前提条件

域帐户必须具有域树中所有对象的 AD 读权限。事件日志读取器帐户必须具有安全事件日志的读权限。

过程

  1. vSphere Web Client 中,导航到网络和安全 (Networking & Security) > 系统 (System) > 用户和域 (Users and Domains)
  2. 单击域 (Domains)选项卡,然后单击添加域 (Add domain) (添加域) 图标。
  3. 添加域 (Add Domain)对话框中,为域输入完全限定域名(例如 eng.vmware.com)和 netBIOS 名称。
    要检索域的 netBIOS 名称,可在属于域或位于域控制器上的 Windows 工作站的命令窗口中键入 nbtstat -n。在 NetBIOS 本地名称表中,前缀为 <00> 的条目和类型“组”是 netBIOS 名称。
  4. 添加子域时,请选择自动合并 (Auto Merge)
  5. 在同步期间,要筛选出不再具有活动帐户的用户,请单击忽略禁用的用户 (Ignore disabled users)
  6. 单击下一步 (Next)
  7. 在“LDAP 选项”页面中,指定域要与之同步的域控制器,然后选择协议。有关受支持域同步选项的详细信息,请参见身份防火墙已测试并支持的配置
  8. 根据需要编辑端口号。
  9. 输入域帐户的用户凭据。此用户必须能够访问目录树结构。
  10. 单击下一步 (Next)
  11. (可选) 在“安全事件日志访问”页中,选择 CIFSWMI 作为连接方法以访问指定的 AD 服务器上的安全事件日志。根据需要更改端口号。Active Directory 事件日志采集器使用该步骤。请参见身份防火墙工作流
    注: 事件日志读取器从 AD 安全事件日志中查找具有以下 ID 的事件:Windows 2008/2012:4624;Windows 2003:540。事件日志服务器具有 128 MB 限制。在达到该限制时,您可能会在安全日志读取器中看到事件 ID 1104。有关详细信息,请参见 https://technet.microsoft.com/en-us/library/dd315518
  12. 选择使用域凭据 (Use Domain Credentials)以使用 LDAP 服务器用户凭据。要指定进行日志访问的备用域帐户,可取消选中使用域凭据 (Use Domain Credentials),并指定用户名和密码。
    指定的帐户必须能够读取在步骤 10 中指定的域控制器上的安全事件日志。
  13. 单击下一步 (Next)
  14. 在“即将完成”页面上,检查输入的设置。
  15. 单击完成 (Finish)
    注意:
    • 如果显示一条错误消息,指出实体的添加域操作由于域冲突而失败,请选择“自动合并”。系统将会创建域,并将设置显示在域列表下方。

结果

域创建完毕,其设置将显示在域列表下方。

后续步骤

验证事件日志服务器上的登录事件已启用。

可以添加、编辑、删除、启用或禁用 LDAP 服务器,方法是选择域列表下方面板中的 LDAP 服务器 (LDAP Servers)选项卡。可以通过选择域列表下方面板中的事件日志服务器 (Event Log Servers)选项卡对事件日志服务器执行相同的任务。添加多个 Windows 服务器(域控制器、Exchange Server 或文件服务器)作为事件日志服务器可改进用户标识关联。

注: 如果使用 IDFW,则仅支持 AD 服务器。