Als u de Workspace ONE Access Connector wilt implementeren, die de directorysynchronisatieservice, de gebruikersverificatieservice en de Kerberos-verificatieservice als onderdelen bevat, moet u ervoor zorgen dat uw Windows-server aan de nodige vereisten voldoet. Sommige vereisten variëren afhankelijk van de service die u installeert.

Compatibiliteit tussen de Workspace ONE Access-service en -connector

U kunt de Workspace ONE Access Connector gebruiken met de Workspace ONE Access Cloud-service of met de virtual appliance van de Workspace ONE Access-service op locatie.

Met de Workspace ONE Access Cloud-service kunt u alle ondersteunde versies van de connector gebruiken. Het gebruik van de nieuwste versie van de connector wordt echter aanbevolen.

Met de Workspace ONE Access-service op locatie kunt u ondersteunde connectorversies gebruiken die identiek zijn aan of lager zijn dan de serviceversie. Met de Workspace ONE Access 20.10-service kunt u bijvoorbeeld Connector 20.10 en lagere versies gebruiken. U kunt geen connectorversie gebruiken die hoger is dan de serviceversie. U kunt de 20.10 Connector bijvoorbeeld niet gebruiken met de 20.01-service. U wordt aanbevolen de nieuwste compatibele versie van de connector te gebruiken.

Voor informatie over ondersteunde versies raadpleegt u https://www.vmware.com/support/policies/lifecycle.html.

Aantal vereiste servers

U kunt de directorysynchronisatie-, gebruikersverificatie- en Kerberos-verificatieservices samen op één Windows-server installeren of ze in een willekeurige combinatie, afhankelijk van uw voorkeuren, op afzonderlijke servers installeren. Als u alle services samen wilt installeren, heeft u een krachtigere server nodig. Als u de services afzonderlijk wilt installeren, heeft u meerdere servers nodig.

Er zijn meerdere servers vereist als u hoge beschikbaarheid voor een van de services wilt instellen.

Overweeg ook dat voor de Kerberos-verificatieservice een binnenkomende verbinding is vereist, maar niet voor de andere services.

Hardwarevereisten

Zorg ervoor dat uw Windows-server aan de volgende hardwarevereisten voldoet.

  • Besturingssysteem: Windows Server 2012R2 Standard 64-bits of hoger
  • Processor: Intel(R) Xeon(R) CPU E5-2650 0@2,00 GHZ (2 processoren) x64-bits processor of hoger
Tabel 1. Richtlijnen voor de grootte van de directorysynchronisatieservice alleen
Implementatiegrootte Hardwarevereisten Aantal gebruikers en groepen
Klein 2 vCPU, 8 GB RAM, 40 GB schijfruimte

Java-geheugentoewijzing voor directorysynchronisatieservice: xmx=4g

Maximaal 50.000 gebruikers en 500 groepen
Gemiddeld 4 vCPU, 8 GB RAM, 40 GB schijfruimte

Java-geheugentoewijzing voor directorysynchronisatieservice: xmx=4g

Maximaal 100.000 gebruikers en 1000 groepen
Groot 8 vCPU, 12 GB RAM, 40 GB schijfruimte

Java-geheugentoewijzing voor directorysynchronisatieservice: xmx=8g

Maximaal 200.000 gebruikers en 2000 groepen
Tabel 2. Richtlijnen voor de grootte van de gebruikersverificatieservice of Kerberos-verificatieservice alleen
Implementatiegrootte Hardwarevereisten voor de server voor de gebruikersverificatie- of Kerberos-verificatieservice Gebruikersverificatieservice Kerberos-verificatieservice
Klein/gemiddeld/groot 2 vCPU, 4 GB RAM, 40 GB schijfruimte

Java-geheugentoewijzing voor de gebruikersverificatieservice of Kerberos-verificatieservice: xmx=1g

Wachtwoordverificaties: 390 - 480/min.

WSFed actieve stroom: 720 - 900/min

Kerberos-verificaties: 420 - 480/min
Opmerking: De knooppunten van de gebruikersverificatieservice en de Kerberos-verificatieservice zijn niet verticaal schaalbaar. Voeg meer knooppunten toe voor een betere doorvoer.
Tabel 3. Richtlijnen voor de grootte voor alle services die op één server zijn geïnstalleerd
Implementatiegrootte Hardwarevereisten Synchronisatie van directory
Klein 2 vCPU, 8 GB RAM, 40 GB schijfruimte

Java-geheugentoewijzing:

Directorysynchronisatieservice: xmx=4g

Kerberos-verificatieservice: xmx=1g

Gebruikersverificatieservice: xmx=1g

Maximaal 50.000 gebruikers en 500 groepen
Gemiddeld 4 vCPU, 8 GB RAM, 40 GB schijfruimte

Java-geheugentoewijzing:

Directorysynchronisatieservice: xmx=4g

Kerberos-verificatieservice: xmx=1g

Gebruikersverificatieservice: xmx=1g

Maximaal 100.000 gebruikers en 1000 groepen
Groot 8 vCPU, 16GB RAM, 40 GB schijfruimte

Java-geheugentoewijzing:

Directorysynchronisatieservice: xmx=8g

Kerberos-verificatieservice: xmx=1g

Gebruikersverificatieservice: xmx=1g

Maximaal 200.000 gebruikers en 2000 groepen
Opmerking:
  • De geheugenvereisten zijn onder meer het besturingssysteem en de VMware Connector-onderdelen. Als u van plan bent om andere applicaties of services op de server uit te voeren, moet u de vereisten dienovereenkomstig aanpassen.
  • De Java-geheugentoewijzing voor elke service verwijst naar het Java-heapgeheugen. Standaard wordt 4 GB toegewezen aan de directorysynchronisatieservice, 1 GB aan de gebruikersverificatieservice en 1 GB aan de Kerberos-verificatieservice. Zie Java-geheugen voor bedrijfsservices uitbreiden voor informatie over het toewijzen van geheugen.
  • De groepen die worden vermeld voor de directorysynchronisatieservice, zijn allemaal van één niveau, elke groep bevat 500 gebruikers en elke gebruiker is gekoppeld aan 5 groepen.
  • Voor implementaties met grote groepen of geneste groepen is meer geheugen vereist.

Softwarevereisten

Zorg ervoor dat uw Windows-server aan de volgende softwarevereisten voldoet.

Vereiste Opmerkingen

Windows Server 2019 of

Windows Server 2016 of

Windows Server 2012 R2

PowerShell Windows-servers bevatten standaard PowerShell.
.NET Framework 4.6.2 of hoger Windows-servers bevatten standaard .NET Framework. Voor de Workspace ONE Access Connector is .NET Framework 4.6.2 of hoger vereist.

Netwerkvereisten

Voor het configureren van de onderstaande poorten wordt ervan uitgegaan dat alle verkeer één richting uitgaat (uitgaand) van het brononderdeel naar het bestemmingsonderdeel. Een uitgaande proxy of andere software of hardware voor het beheer van verbindingen mag de uitgaande verbinding van de Workspace ONE Access Connector niet beëindigen of weigeren. De uitgaande verbinding moet te allen tijde geopend blijven.

Bron Bestemming Poort Protocol Opmerkingen
Workspace ONE Access Connector Workspace ONE Access-service (cloud)

Workspace ONE Access-servicehost (installaties op locatie)

443 HTTPS Standaardpoort; vereist

Van toepassing op de directorysynchronisatieservice, de gebruikersverificatieservice en de Kerberos-verificatieservice

Workspace ONE Access Connector Load balancer van de Workspace ONE Access-service (installaties op locatie) 443 HTTPS Van toepassing op de directorysynchronisatieservice, de gebruikersverificatieservice en de Kerberos-verificatieservice
Browsers Workspace ONE Access Connector 443 HTTPS Vereist voor Kerberos-verificatieservice
Workspace ONE Access Connector Active Directory 389, 636, 3268, 3269 Standaardpoorten; deze poorten kunnen worden geconfigureerd

Van toepassing op de directorysynchronisatieservice. Ook van toepassing op de gebruikersverificatieservice als wachtwoordverificatie wordt gebruikt.

Workspace ONE Access Connector DNS-server 53 TCP/UDP Elke connectorinstantie moet toegang hebben tot de DNS-server op poort 53 en binnenkomend SSH-verkeer moet zijn toegestaan op poort 22.

Van toepassing op de directorysynchronisatieservice, de gebruikersverificatieservice en de Kerberos-verificatieservice.

Workspace ONE Access Connector Domeincontroller 88, 464, 135, 445 TCP/UDP Van toepassing op de directorysynchronisatieservice en de Kerberos-verificatieservice
Workspace ONE Access Connector RSA SecurID-systeem 5500 Standaardpoort; deze poort kan worden geconfigureerd

Van toepassing op de gebruikersverificatieservice als RSA SecurID wordt gebruikt

Workspace ONE Access Connector syslog-server 514 UDP Standaardpoort; deze poort kan worden geconfigureerd

Poort voor externe syslog-server, indien geconfigureerd. Van toepassing op de directorysynchronisatieservice, de gebruikersverificatieservice en de Kerberos-verificatieservice

IP-adressen van Workspace ONE Access Cloud

Zie https://kb.vmware.com/s/article/68035 voor de lijst met IP-adressen van de Workspace ONE Access Cloud-services waartoe Workspace ONE Access Connector toegang moet hebben.

Vereisten voor DNS-records en IP-adressen

Voor de connector zijn een DNS-vermelding en een statisch IP-adres vereist. Voordat u aan de installatie begint, moet u het DNS-record en IP-adres voor het gebruiken en configureren van de netwerkinstellingen van de Windows-server ophalen.

Zorg ervoor dat u een geschikte, gebruikersvriendelijke hostnaam voor de connector selecteert als u van plan bent om de Kerberos-verificatieservice te installeren. De hostnaam van Workspace ONE Access Connector is zichtbaar voor eindgebruikers wanneer Kerberos-verificatie is geconfigureerd.

Reverse lookup configureren is optioneel. Wanneer u reverse lookup implementeert, moet u een PTR-record definiëren op de DNS-server, zodat de connector de juiste netwerkconfiguratie gebruikt.

U kunt de volgende lijst met voorbeelden van DNS-records gebruiken. Vervang de voorbeeldinformatie door informatie uit uw omgeving. Dit voorbeeld toont forward DNS-records en IP-adressen.

Tabel 4. Voorbeeld van Forward DNS-records en IP-adressen
Domeinnaam Brontype IP-adres
myconnector.example.com De 10.28.128.3

Dit voorbeeld toont reverse DNS-records en IP-adressen.

Tabel 5. Voorbeeld van Reverse DNS-records en IP-adressen
IP-adres Brontype Hostnaam
10.28.128.3 PTR myconnector.example.com

Nadat u de configuratie vlan DNS heeft voltooid, controleert u of de reverse DNS-lookup goed is geconfigureerd. De opdracht host IPaddress moet bijvoorbeeld leiden tot het opzoeken van de DNS-naam.

Load balancer

Een load balancer is vereist als u hoge beschikbaarheid voor Kerberos-verificatie wilt configureren.

Tijdsynchronisatie

Het configureren van tijdsynchronisatie voor alle instanties van de Workspace ONE Access-service en -connector is vereist om een Workspace ONE Access-implementatie goed te laten functioneren. Stel tijdsynchronisatie in met behulp van een NTP-server.

Proxyvereisten

De connector heeft toegang tot webservices op internet. Als uw netwerkconfiguratie internettoegang biedt via een HTTP-proxy, moet u uw proxyserver configureren. Tijdens of na de installatie voert u de informatie van de proxyserver in het installatieprogramma van de Workspace ONE Access Connector in.

Opmerking: Zorg ervoor dat uw proxy alleen internetverkeer verwerkt. Als u er zeker van wilt zijn dat de proxy goed is ingesteld, moet u de parameter voor intern verkeer binnen het domein instellen op Geen proxy.