若要部署 Workspace ONE Access Connector (其中包含目錄同步服務、使用者驗證服務和 Kerberos 驗證服務做為元件),請確保您的 Windows Server 符合必要的需求。某些需求會根據您要安裝的服務而有所不同。

伺服器數量

您可以將目錄同步、使用者驗證和 Kerberos 驗證服務安裝在單一 Windows Server 上,也可以根據您的喜好設定,以任意組合在不同的伺服器上安裝。若要同時安裝所有服務,您需要功能更強大的伺服器。若要單獨安裝服務,您需要取得多部伺服器。

如果要為任何服務設定高可用性,則需要多部伺服器。

此外,請考慮 Kerberos 驗證服務需要輸入連線,而其他服務則不需要。

硬體需求

請確定 Windows Server 符合下列硬體需求。

  • 作業系統:Windows Server 2012 R2 Standard 64 位元或以上版本
  • 處理器:Inte(R)Xeon(R) CPU E5-2650 0@2.00 GHZ (雙處理器) x64 位元處理器或以上
表 1. 僅適用於目錄同步服務的大小調整準則
部署大小 硬體需求 使用者與群組數目
小型 2 個 vCPU,8 GB RAM,40 GB 磁碟空間

目錄同步服務的 Java 記憶體配置:xmx=4g

最多 50,000 個使用者和 500 個群組
4 個 vCPU,8 GB RAM,40 GB 磁碟空間

目錄同步服務的 Java 記憶體配置:xmx=4g

最多 100,000 個使用者和 1,000 個群組
大型 8 個 vCPU,12 GB RAM,40 GB 磁碟空間

目錄同步服務的 Java 記憶體配置:xmx=8g

最多 200,000 個使用者和 2,000 個群組
表 2. 僅適用於使用者驗證服務或 Kerberos 驗證服務的大小調整準則
部署大小 使用者驗證或 Kerberos 驗證服務伺服器的硬體需求 使用者驗證服務 Kerberos 驗證服務
小型/中型/大型 2 個 vCPU,4 GB RAM,40 GB 磁碟空間

使用者驗證服務或 Kerberos 驗證服務的 Java 記憶體配置:xmx=1g

密碼驗證:390 - 480/分鐘

WSFed 作用中流量:720 - 900/分鐘

Kerberos 驗證:420 - 480/分鐘
備註: 使用者驗證服務和 Kerberos 驗證服務節點無法垂直擴充。為獲得更佳的輸送量,請新增更多節點。
表 3. 在單一伺服器上安裝所有服務的大小調整準則
部署大小 硬體需求 目錄同步
小型 2 個 vCPU,8 GB RAM,40 GB 磁碟空間

Java 記憶體配置:

目錄同步服務:xmx=4g

Kerberos 驗證服務:xmx=1g

使用者驗證服務:xmx=1g

最多 50,000 個使用者和 500 個群組
4 個 vCPU,8 GB RAM,40 GB 磁碟空間

Java 記憶體配置:

目錄同步服務:xmx=4g

Kerberos 驗證服務:xmx=1g

使用者驗證服務:xmx=1g

最多 100,000 個使用者和 1,000 個群組
大型 8 個 vCPU,16 GB RAM,40 GB 磁碟空間

Java 記憶體配置:

目錄同步服務:xmx=8g

Kerberos 驗證服務:xmx=1g

使用者驗證服務:xmx=1g

最多 200,000 個使用者和 2,000 個群組
備註:
  • 記憶體需求包括作業系統和 VMware 連接器元件。如果您計劃在伺服器上執行任何其他應用程式或服務,請相應地調整需求。
  • 針對每個服務列出的 Java 記憶體配置稱為 Java 堆積記憶體。依預設會將 4 GB 配置給目錄同步服務、將 1 GB 配置給使用者驗證服務,以及將 1 GB 配置給 Kerberos 驗證服務。如需如何配置記憶體的相關資訊,請參閱增加企業服務的 Java 記憶體
  • 針對目錄同步服務列出的群組都是一個層級,每個群組包含 500 個使用者,而每個使用者都與 5 個群組相關聯。
  • 具有大型群組或巢狀群組的部署需要更多記憶體。

軟體需求

請確定 Windows Server 符合下列軟體需求。

需求 附註

Windows Server 2019

Windows Server 2016 或

Windows Server 2012 R2 或

Windows Server 2008 R2

在伺服器上安裝 PowerShell
備註: 如果您要安裝在 Windows Server 2008 R2 上,則需要 PowerShell 4.0 版。
安裝 NET Framework 4.6.2

網路需求

設定下方列出的連接埠時,所有流量皆為從來源元件至目的地元件的單向 (輸出)。輸出 Proxy 或任何其他連線管理軟體或硬體皆不得終止或拒絕來自 Workspace ONE Access Connector 的輸出連線。輸出連線必須隨時保持開啟狀態。

來源 目的地 連接埠 通訊協定 附註
Workspace ONE Access Connector Workspace ONE Access 服務 (雲端)

Workspace ONE Access 服務主機 (內部部署安裝)

443 HTTPS 預設連接埠;必要

適用於目錄同步服務、使用者驗證服務和 Kerberos 驗證服務

Workspace ONE Access Connector Workspace ONE Access 服務負載平衡器 (內部部署安裝) 443 HTTPS 適用於目錄同步服務、使用者驗證服務和 Kerberos 驗證服務
瀏覽器 Workspace ONE Access Connector 443 HTTPS 對 Kerberos 驗證服務來說為必要
Workspace ONE Access Connector Active Directory 389, 636, 3268, 3269 預設連接埠;這些連接埠可進行設定

適用於目錄同步服務。如果使用密碼驗證,則也適用使用者驗證服務。

Workspace ONE Access Connector DNS 伺服器 53 TCP/UDP 每個連接器執行個體都必須可透過連接埠 53 存取 DNS 伺服器,並在連接埠 22 上允許傳入 SSH 流量。

適用於目錄同步服務、使用者驗證服務和 Kerberos 驗證服務。

Workspace ONE Access Connector 網域控制站 88、464、135、445 TCP/UDP 適用於目錄同步服務和 Kerberos 驗證服務
Workspace ONE Access Connector RSA SecurID 系統 5500 預設連接埠;此連接埠可進行設定

如果使用 RSA SecurID,則適用使用者驗證服務

Workspace ONE Access Connector Syslog 伺服器 514 UDP 預設連接埠;此連接埠可進行設定

用於外部 Syslog 伺服器的連接埠 (若已設定)。適用於目錄同步服務、使用者驗證服務和 Kerberos 驗證服務

Workspace ONE Access 雲端 IP 位址

請參閱https://kb.vmware.com/s/article/68035以取得 Workspace ONE Access Connector 必須可存取之 Workspace ONE Access 雲端服務 IP 位址的清單。

DNS 記錄和 IP 位址需求

連接器需要有 DNS 項目和靜態 IP 位址。開始安裝之前,請先取得 DNS 記錄和 IP 位址,以便使用及設定 Windows Server 的網路設定。

如果您想要安裝 Kerberos 驗證服務,請務必為連接器選取使用者易記的適當主機名稱。設定好 Kerberos 驗證後,使用者可以看到 Workspace ONE Access Connector 主機名稱。

反向查閱的設定是選擇性的。在實作反向查閱時,您必須在 DNS 伺服器上定義 PTR 記錄,讓連接器使用正確的網路組態。

您可以使用下列 DNS 記錄的範例清單。將範例資訊取代為環境資訊。此範例會顯示正向 DNS 記錄和 IP 位址。

表 4. 正向 DNS 記錄和 IP 位址範例
網域名稱 資源類型 IP 位址
myconnector.example.com A 10.28.128.3

此範例會顯示反向 DNS 記錄和 IP 位址。

表 5. 反向 DNS 記錄和 IP 位址範例
IP 位址 資源類型 主機名稱
10.28.128.3 PTR myconnector.example.com

完成 DNS 組態後,請確認反向 DNS 查閱的設定是否正確。例如,命令 host IPaddress 必須解析為 DNS 名稱查閱。

負載平衡器

如果要為 Kerberos 驗證設定高可用性,則需要負載平衡器。

時間同步化

必須在所有 Workspace ONE Access 服務和連接器執行個體上設定時間同步化,Workspace ONE Access 部署才能正常運作。使用 NTP 伺服器設定時間同步化。