可以对主机进行配置,以便使用目录服务(如 Active Directory)来管理用户和组。

向 Active Directory 中添加 ESXi 主机时,如果存在 DOMAIN 组 ESX Admins,则会向其分配对该主机的完全管理访问权限。如果不希望分配完全管理权限,请参见 VMware 知识库文章 1025569 获取解决办法。

如果使用 Auto Deploy 置备主机,则 Active Directory 凭据无法存储在主机上。您可以使用 vSphere Authentication Proxy 将主机加入到 Active Directory 域中。由于 vSphere Authentication Proxy 与主机之间存在信任链,因此 Authentication Proxy 可以将主机加入到 Active Directory 域中。请参见使用 vSphere Authentication Proxy

注: 在 Active Directory 中定义用户帐户设置时,可以按计算机名称限制用户能够登录的计算机。默认情况下,未对用户帐户设置任何相关限制。如果设置了此限制,对用户帐户的 LDAP 绑定请求将失败,并显示消息 LDAP 绑定失败 (LDAP binding not successful),即使该请求来自列出的计算机也是如此。可以通过将 Active Directory 服务器的 netBIOS 名称添加到用户帐户能够登录的计算机列表来避免此问题。

前提条件

  • 确认您拥有 Active Directory 域。请参见目录服务器文档。
  • 确认 ESXi 的主机名完全符合 Active Directory 林的域名条件。

    全限定域名 = 主机名.域名

过程

  1. 使用 NTP 将 ESXi 和目录服务系统的时间同步。
    有关如何使用 Microsoft 域控制器同步 ESXi 时间的信息,请参见 使 ESXi 时钟与网络时间服务器同步 或 VMware 知识库。
  2. 确保为主机配置的 DNS 服务器可以解析 Active Directory 控制器的主机名。
    1. vSphere Web Client 对象导航器中,浏览到主机。
    2. 单击配置
    3. 在“网络”下,单击 TCP/IP 配置
    4. 在“TCP/IP 堆栈: 默认”下,单击 DNS,然后验证该主机的主机名和 DNS 服务器信息是否正确。

下一步做什么

使用 vSphere Web Client 加入目录服务域。请参见将主机添加到目录服务域。对于使用 Auto Deploy 置备的主机,请设置 vSphere Authentication Proxy。请参见使用 vSphere Authentication Proxy。您可以配置权限,以便已加入的 Active Directory 域中的用户和组配置可以访问 vCenter Server 组件。有关管理权限的信息,请参见将权限添加到清单对象