若要部署 Workspace ONE Access Connector (其中包含目錄同步服務、使用者驗證服務、Kerberos 驗證服務和虛擬應用程式服務做為元件),請確定您的 Windows Server 符合必要的需求。某些需求會根據您要安裝的服務而有所不同。

Workspace ONE Access 服務與連接器之間的相容性

您可以將 Workspace ONE Access Connector 與 Workspace ONE Access 雲端服務搭配使用,或與內部部署 Workspace ONE Access 服務虛擬應用裝置搭配使用。

使用 Workspace ONE Access 雲端服務時,您可以使用所有支援的連接器版本。不過,建議使用最新版的連接器。

使用 Workspace ONE Access 內部部署安裝架構時,您可以使用支援的連接器版本,且該版本相同於或低於 Workspace ONE Access 服務版本。例如,使用 Workspace ONE Access 22.09 服務時,您可以使用 Connector 22.09 及更早版本。您無法使用高於服務版本的連接器版本。例如,您無法將 22.09 Connector 與 21.08 服務搭配使用。建議使用最新相容版本的連接器。

如需受支援版本的相關資訊,請參閱https://www.vmware.com/support/policies/lifecycle.html

所需的伺服器數目

您可以將目錄同步、使用者驗證、Kerberos 驗證和虛擬應用程式服務安裝在單一 Windows Server 上,也可以根據您的喜好設定,以任意組合在不同的伺服器上安裝。若要同時安裝所有服務,您需要功能更強大的伺服器。若要單獨安裝服務,您必須取得多部伺服器。

如果您想要為任何服務設定高可用性,則需要多部伺服器。

此外,請考慮 Kerberos 驗證服務需要輸入連線,而其他服務則不需要。

重要: 如果在單一伺服器上安裝多項服務,請確定該伺服器符合大小調整準則中指定的記憶體、計算和儲存區需求。特別是,如果在同一伺服器上安裝了目錄同步和虛擬應用程式服務,則必須確定該伺服器為這兩項服務提供了足夠的記憶體和 vCPU。如需相關資訊,請參閱大小調整準則。

硬體需求

請確定 Windows Server 符合下列硬體需求。

  • 處理器:Inte(R)Xeon(R) CPU E5-2650 [email protected] GHZ (雙處理器) x64 位元處理器或以上
表 1. 僅適用於目錄同步服務的大小調整準則
部署大小 目錄同步服務伺服器的硬體需求 使用者與群組數目
小型

2 個 vCPU,8 GB RAM,40 GB 磁碟空間

目錄同步服務的 Java 記憶體配置:xmx=4g

最多 50,000 個使用者和 500 個群組

4 個 vCPU,8 GB RAM,40 GB 磁碟空間

目錄同步服務的 Java 記憶體配置:xmx=4g

最多 100,000 個使用者和 1,000 個群組
大型

8 個 vCPU,12 GB RAM,40 GB 磁碟空間

目錄同步服務的 Java 記憶體配置:xmx=8g

最多 200,000 個使用者和 2,000 個群組
表 2. 僅適用於使用者驗證服務或 Kerberos 驗證服務的大小調整準則
部署大小 使用者驗證服務或 Kerberos 驗證服務伺服器的硬體需求 使用者驗證服務 Kerberos 驗證服務
小型/中型/大型

2 個 vCPU,4 GB RAM,40 GB 磁碟空間

使用者驗證服務或 Kerberos 驗證服務的 Java 記憶體配置:xmx=1g

密碼驗證:390 - 480/分鐘

WSFed 作用中流量:720 - 900/分鐘

Kerberos 驗證:420 - 480/分鐘
備註: 使用者驗證服務和 Kerberos 驗證服務節點無法垂直擴充。為獲得更佳的輸送量,請新增更多節點。
表 3. 僅適用於虛擬應用程式服務的大小調整準則
部署大小 虛擬應用程式服務伺服器的硬體需求 虛擬應用程式和權利數
小型/中型/大型

2 個 vCPU,4 GB RAM,40 GB 磁碟空間

虛擬應用程式服務的 Java 記憶體配置:xmx=1g

最多 500 個虛擬應用程式,具有 125,000 項權利
備註: 對於 Citrix 整合,每個資源最多支援 630 個使用者或群組權利。
表 4. 在單一伺服器上安裝所有服務的大小調整準則
部署大小 硬體需求 使用者與群組數目
小型

4 個 vCPU,12 GB RAM,50 GB 磁碟空間

Java 記憶體配置:

目錄同步服務:xmx=4g

Kerberos 驗證服務:xmx=1g

使用者驗證服務:xmx=1g

虛擬應用程式服務:xmx=1g

最多 100,000 個使用者和 1,000 個群組

8 個 vCPU,16 GB RAM,50 GB 磁碟空間

Java 記憶體配置:

目錄同步服務:xmx=8g

Kerberos 驗證服務:xmx=1g

使用者驗證服務:xmx=1g

虛擬應用程式服務:xmx=2g

最多 200,000 個使用者和 2,000 個群組
大型

12 個 vCPU,32 GB RAM,80 GB 磁碟空間

Java 記憶體配置:

目錄同步服務:xmx=12g

Kerberos 驗證服務:xmx=1g

使用者驗證服務:xmx=1g

虛擬應用程式服務:xmx=2g

最多 300,000 個使用者和 3,000 個群組
備註:
  • 記憶體需求包括作業系統和 VMware 連接器元件。如果您計劃在伺服器上執行任何其他應用程式或服務,請相應地調整需求。
  • 針對每個服務列出的 Java 記憶體配置稱為 Java 堆積記憶體。依預設,會將 4 GB 配置給目錄同步服務,將 1 GB 配置給使用者驗證服務,將 1 GB 配置給 Kerberos 驗證服務,以及將 1 GB 配置給虛擬應用程式服務。如需如何配置記憶體的相關資訊,請參閱增加 Workspace ONE Access Connector 企業服務的 Java 記憶體
  • 針對目錄同步服務列出的群組都是一個層級,每個群組包含 500 個使用者,而每個使用者都與 5 個群組相關聯。
  • 具有大型群組或巢狀群組的部署需要更多記憶體。
  • 對於 Citrix 整合,每個資源最多支援 630 個使用者或群組權利。

軟體需求

請確定 Windows Server 符合下列軟體需求。

需求 附註

下列其中一個 Windows Server 版本:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
所有企業服務 (目錄同步、使用者驗證、Kerberos 驗證和虛擬應用程式服務) 都可安裝在執行於 Windows Server 2022 上的連接器。
PowerShell Windows Server 依預設會包含 PowerShell。
.NET Framework 4.8 或更新版本 Windows Server 依預設會包含 .NET Framework。Workspace ONE Access Connector 需要 .NET Framework 4.8 或更新版本。如果 .NET Framework 未安裝或不符合所需版本,連接器安裝程式會在安裝期間提示您安裝正確的版本。
Citrix Studio (Citrix PowerShell SDK) 只有在安裝虛擬應用程式服務,且您打算整合 Citrix 虛擬應用程式和桌面平台時才需要。Citrix Studio 包括 PowerShell SDK,這是 Citrix 與 Workspace ONE Access 整合時所需要的。Citrix Studio 版本必須與 Citrix 部署版本相容。您可以在安裝 Workspace ONE Access Connector 之前或之後,安裝 Citrix Studio。如需安裝 Citrix Studio 的相關資訊,請參見 Citrix 說明文件。

網路需求

下表列出連接器的連接埠需求。如需最新的連接埠資訊,請參閱 https://ports.vmware.com/home/Workspace-ONE-Access

設定所列出的連接埠時,所有流量皆為從來源元件至目的地元件的單向 (輸出)。輸出 Proxy 或任何其他連線管理軟體或硬體皆不得終止或拒絕來自 Workspace ONE Access Connector 的輸出連線。輸出連線必須隨時保持開啟狀態。

來源 目的地 連接埠 通訊協定 附註
Workspace ONE Access Connector Workspace ONE Access 服務 (雲端)

Workspace ONE Access 服務主機 (內部部署安裝)

443 HTTPS

預設連接埠;必要。

適用於目錄同步服務、使用者驗證服務、Kerberos 驗證服務和虛擬應用程式服務。

Workspace ONE Access Connector Workspace ONE Access 服務負載平衡器 (內部部署安裝) 443 HTTPS 適用於目錄同步服務、使用者驗證服務、Kerberos 驗證服務和虛擬應用程式服務。
瀏覽器 Workspace ONE Access Connector 443 HTTPS 對 Kerberos 驗證服務來說為必要。
Workspace ONE Access Connector Active Directory 389, 636, 3268, 3269

預設連接埠;可以設定這些連接埠。

適用於目錄同步服務。如果使用密碼驗證,則也適用於使用者驗證服務。

Workspace ONE Access Connector DNS 伺服器 53 TCP/UDP

每個連接器執行個體必須能夠透過連接埠 53 存取 DNS 伺服器。

適用於目錄同步服務、使用者驗證服務、Kerberos 驗證服務和虛擬應用程式服務。

Workspace ONE Access Connector 網域控制站 88、464、135、445 TCP/UDP 適用於目錄同步服務和 Kerberos 驗證服務。
Workspace ONE Access Connector RSA SecurID 伺服器 5555

預設連接埠;此連接埠可進行設定。

如果使用 RSA SecurID,則適用於使用者驗證服務。

Workspace ONE Access Connector Syslog 伺服器 514 UDP

預設連接埠;此連接埠可進行設定。

用於外部 Syslog 伺服器的連接埠 (若已設定)。適用於目錄同步服務、使用者驗證服務、Kerberos 驗證服務和虛擬應用程式服務。

Workspace ONE Access Connector Horizon 連線伺服器 443

對於 VMware Horizon 整合。

僅適用於虛擬應用程式服務。

Workspace ONE Access Connector Citrix StoreFront 伺服器 為 Citrix StoreFront 伺服器設定的連接埠

針對與 Citrix 部署的整合。

僅適用於虛擬應用程式服務。

Workspace ONE Access Connector Citrix XenApp 或 XenDesktop 伺服器 443

針對與 Citrix 部署的整合。

僅適用於虛擬應用程式服務。

瀏覽器 為 Horizon 和 Citrix 虛擬應用程式集合設定的用戶端存取 FQDN 為用戶端存取 FQDN 設定的連接埠 僅適用於虛擬應用程式服務。

Workspace ONE Access 雲端 IP 位址

請參閱https://kb.vmware.com/s/article/68035以取得 Workspace ONE Access Connector 必須有權存取的 Workspace ONE Access 雲端服務 IP 位址清單。

DNS 記錄和 IP 位址需求

連接器需要有 DNS 項目和靜態 IP 位址。開始安裝之前,請先取得 DNS 記錄和 IP 位址,以便使用及設定 Windows Server 的網路設定。

如果您要安裝 Kerberos 驗證服務,請務必為連接器選取使用者易記的適當主機名稱。設定好 Kerberos 驗證後,使用者可以看到 Workspace ONE Access Connector 主機名稱。

反向查閱的設定是選擇性的。在實作反向查閱時,您必須在 DNS 伺服器上定義 PTR 記錄,讓連接器使用正確的網路組態。

您可以使用下列 DNS 記錄的範例清單。將範例資訊取代為環境資訊。此範例會顯示正向 DNS 記錄和 IP 位址。

表 5. 正向 DNS 記錄和 IP 位址範例
網域名稱 資源類型 IP 位址
myconnector.example.com A 10.28.128.3

此範例會顯示反向 DNS 記錄和 IP 位址。

表 6. 反向 DNS 記錄和 IP 位址範例
IP 位址 資源類型 主機名稱
10.28.128.3 PTR myconnector.example.com

完成 DNS 組態後,請確認反向 DNS 查閱的設定是否正確。例如,命令 host IPaddress 必須解析為 DNS 名稱查閱。

負載平衡器

如果您想要設定高可用性以進行 Kerberos 驗證,則 Workspace ONE Access Connector 需要負載平衡器。

時間同步化

必須在所有 Workspace ONE Access 服務和連接器執行個體上設定時間同步化,Workspace ONE Access 部署才能正常運作。使用 NTP 伺服器設定時間同步化。

對於該連接器,請在連接器伺服器上設定時間同步。

Proxy 需求

連接器會存取網際網路上的 Web 服務。如果您的網路組態透過 HTTP Proxy 提供網際網路存取,則您必須設定 Proxy 伺服器。在安裝期間或之後,您可以在 Workspace ONE Access Connector 安裝程式中,輸入 Proxy 伺服器資訊。

Workspace ONE Access Connector 支援以下類型的 Proxy:

  • 未經驗證的 HTTP Proxy
  • 未經驗證的 HTTPS (SSL) Proxy
  • 經過驗證的 HTTPS (SSL) Proxy
備註: 啟用 Proxy 以僅處理網際網路流量。若要確認 Proxy 設定是否正確,請將內部流量的參數設定為在網域內 不使用 Proxy