Чтобы развернуть соединитель Workspace ONE Access Connector, который содержит службу синхронизации каталогов, службу проверки подлинности пользователей и службу проверки подлинности Kerberos (в качестве компонентов), убедитесь, что сервер Windows соответствует необходимым требованиям. Некоторые требования могут отличаться в зависимости от устанавливаемой службы.
Количество служб
Службы синхронизации каталогов, проверки подлинности пользователей и проверки подлинности Kerberos можно установить на одном сервере Windows или на отдельных серверах в любой комбинации, в зависимости от настроек. Чтобы установить все службы вместе, необходим более мощный сервер. Чтобы установить службы отдельно, необходимо иметь несколько серверов.
Если необходимо настроить высокую доступность для любой из служб, также потребуется несколько серверов.
Кроме того, следует учесть, что служба проверки подлинности Kerberos требует наличия входящих подключений, а другие службы — нет.
Требования к оборудованию
Убедитесь, что сервер Windows отвечает следующим требованиям к оборудованию.
- Операционная система: 64-разрядная Windows Server 2012 R2 Standard или более поздняя версия
- Процессор: x64 Intel(R) Xeon(R) E5-2650, 0@2,00 ГГц (2 процессора) или более производительный
| Масштаб развертывания | Требования к оборудованию | Количество пользователей и групп |
|---|---|---|
| Небольшой | 2 виртуальных ЦП, 8 ГБ ОЗУ, 40 ГБ дискового пространства Выделение памяти Java для службы синхронизации каталогов: xmx=4g |
До 50 000 пользователей и 500 групп |
| Средний | 4 виртуальных ЦП, 8 ГБ ОЗУ, 40 ГБ дискового пространства Выделение памяти Java для службы синхронизации каталогов: xmx=4g |
До 100 000 пользователей и 1 000 групп |
| Большой | 8 виртуальных ЦП, 12 ГБ ОЗУ, 40 ГБ дискового пространства Выделение памяти Java для службы синхронизации каталогов: xmx=8g |
До 200 000 пользователей и 2 000 групп |
| Масштаб развертывания | Требования к оборудованию для сервера проверки подлинности пользователя или службы проверки подлинности Kerberos | Служба проверки подлинности пользователей | Служба проверки подлинности Kerberos |
|---|---|---|---|
| Малый, средний или большой | 2 виртуальных ЦП, 4 ГБ ОЗУ, 40 ГБ дискового пространства Выделение памяти Java для службы проверки подлинности Kerberos: xmx=1g |
Проверка подлинности с помощью пароля: 390–480/мин Активный поток WS-Fed: 720–900/мин |
Проверка подлинности Kerberos: 420–480/мин |
| Масштаб развертывания | Требования к оборудованию | Синхронизация каталога |
|---|---|---|
| Небольшой | 2 виртуальных ЦП, 8 ГБ ОЗУ, 40 ГБ дискового пространства Выделение памяти Java: Служба синхронизации каталогов: xmx=4g Служба проверки подлинности Kerberos: xmx=1g Служба проверки подлинности пользователей: xmx=1g |
До 50 000 пользователей и 500 групп |
| Средний | 4 виртуальных ЦП, 8 ГБ ОЗУ, 40 ГБ дискового пространства Выделение памяти Java: Служба синхронизации каталогов: xmx=4g Служба проверки подлинности Kerberos: xmx=1g Служба проверки подлинности пользователей: xmx=1g |
До 100 000 пользователей и 1 000 групп |
| Большой | 8 виртуальных ЦП, 16 ГБ ОЗУ, 40 ГБ дискового пространства Выделение памяти Java: Служба синхронизации каталогов: xmx=8g Служба проверки подлинности Kerberos: xmx=1g Служба проверки подлинности пользователей: xmx=1g |
До 200 000 пользователей и 2 000 групп |
- Требования к памяти включают в себя ОС и компоненты соединителя VMware. Если планируется запускать на сервере любые другие приложения или службы, скорректируйте требования соответствующим образом.
- Выделение памяти Java, указанное для каждой службы, относится к памяти в куче Java. По умолчанию 4 ГБ выделены службе синхронизации каталогов, 1 ГБ — службе проверки подлинности пользователей и 1 ГБ — службе проверки подлинности Kerberos. Сведения о выделении памяти см. в разделе Увеличение объема памяти Java для корпоративных служб.
- Группы, указанные для службы синхронизации каталогов, являются одноуровневыми. Каждая группа содержит 500 пользователей, а каждый пользователь связан с пятью группами.
- Для развертываний с большими или вложенными группами потребуется больше памяти.
Требования к программному обеспечению
Убедитесь, что сервер Windows отвечает следующим требованиям к программному обеспечению.
| Требования | Примечания |
|---|---|
| Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 или Windows Server 2008 R2 |
|
| Установить на сервер PowerShell |
Примечание: Если установка выполняется на Windows Server 2008 R2, требуется версия PowerShell 4.0.
|
| Установлена среда NET Framework 4.6.2. |
Требования к сети
Для выполнения настройки портов, перечисленных внизу, весь трафик должен быть однонаправленным (исходящим) от компонента-источника к компоненту-цели. Прокси для исходящего трафика либо иное программное либо аппаратное обеспечение управления соединением не должно останавливать либо отказывать в приеме исходящего соединения от Workspace ONE Access Connector. Исходящее подключение должно оставаться открытым постоянно.
| Источник | Назначение | Порт | Протокол | Примечания |
|---|---|---|---|---|
| Workspace ONE Access Connector | Служба Workspace ONE Access (облачная) Узел службы Workspace ONE Access (локальные установки) |
443 | HTTPS | Порт по умолчанию, обязательно Относится к службе синхронизации каталогов, службе проверки подлинности пользователей и службе проверки подлинности Kerberos |
| Workspace ONE Access Connector | Подсистема балансировки нагрузки службы Workspace ONE Access (локальные установки) | 443 | HTTPS | Относится к службе синхронизации каталогов, службе проверки подлинности пользователей и службе проверки подлинности Kerberos |
| Браузеры | Workspace ONE Access Connector | 443 | HTTPS | Обязательно для службы проверки подлинности Kerberos |
| Workspace ONE Access Connector | Active Directory | 389, 636, 3268, 3269 | Порты по умолчанию; эти порты настраиваемые Относится к службе синхронизации каталогов. Также относится к службе проверки подлинности пользователей, если используется проверка подлинности с помощью пароля. |
|
| Workspace ONE Access Connector | Сервер DNS | 53 | TCP/UDP | Для каждого экземпляра соединителя должен быть настроен доступ к серверу DNS через порт 53 и разрешен входящий SSH-трафик через порт 22. Относится к службе синхронизации каталогов, службе проверки подлинности пользователей и службе проверки подлинности Kerberos. |
| Workspace ONE Access Connector | Контроллер домена | 88, 464, 135, 445 | TCP/UDP | Относится к службе синхронизации каталогов и службе проверки подлинности Kerberos. |
| Workspace ONE Access Connector | Система RSA SecurID | 5500 | Порт по умолчанию; этот порт настраиваемый Относится к службе проверки подлинности пользователей, если используется проверка подлинности RSA SecurID. |
|
| Workspace ONE Access Connector | сервер syslog | 514 | UDP | Порт по умолчанию; этот порт настраиваемый Порт для внешнего сервера системного журнала, если настроен. Относится к службе синхронизации каталогов, службе проверки подлинности пользователей и службе проверки подлинности Kerberos |
Облачные IP-адреса Workspace ONE Access
Список IP-адресов облачной службы Workspace ONE Access, к которым необходим доступ для Workspace ONE Access Connector, см. в разделе https://kb.vmware.com/s/article/68035.
Требования к DNS-записям и IP-адресам
Для соединителя необходима DNS-запись и статический IP-адрес. Перед началом установки получите DNS-запись и IP-адрес и настройте сетевые параметры сервера Windows.
Если планируется установить службу проверки подлинности Kerberos, выберите подходящее и удобное имя узла для сервера соединителя. Если настроена проверка подлинности Kerberos, имя узла Workspace ONE Access Connector отображается для конечных пользователей.
Настройка обратного просмотра необязательна. При реализации обратного просмотра необходимо определить на сервере DNS запись PTR. Это позволит соединителю использовать правильные настройки сети.
Вы можете использовать следующий образец списка DNS-записей. Замените эти образцы сведениями из вашей среды. В этом примере показана DNS-запись и IP-адрес для перенаправления.
| Доменное имя | Тип ресурса | IP-адрес |
|---|---|---|
| myconnector.example.com | A | 10.28.128.3 |
В этом примере показана DNS-запись и IP-адрес для обратного перенаправления.
| IP-адрес | Тип ресурса | Имя узла |
|---|---|---|
| 10.28.128.3 | PTR | myconnector.example.com |
После настройки DNS убедитесь, что обратный просмотр DNS настроен правильно. Например, с помощью команды host IPaddress можно выполнить поиск имени DNS.
Средство балансировки нагрузки
Подсистема балансировки нагрузки требуется, если необходимо настроить высокую доступность для проверки подлинности Kerberos.
Синхронизация времени
Настройка синхронизации времени для всех экземпляров соединителя и служб Workspace ONE Access необходима для правильной работы развертывания Workspace ONE Access. Настройте синхронизацию времени с помощью сервера NTP.
