Pour déployer Enterprise Systems Connector, assurez-vous que votre système répond aux exigences nécessaires.

Configuration matérielle requise

Utilisez les exigences suivantes comme base pour la création de votre serveur Enterprise Systems Connector.

Si vous installez uniquement le composant ACC, utilisez les exigences suivantes.

Tableau 1. Exigences ACC

Nombre d'utilisateurs

Jusqu’à 10 000

De 10 000 à 50 000

De 50 000 à 100 000

Cœurs de CPU

2

2 serveurs à équilibrage de charge avec 2 cœurs de CPU

3 serveurs à équilibrage de charge avec 2 cœurs de CPU

RAM (Go) par serveur

4

4 chacun

8 chacun

Espace disque (Go)

50

50 chacun

50 chacun

Le composant VMware Identity Manager Connector a les exigences supplémentaires suivantes. Si vous installez les composants ACC et les composants VMware Identity Manager Connector, ajoutez ces exigences aux exigences ACC.

Tableau 2. Configuration requise pour VMware Identity Manager Connector

Nombre d'utilisateurs

Jusqu’à 1 000

De 1 000 à 10 000

De 10 000 à 25 000

De 25 000 à 50 000

De 50 000 à 100 000

CPU

2

2 serveurs à équilibrage de charge, chacun avec 4 CPU

2 serveurs à équilibrage de charge, chacun avec 4 CPU

2 serveurs à équilibrage de charge, chacun avec 4 CPU

2 serveurs à équilibrage de charge, chacun avec 4 CPU

RAM (Go) par serveur

6

6 chacun

8 chacun

16 chacun

16 chacun

Espace disque (Go)

50

50 chacun

50 chacun

50 chacun

50 chacun

Remarque :
  • Pour le composant ACC, l'équilibrage de charge du trafic est assuré automatiquement par le composant AWCM. Cela ne requiert pas d’équilibrage de charge distinct. Plusieurs instances ACC dans le même groupe d’organisation qui se connectent au même serveur AWCM pour haute disponibilité peuvent espérer recevoir le trafic (une configuration directe-directe). La manière dont le trafic est acheminé est déterminée par AWCM et dépend de la charge actuelle.

  • Pour le composant VMware Identity Manager Connector, consultez Configuration de la haute disponibilité pour le VMware Identity Manager Connector.

  • Les cœurs de CPU doivent être chacun de 2,0 GHz ou plus. Un processeur Intel est requis.

  • L’espace disque inclut obligatoirement : espace disque de 1 Go pour l’application Enterprise Systems Connector, système d’exploitation Windows et runtime .NET. L’espace disque supplémentaire est alloué pour la journalisation.

Configuration logicielle requise

Assurez-vous que votre serveur Enterprise Systems Connector respecte toutes les exigences de logiciel suivantes.

Liste de contrôle des états

Condition

Notes

Windows Server 2008 R2 ou

Windows Server 2012 ou

Windows Server 2012 R2 ou

Windows Server 2016

Requis pour les deux composants

Installer les PowerShell sur le serveur

Requis pour les deux composants

Remarque :

(Composant AirWatch Cloud Connector) PowerShell version 3.0 et version ultérieure est requis si vous déployez le modèle direct PowerShell MEM pour la messagerie. Pour vérifier votre version, ouvrez PowerShell et exécutez la commande $PSVersionTable.

Remarque :

(Composant VMware Identity Manager Connector) PowerShell version 4.0 est requis si vous effectuez l’installation sur Windows Server 2008 R2.

Installez .NET Framework 4.6.2

Requis pour les deux composants

Remarque :

(Composant AirWatch Cloud Connector) La fonctionnalité de mise à jour automatique AirWatch Cloud Connector ne fonctionnera pas correctement tant que votre serveur Enterprise Systems Connector n’est pas mis à jour à jour vers .NET Framework 4.6.2. La fonctionnalité de mise à jour automatique ne mettra pas automatiquement à jour .NET Framework. Installez .NET Framework 4.6.2 manuellement sur le serveur Enterprise Systems Connector avant d’effectuer une mise à niveau.

Conditions générales

Assurez-vous que votre serveur Enterprise Systems Connector est configuré avec les conditions générales suivantes pour garantir la réussite de l’installation.

Liste de contrôle des états

Condition

Notes

Assurez-vous d’avoir accès à distance aux serveurs sur lequel est installé AirWatch.

VMware AirWatch recommande de configurer le Gestionnaire de connexion de postes de travail à distance pour la gestion de plusieurs serveurs. Vous pouvez télécharger le programme d’installation à partir de https://www.microsoft.com/en-us/download/details.aspx?id=44989.

En général, les installations sont effectuées à distance via une réunion web ou un partage d’écran que fournit un consultant AirWatch. Certains clients fournissent également à AirWatch les informations d’identification VPN permettant d’accéder aussi directement à l’environnement.

Installation de Notepad++ (recommandé)

VMware AirWatch vous recommande de configurer Notepad++.

Comptes de services pour l’authentification aux systèmes backend

Valider la méthode de connectivité d’Active Directory à l’aide de l’outil LDP.exe (voir http://www.computerperformance.co.uk/ScriptsGuy/ldp.zip) LDAP, BES, PowerShell, etc.

Conditions requises pour le réseau

Pour configurer les ports répertoriés ci-dessous, l'ensemble du trafic est unidirectionnel (sortant) allant du composant source vers le composant de destination.

Un proxy sortant ou tout autre logiciel ou matériel de gestion de connexion ne doit pas se terminer ni rejeter la connexion sortante à partir du Enterprise Systems Connector. La connexion sortante requise pour une utilisation par Enterprise Systems Connector doit rester ouverte à tout moment.

Remarque :

Toutes les ressources, telles que les autorités de certification, que vous souhaitez atteindre avec ACC doivent être sur le même domaine.

Tableau 3. Conditions requises pour le port du composant AirWatch Cloud Connector (SaaS)

Liste de contrôle des états

Composant source

Composant de destination

Protocole

Port

Vérification

Serveur Enterprise Systems Connector

AirWatch AWCM par exemple : (https://awcm274.awmdm. com)

HTTPS

443

En entrant le lien https://awcmXXX.awmdm.com/awcm/status, vérifiez et assurez-vous qu’il n’y a aucune erreur d’approbation de certificat. (Remplacez « XXX » avec le même nombre qui est utilisé dans l’URL de votre environnement, par exemple, 100 au lieu de cn100).

Serveur Enterprise Systems Connector

AirWatch Console par exemple : (https://cn274.awmdm.com)

HTTP ou HTTPS

80 ou 443

En entrant le lien https://cnXXX.awmdm.com, vérifiez et assurez-vous qu’il n’y a aucune erreur d’approbation de certificat. (Remplacez « XXX » avec le même nombre qui est utilisé dans l’URL de votre environnement, par exemple, 100 au lieu de cn100). Si la mise à jour automatique est activée, ACC doit être capable d’interroger la Console AirWatch pour savoir s’il existe des mises à jour à l’aide du port 443.

Serveur Enterprise Systems Connector

API AirWatch par exemple : (https://as274.awmdm.com)

HTTPS

443

En entrant le lien https://asXXX.awmdm.com/api/help, vérifiez et assurez-vous que vous êtes invité à entrer les informations d’identification. (Remplacez « XXX » avec le même nombre qui est utilisé dans l’URL de votre environnement, par exemple, 100 au lieu de cn100). L’accès ACC à API est requis pour le bon fonctionnement du service AirWatch Diagnostics.

Serveur Enterprise Systems Connector

La liste de révocation des certificats : http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP

80

Pour que les différents services fonctionnent correctement

Intégrations facultatives

Serveur Enterprise Systems Connector

SMTP interne

SMTP

25

Serveur Enterprise Systems Connector

LDAP interne

LDAP ou LDAPS

389, 636, 3268 ou 3269

Serveur Enterprise Systems Connector

SCEP interne

HTTP ou HTTPS

80 ou 443

Serveur Enterprise Systems Connector

ADCS interne

DCOM

135, 1025-5000, 49152-65535

Serveur Enterprise Systems Connector

BES interne

HTTP ou HTTPS

80 ou 443

Serveur Enterprise Systems Connector

Interne Exchange 2010 ou version ultérieure

HTTP ou HTTPS

80 ou 443

Tableau 4. Exigences pour le port du composant AirWatch Cloud Connector (sur site)

Composant source

Composant de destination

Protocole

Port

Vérification

Serveur Enterprise Systems Connector

Serveur de messagerie d’AirWatch Cloud

HTTPS

2001

Telnet à partir de Enterprise Systems Connector au serveur AWCM sur le port ou une fois installé.

En entrant le lien https://<AWCM url="">: 2001/awcm/état, vérifiez et assurez-vous qu’il n’y a aucune erreur d’approbation de certificat.

Si la mise à jour automatique est activée, ACC doit être capable d’interroger la Console AirWatch pour savoir s’il existe des mises à jour à l’aide du port 443.

Si vous utilisez ACC avec AWCM, que vous disposez de plusieurs serveurs AWCM et que vous souhaitez équilibrer leur charge, vous devez configurer la persistance.

Pour plus d’informations sur la configuration des règles de persistance d’AWCM à l’aide de la touche F5, consultez l’article suivant de l’article de la base de connaissances : https://support.air-watch.com/articles/115001666028.

Serveur Enterprise Systems Connector

Console AirWatch

HTTP ou HTTPS

80 ou 443

Telnet à partir de Enterprise Systems Connector vers la console sur le port ou une fois installé.

En entrant le lien https://<URL de la console> , vérifiez et assurez-vous qu’il n’y a aucune erreur d’approbation de certificat.

Si la mise à jour automatique est activée, ACC doit être capable d’interroger la Console AirWatch pour savoir s’il existe des mises à jour à l’aide du port 443.

Serveur Enterprise Systems Connector

Serveur de l’API (ou là où est installé l’API)

HTTPS

443

Vérifiez en accédant à l’URL de votre serveur API.

L’accès ACC à API est requis pour le bon fonctionnement du service AirWatch Diagnostics.

Serveur Enterprise Systems Connector

La liste de révocation des certificats : http://csc3-2010-crl.verisign.com/CSC3-2010.crl

HTTP

80

Pour que les différents services fonctionnent correctement

Intégrations facultatives

Serveur Enterprise Systems Connector

SMTP interne

SMTP

25

Serveur Enterprise Systems Connector

LDAP interne

LDAP ou LDAPS

389, 636, 3268 ou 3269

Serveur Enterprise Systems Connector

SCEP interne

HTTP ou HTTPS

80 ou 443

Serveur Enterprise Systems Connector

ADCS interne

DCOM

135, 1025-5000, 49152-65535

Serveur Enterprise Systems Connector

BES interne

HTTP ou HTTPS

80 ou 443

Serveur Enterprise Systems Connector

Interne Exchange 2010 ou version ultérieure

HTTP ou HTTPS

80 ou 443

Tableau 5. Configurations requises pour le port du composant VMware Identity Manager Connector (SaaS ou sur site)

Liste de contrôle des états

Composant source

Composant de destination

Port

Protocole

Notes

VMware Identity Manager Connector

Service VMware Identity Manager

Hôte du service VMware Identity Manager (installations sur site)

443

HTTPS

Port par défaut. Ce port est configurable.

VMware Identity Manager Connector

Équilibrage de charge du service VMware Identity Manager (installations sur site)

443

HTTPS

Navigateurs

VMware Identity Manager Connector

8443

HTTPS

Port d’administration.

Obligatoire

Navigateurs

VMware Identity Manager Connector

80

HTTP

Obligatoire

Navigateurs

VMware Identity Manager Connector

443

HTTPS

Ce port n'est requis que pour un connecteur utilisé en mode entrant.

Si l'authentification Kerberos est configurée sur le connecteur, ce port est requis.

VMware Identity Manager Connector

Active Directory

389, 636, 3268, 3269

Ports par défaut. Ces ports sont configurables.

VMware Identity Manager Connector

Serveur DNS

53

TCP/UDP

Chaque instance doit avoir accès au serveur DNS sur le port 53 et autoriser le trafic SSH entrant sur le port 22.

VMware Identity Manager Connector

Contrôleur de domaine

88, 464, 135, 445

TCP/UDP

VMware Identity Manager Connector

Système RSA SecurID

5500

Port par défaut. Ce port est configurable

VMware Identity Manager Connector

Serveur de connexion View

389, 443

Accès à des instances du serveur de connexion View pour des intégrations d’Horizon View

VMware Identity Manager Connector

Integration Broker

80, 443

Accès à l’Integration Broker pour l’intégration à des ressources publiées Citrix.

Important :

Si vous installez Integration Broker sur le même serveur Windows que le Enterprise Systems Connector, vous devez vous assurer que dans les liaisons de site de Site Web par défaut du serveur IIS, les ports de liaison HTTP et HTTPS ne sont pas en conflit avec les ports utilisés par le composant VMware Identity Manager Connector.

Le VMware Identity Manager Connector utilise toujours le port 80. Il utilise également 443, sauf si un port différent est configuré pendant l’installation.

VMware Identity Manager Connector

serveur syslog

514

UDP

Serveur Syslog externe, si configuré

(ComposantVMware Identity Manager Connector) Adresses IP VMware Identity Manager hébergées sur le Cloud

(Clients SaaS) Consultez l’article 2149884 de la base de connaissances pour obtenir la liste des adresses IP du service VMware Identity Manager auxquelles VMware Identity Manager Connector doit avoir accès.

(ComposantVMware Identity Manager Connector) Conditions requises pour les enregistrements DNS et les adresses IP

Le connecteur doit disposer d’une entrée DNS et d’une adresse IP statique. Avant de commencer votre installation, demandez l’enregistrement DNS et les adresses IP pour utiliser et configurer les paramètres réseau du serveur Windows.

La configuration de la recherche inversée est facultative. Lorsque vous réalisez la recherche inversée, vous devez définir un enregistrement PTR sur le serveur DNS afin que le connecteur utilise la configuration réseau adéquate.

Vous pouvez utiliser la liste suivante d’exemples d’enregistrements DNS. Remplacez les informations de l'exemple par les informations de votre environnement. Cet exemple montre des enregistrements DNS et des adresses IP qui utilisent la résolution.

Tableau 6. Exemples d'enregistrements DNS et d'adresses IP qui utilisent la résolution

Nom de domaine

Type de ressource

Adresse IP

myidentitymanager.company.com

Aoû

10.28.128.3

Cet exemple montre des enregistrements DNS et des adresses IP qui utilisent la résolution inverse

Tableau 7. Exemples d'enregistrements DNS et d'adresses IP qui utilisent la résolution inverse

Adresse IP

Type de ressource

Nom d'hôte

10.28.128.3

PTR

myidentitymanager.company.com

Après avoir terminé la configuration DNS, vérifiez que la résolution DNS inverse est configurée correctement. Par exemple, la commande de dispositif virtuel host IPaddress doit être résolue en recherche de nom DNS.

Remarque :

Si vous disposez d'un équilibrage de charge avec une adresse IP virtuelle (VIP) devant les serveurs DNS, notez que VMware Identity Manager ne prend pas en charge l'utilisation d'une VIP. Vous pouvez spécifier plusieurs serveurs DNS séparés par une virgule.

Remarque :

Si vous utilisez un serveur DNS fonctionnant sur Unix ou sur Linux et que vous prévoyez de joindre le connecteur au domaine Active Directory, assurez-vous que les enregistrements de la ressource de service (SRV) appropriée sont créés pour chaque contrôleur de domaine Active Directory.

(Composant VMware Identity Manager Connector) Versions d’Active Directory prises en charge

Un environnement Active Directory composé d’un seul domaine Active Directory, de plusieurs domaines dans une seule forêt Active Directory ou de plusieurs domaines dans plusieurs forêts Active Directory est pris en charge.

VMware Identity Manager prend en charge Active Directory sous Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 et Windows Server 2012 R2, avec un niveau fonctionnel Domaine et un niveau fonctionnel Forêt de Windows 2003 et versions ultérieures.

Remarque :

Un niveau fonctionnel plus élevé peut être nécessaire pour certaines fonctionnalités. Par exemple, pour permettre aux utilisateurs de modifier des mots de passe Active Directory à partir de Workspace ONE, le niveau fonctionnel de domaine doit être Windows 2008 ou version ultérieure.