Um den Workspace ONE Access Connector bereitzustellen, der als Komponenten den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst umfasst, müssen Sie sicherstellen, dass der Windows-Server die erforderlichen Voraussetzungen erfüllt. Einige Anforderungen sind je nachdem, welchen Dienst Sie installieren, unterschiedlich.

Anzahl der Server

Sie können den Verzeichnissynchronisierungs-, den Benutzerauthentifizierungs- und den Kerberos-Authentifizierungsdienst zusammen auf einem einzelnen Windows-Server installieren oder die Dienste einzeln auf separaten Servern in jeder beliebigen Kombination Ihren Präferenzen entsprechend installieren. Um alle Dienste zusammen zu installieren, benötigen Sie einen leistungsfähigeren Server. Um die Dienste separat zu installieren, benötigen Sie mehrere Server.

Mehrere Server sind erforderlich, wenn Sie für einen oder mehrere der Dienste Hochverfügbarkeit einrichten möchten.

Beachten Sie auch, dass der Kerberos-Authentifizierungsdienst eingehende Konnektivität benötigt, während dies bei den anderen Diensten nicht der Fall ist.

Hardwareanforderungen

Stellen Sie sicher, dass der Windows-Server die folgenden Hardwareanforderungen erfüllt:

  • Betriebssystem: Windows Server 2012 R2 Standard (64 Bit oder höher)
  • Prozessor: Intel(R) Xeon(R) CPU E5-2650 0@2.00 GHZ (2 Prozessoren) x64-Bit-Prozessor oder höher
Tabelle 1. Dimensionierungsrichtlinien nur für den Verzeichnissynchronisierungsdienst
Bereitstellungsgröße Hardwareanforderungen Anzahl der Benutzer und Gruppen
Klein 2 vCPU, 8 GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung für Verzeichnissynchronisierungsdienst: xmx=4g

Bis zu 50.000 Benutzer und 500 Gruppen
Mittel 4 vCPU, 8 GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung für Verzeichnissynchronisierungsdienst: xmx=4g

Bis zu 100.000 Benutzer und 1.000 Gruppen
Groß 8 vCPU, 12 GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung für Verzeichnissynchronisierungsdienst: xmx=8g

Bis zu 200.000 Benutzer und 2.000 Gruppen
Tabelle 2. Dimensionierungsrichtlinien nur für den Benutzerauthentifizierungsdienst oder den Kerberos-Authentifizierungsdienst
Bereitstellungsgröße Hardwareanforderung für den Server für den Benutzerauthentifizierungs- oder den Kerberos-Authentifizierungsdienst Benutzerauthentifizierungsdienst Kerberos-Authentifizierungsdienst
Klein/mittel/groß 2 vCPU, 4 GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung für den Benutzerauthentifizierungsdienst oder den Kerberos-Authentifizierungsdienst: xmx=1g

Kennwortauthentifizierungen: 390 – 480/min

Aktiver WSFed-Flow: 720 – 900/min

Kerberos-Authentifizierungen: 420 – 480/min
Hinweis: Die Benutzerauthentifizierungsdienst- und die Kerberos-Authentifizierungsdienst-Knoten sind nicht vertikal skalierbar. Fügen Sie weitere Knoten hinzu, um einen besseren Durchsatz zu erzielen.
Tabelle 3. Dimensionierungsrichtlinien für alle auf einem einzelnen Server installierten Dienste
Bereitstellungsgröße Hardwareanforderungen Verzeichnissynchronisierung
Klein 2 vCPU, 8GB RAM, 40GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung:

Verzeichnissynchronisierungsdienst: xmx=4g

Kerberos-Authentifizierungsdienst: xmx=1g

Benutzerauthentifizierungsdienst: xmx=1g

Bis zu 50.000 Benutzer und 500 Gruppen
Mittel 4 vCPU, 8 GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung:

Verzeichnissynchronisierungsdienst: xmx=4g

Kerberos-Authentifizierungsdienst: xmx=1g

Benutzerauthentifizierungsdienst: xmx=1g

Bis zu 100.000 Benutzer und 1.000 Gruppen
Groß 8 vCPU, 16GB RAM, 40 GB Festplattenspeicher

Java-Arbeitsspeicherzuteilung:

Verzeichnissynchronisierungsdienst: xmx=8g

Kerberos-Authentifizierungsdienst: xmx=1g

Benutzerauthentifizierungsdienst: xmx=1g

Bis zu 200.000 Benutzer und 2.000 Gruppen
Hinweis:
  • Die Arbeitsspeicheranforderungen umfassen das Betriebssystem und die VMware-Konnektor-Komponenten. Wenn Sie planen, weitere Anwendungen oder Dienste auf dem Server auszuführen, passen Sie die Anforderungen entsprechend an.
  • Die für jeden Dienst aufgeführte Java-Arbeitsspeicherzuteilung bezieht sich auf den Java-Heap-Speicher. Standardmäßig werden dem Verzeichnissynchronisierungsdienst 4 GB, dem Benutzerauthentifizierungsdienst 1 GB und dem Kerberos-Authentifizierungsdienst 1 GB zugeteilt. Informationen zur Zuteilung von Arbeitsspeicher finden Sie unter Erhöhen des Java-Arbeitsspeichers für Unternehmensdienste.
  • Die für den Verzeichnissynchronisierungsdienst aufgeführten Gruppen befinden sich alle auf einer Ebene. Jede Gruppe enthält 500 Benutzer, und jeder Benutzer ist mit 5 Gruppen verknüpft.
  • Für Bereitstellungen mit großen Gruppen oder geschachtelten Gruppen ist mehr Arbeitsspeicher erforderlich.

Softwareanforderungen

Stellen Sie sicher, dass der Windows-Server die folgenden Softwareanforderungen erfüllt:

Anforderung Hinweise

Windows Server 2019

Windows Server 2016 oder

Windows Server 2012 R2 oder

Windows Server 2008 R2

PowerShell auf dem Server installieren
Hinweis: PowerShell Version 4.0 ist erforderlich, wenn die Installation unter Windows Server 2008 R2 erfolgt.
.NET Framework 4.6.2 installieren

Netzwerkanforderungen

Für die Konfiguration der unten aufgelisteten Ports erfolgt sämtlicher Datenverkehr unidirektional (ausgehend) von der Quellkomponente auf die Zielkomponente. Ein ausgehender Proxy-Server oder eine andere Verbindungsmanagement-Software oder -Hardware darf die vom Workspace ONE Access Connector ausgehende Verbindung nicht beenden oder ablehnen. Die ausgehende Verbindung muss jederzeit geöffnet bleiben.

Quelle Ziel Port Protokoll Hinweise
Workspace ONE Access Connector Workspace ONE Access-Dienst (Cloud)

Workspace ONE Access-Diensthost (lokale Installationen)

443 HTTPS Standardport, erforderlich

Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst.

Workspace ONE Access Connector Lastausgleichsdienst für den Workspace ONE Access-Dienst (lokale Installationen) 443 HTTPS Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst.
Browser Workspace ONE Access Connector 443 HTTPS Erforderlich für den Kerberos-Authentifizierungsdienst
Workspace ONE Access Connector Active Directory 389, 636, 3268, 3269 Standardports, diese Ports sind konfigurierbar

Gilt für den Verzeichnissynchronisierungsdienst. Gilt auch für den Benutzerauthentifizierungsdienst, wenn die Kennwortauthentifizierung verwendet wird.

Workspace ONE Access Connector DNS-Server 53 TCP/UDP Jede Konnektor-Instanz muss über Zugriff auf den DNS-Server über Port 53 verfügen und eingehenden SSH-Datenverkehr über Port 22 zulassen.

Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst.

Workspace ONE Access Connector Domänencontroller 88, 464, 135, 445 TCP/UDP Gilt für den Verzeichnissynchronisierungsdienst und den Kerberos-Authentifizierungsdienst.
Workspace ONE Access Connector RSA SecurID-System 5500 Standardport, dieser Port ist konfigurierbar

Gilt für den Benutzerauthentifizierungsdienst, wenn RSA SecurID verwendet wird.

Workspace ONE Access Connector Syslog-Server 514 UDP Standardport, dieser Port ist konfigurierbar

Port für externen Syslog-Server, sofern konfiguriert. Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst.

Cloud-IP-Adressen für Workspace ONE Access

Unter https://kb.vmware.com/s/article/68035 finden Sie eine Liste der IP-Adressen des Workspace ONE Access-Cloud-Diensts, auf die der Workspace ONE Access Connector Zugriff haben muss.

Anforderungen für DNS-Datensätze und IP-Adressen

Für den Konnektor müssen ein DNS-Eintrag und eine statische IP-Adresse verfügbar sein. Fordern Sie vor Beginn der Installation den DNS-Datensatz und die IP-Adresse, die verwendet werden sollen, und konfigurieren Sie die Netzwerkeinstellungen für den Windows-Server.

Achten Sie darauf, einen geeigneten, benutzerfreundlichen Hostnamen für den Konnektor-Server auszuwählen, wenn Sie den Kerberos-Authentifizierungsdienst installieren möchten. Der Hostname des Workspace ONE Access Connector ist für Endbenutzer sichtbar, wenn die Kerberos-Authentifizierung konfiguriert ist.

Das Konfigurieren von Reverse-Lookup ist optional. Wenn Sie Reverse-Lookup implementieren, müssen Sie einen PTR-Datensatz auf dem DNS-Server definieren, damit der Konnektor die richtige Netzwerkkonfiguration verwendet.

Sie können die folgende Beispielliste von DNS-Datensätzen verwenden. Ersetzen Sie die Beispielinformationen durch entsprechende Informationen aus Ihrer Umgebung. Dieses Beispiel verdeutlicht Forward-DNS-Datensätze und IP-Adressen.

Tabelle 4. Beispiel für Forward-DNS-Datensätze und IP-Adressen
Domänenname Ressourcentyp IP-Adresse
myconnector.example.com A 10.28.128.3

Dieses Beispiel verdeutlicht Reverse-DNS-Datensätze und IP-Adressen.

Tabelle 5. Beispiel für Reverse-DNS-Datensätze und IP-Adressen
IP-Adresse Ressourcentyp Hostname
10.28.128.3 PTR myconnector.example.com

Nachdem Sie die DNS-Konfiguration abgeschlossen haben, vergewissern Sie sich, dass das Reverse-DNS-Lookup korrekt konfiguriert ist. Der Befehl host IPaddress muss z.˚B. in das DNS-Namen-Lookup aufgelöst werden.

Lastausgleichsdienst

Ein Lastausgleichsdienst ist erforderlich, wenn Sie die Hochverfügbarkeit für die Kerberos-Authentifizierung konfigurieren möchten.

Uhrzeitsynchronisierung

Die Konfiguration der Uhrzeitsynchronisierung für alle Workspace ONE Access-Dienst- und Connector-Instanzen ist für die ordnungsgemäße Funktion einer Workspace ONE Access-Bereitstellung erforderlich. Richten Sie die Uhrzeitsynchronisierung mithilfe eines NTP-Servers ein.