디렉토리 동기화 서비스, 사용자 인증 서비스 및 Kerberos 인증 서비스를 구성 요소로 포함하는 Workspace ONE Access Connector를 배포하려면 Windows 서버가 필요한 요구 사항을 충족하는지 확인합니다. 일부 요구 사항은 설치하는 서비스에 따라 다릅니다.

서버 수

기본 설정에 따라, 디렉토리 동기화, 사용자 인증 및 Kerberos 인증 서비스를 단일 Windows 서버에 함께 설치하거나 별도의 서버에 따로 설치할 수 있습니다. 모든 서비스를 함께 설치하려면 좀 더 강력한 서버가 필요합니다. 서비스를 별도로 설치하려면 여러 서버를 가져와야 합니다.

서비스에 대해 고가용성을 설정하려면 여러 서버가 필요합니다.

또한 Kerberos 인증 서비스에는 인바운드 연결이 필요하지만 다른 서비스는 그렇지 않다는 점에 유의하십시오.

하드웨어 요구 사항

Windows 서버가 다음과 같은 하드웨어 요구 사항을 충족하는지 확인합니다.

  • 운영 체제: Windows Server 2012R2 Standard 64비트 이상
  • 프로세서: Inte(R)Xeon(R) CPU E5-2650 0@2.00 GHZ(2개 프로세서) x64비트 프로세서 이상
표 1. 디렉토리 동기화 서비스에만 적용되는 크기 조정 지침
배포 크기 하드웨어 요구 사항 사용자 및 그룹 수
작게 vCPU 2개, 8 GB RAM, 40 GB 디스크 공간

디렉토리 동기화 서비스에 대한 Java 메모리 할당: xmx=4g

최대 5만 명의 사용자 및 500개의 그룹
중간 vCPU 4개, 8GB RAM, 40GB 디스크 공간

디렉토리 동기화 서비스에 대한 Java 메모리 할당: xmx=4g

최대 10만 명의 사용자 및 1,000개의 그룹
크게 vCPU 8개, 12GB RAM, 40GB 디스크 공간

디렉토리 동기화 서비스에 대한 Java 메모리 할당: xmx=8g

최대 20만 명의 사용자 및 2,000개의 그룹
표 2. 사용자 인증 서비스 또는 Kerberos 인증 서비스에만 적용되는 크기 조정 지침
배포 크기 사용자 인증 또는 Kerberos 인증 서비스 서버에 대한 하드웨어 요구 사항 사용자 인증 서비스 Kerberos 인증 서비스
소형/중형/대형 vCPU 2개, 4GB RAM, 40GB 디스크 공간

사용자 인증 서비스 또는 Kerberos 인증 서비스에 대한 Java 메모리 할당: xmx=1g

암호 인증: 390-480/분

WSFed Active Flow: 720 - 900/분

Kerberos 인증: 420-480/분
참고: 사용자 인증 서비스 및 Kerberos 인증 서비스 노드는 수직으로 확장할 수 없습니다. 더 나은 처리량을 위해 노드를 더 추가합니다.
표 3. 단일 서버에 설치된 모든 서비스에 대한 크기 조정 지침
배포 크기 하드웨어 요구 사항 디렉토리 동기화
작게 vCPU 2개, 8GB RAM, 40GB 디스크 공간

Java 메모리 할당:

디렉토리 동기화 서비스: xmx=4g

Kerberos 인증 서비스: xmx=1g

사용자 인증 서비스: xmx=1g

최대 5만 명의 사용자 및 500개의 그룹
중간 vCPU 4개, 8GB RAM, 40GB 디스크 공간

Java 메모리 할당:

디렉토리 동기화 서비스: xmx=4g

Kerberos 인증 서비스: xmx=1g

사용자 인증 서비스: xmx=1g

최대 10만 명의 사용자 및 1,000개의 그룹
크게 vCPU 8개, 16GB RAM, 40GB 디스크 공간

Java 메모리 할당:

디렉토리 동기화 서비스: xmx=8g

Kerberos 인증 서비스: xmx=1g

사용자 인증 서비스: xmx=1g

최대 20만 명의 사용자 및 2,000개의 그룹
참고:
  • 메모리 요구 사항에는 OS 및 VMware 커넥터 구성 요소가 포함됩니다. 서버에서 다른 애플리케이션 또는 서비스를 실행하려는 경우에는 요구 사항을 적절히 조정합니다.
  • 각 서비스에 대해 나열된 Java 메모리 할당은 Java 힙 메모리를 나타냅니다. 기본적으로 디렉토리 동기화 서비스에는 4GB, 사용자 인증 서비스에는 1GB, Kerberos 인증 서비스에는 1GB가 할당됩니다. 메모리 할당 방법에 대한 자세한 내용은 엔터프라이즈 서비스용 Java 메모리 증가를 참조하십시오.
  • 디렉토리 동기화 서비스에 대해 나열되는 그룹은 모두 하나의 수준이며, 각 그룹에는 500명의 사용자가 포함되고 각 사용자는 5개의 그룹과 연결됩니다.
  • 대규모 그룹 또는 중첩된 그룹이 있는 배포에는 더 많은 메모리가 필요합니다.

소프트웨어 요구 사항

Windows 서버가 다음과 같은 소프트웨어 요구 사항을 충족하는지 확인합니다.

요구 사항 메모

Windows Server 2019

Windows Server 2016 또는

Windows Server 2012 R2 또는

Windows Server 2008 R2

서버에 PowerShell 설치
참고: Windows Server 2008 R2에 설치하는 경우에는 PowerShell 버전 4.0이 필요합니다.
NET Framework 4.6.2 설치

네트워크 요구 사항

아래 나열된 포트를 구성하기 위해 모든 트래픽은 소스 구성 요소에서 대상 구성 요소로 단방향(아웃바운드)으로 진행됩니다. 아웃바운드 프록시 또는 다른 연결 관리 소프트웨어나 하드웨어는 Workspace ONE Access Connector에서의 아웃바운드 연결을 종료하거나 거부하지 않아야 합니다. 아웃바운드 연결은 항상 열려 있어야 합니다.

소스 대상 포트 프로토콜 메모
Workspace ONE Access Connector Workspace ONE Access 서비스(클라우드)

Workspace ONE Access 서비스 호스트(온-프레미스 설치)

443 HTTPS 기본 포트로, 필수입니다.

디렉토리 동기화 서비스, 사용자 인증 서비스 및 Kerberos 인증 서비스에 적용됩니다.

Workspace ONE Access Connector Workspace ONE Access 서비스 로드 밸런서(온-프레미스 설치) 443 HTTPS 디렉토리 동기화 서비스, 사용자 인증 서비스 및 Kerberos 인증 서비스에 적용됩니다.
브라우저 Workspace ONE Access Connector 443 HTTPS Kerberos 인증 서비스에 필요합니다.
Workspace ONE Access Connector Active Directory 389, 636, 3268, 3269 기본 포트로, 구성 가능합니다.

디렉토리 동기화 서비스에 적용됩니다. 암호 인증을 사용하는 경우에도 사용자 인증 서비스에 적용됩니다.

Workspace ONE Access Connector DNS 서버 53 TCP/UDP 모든 커넥터 인스턴스는 포트 53에서 DNS 서버에 액세스할 수 있어야 하며 포트 22에서 수신 SSH 트래픽을 허용해야 합니다.

디렉토리 동기화 서비스, 사용자 인증 서비스 및 Kerberos 인증 서비스에 적용됩니다.

Workspace ONE Access Connector 도메인 컨트롤러 88, 464, 135, 445 TCP/UDP 디렉토리 동기화 서비스 및 Kerberos 인증 서비스에 적용됩니다.
Workspace ONE Access Connector RSA SecurID 시스템 5500 기본 포트로, 구성 가능합니다.

RSA SecurID가 사용되는 경우 사용자 인증 서비스에 적용됩니다.

Workspace ONE Access Connector syslog 서버 514 UDP 기본 포트로, 구성 가능합니다.

외부 syslog 서버용 포트입니다(구성된 경우). 디렉토리 동기화 서비스, 사용자 인증 서비스 및 Kerberos 인증 서비스에 적용됩니다.

Workspace ONE Access 클라우드 IP 주소

Workspace ONE Access Connector에 액세스 권한이 있어야 하는 Workspace ONE Access 클라우드 서비스 IP 주소 목록에 대해서는 https://kb.vmware.com/s/article/68035를 참조하십시오.

DNS 레코드 및 IP 주소 요구 사항

커넥터에 대해 DNS 항목 및 정적 IP 주소가 필요합니다. 설치를 시작하기 전에 사용할 DNS 레코드 및 IP 주소를 획득하고 Windows 서버의 네트워크 설정을 구성합니다.

Kerberos 인증 서비스를 설치하려는 경우 커넥터 서버에 대해 사용자 친화적이며 적절한 호스트 이름을 선택해야 합니다. Kerberos 인증이 구성된 경우 최종 사용자가 Workspace ONE Access Connector 호스트 이름을 볼 수 있습니다.

역방향 조회 구성은 선택 사항입니다. 역방향 조회를 구현할 때는 커넥터에서 올바른 네트워크 구성을 사용하도록 DNS 서버에서 PTR 레코드를 정의해야 합니다.

다음 DNS 레코드 샘플 목록을 사용할 수 있습니다. 샘플 정보를 사용자 환경의 정보로 바꿉니다. 이 예제에는 정방향 DNS 레코드 및 IP 주소가 표시됩니다.

표 4. 정방향 DNS 레코드 및 IP 주소 예제
도메인 이름 리소스 유형 IP 주소
myconnector.example.com A 10.28.128.3

이 예제에는 역방향 DNS 레코드 및 IP 주소가 표시됩니다.

표 5. 역방향 DNS 레코드 및 IP 주소 예제
IP 주소 리소스 유형 호스트 이름
10.28.128.3 PTR myconnector.example.com

DNS 구성을 완료한 후에 역방향 DNS 조회가 제대로 구성되어 있는지 확인합니다. 예를 들어 명령 host IPaddress는 DNS 이름 조회로 확인되어야 합니다.

로드 밸런서

Kerberos 인증에 대해 고가용성을 구성하려는 경우 로드 밸런서가 필요합니다.

시간 동기화

Workspace ONE Access 배포가 올바르게 진행되려면 모든 Workspace ONE Access 서비스 및 커넥터 인스턴스에서 시간 동기화를 구성해야 합니다. NTP 서버를 사용하여 시간 동기화를 설정합니다.