Um den Workspace ONE Access Connector bereitzustellen, der als Komponenten den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst umfasst, müssen Sie sicherstellen, dass der Windows-Server die erforderlichen Voraussetzungen erfüllt. Einige Anforderungen sind je nachdem, welchen Dienst Sie installieren, unterschiedlich.
Anzahl der Server
Sie können den Verzeichnissynchronisierungs-, den Benutzerauthentifizierungs- und den Kerberos-Authentifizierungsdienst zusammen auf einem einzelnen Windows-Server installieren oder die Dienste einzeln auf separaten Servern in jeder beliebigen Kombination Ihren Präferenzen entsprechend installieren. Um alle Dienste zusammen zu installieren, benötigen Sie einen leistungsfähigeren Server. Um die Dienste separat zu installieren, benötigen Sie mehrere Server.
Mehrere Server sind erforderlich, wenn Sie für einen oder mehrere der Dienste Hochverfügbarkeit einrichten möchten.
Beachten Sie auch, dass der Kerberos-Authentifizierungsdienst eingehende Konnektivität benötigt, während dies bei den anderen Diensten nicht der Fall ist.
Hardwareanforderungen
Stellen Sie sicher, dass der Windows-Server die folgenden Hardwareanforderungen erfüllt:
- Betriebssystem: Windows Server 2012 R2 Standard (64 Bit oder höher)
- Prozessor: Intel(R) Xeon(R) CPU E5-2650 [email protected] GHZ (2 Prozessoren) x64-Bit-Prozessor oder höher
| Bereitstellungsgröße | Hardwareanforderungen | Anzahl der Benutzer und Gruppen |
|---|---|---|
| Klein | 2 vCPU, 8 GB RAM, 40 GB Festplattenspeicher Java-Arbeitsspeicherzuteilung für Verzeichnissynchronisierungsdienst: xmx=4g |
Bis zu 50.000 Benutzer und 500 Gruppen |
| Mittel | 4 vCPU, 8 GB RAM, 40 GB Festplattenspeicher Java-Arbeitsspeicherzuteilung für Verzeichnissynchronisierungsdienst: xmx=4g |
Bis zu 100.000 Benutzer und 1.000 Gruppen |
| Groß | 8 vCPU, 12 GB RAM, 40 GB Festplattenspeicher Java-Arbeitsspeicherzuteilung für Verzeichnissynchronisierungsdienst: xmx=8g |
Bis zu 200.000 Benutzer und 2.000 Gruppen |
| Bereitstellungsgröße | Hardwareanforderung für den Server für den Benutzerauthentifizierungs- oder den Kerberos-Authentifizierungsdienst | Benutzerauthentifizierungsdienst | Kerberos-Authentifizierungsdienst |
|---|---|---|---|
| Klein/mittel/groß | 2 vCPU, 4 GB RAM, 40 GB Festplattenspeicher Java-Arbeitsspeicherzuteilung für den Benutzerauthentifizierungsdienst oder den Kerberos-Authentifizierungsdienst: xmx=1g |
Kennwortauthentifizierungen: 390 – 480/min Aktiver WSFed-Flow: 720 – 900/min |
Kerberos-Authentifizierungen: 420 – 480/min |
| Bereitstellungsgröße | Hardwareanforderungen | Verzeichnissynchronisierung |
|---|---|---|
| Klein | 2 vCPU, 8GB RAM, 40GB Festplattenspeicher Java-Arbeitsspeicherzuteilung: Verzeichnissynchronisierungsdienst: xmx=4g Kerberos-Authentifizierungsdienst: xmx=1g Benutzerauthentifizierungsdienst: xmx=1g |
Bis zu 50.000 Benutzer und 500 Gruppen |
| Mittel | 4 vCPU, 8 GB RAM, 40 GB Festplattenspeicher Java-Arbeitsspeicherzuteilung: Verzeichnissynchronisierungsdienst: xmx=4g Kerberos-Authentifizierungsdienst: xmx=1g Benutzerauthentifizierungsdienst: xmx=1g |
Bis zu 100.000 Benutzer und 1.000 Gruppen |
| Groß | 8 vCPU, 16GB RAM, 40 GB Festplattenspeicher Java-Arbeitsspeicherzuteilung: Verzeichnissynchronisierungsdienst: xmx=8g Kerberos-Authentifizierungsdienst: xmx=1g Benutzerauthentifizierungsdienst: xmx=1g |
Bis zu 200.000 Benutzer und 2.000 Gruppen |
- Die Arbeitsspeicheranforderungen umfassen das Betriebssystem und die VMware-Konnektor-Komponenten. Wenn Sie planen, weitere Anwendungen oder Dienste auf dem Server auszuführen, passen Sie die Anforderungen entsprechend an.
- Die für jeden Dienst aufgeführte Java-Arbeitsspeicherzuteilung bezieht sich auf den Java-Heap-Speicher. Standardmäßig werden dem Verzeichnissynchronisierungsdienst 4 GB, dem Benutzerauthentifizierungsdienst 1 GB und dem Kerberos-Authentifizierungsdienst 1 GB zugeteilt. Informationen zur Zuteilung von Arbeitsspeicher finden Sie unter Erhöhen des Java-Arbeitsspeichers für Unternehmensdienste.
- Die für den Verzeichnissynchronisierungsdienst aufgeführten Gruppen befinden sich alle auf einer Ebene. Jede Gruppe enthält 500 Benutzer, und jeder Benutzer ist mit 5 Gruppen verknüpft.
- Für Bereitstellungen mit großen Gruppen oder geschachtelten Gruppen ist mehr Arbeitsspeicher erforderlich.
Softwareanforderungen
Stellen Sie sicher, dass der Windows-Server die folgenden Softwareanforderungen erfüllt:
| Anforderung | Hinweise |
|---|---|
| Windows Server 2019 Windows Server 2016 oder Windows Server 2012 R2 oder Windows Server 2008 R2 |
|
| PowerShell auf dem Server installieren |
Hinweis: PowerShell Version 4.0 ist erforderlich, wenn die Installation unter Windows Server 2008 R2 erfolgt.
|
| .NET Framework 4.6.2 installieren |
Netzwerkanforderungen
Für die Konfiguration der unten aufgelisteten Ports erfolgt sämtlicher Datenverkehr unidirektional (ausgehend) von der Quellkomponente auf die Zielkomponente. Ein ausgehender Proxy-Server oder eine andere Verbindungsmanagement-Software oder -Hardware darf die vom Workspace ONE Access Connector ausgehende Verbindung nicht beenden oder ablehnen. Die ausgehende Verbindung muss jederzeit geöffnet bleiben.
| Quelle | Ziel | Port | Protokoll | Hinweise |
|---|---|---|---|---|
| Workspace ONE Access Connector | Workspace ONE Access-Dienst (Cloud) Workspace ONE Access-Diensthost (lokale Installationen) |
443 | HTTPS | Standardport, erforderlich Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst. |
| Workspace ONE Access Connector | Lastausgleichsdienst für den Workspace ONE Access-Dienst (lokale Installationen) | 443 | HTTPS | Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst. |
| Browser | Workspace ONE Access Connector | 443 | HTTPS | Erforderlich für den Kerberos-Authentifizierungsdienst |
| Workspace ONE Access Connector | Active Directory | 389, 636, 3268, 3269 | Standardports, diese Ports sind konfigurierbar Gilt für den Verzeichnissynchronisierungsdienst. Gilt auch für den Benutzerauthentifizierungsdienst, wenn die Kennwortauthentifizierung verwendet wird. |
|
| Workspace ONE Access Connector | DNS-Server | 53 | TCP/UDP | Jede Konnektor-Instanz muss über Zugriff auf den DNS-Server über Port 53 verfügen und eingehenden SSH-Datenverkehr über Port 22 zulassen. Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst. |
| Workspace ONE Access Connector | Domänencontroller | 88, 464, 135, 445 | TCP/UDP | Gilt für den Verzeichnissynchronisierungsdienst und den Kerberos-Authentifizierungsdienst. |
| Workspace ONE Access Connector | RSA SecurID-System | 5500 | Standardport, dieser Port ist konfigurierbar Gilt für den Benutzerauthentifizierungsdienst, wenn RSA SecurID verwendet wird. |
|
| Workspace ONE Access Connector | Syslog-Server | 514 | UDP | Standardport, dieser Port ist konfigurierbar Port für externen Syslog-Server, sofern konfiguriert. Gilt für den Verzeichnissynchronisierungsdienst, den Benutzerauthentifizierungsdienst und den Kerberos-Authentifizierungsdienst. |
Cloud-IP-Adressen für Workspace ONE Access
Unter https://kb.vmware.com/s/article/68035 finden Sie eine Liste der IP-Adressen des Workspace ONE Access-Cloud-Diensts, auf die der Workspace ONE Access Connector Zugriff haben muss.
Anforderungen für DNS-Datensätze und IP-Adressen
Für den Konnektor müssen ein DNS-Eintrag und eine statische IP-Adresse verfügbar sein. Fordern Sie vor Beginn der Installation den DNS-Datensatz und die IP-Adresse, die verwendet werden sollen, und konfigurieren Sie die Netzwerkeinstellungen für den Windows-Server.
Achten Sie darauf, einen geeigneten, benutzerfreundlichen Hostnamen für den Konnektor-Server auszuwählen, wenn Sie den Kerberos-Authentifizierungsdienst installieren möchten. Der Hostname des Workspace ONE Access Connector ist für Endbenutzer sichtbar, wenn die Kerberos-Authentifizierung konfiguriert ist.
Das Konfigurieren von Reverse-Lookup ist optional. Wenn Sie Reverse-Lookup implementieren, müssen Sie einen PTR-Datensatz auf dem DNS-Server definieren, damit der Konnektor die richtige Netzwerkkonfiguration verwendet.
Sie können die folgende Beispielliste von DNS-Datensätzen verwenden. Ersetzen Sie die Beispielinformationen durch entsprechende Informationen aus Ihrer Umgebung. Dieses Beispiel verdeutlicht Forward-DNS-Datensätze und IP-Adressen.
| Domänenname | Ressourcentyp | IP-Adresse |
|---|---|---|
| myconnector.example.com | A | 10.28.128.3 |
Dieses Beispiel verdeutlicht Reverse-DNS-Datensätze und IP-Adressen.
| IP-Adresse | Ressourcentyp | Hostname |
|---|---|---|
| 10.28.128.3 | PTR | myconnector.example.com |
Nachdem Sie die DNS-Konfiguration abgeschlossen haben, vergewissern Sie sich, dass das Reverse-DNS-Lookup korrekt konfiguriert ist. Der Befehl host IPaddress muss z.˚B. in das DNS-Namen-Lookup aufgelöst werden.
Lastausgleichsdienst
Ein Lastausgleichsdienst ist erforderlich, wenn Sie die Hochverfügbarkeit für die Kerberos-Authentifizierung konfigurieren möchten.
Uhrzeitsynchronisierung
Die Konfiguration der Uhrzeitsynchronisierung für alle Workspace ONE Access-Dienst- und Connector-Instanzen ist für die ordnungsgemäße Funktion einer Workspace ONE Access-Bereitstellung erforderlich. Richten Sie die Uhrzeitsynchronisierung mithilfe eines NTP-Servers ein.
