Als u de Workspace ONE Access Connector wilt implementeren, die de directorysynchronisatieservice, de gebruikersverificatieservice, de Kerberos-verificatieservice en de virtuele-appservice als onderdelen bevat, moet u ervoor zorgen dat uw Windows-server aan de nodige vereisten voldoet. Sommige vereisten variëren afhankelijk van de service die u installeert.

Compatibiliteit tussen de Workspace ONE Access-service en -connector

U kunt de Workspace ONE Access Connector gebruiken met de Workspace ONE Access Cloud-service of met de virtual appliance van de Workspace ONE Access-service op locatie.

Met de Workspace ONE Access Cloud-service kunt u alle ondersteunde versies van de connector gebruiken. Het gebruik van de nieuwste versie van de connector wordt echter aanbevolen.

Met een installatie van Workspace ONE Access op locatie kunt u ondersteunde connectorversies gebruiken die identiek zijn aan of lager zijn dan de Workspace ONE Access-serviceversie. Bijvoorbeeld: met de service Workspace ONE Access 22.09 kunt u connector 22.09 en vroegere versies gebruiken. U kunt geen connectorversie gebruiken die hoger is dan de serviceversie. U kunt de Connector 22.09 bijvoorbeeld niet gebruiken met de 21.08-service. U wordt aanbevolen de nieuwste compatibele versie van de connector te gebruiken.

Voor informatie over ondersteunde versies raadpleegt u https://www.vmware.com/support/policies/lifecycle.html.

Aantal vereiste servers

U kunt de directorysynchronisatie-, gebruikersverificatie-, Kerberos-verificatie- en virtuele-appservices samen op één Windows-server installeren of ze in een willekeurige combinatie, afhankelijk van uw voorkeuren, op afzonderlijke servers installeren. Als u alle services samen wilt installeren, heeft u een krachtigere server nodig. Als u services apart wilt installeren, heeft u meerdere servers nodig.

Er zijn meerdere servers vereist als u hoge beschikbaarheid voor een van de services wilt instellen.

Overweeg ook dat voor de Kerberos-verificatieservice een binnenkomende verbinding is vereist, maar niet voor de andere services.

Belangrijk: Als u meerdere services op één server installeert, zorgt u ervoor dat de server voldoet aan de geheugen-, berekenings- en opslagvereisten die zijn opgegeven in de richtlijnen voor grootte. Als u in het bijzonder de directorysynchronisatie- en virtuele-appservices installeert op dezelfde server, moet u ervoor zorgen dat de server voldoende geheugen en vCPU heeft voor beide services. Raadpleeg de richtlijnen voor de grootte voor meer informatie.

Hardwarevereisten

Zorg ervoor dat uw Windows-server aan de volgende hardwarevereisten voldoet.

  • Processor: Intel(R) Xeon(R) CPU E5-2650 0@2,00 GHZ (2 processoren) x64-bits processor of hoger
Tabel 1. Richtlijnen voor de grootte van de directorysynchronisatieservice alleen
Implementatiegrootte Hardwarevereisten voor de server van de directorysynchronisatieservice Aantal gebruikers en groepen
Klein

2 vCPU, 8 GB RAM, 40 GB schijfruimte

Java-geheugentoewijzing voor directorysynchronisatieservice: xmx=4g

 Maximaal 50.000 gebruikers en 500 groepen
Gemiddeld

4 vCPU, 8 GB RAM, 40 GB schijfruimte

Java-geheugentoewijzing voor directorysynchronisatieservice: xmx=4g

 Maximaal 100.000 gebruikers en 1000 groepen
Groot

8 vCPU, 12 GB RAM, 40 GB schijfruimte

Java-geheugentoewijzing voor directorysynchronisatieservice: xmx=8g

 Maximaal 200.000 gebruikers en 2000 groepen
Tabel 2. Richtlijnen voor de grootte van de gebruikersverificatieservice of Kerberos-verificatieservice alleen
Implementatiegrootte Hardwarevereisten voor de server van de gebruikersverificatieservice of Kerberos-verificatieservice Gebruikersverificatieservice Kerberos-verificatieservice
Klein/gemiddeld/groot

2 vCPU, 4 GB RAM, 40 GB schijfruimte

Java-geheugentoewijzing voor de gebruikersverificatieservice of Kerberos-verificatieservice: xmx=1g

 Wachtwoordverificaties: 390 - 480/min.

WSFed actieve stroom: 720 - 900/min

 Kerberos-verificaties: 420 - 480/min
Opmerking: De knooppunten van de gebruikersverificatieservice en de Kerberos-verificatieservice zijn niet verticaal schaalbaar. Voeg meer knooppunten toe voor een betere doorvoer.
Tabel 3. Richtlijnen voor de grootte van de virtuele-appservice alleen
Implementatiegrootte Hardwarevereisten voor de server van de virtuele-appservice Aantal virtuele apps en rechten
Klein/gemiddeld/groot

2 vCPU, 4 GB RAM, 40 GB schijfruimte

Java-geheugentoewijzing voor virtuele-appservice: xmx=1g

 Maximaal 500 virtuele apps met 125.000 rechten
Opmerking: Voor Citrix-integraties worden maximaal 630 gebruikers- of groepsrechten ondersteund voor elke resource.
Tabel 4. Richtlijnen voor de grootte voor alle services die op één server zijn geïnstalleerd
Implementatiegrootte Hardwarevereisten Aantal gebruikers en groepen
Klein

4 vCPU, 12 GB RAM, 50 GB schijfruimte

Java-geheugentoewijzing:

Directorysynchronisatieservice: xmx=4g

Kerberos-verificatieservice: xmx=1g

Gebruikersverificatieservice: xmx=1g

Virtuele-appservice: xmx=1g

 Maximaal 100.000 gebruikers en 1000 groepen
Gemiddeld

8 vCPU, 16 GB RAM, 50 GB schijfruimte

Java-geheugentoewijzing:

Directorysynchronisatieservice: xmx=8g

Kerberos-verificatieservice: xmx=1g

Gebruikersverificatieservice: xmx=1g

Virtuele-appservice: xmx=2g

 Maximaal 200.000 gebruikers en 2000 groepen
Groot

12 vCPU, 32 GB RAM, 80 GB schijfruimte

Java-geheugentoewijzing:

Directorysynchronisatieservice: xmx=12g

Kerberos-verificatieservice: xmx=1g

Gebruikersverificatieservice: xmx=1g

Virtuele-appservice: xmx=2g

 Maximaal 300.000 gebruikers en 3.000 groepen
Opmerking:
  • De geheugenvereisten zijn onder meer het besturingssysteem en de VMware Connector-onderdelen. Als u van plan bent om andere applicaties of services op de server uit te voeren, moet u de vereisten dienovereenkomstig aanpassen.
  • De Java-geheugentoewijzing voor elke service verwijst naar het Java-heapgeheugen. Standaard wordt 4 GB toegewezen aan de directorysynchronisatieservice, 1 GB aan de gebruikersverificatieservice, 1 GB aan de Kerberos-verificatieservice en 1 GB aan de virtuele-appservice. Zie Java-geheugen voor Workspace ONE Access Connector-bedrijfsservices uitbreiden voor informatie over het toewijzen van geheugen.
  • De groepen die worden vermeld voor de directorysynchronisatieservice, zijn allemaal van één niveau, elke groep bevat 500 gebruikers en elke gebruiker is gekoppeld aan 5 groepen.
  • Voor implementaties met grote groepen of geneste groepen is meer geheugen vereist.
  • Voor Citrix-integraties worden maximaal 630 gebruikers- of groepsrechten ondersteund voor elke resource.

Softwarevereisten

Zorg ervoor dat uw Windows-server aan de volgende softwarevereisten voldoet.

Vereiste Opmerkingen

Een van de volgende versies van Windows Server:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
 Alle bedrijfsservices (Directorysynchronisatie, Gebruikersverificatie, Kerberos-verificatie en Virtuele app) kunnen worden geïnstalleerd op een connector die wordt uitgevoerd in Windows Server 2022.
PowerShell Windows-servers bevatten standaard PowerShell.
.NET Framework 4.8 of hoger Windows-servers bevatten standaard .NET Framework. Voor Workspace ONE Access Connector is .NET Framework 4.8 of hoger vereist. Als .NET Framework niet is geïnstalleerd of niet overeenkomt met de vereiste versie, wordt u in het installatieprogramma van de connector gevraagd om de juiste versie te installeren tijdens de installatie.
Citrix Studio (Citrix PowerShell SDK) Alleen vereist als u de virtuele-appservice installeert en u van plan bent om virtuele Citrix-apps en -desktops te integreren. Citrix Studio bevat de PowerShell SDK, die vereist is voor de Citrix-integratie met Workspace ONE Access. De Citrix Studio-versie moet compatibel zijn met uw Citrix-implementatieversie. U kunt Citrix Studio installeren voor of nadat u de Workspace ONE Access Connector heeft geïnstalleerd. Raadpleeg de Citrix-documentatie voor informatie over het installeren van Citrix Studio.

Netwerkvereisten

Onderstaande tabel bevat de poortvereisten voor de connector. Zie https://ports.vmware.com/home/Workspace-ONE-Access voor de meest recente poortinformatie.

Voor het configureren van de vermelde poorten wordt ervan uitgegaan dat alle verkeer één richting uitgaat (uitgaand) van het brononderdeel naar het bestemmingsonderdeel. Een uitgaande proxy of andere software of hardware voor het beheer van verbindingen mag de uitgaande verbinding van de Workspace ONE Access Connector niet beëindigen of weigeren. De uitgaande verbinding moet te allen tijde geopend blijven.

Bron Bestemming Poort Protocol Opmerkingen
Workspace ONE Access Connector Workspace ONE Access-service (cloud)

Workspace ONE Access-servicehost (installaties op locatie)

 443 HTTPS

Standaardpoort; vereist.

Van toepassing op de service Directorysynchronisatie, Gebruikersverificatie, Kerberos-verificatie en Virtuele app.
Workspace ONE Access Connector Load balancer van de Workspace ONE Access-service (installaties op locatie) 443 HTTPS Van toepassing op de service Directorysynchronisatie, Gebruikersverificatie, Kerberos-verificatie en Virtuele app.
Browsers Workspace ONE Access Connector 443 HTTPS Vereist voor Kerberos-verificatieservice.
Workspace ONE Access Connector Active Directory 389, 636, 3268, 3269

Standaardpoorten; deze poorten kunnen worden geconfigureerd.

Van toepassing op de service Directorysynchronisatie. Ook van toepassing op de service Gebruikersverificatie als wachtwoordverificatie wordt gebruikt.
Workspace ONE Access Connector DNS-server 53 TCP/UDP

Elke connectorinstantie moet toegang hebben tot de DNS-server op poort 53.

Van toepassing op de service Directorysynchronisatie, Gebruikersverificatie, Kerberos-verificatie en Virtuele app.
Workspace ONE Access Connector Domeincontroller 88, 464, 135, 445 TCP/UDP Van toepassing op de service Directorysynchronisatie en Kerberos-verificatie.
Workspace ONE Access Connector RSA SecurID-server 5555

Standaardpoort; deze poort kan worden geconfigureerd.

Van toepassing op de service Gebruikersverificatie als RSA SecurID wordt gebruikt.
Workspace ONE Access Connector syslog-server 514 UDP

Standaardpoort; deze poort kan worden geconfigureerd.

Poort voor externe syslog-server, indien geconfigureerd. Van toepassing op de service Directorysynchronisatie, Gebruikersverificatie, Kerberos-verificatie en Virtuele app.
Workspace ONE Access Connector Horizon-verbindingsserver 443

Voor VMware Horizon-integraties.

Alleen van toepassing op de service Virtuele app.
Workspace ONE Access Connector Citrix StoreFront-server De poort die is geconfigureerd voor de Citrix StoreFront-server

Voor integratie met Citrix-implementaties.

Alleen van toepassing op de service Virtuele app.
Workspace ONE Access Connector Citrix XenApp- of XenDesktop-server 443

Voor integratie met Citrix-implementaties.

Alleen van toepassing op de service Virtuele app.
Browsers FQDN's voor clienttoegang geconfigureerd voor verzamelingen van virtuele Horizon- en Citrix-apps De poorten geconfigureerd voor de FQDN's voor clienttoegang Alleen van toepassing op de service Virtuele app.

Workspace ONE Access Cloud-IP-adressen

Zie https://kb.vmware.com/s/article/68035 voor de lijst met IP-adressen van de Workspace ONE Access Cloud-services waartoe Workspace ONE Access Connector toegang moet hebben.

Vereisten voor DNS-records en IP-adressen

Voor de connector zijn een DNS-vermelding en een statisch IP-adres vereist. Voordat u aan de installatie begint, moet u het DNS-record en IP-adres voor het gebruiken en configureren van de netwerkinstellingen van de Windows-server ophalen.

Zorg ervoor dat u een geschikte, gebruikersvriendelijke hostnaam voor de connector selecteert als u van plan bent om de Kerberos-verificatieservice te installeren. De hostnaam van Workspace ONE Access Connector is zichtbaar voor eindgebruikers wanneer Kerberos-verificatie is geconfigureerd.

Reverse lookup configureren is optioneel. Wanneer u reverse lookup implementeert, moet u een PTR-record definiëren op de DNS-server, zodat de connector de juiste netwerkconfiguratie gebruikt.

U kunt de volgende lijst met voorbeelden van DNS-records gebruiken. Vervang de voorbeeldinformatie door informatie uit uw omgeving. Dit voorbeeld toont forward DNS-records en IP-adressen.

Tabel 5. Voorbeeld van Forward DNS-records en IP-adressen
Domeinnaam Brontype IP-adres
myconnector.example.com De 10.28.128.3

Dit voorbeeld toont reverse DNS-records en IP-adressen.

Tabel 6. Voorbeeld van Reverse DNS-records en IP-adressen
IP-adres Brontype Hostnaam
10.28.128.3 PTR myconnector.example.com

Nadat u de configuratie vlan DNS heeft voltooid, controleert u of de reverse DNS-lookup goed is geconfigureerd. De opdracht host IPaddress moet bijvoorbeeld leiden tot het opzoeken van de DNS-naam.

Load balancer

Een load balancer is vereist voor Workspace ONE Access Connector als u hoge beschikbaarheid voor Kerberos-verificatie wilt configureren.

Tijdsynchronisatie

Het configureren van tijdsynchronisatie voor alle instanties van de Workspace ONE Access-service en -connector is vereist om een Workspace ONE Access-implementatie goed te laten functioneren. Stel tijdsynchronisatie in met behulp van een NTP-server.

Configureer de tijdsynchronisatie op de connectorserver voor de connector.

Proxyvereisten

De connector heeft toegang tot webservices op internet. Als uw netwerkconfiguratie internettoegang biedt via een HTTP-proxy, moet u uw proxyserver configureren. Tijdens of na de installatie voert u de informatie van de proxyserver in het installatieprogramma van de Workspace ONE Access Connector in.

Workspace ONE Access Connector ondersteunt de volgende typen proxy's:

  • Niet-geverifieerde HTTP-proxy's
  • Niet-geverifieerde HTTPS (SSL)-proxy's
  • Geverifieerde HTTPS (SSL)-proxy's
Opmerking: Zorg ervoor dat uw proxy alleen internetverkeer verwerkt. Als u er zeker van wilt zijn dat de proxy goed is ingesteld, moet u de parameter voor intern verkeer binnen het domein instellen op Geen proxy.