先决条件

域帐户必须具有域树中所有对象的 AD 读权限。事件日志读取器帐户必须具有安全事件日志的读权限。

过程

  1. 登录到 vSphere Web Client。
  2. 单击网络和安全 (Networking & Security),然后单击 NSX Manager (NSX Managers)
  3. 名称 (Name)列中单击 NSX Manager,然后单击管理 (Manage)选项卡。
  4. 单击域 (Domain)选项卡,然后单击添加域 (Add domain) (添加域) 图标。
  5. 添加域 (Add Domain)对话框中,为域输入完全限定域名(例如 eng.vmware.com)和 netBIOS 名称。

    要检索域的 netBIOS 名称,可在属于域或位于域控制器上的 Windows 工作站的命令窗口中键入 nbtstat -n。在 NetBIOS 本地名称表中,前缀为 <00> 的条目和类型“组”是 netBIOS 名称。

  6. 添加子域时,请选择自动合并 (Auto Merge)
  7. 在同步期间,要筛选出不再具有活动帐户的用户,请单击忽略禁用的用户 (Ignore disabled users)
  8. 单击下一步 (Next)
  9. 在“LDAP 选项”页面中,指定域要与之同步的域控制器,然后选择协议。
  10. 根据需要编辑端口号。
  11. 输入域帐户的用户凭据。此用户必须能够访问目录树结构。
  12. 单击下一步 (Next)
  13. (可选) 在“安全事件日志访问”页中,选择 CIFSWMI 作为连接方法以访问指定的 AD 服务器上的安全事件日志。根据需要更改端口号。Active Directory 事件日志采集器使用该步骤。请参见身份防火墙工作流
    注:

    事件日志读取器从 AD 安全事件日志中查找具有以下 ID 的事件:Windows 2008/2012:4624;Windows 2003:540。事件日志服务器具有 128 MB 限制。在达到该限制时,您可能会在安全日志读取器中看到事件 ID 1104。有关详细信息,请参见https://technet.microsoft.com/en-us/library/dd315518

  14. 选择使用域凭据 (Use Domain Credentials)以使用 LDAP 服务器用户凭据。要指定进行日志访问的备用域帐户,可取消选中使用域凭据 (Use Domain Credentials),并指定用户名和密码。

    指定的帐户必须能够读取在步骤 10 中指定的域控制器上的安全事件日志。

  15. 单击下一步 (Next)
  16. 在“即将完成”页面上,检查输入的设置。
  17. 单击完成 (Finish)
    注意:
    • 如果显示一条错误消息,指出实体的添加域操作由于域冲突而失败,请选择“自动合并”。系统将会创建域,并将设置显示在域列表下方。

结果

域创建完毕,其设置将显示在域列表下方。

下一步做什么

验证事件日志服务器上的登录事件已启用。

可以添加、编辑、删除、启用或禁用 LDAP 服务器,方法是选择域列表下方面板中的 LDAP 服务器 (LDAP Servers)选项卡。可以通过选择域列表下方面板中的事件日志服务器 (Event Log Servers)选项卡对事件日志服务器执行相同的任务。添加多个 Windows 服务器(域控制器、Exchange Server 或文件服务器)作为事件日志服务器可改进用户标识关联。

注:

如果使用 IDFW,则仅支持 AD 服务器。