Системные требования к соединителю Workspace ONE Access Connector 23.09

Совместимость между службой и соединителем Workspace ONE Access

Workspace ONE Access Connector можно использовать с облачной службой Workspace ONE Access или локальным виртуальным устройством службы Workspace ONE Access.

С облачной службой Workspace ONE Access можно использовать все поддерживаемые версии соединителя. Тем не менее рекомендуется использовать последнюю версию соединителя.

При локальной установке Workspace ONE Access можно использовать поддерживаемые версии соединителя, которые совпадают с версией службы Workspace ONE Access или являются более старыми. Например, со службой Workspace ONE Access версии 22.09 можно использовать соединитель версии 22.09 и более ранних версий. Нельзя использовать версию соединителя, которая новее версии службы. Например, соединитель версии 22.09 невозможно использовать со службой версии 21.08. Рекомендуется использовать соединитель последней совместимой версии.

Сведения о поддерживаемых версиях см. по адресу https://www.vmware.com/support/policies/lifecycle.html.

Количество требуемых серверов

Службы синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos, а также службу виртуальных приложений можно установить на одном сервере Windows или на отдельных серверах в любой комбинации, в зависимости от настроек. Чтобы установить все службы вместе, необходим более мощный сервер. Чтобы установить службы отдельно, необходимо получить доступ к нескольким серверам.

Если необходимо настроить высокую доступность для любой из служб, также потребуется несколько серверов.

Кроме того, следует учесть, что служба проверки подлинности Kerberos требует наличия входящих подключений, а другие службы — нет.

Важно!: При установке нескольких служб на одном сервере убедитесь, что сервер отвечает требованиям к памяти, вычислительным ресурсам и хранилищу, указанным в рекомендациях по масштабированию. В частности, если служба синхронизации каталогов и служба виртуальных приложений устанавливаются на одном сервере, необходимо убедиться, что на сервере достаточно памяти и мощности виртуального процессора для обеих служб. Дополнительные сведения см. в рекомендациях по масштабированию.

Требования к оборудованию

Убедитесь, что сервер Windows отвечает следующим требованиям к оборудованию.

Процессор: x64 Intel(R) Xeon(R) E5-2650, 0@2,00 ГГц (2 процессора) или более производительный

Табл. 1. Рекомендации по масштабу для службы синхронизации каталогов
Масштаб развертывания	Требования к оборудованию для сервера службы синхронизации каталогов	Количество пользователей и групп
Небольшой	2 виртуальных ЦП, 8 ГБ ОЗУ, 40 ГБ дискового пространства Выделение памяти Java для службы синхронизации каталогов: xmx=4g	До 50 000 пользователей и 500 групп
Средний	4 виртуальных ЦП, 8 ГБ ОЗУ, 40 ГБ дискового пространства Выделение памяти Java для службы синхронизации каталогов: xmx=4g	До 100 000 пользователей и 1 000 групп
Большой	8 виртуальных ЦП, 12 ГБ ОЗУ, 40 ГБ дискового пространства Выделение памяти Java для службы синхронизации каталогов: xmx=8g	До 200 000 пользователей и 2 000 групп

Табл. 2. Рекомендации по масштабированию только для службы проверки подлинности пользователя или только службы проверки подлинности Kerberos
Масштаб развертывания	Требования к оборудованию для сервера службы проверки подлинности пользователей или службы проверки подлинности Kerberos	Служба проверки подлинности пользователей	Служба проверки подлинности Kerberos
Малый, средний или большой	2 виртуальных ЦП, 4 ГБ ОЗУ, 40 ГБ дискового пространства Выделение памяти Java для службы проверки подлинности Kerberos: xmx=1g	Проверка подлинности с помощью пароля: 390–480/мин Активный поток WS-Fed: 720–900/мин	Проверка подлинности Kerberos: 420–480/мин

Примечание: Узлы службы проверки подлинности пользователей и проверки подлинности Kerberos не масштабируются вертикально. Для увеличения пропускной способности добавьте дополнительные узлы.

Табл. 3. Рекомендации по масштабированию только для службы виртуальных приложений
Масштаб развертывания	Требования к оборудованию для сервера службы виртуальных приложений	Количество виртуальных приложений и прав
Малый, средний или большой	2 виртуальных ЦП, 4 ГБ ОЗУ, 40 ГБ дискового пространства Выделение памяти Java для службы виртуальных приложений: xmx=1g	До 500 виртуальных приложений со 125 000 правами

Примечание: При интеграции каждого из ресурсов Citrix поддерживается не более 630 прав пользователей или групп.

Табл. 4. Рекомендации по масштабированию для сценария, когда все службы установлены на одном сервере
Масштаб развертывания	Требования к оборудованию	Количество пользователей и групп
Небольшой	4 виртуальных ЦП, 12 ГБ ОЗУ, 50 ГБ дискового пространства Выделение памяти Java: Служба синхронизации каталогов: xmx=4g Служба проверки подлинности Kerberos: xmx=1g Служба проверки подлинности пользователей: xmx=1g Служба виртуальных приложений: xmx=1g	До 100 000 пользователей и 1 000 групп
Средний	8 виртуальных ЦП, 16 ГБ ОЗУ, 50 ГБ дискового пространства Выделение памяти Java: Служба синхронизации каталогов: xmx=8g Служба проверки подлинности Kerberos: xmx=1g Служба проверки подлинности пользователей: xmx=1g Служба виртуальных приложений: xmx=2g	До 200 000 пользователей и 2 000 групп
Большой	12 виртуальных ЦП, 32 ГБ ОЗУ, 80 ГБ дискового пространства Выделение памяти Java: Служба синхронизации каталогов: xmx=12g Служба проверки подлинности Kerberos: xmx=1g Служба проверки подлинности пользователей: xmx=1g Служба виртуальных приложений: xmx=2g	До 300 000 пользователей и 3 000 групп

Примечание:

Требования к памяти включают в себя ОС и компоненты соединителя VMware. Если планируется запускать на сервере любые другие приложения или службы, скорректируйте требования соответствующим образом.
Выделение памяти Java, указанное для каждой службы, относится к памяти в куче Java. По умолчанию 4 ГБ выделены службе синхронизации каталогов, 1 ГБ — службе проверки подлинности пользователей, 1 ГБ — службе проверки подлинности Kerberos и 1 ГБ — службе виртуальных приложений. Сведения о выделении памяти см. в разделе Увеличение объема памяти Java для корпоративных служб Workspace ONE Access Connector.
Группы, указанные для службы синхронизации каталогов, являются одноуровневыми. Каждая группа содержит 500 пользователей, а каждый пользователь связан с пятью группами.
Для развертываний с большими или вложенными группами потребуется больше памяти.
При интеграции каждого из ресурсов Citrix поддерживается не более 630 прав пользователей или групп.

Требования к программному обеспечению

Убедитесь, что сервер Windows отвечает следующим требованиям к программному обеспечению.

Требования	Примечания
Одна из указанных ниже версий Windows Server. Windows Server 2022 Windows Server 2019 Windows Server 2016	Корпоративные службы — синхронизация каталогов, проверка подлинности пользователей и проверка подлинности Kerberos, а также службы виртуальных приложений — можно установить на соединителе, который работает в Windows Server 2022.
PowerShell	На серверах Windows по умолчанию установлен компонент PowerShell.
.NET Framework 4.8 или более поздней версии	На серверах Windows по умолчанию установлен компонент .NET Framework. Для Workspace ONE Access Connector требуется .NET Framework 4.8 или более поздней версии. Если платформа .NET Framework не установлена или не соответствует требуемой версии, установщик соединителя предложит установить правильную версию во время установки.
Citrix Studio (комплект Citrix PowerShell SDK)	Требуется указать, только если вы устанавливаете службу виртуальных приложений и планируете интегрировать виртуальные приложения и настольные компьютеры Citrix. Citrix Studio включает в себя комплект PowerShell SDK, который требуется для интеграции Citrix с Workspace ONE Access. Версия Citrix Studio должна быть совместима с версией развернутой среды Citrix. Citrix Studio можно установить до или после установки Workspace ONE Access Connector. Дополнительные сведения об установке Citrix Studio см. в документации Citrix.

Требования к сети

В таблице ниже перечислены требования к портам для соединителя. Последние сведения о портах см. в статье https://ports.vmware.com/home/Workspace-ONE-Access.

Для настройки перечисленных портов весь трафик должен быть однонаправленным (исходящим) от компонента-источника к компоненту-цели. Прокси для исходящего трафика или иное программное либо аппаратное обеспечение управления соединением не должно останавливать либо отказывать в приеме исходящего соединения от Workspace ONE Access Connector. Исходящее подключение должно оставаться открытым постоянно.

Источник	Назначение	Порт	Протокол	Примечания
Workspace ONE Access Connector	Служба Workspace ONE Access (облачная) Узел службы Workspace ONE Access (локальные установки)	443	HTTPS	Порт по умолчанию, обязательно. Относится к службе синхронизации каталогов, службе проверки подлинности пользователей, службе проверки подлинности Kerberos и службе виртуальных приложений.
Workspace ONE Access Connector	Подсистема балансировки нагрузки службы Workspace ONE Access (локальные установки)	443	HTTPS	Относится к службе синхронизации каталогов, службе проверки подлинности пользователей, службе проверки подлинности Kerberos и службе виртуальных приложений.
Браузеры	Workspace ONE Access Connector	443	HTTPS	Обязательно для службы проверки подлинности Kerberos.
Workspace ONE Access Connector	Active Directory	389, 636, 3268, 3269		Порты по умолчанию; эти порты настраиваемые. Относится к службе синхронизации каталогов. Также относится к службе проверки подлинности пользователей, если используется проверка подлинности с помощью пароля.
Workspace ONE Access Connector	Сервер DNS	53	TCP/UDP	Каждый экземпляр соединителя должен иметь доступ к серверу DNS через порт 53. Относится к службе синхронизации каталогов, службе проверки подлинности пользователей, службе проверки подлинности Kerberos и службе виртуальных приложений.
Workspace ONE Access Connector	Контроллер домена	88, 464, 135, 445	TCP/UDP	Относится к службе синхронизации каталогов и службе проверки подлинности Kerberos.
Workspace ONE Access Connector	сервер RSA SecurID	5555		Порт по умолчанию; этот порт настраиваемый. Относится к службе проверки подлинности пользователей, если используется проверка подлинности RSA SecurID.
Workspace ONE Access Connector	сервер syslog	514	UDP	Порт по умолчанию; этот порт настраиваемый. Порт для внешнего сервера системного журнала, если настроен. Относится к службе синхронизации каталогов, службе проверки подлинности пользователей, службе проверки подлинности Kerberos и службе виртуальных приложений.
Workspace ONE Access Connector	Horizon Connection Server	443		Для интеграций VMware Horizon. Относится только к службе виртуальных приложений.
Workspace ONE Access Connector	Сервер Citrix StoreFront	Порт, настроенный для сервера Citrix StoreFront		Для интеграции с развертываниями Citrix. Относится только к службе виртуальных приложений.
Workspace ONE Access Connector	Сервер Citrix XenApp или XenDesktop	443		Для интеграции с развертываниями Citrix. Относится только к службе виртуальных приложений.
Браузеры	Полные доменные имена (FQDN) клиентского доступа, настроенные для коллекций виртуальных приложений Horizon и Citrix	Порты, настроенные для полных доменных имен (FQDN) клиентского доступа		Относится только к службе виртуальных приложений.

IP-адреса облачной службы Workspace ONE Access

Список IP-адресов облачной службы Workspace ONE Access, к которым необходим доступ для Workspace ONE Access Connector, см. в разделе https://kb.vmware.com/s/article/68035.

Требования к DNS-записям и IP-адресам

Для соединителя необходима DNS-запись и статический IP-адрес. Перед началом установки получите DNS-запись и IP-адрес и настройте сетевые параметры сервера Windows.

Если планируется установить службу проверки подлинности Kerberos, выберите подходящее и удобное имя узла для сервера соединителя. Если настроена проверка подлинности Kerberos, имя узла Workspace ONE Access Connector отображается для конечных пользователей.

Настройка обратного просмотра необязательна. При реализации обратного просмотра необходимо определить на сервере DNS запись PTR. Это позволит соединителю использовать правильные настройки сети.

Вы можете использовать следующий образец списка DNS-записей. Замените эти образцы сведениями из вашей среды. В этом примере показана DNS-запись и IP-адрес для перенаправления.

Табл. 5. Пример DNS-записи и IP-адреса для перенаправления
Доменное имя	Тип ресурса	IP-адрес
myconnector.example.com	A	10.28.128.3

В этом примере показана DNS-запись и IP-адрес для обратного перенаправления.

Табл. 6. Пример DNS-записи и IP-адреса для обратного перенаправления
IP-адрес	Тип ресурса	Имя узла
10.28.128.3	PTR	myconnector.example.com

После настройки DNS убедитесь, что обратный просмотр DNS настроен правильно. Например, с помощью команды host IPaddress можно выполнить поиск имени DNS.

Средство балансировки нагрузки

Подсистема балансировки нагрузки требуется для соединителя Workspace ONE Access, если необходимо настроить высокую доступность для проверки подлинности Kerberos.

Синхронизация времени

Настройка синхронизации времени для всех экземпляров соединителя и служб Workspace ONE Access необходима для правильной работы развертывания Workspace ONE Access. Настройте синхронизацию времени с помощью сервера NTP.

Для соединителя настройте синхронизацию времени на сервере соединителя.

Требования к прокси-серверу

Соединитель получает доступ к веб-службам в Интернете. Если конфигурация сети обеспечивает доступ к Интернету через прокси-сервер HTTP, необходимо настроить прокси-сервер. Сведения о прокси-сервере вводятся в установщике Workspace ONE Access Connector во время или после установки.

Соединитель Workspace ONE Access Connector поддерживает указанные ниже типы прокси-серверов.

Прокси-серверы HTTP, не прошедшие проверку подлинности
Прокси-серверы HTTPS (SSL), не прошедшие проверку подлинности
Прокси-серверы HTTPS (SSL), прошедшие проверку подлинности

Примечание: Настройте прокси-сервер для обработки только интернет-трафика. Чтобы убедиться, что прокси-сервер настроен должным образом, установите для параметра внутреннего трафика значение no-proxy в пределах домена.