lastausgleichsdienst für den Workspace ONE Access-Dienst (lokale Installationen) 443 HTTPS Gilt für die Dienste „Verzeichnissynchronisierung“, „Benutzerauthentifizierung“, „Kerberos-Authentifizierung“ und „Virtuelle App“
Browser Workspace ONE Access Connector 443 HTTPS Erforderlich für den Kerberos-Authentifizierungsdienst
Workspace ONE Access Connector Active Directory 389, 636, 3268, 3269 Standardports, diese Ports sind konfigurierbar

Gilt für den Verzeichnissynchronisierungsdienst. Gilt auch für den Benutzerauthentifizierungsdienst, wenn die Kennwortauthentifizierung verwendet wird.

Workspace ONE Access Connector DNS-Server 53 TCP/UDP Jede Konnektor-Instanz muss über Zugriff auf den DNS-Server über Port 53 verfügen und eingehenden SSH-Datenverkehr über Port 22 zulassen.

Gilt für die Dienste „Verzeichnissynchronisierung“, „Benutzerauthentifizierung“, „Kerberos-Authentifizierung“ und „Virtuelle App“.

Workspace ONE Access Connector Domänencontroller 88, 464, 135, 445 TCP/UDP Gilt für den Verzeichnissynchronisierungsdienst und den Kerberos-Authentifizierungsdienst.
Workspace ONE Access Connector RSA SecurID-Server 5555 Standardport, dieser Port ist konfigurierbar

Gilt für den Benutzerauthentifizierungsdienst, wenn RSA SecurID verwendet wird.

Workspace ONE Access Connector Syslog-Server 514 UDP Standardport, dieser Port ist konfigurierbar

Port für externen Syslog-Server, sofern konfiguriert. Gilt für die Dienste „Verzeichnissynchronisierung“, „Benutzerauthentifizierung“, „Kerberos-Authentifizierung“ und „Virtuelle App“

Workspace ONE Access Connector Horizon-Verbindungsserver 443 Für VMware Horizon-Integrationen

Gilt nur für den Dienst „Virtuelle App“

Workspace ONE Access Connector Citrix StoreFront-Server Der für den Citrix StoreFront-Server konfigurierte Port Für die Integration in Citrix-Bereitstellungen

Gilt nur für den Dienst „Virtuelle App“

Workspace ONE Access Connector Citrix XenApp- oder XenDesktop-Server 443 Für die Integration in Citrix-Bereitstellungen

Gilt nur für den Dienst „Virtuelle App“

Browser FQDNs für Client-Zugriff, die für Sammlungen virtueller Horizon- und Citrix-Apps konfiguriert sind Die für die FQDNs für Client-Zugriff konfigurierten Ports Gilt nur für den Dienst „Virtuelle App“

Workspace ONE Access-Coud-IP-Adressen

Unter https://kb.vmware.com/s/article/68035 finden Sie eine Liste der IP-Adressen des Workspace ONE Access-Cloud-Diensts, auf die der Workspace ONE Access Connector Zugriff haben muss.

Anforderungen für DNS-Datensätze und IP-Adressen

Für den Konnektor müssen ein DNS-Eintrag und eine statische IP-Adresse verfügbar sein. Fordern Sie vor Beginn der Installation den DNS-Datensatz und die IP-Adresse, die verwendet werden sollen, und konfigurieren Sie die Netzwerkeinstellungen für den Windows-Server.

Achten Sie darauf, einen geeigneten, benutzerfreundlichen Hostnamen für den Konnektor-Server auszuwählen, wenn Sie den Kerberos-Authentifizierungsdienst installieren möchten. Der Hostname des Workspace ONE Access Connector ist für Endbenutzer sichtbar, wenn die Kerberos-Authentifizierung konfiguriert ist.

Das Konfigurieren von Reverse-Lookup ist optional. Wenn Sie Reverse-Lookup implementieren, müssen Sie einen PTR-Datensatz auf dem DNS-Server definieren, damit der Konnektor die richtige Netzwerkkonfiguration verwendet.

Sie können die folgende Beispielliste von DNS-Datensätzen verwenden. Ersetzen Sie die Beispielinformationen durch entsprechende Informationen aus Ihrer Umgebung. Dieses Beispiel verdeutlicht Forward-DNS-Datensätze und IP-Adressen.

Tabelle 5. Beispiel für Forward-DNS-Datensätze und IP-Adressen
Domänenname Ressourcentyp IP-Adresse
myconnector.example.com A 10.28.128.3

Dieses Beispiel verdeutlicht Reverse-DNS-Datensätze und IP-Adressen.

Tabelle 6. Beispiel für Reverse-DNS-Datensätze und IP-Adressen
IP-Adresse Ressourcentyp Hostname
10.28.128.3 PTR myconnector.example.com

Nachdem Sie die DNS-Konfiguration abgeschlossen haben, vergewissern Sie sich, dass das Reverse-DNS-Lookup korrekt konfiguriert ist. Der Befehl host IPaddress muss z.˚B. in das DNS-Namen-Lookup aufgelöst werden.

Lastausgleichsdienst

Ein Lastausgleichsdienst ist erforderlich, wenn Sie die Hochverfügbarkeit für die Kerberos-Authentifizierung konfigurieren möchten.

Uhrzeitsynchronisierung

Die Konfiguration der Uhrzeitsynchronisierung für alle Workspace ONE Access-Dienst- und Connector-Instanzen ist für die ordnungsgemäße Funktion einer Workspace ONE Access-Bereitstellung erforderlich. Richten Sie die Uhrzeitsynchronisierung mithilfe eines NTP-Servers ein.

Proxy-Anforderungen

Der Konnektor greift auf Webdienste im Internet zu. Wenn Ihre Netzwerkkonfiguration den Internetzugriff über einen HTTP-Proxy bereitstellt, müssen Sie einen Proxy-Server konfigurieren. Sie geben die Proxy-Serverinformationen während oder nach der Installation in das Installationsprogramm des Workspace ONE Access Connector ein.

Workspace ONE Access Connector 21.08 unterstützt die folgenden Proxytypen:

  • Nicht authentifizierte HTTP-Proxys
  • Nicht authentifizierte HTTPS (SSL)-Proxys
  • Authentifizierte HTTPS (SSL)-Proxys
Hinweis: Aktivieren Sie den Proxy, damit dieser nur den Internetdatenverkehr verarbeitet. Damit der Proxy korrekt eingerichtet wird, legen Sie den Parameter für internen Datenverkehr innerhalb der Domäne auf no-proxy fest.