Als u de Workspace ONE Access Connector wilt implementeren, die de directorysynchronisatieservice, de gebruikersverificatieservice en de Kerberos-verificatieservice als onderdelen bevat, moet u ervoor zorgen dat uw Windows-server aan de nodige vereisten voldoet. Sommige vereisten variëren afhankelijk van de service die u installeert.
Compatibiliteit tussen de Workspace ONE Access-service en -connector
U kunt de Workspace ONE Access Connector gebruiken met de Workspace ONE Access Cloud-service of met de virtual appliance van de Workspace ONE Access-service op locatie.
Met de Workspace ONE Access Cloud-service kunt u alle ondersteunde versies van de connector gebruiken. Het gebruik van de nieuwste versie van de connector wordt echter aanbevolen.
Met de Workspace ONE Access-service op locatie kunt u ondersteunde connectorversies gebruiken die identiek zijn aan of lager zijn dan de serviceversie. Met de Workspace ONE Access 20.10-service kunt u bijvoorbeeld Connector 20.10 en lagere versies gebruiken. U kunt geen connectorversie gebruiken die hoger is dan de serviceversie. U kunt de 20.10 Connector bijvoorbeeld niet gebruiken met de 20.01-service. U wordt aanbevolen de nieuwste compatibele versie van de connector te gebruiken.
Voor informatie over ondersteunde versies raadpleegt u https://www.vmware.com/support/policies/lifecycle.html.
Aantal vereiste servers
U kunt de directorysynchronisatie-, gebruikersverificatie- en Kerberos-verificatieservices samen op één Windows-server installeren of ze in een willekeurige combinatie, afhankelijk van uw voorkeuren, op afzonderlijke servers installeren. Als u alle services samen wilt installeren, heeft u een krachtigere server nodig. Als u de services afzonderlijk wilt installeren, heeft u meerdere servers nodig.
Er zijn meerdere servers vereist als u hoge beschikbaarheid voor een van de services wilt instellen.
Overweeg ook dat voor de Kerberos-verificatieservice een binnenkomende verbinding is vereist, maar niet voor de andere services.
Hardwarevereisten
Zorg ervoor dat uw Windows-server aan de volgende hardwarevereisten voldoet.
- Processor: Intel(R) Xeon(R) CPU E5-2650 0@2,00 GHZ (2 processoren) x64-bits processor of hoger
| Implementatiegrootte | Hardwarevereisten | Aantal gebruikers en groepen |
|---|---|---|
| Klein | 2 vCPU, 8 GB RAM, 40 GB schijfruimte Java-geheugentoewijzing voor directorysynchronisatieservice: xmx=4g |
Maximaal 50.000 gebruikers en 500 groepen |
| Gemiddeld | 4 vCPU, 8 GB RAM, 40 GB schijfruimte Java-geheugentoewijzing voor directorysynchronisatieservice: xmx=4g |
Maximaal 100.000 gebruikers en 1000 groepen |
| Groot | 8 vCPU, 12 GB RAM, 40 GB schijfruimte Java-geheugentoewijzing voor directorysynchronisatieservice: xmx=8g |
Maximaal 200.000 gebruikers en 2000 groepen |
| Implementatiegrootte | Hardwarevereisten voor de server voor de gebruikersverificatie- of Kerberos-verificatieservice | Gebruikersverificatieservice | Kerberos-verificatieservice |
|---|---|---|---|
| Klein/gemiddeld/groot | 2 vCPU, 4 GB RAM, 40 GB schijfruimte Java-geheugentoewijzing voor de gebruikersverificatieservice of Kerberos-verificatieservice: xmx=1g |
Wachtwoordverificaties: 390 - 480/min. WSFed actieve stroom: 720 - 900/min |
Kerberos-verificaties: 420 - 480/min |
| Implementatiegrootte | Hardwarevereisten | Synchronisatie van directory |
|---|---|---|
| Klein | 2 vCPU, 8 GB RAM, 40 GB schijfruimte Java-geheugentoewijzing: Directorysynchronisatieservice: xmx=4g Kerberos-verificatieservice: xmx=1g Gebruikersverificatieservice: xmx=1g |
Maximaal 50.000 gebruikers en 500 groepen |
| Gemiddeld | 4 vCPU, 8 GB RAM, 40 GB schijfruimte Java-geheugentoewijzing: Directorysynchronisatieservice: xmx=4g Kerberos-verificatieservice: xmx=1g Gebruikersverificatieservice: xmx=1g |
Maximaal 100.000 gebruikers en 1000 groepen |
| Groot | 8 vCPU, 16GB RAM, 40 GB schijfruimte Java-geheugentoewijzing: Directorysynchronisatieservice: xmx=8g Kerberos-verificatieservice: xmx=1g Gebruikersverificatieservice: xmx=1g |
Maximaal 200.000 gebruikers en 2000 groepen |
- De geheugenvereisten zijn onder meer het besturingssysteem en de VMware Connector-onderdelen. Als u van plan bent om andere applicaties of services op de server uit te voeren, moet u de vereisten dienovereenkomstig aanpassen.
- De Java-geheugentoewijzing voor elke service verwijst naar het Java-heapgeheugen. Standaard wordt 4 GB toegewezen aan de directorysynchronisatieservice, 1 GB aan de gebruikersverificatieservice en 1 GB aan de Kerberos-verificatieservice. Zie Java-geheugen voor bedrijfsservices uitbreiden voor informatie over het toewijzen van geheugen.
- De groepen die worden vermeld voor de directorysynchronisatieservice, zijn allemaal van één niveau, elke groep bevat 500 gebruikers en elke gebruiker is gekoppeld aan 5 groepen.
- Voor implementaties met grote groepen of geneste groepen is meer geheugen vereist.
Softwarevereisten
Zorg ervoor dat uw Windows-server aan de volgende softwarevereisten voldoet.
| Vereiste | Opmerkingen |
|---|---|
| Windows Server 2019 of Windows Server 2016 of Windows Server 2012 R2 |
|
| PowerShell | Windows-servers bevatten standaard PowerShell. |
| .NET Framework 4.6.2 of hoger | Windows-servers bevatten standaard .NET Framework. Voor de Workspace ONE Access Connector is .NET Framework 4.6.2 of hoger vereist. |
Netwerkvereisten
Onderstaande tabel bevat de poortvereisten voor de connector. Zie https://ports.vmware.com/home/Workspace-ONE-Access voor de meest recente poortinformatie.
Voor het configureren van de onderstaande poorten wordt ervan uitgegaan dat alle verkeer één richting uitgaat (uitgaand) van het brononderdeel naar het bestemmingsonderdeel. Een uitgaande proxy of andere software of hardware voor het beheer van verbindingen mag de uitgaande verbinding van de Workspace ONE Access Connector niet beëindigen of weigeren. De uitgaande verbinding moet te allen tijde geopend blijven.
| Bron | Bestemming | Poort | Protocol | Opmerkingen |
|---|---|---|---|---|
| Workspace ONE Access Connector | Workspace ONE Access-service (cloud) Workspace ONE Access-servicehost (installaties op locatie) |
443 | HTTPS | Standaardpoort; vereist Van toepassing op de directorysynchronisatieservice, de gebruikersverificatieservice en de Kerberos-verificatieservice |
| Workspace ONE Access Connector | Load balancer van de Workspace ONE Access-service (installaties op locatie) | 443 | HTTPS | Van toepassing op de directorysynchronisatieservice, de gebruikersverificatieservice en de Kerberos-verificatieservice |
| Browsers | Workspace ONE Access Connector | 443 | HTTPS | Vereist voor Kerberos-verificatieservice |
| Workspace ONE Access Connector | Active Directory | 389, 636, 3268, 3269 | Standaardpoorten; deze poorten kunnen worden geconfigureerd Van toepassing op de directorysynchronisatieservice. Ook van toepassing op de gebruikersverificatieservice als wachtwoordverificatie wordt gebruikt. |
|
| Workspace ONE Access Connector | DNS-server | 53 | TCP/UDP | Elke connectorinstantie moet toegang hebben tot de DNS-server op poort 53 en binnenkomend SSH-verkeer moet zijn toegestaan op poort 22. Van toepassing op de directorysynchronisatieservice, de gebruikersverificatieservice en de Kerberos-verificatieservice. |
| Workspace ONE Access Connector | Domeincontroller | 88, 464, 135, 445 | TCP/UDP | Van toepassing op de directorysynchronisatieservice en de Kerberos-verificatieservice |
| Workspace ONE Access Connector | RSA SecurID-systeem | 5500 | Standaardpoort; deze poort kan worden geconfigureerd Van toepassing op de gebruikersverificatieservice als RSA SecurID wordt gebruikt |
|
| Workspace ONE Access Connector | syslog-server | 514 | UDP | Standaardpoort; deze poort kan worden geconfigureerd Poort voor externe syslog-server, indien geconfigureerd. Van toepassing op de directorysynchronisatieservice, de gebruikersverificatieservice en de Kerberos-verificatieservice |
IP-adressen van Workspace ONE Access Cloud
Zie https://kb.vmware.com/s/article/68035 voor de lijst met IP-adressen van de Workspace ONE Access Cloud-services waartoe Workspace ONE Access Connector toegang moet hebben.
Vereisten voor DNS-records en IP-adressen
Voor de connector zijn een DNS-vermelding en een statisch IP-adres vereist. Voordat u aan de installatie begint, moet u het DNS-record en IP-adres voor het gebruiken en configureren van de netwerkinstellingen van de Windows-server ophalen.
Zorg ervoor dat u een geschikte, gebruikersvriendelijke hostnaam voor de connector selecteert als u van plan bent om de Kerberos-verificatieservice te installeren. De hostnaam van Workspace ONE Access Connector is zichtbaar voor eindgebruikers wanneer Kerberos-verificatie is geconfigureerd.
Reverse lookup configureren is optioneel. Wanneer u reverse lookup implementeert, moet u een PTR-record definiëren op de DNS-server, zodat de connector de juiste netwerkconfiguratie gebruikt.
U kunt de volgende lijst met voorbeelden van DNS-records gebruiken. Vervang de voorbeeldinformatie door informatie uit uw omgeving. Dit voorbeeld toont forward DNS-records en IP-adressen.
| Domeinnaam | Brontype | IP-adres |
|---|---|---|
| myconnector.example.com | De | 10.28.128.3 |
Dit voorbeeld toont reverse DNS-records en IP-adressen.
| IP-adres | Brontype | Hostnaam |
|---|---|---|
| 10.28.128.3 | PTR | myconnector.example.com |
Nadat u de configuratie vlan DNS heeft voltooid, controleert u of de reverse DNS-lookup goed is geconfigureerd. De opdracht host IPaddress moet bijvoorbeeld leiden tot het opzoeken van de DNS-naam.
Load balancer
Een load balancer is vereist als u hoge beschikbaarheid voor Kerberos-verificatie wilt configureren.
Tijdsynchronisatie
Het configureren van tijdsynchronisatie voor alle instanties van de Workspace ONE Access-service en -connector is vereist om een Workspace ONE Access-implementatie goed te laten functioneren. Stel tijdsynchronisatie in met behulp van een NTP-server.
Proxyvereisten
De connector heeft toegang tot webservices op internet. Als uw netwerkconfiguratie internettoegang biedt via een HTTP-proxy, moet u uw proxyserver configureren. Tijdens of na de installatie voert u de informatie van de proxyserver in het installatieprogramma van de Workspace ONE Access Connector in.
