Per distribuire Workspace ONE Access Connector, che include il servizio Sincronizzazione directory, il servizio di autenticazione degli utenti e il servizio di autenticazione Kerberos come componenti, assicurarsi che il server Windows soddisfi i requisiti necessari. Alcuni requisiti variano in base al servizio che si sta installando.
Numero di server
È possibile installare insieme i servizi Sincronizzazione directory, autenticazione degli utenti e autenticazione Kerberos su un singolo server Windows o installarli su server separati in qualsiasi combinazione, in base alle proprie preferenze. Per installare tutti i servizi insieme, è necessario un server più potente. Per installare i servizi separatamente, è necessario disporre di più server.
Se si desidera configurare l'alta disponibilità per uno o più di questi servizi, è necessario disporre di più server.
Si consideri inoltre che il servizio di autenticazione Kerberos richiede la connettività in entrata mentre gli altri servizi non la richiedono.
Requisiti hardware
Assicurarsi che Windows Server soddisfi i requisiti hardware seguenti.
- Sistema operativo: Windows Server 2012R2 Standard 64 bit o versione successiva
- Processore: Inte(R)Xeon(R) CPU E5-2650 0 a 2,00 GHZ (2 processori) x64 bit o superiore
| Dimensioni distribuzione | Requisiti hardware | Numero di utenti e gruppi |
|---|---|---|
| Piccolo | 2 vCPU, 8 GB di RAM, 40 GB di spazio su disco Allocazione della memoria Java per il servizio Sincronizzazione directory: xmx=4g |
Fino a 50.000 utenti e 500 gruppi |
| Media | 4 vCPU, 8 GB di RAM, 40 GB di spazio su disco Allocazione della memoria Java per il servizio Sincronizzazione directory: xmx=4g |
Fino a 100.000 utenti e 1.000 gruppi |
| Grande | 8 vCPU, 12 GB di RAM, 40 GB di spazio su disco Allocazione della memoria Java per il servizio Sincronizzazione directory: xmx=8g |
Fino a 200.000 utenti e 2.000 gruppi |
| Dimensioni distribuzione | Requisiti hardware per il server con il servizio Autenticazione utente o Autenticazione Kerberos | Servizio di autenticazione degli utenti | Servizio di autenticazione Kerberos |
|---|---|---|---|
| Piccola/Media/Grande | 2 vCPU, 4 GB di RAM, 40 GB di spazio su disco Allocazione della memoria Java per il servizio di autenticazione degli utenti o il servizio di autenticazione Kerberos: xmx=1g |
Autenticazioni password: 390 - 480/min Flusso attivo WSFed: 720 - 900/min |
Autenticazioni Kerberos: 420 - 480/min |
| Dimensioni distribuzione | Requisiti hardware | Sincronizzazione directory |
|---|---|---|
| Piccolo | 2 vCPU, 8GB di RAM, 40GB di spazio su disco Allocazione memoria Java: Servizio Sincronizzazione directory: xmx=4g Servizio Autenticazione Kerberos: xmx=1g Servizio di autenticazione degli utenti: xmx=1g |
Fino a 50.000 utenti e 500 gruppi |
| Media | 4 vCPU, 8GB di RAM, 40GB di spazio su disco Allocazione memoria Java: Servizio Sincronizzazione directory: xmx=4g Servizio Autenticazione Kerberos: xmx=1g Servizio di autenticazione degli utenti: xmx=1g |
Fino a 100.000 utenti e 1.000 gruppi |
| Grande | 8 vCPU, 16GB di RAM, 40GB di spazio su disco Allocazione memoria Java: Servizio Sincronizzazione directory: xmx=8g Servizio Autenticazione Kerberos: xmx=1g Servizio di autenticazione degli utenti: xmx=1g |
Fino a 200.000 utenti e 2.000 gruppi |
- I requisiti di memoria includono il sistema operativo e i componenti di VMware Connector. Se si prevede di eseguire qualsiasi altra applicazione o servizio nel server, adattare i requisiti di conseguenza.
- L'allocazione della memoria Java elencata per ciascun servizio fa riferimento alla memoria heap Java. Per impostazione predefinita, 4 GB sono allocati per il servizio Sincronizzazione directory, 1 GB al servizio di autenticazione degli utenti e 1 GB al servizio Autenticazione Kerberos. Per informazioni su come allocare la memoria, vedere Aumento della memoria Java per i servizi per l'azienda.
- I gruppi elencati per il servizio Sincronizzazione directory sono tutti di un livello, ogni gruppo contiene 500 utenti e ogni utente è associato a 5 gruppi.
- Le distribuzioni con gruppi di grandi dimensioni o gruppi nidificati richiedono più memoria.
Requisiti software
Assicurarsi che Windows Server soddisfi i requisiti software seguenti.
| Requisito | Note |
|---|---|
| Windows Server 2019 Windows Server 2016 o Windows Server 2012 R2 o Windows Server 2008 R2 |
|
| Installare PowerShell nel server |
Nota: PowerShell versione 4.0 è necessario se si esegue l'installazione in Windows Server 2008 R2.
|
| Installare .NET Framework 4.6.2 |
Requisiti di rete
Per la configurazione delle porte elencate di seguito, tutto il traffico deve essere unidirezionale (in uscita) dal componente di origine al componente di destinazione. La connessione in uscita da Workspace ONE Access Connector non deve essere terminata o rifiutata da alcun proxy per traffico in uscita o da qualsiasi altro software o hardware per la gestione della connessione. La connessione in uscita deve rimanere sempre aperta.
| Origine | Destinazione | Porta | Protocollo | Note |
|---|---|---|---|---|
| Workspace ONE Access Connector | Servizio di Workspace ONE Access (cloud) Host servizio Workspace ONE Access (installazioni in locale) |
443 | HTTPS | Porta predefinita; obbligatoria Si applica al servizio Sincronizzazione directory, al servizio di autenticazione degli utenti e al servizio di autenticazione Kerberos |
| Workspace ONE Access Connector | Bilanciamento del carico del servizio di Workspace ONE Access (installazioni in locale) | 443 | HTTPS | Si applica al servizio Sincronizzazione directory, al servizio di autenticazione degli utenti e al servizio di autenticazione Kerberos |
| Browser | Workspace ONE Access Connector | 443 | HTTPS | Obbligatorio per il servizio di autenticazione Kerberos |
| Workspace ONE Access Connector | Active Directory | 389, 636, 3268, 3269 | Porte predefinite; queste porte sono configurabili Si applica al servizio Sincronizzazione directory. Si applica anche al servizio di autenticazione degli utenti se viene utilizzata l'autenticazione con password. |
|
| Workspace ONE Access Connector | Server DNS | 53 | TCP/UDP | Ogni istanza del connettore deve poter accedere al server DNS sulla porta 53 e consentire il traffico SSH in ingresso sulla porta 22. Si applica al servizio Sincronizzazione directory, al servizio di autenticazione degli utenti e al servizio di autenticazione Kerberos. |
| Workspace ONE Access Connector | Controller del dominio | 88, 464, 135, 445 | TCP/UDP | Si applica al servizio Sincronizzazione directory e al servizio di autenticazione Kerberos |
| Workspace ONE Access Connector | Sistema RSA SecurID | 5500 | Porta predefinita; questa porta è configurabile Si applica al servizio di autenticazione degli utenti se si utilizza RSA SecurID |
|
| Workspace ONE Access Connector | server syslog | 514 | UDP | Porta predefinita; questa porta è configurabile Porta per server syslog esterno, se configurato. Si applica al servizio Sincronizzazione directory, al servizio di autenticazione degli utenti e al servizio di autenticazione Kerberos |
Indirizzi IP del cloud di Workspace ONE Access
Vedere https://kb.vmware.com/s/article/68035 per l'elenco degli indirizzi IP del servizio cloud di Workspace ONE Access a cui deve avere accesso Workspace ONE Access Connector.
Requisiti relativi ai record DNS e agli indirizzi IP
Per il connettore sono necessari una voce DNS e un indirizzo IP statico. Prima di iniziare l'installazione, richiedere il record DNS, nonché l'indirizzo IP da utilizzare e configurare le impostazioni di rete di Windows Server.
Assicurarsi di selezionare un nome host appropriato e facile da ricordare per il server del connettore se si desidera installare il servizio di autenticazione Kerberos. Il nome host di Workspace ONE Access Connector è visibile per gli utenti finali quando l'autenticazione Kerberos è configurata.
La configurazione della ricerca inversa è facoltativa. Quando si implementa la ricerca inversa, è necessario definire un record PTR nel server DNS in modo che il connettore utilizzi la configurazione di rete corretta.
È possibile utilizzare l'elenco di record DNS di esempio seguente. Sostituire le informazioni di esempio con le informazioni del proprio ambiente. Questo esempio riporta i record DNS di inoltro e gli indirizzi IP.
| Nome di dominio | Tipo di risorsa | Indirizzo IP |
|---|---|---|
| myconnector.example.com | Un | 10.28.128.3 |
Questo esempio riporta i record DNS inverso e gli indirizzi IP.
| Indirizzo IP | Tipo di risorsa | Nome host |
|---|---|---|
| 10.28.128.3 | PTR | myconnector.example.com |
Dopo aver completato la configurazione DNS, verificare che la ricerca DNS inversa sia configurata correttamente. Ad esempio, il comando host IPaddress deve essere risolto nella ricerca del nome DNS.
Bilanciamento del carico
Se si desidera configurare l'alta disponibilità per l'autenticazione Kerberos, è necessario un bilanciamento del carico.
Sincronizzazione ora
La configurazione della sincronizzazione dell'ora in tutte le istanze del servizio e del connettore di Workspace ONE Access è necessaria affinché una distribuzione di Workspace ONE Access funzioni correttamente. Configurare la sincronizzazione dell'orario utilizzando un server NTP.
