Para implementar Workspace ONE Access Connector, que incluye el servicio de sincronización de directorios, el servicio de autenticación de usuario y el servicio de autenticación Kerberos como componentes, asegúrese de que el servidor de Windows cumpla con los requisitos necesarios. Algunos requisitos varían según el servicio que se está instalando.
Número de servidores
Puede instalar los servicios de sincronización de directorios, autenticación de usuario y autenticación Kerberos juntos en un solo servidor de Windows o instalarlos en servidores separados en cualquier combinación, según sus preferencias. Para instalar todos los servicios juntos, necesita un servidor más eficaz. Para instalar los servicios por separado, debe obtener varios servidores.
Si desea configurar la alta disponibilidad para alguno de los servicios, necesita varios servidores.
Tenga en cuenta, también, que el servicio de autenticación Kerberos requiere conectividad entrante, a diferencia de los otros servicios.
Requisitos de hardware
Asegúrese de que el servidor Windows cumpla los siguientes requisitos de hardware.
- Sistema operativo: Windows Server 2012 R2 Standard de 64 bits o superior
- Procesador: CPU Intel(R) Xeon(R) E5-2650 0 de 2,00 GHZ (2 procesadores) de 64 bits o superior
| Tamaño de la implementación | Requisitos de hardware | Número de usuarios y grupos |
|---|---|---|
| Pequeño | 2 vCPU, 8 GB de RAM, 40 GB de espacio de disco Asignación de memoria de Java para el servicio de sincronización de directorios: xmx=4g |
Hasta 50.000 usuarios y 500 grupos |
| Mediano | 4 vCPU, 8 GB de RAM, 40 GB de espacio de disco Asignación de memoria de Java para el servicio de sincronización de directorios: xmx=4g |
Hasta 100.000 usuarios y 1.000 grupos |
| Grande | 8 vCPU, 12 GB de RAM, 40 GB de espacio de disco Asignación de memoria de Java para el servicio de sincronización de directorios: xmx=8g |
Hasta 200.000 usuarios y 2.000 grupos |
| Tamaño de la implementación | Requisitos de hardware para el servidor del servicio de autenticación de usuario o de autenticación Kerberos | Servicio de autenticación de usuario | Servicio de autenticación Kerberos |
|---|---|---|---|
| Pequeño/Mediano/Grande | 2 vCPU, 4 GB de RAM, 40 GB de espacio de disco Asignación de memoria de Java para el servicio de autenticación de usuario o el servicio de autenticación Kerberos: xmx=1g |
Autenticaciones de contraseñas: 390-480/min Flujo activo de WSFed: 720-900/min |
Autenticaciones Kerberos: 420-480/min |
| Tamaño de la implementación | Requisitos de hardware | Sincronización de directorios |
|---|---|---|
| Pequeño | 2 vCPU, 8 GB de RAM, 40 GB de espacio de disco Asignación de memoria de Java: Servicio de sincronización de directorios: xmx=4g Servicio de autenticación Kerberos: xmx=1g Servicio de autenticación de usuario: xmx=1g |
Hasta 50.000 usuarios y 500 grupos |
| Mediano | 4 vCPU, 8 GB de RAM, 40 GB de espacio de disco Asignación de memoria de Java: Servicio de sincronización de directorios: xmx=4g Servicio de autenticación Kerberos: xmx=1g Servicio de autenticación de usuario: xmx=1g |
Hasta 100.000 usuarios y 1.000 grupos |
| Grande | 8 vCPU, 16 GB de RAM, 40 GB de espacio de disco Asignación de memoria de Java: Servicio de sincronización de directorios: xmx=8g Servicio de autenticación Kerberos: xmx=1g Servicio de autenticación de usuario: xmx=1g |
Hasta 200.000 usuarios y 2.000 grupos |
- Los requisitos de memoria incluyen el sistema operativo y los componentes de conector de VMware. Si planea ejecutar otras aplicaciones o servicios en el servidor, ajuste los requisitos según corresponda.
- La asignación de memoria de Java indicada para cada servicio hace referencia a la memoria de pila de Java. De forma predeterminada, se asignan 4 GB al servicio de sincronización de directorios, 1 GB al servicio de autenticación de usuario y 1 GB al servicio de autenticación Kerberos. Consulte Aumentar la memoria de Java para los servicios empresariales para obtener información sobre cómo asignar memoria.
- Los grupos detallados para el servicio de sincronización de directorios son todos de un nivel; cada grupo contiene 500 usuarios y cada usuario está asociado a 5 grupos.
- Las implementaciones con grupos grandes o grupos anidados requieren más memoria.
Requisitos de software
Asegúrese de que el servidor Windows cumpla los siguientes requisitos de software.
| Requisito | Notas |
|---|---|
| Windows Server 2019 Windows Server 2016 o Windows Server 2012 R2 o Windows Server 2008 R2 |
|
| Instalar PowerShell en el servidor |
Nota: La versión 4.0 de PowerShell es necesaria si va a instalarlo en Windows Server 2008 R2.
|
| Instalar .NET Framework 4.6.2 |
Requisitos de red
Para configurar los puertos detallados a continuación, todo el tráfico debe ser unidireccional (saliente) desde el componente de origen hasta el componente de destino. Un servidor proxy saliente o cualquier otro hardware o software de administración de conexión no debe finalizar ni rechazar la conexión saliente desde el Workspace ONE Access Connector. La conexión saliente debe permanecer abierta en todo momento.
| Origen | Destino | Puerto | Protocolo | Notas |
|---|---|---|---|---|
| Workspace ONE Access Connector | Servicio de Workspace ONE Access (en la nube) Host del servicio de Workspace ONE Access (instalaciones locales) |
443 | HTTPS | Puerto predeterminado (obligatorio). Se aplica al servicio de sincronización de directorios, al servicio de autenticación de usuario y al servicio de autenticación Kerberos. |
| Workspace ONE Access Connector | Equilibrador de carga del servicio de Workspace ONE Access (instalaciones locales) | 443 | HTTPS | Se aplica al servicio de sincronización de directorios, al servicio de autenticación de usuario y al servicio de autenticación Kerberos. |
| Navegadores | Workspace ONE Access Connector | 443 | HTTPS | Se requiere para el servicio de autenticación Kerberos. |
| Workspace ONE Access Connector | Active Directory | 389, 636, 3268, 3269 | Puertos predeterminados (estos puertos son configurables). Se aplica al servicio de sincronización de directorios. También se aplica al servicio de autenticación de usuario si se utiliza la autenticación con contraseña. |
|
| Workspace ONE Access Connector | Servidor DNS | 53 | TCP/UDP | Todas las instancias del conector deben tener acceso al servidor DNS en el puerto 53 y permitir el tráfico SSH entrante en el puerto 22. Se aplica al servicio de sincronización de directorios, al servicio de autenticación de usuario y al servicio de autenticación Kerberos. |
| Workspace ONE Access Connector | Controlador de dominio | 88, 464, 135, 445 | TCP/UDP | Se aplica al servicio de sincronización de directorios y al servicio de autenticación Kerberos. |
| Workspace ONE Access Connector | Sistema RSA SecurID | 5500 | Puerto predeterminado (este puerto es configurable). Se aplica al servicio de autenticación de usuario si se utiliza RSA SecurID. |
|
| Workspace ONE Access Connector | servidor syslog | 514 | UDP | Puerto predeterminado (este puerto es configurable). Puerto para el servidor syslog externo (si se configuró). Se aplica al servicio de sincronización de directorios, al servicio de autenticación de usuario y al servicio de autenticación Kerberos. |
Direcciones IP en la nube de Workspace ONE Access
Consulte https://kb.vmware.com/s/article/68035 para obtener una lista de las direcciones IP del servicio en la nube de Workspace ONE Access a las que Workspace ONE Access Connector debe tener acceso.
Requisitos de las direcciones IP y de los registros DNS
Se requiere una entrada DNS y una dirección IP estática para el conector. Antes de comenzar la instalación, obtenga el registro de DNS y la dirección IP para usar y configurar las opciones de red del servidor de Windows.
Asegúrese de seleccionar un nombre de host adecuado y sencillo para el conector si planea instalar el servicio de autenticación Kerberos. Cuando se configura la autenticación Kerberos, los usuarios finales pueden ver el nombre de host de Workspace ONE Access Connector.
La configuración de la búsqueda inversa es opcional. Cuando implemente la búsqueda inversa, debe definir un registro PTR en el servidor DNS para que el conector utilice la configuración de red correcta.
Puede utilizar la siguiente lista de ejemplos de registros de DNS. Sustituya la información de los ejemplos con la información de su entorno. En este ejemplo se muestran los registros de DNS directas y las direcciones IP.
| Nombre de dominio | Tipo de recurso | Dirección IP |
|---|---|---|
| miconector.ejemplo.com | A | 10.28.128.3 |
En este ejemplo se muestran los registros de DNS inversas y las direcciones IP.
| Dirección IP | Tipo de recurso | Nombre del host |
|---|---|---|
| 10.28.128.3 | PTR | miconector.ejemplo.com |
Después de completar la configuración de DNS, compruebe que la búsqueda de DNS inversas está correctamente configurada. Por ejemplo, el comando host IPaddress debe resolverse en la búsqueda del nombre de DNS.
Equilibrador de carga
Para configurar la alta disponibilidad para la autenticación Kerberos, se requiere un equilibrador de carga.
Sincronización de hora
Es necesario configurar la sincronización de hora en todas las instancias de Workspace ONE Access Connector y el servicio para que una implementación de Workspace ONE Access funcione correctamente. Configure la sincronización de hora mediante un servidor NTP.
