加入或退出 Active Directory 域

可以将 vCenter Server 加入到 Active Directory 域。您可以将此 Active Directory 域中的用户和组附加到 vCenter Single Sign-On 域。您可以退出 Active Directory 域。

重要说明：不支持将 vCenter Server 加入到具有只读域控制器 (RODC) 的 Active Directory 域。只能将 vCenter Server 加入到具有可写入域控制器的 Active Directory 域。

如果想要配置权限，以便 Active Directory 的用户和组可以访问 vCenter Server 组件，您必须将 vCenter Server 实例加入到 Active Directory 域。

例如，要允许 Active Directory 用户使用 vSphere Client 登录到 vCenter Server 实例，则必须将 vCenter Server 实例加入到 Active Directory 域，然后为该用户分配管理员角色。

前提条件

确认登录到 vCenter Server 实例的用户是 vCenter Single Sign-On 中 SystemConfiguration.Administrators 组的成员。
确认设备的系统名称为 FQDN。如果在设备部署期间将 IP 地址设置为系统名称，则无法将 vCenter Server 加入到 Active Directory 域。

在“加入 Active Directory 域”窗口中，提供以下详细信息。

选项	描述
域	Active Directory 域名，例如 mydomain.com。请勿在此文本框中提供 IP 地址。
组织单位 (可选)	完整的组织单位 (OU) LDAP FQDN，例如，OU=Engineering,DC=mydomain,DC=com。重要说明：仅当您熟悉 LDAP 时才使用此文本框。
用户名	用户主体名称 (UPN) 格式的用户名，例如 [email protected]。重要说明：不支持向下登录名格式，例如 DOMAIN\UserName。
密码	用户的密码。

注：重新引导节点以应用更改。

单击加入，将 vCenter Server 加入到 Active Directory 域。
操作将静默成功，您可以看到“加入 AD”选项变为“退出 AD”。
（可选） 要退出 Active Directory 域，请单击退出 AD。
重新启动 vCenter Server 以应用更改。

重要说明：如果不重新启动 vCenter Server，在使用 vSphere Client 时可能会遇到问题。

选择标识源选项卡，然后单击添加。

输入所加入的 Active Directory 域的标识源设置，然后单击添加。

表 1. 添加标识源设置
文本框	描述
域名	域的 FDQN。请勿在此文本框中提供 IP 地址。
使用计算机帐户	选择此选项可将本地计算机帐户用作 SPN。选择此选项时，应仅指定域名。如果您希望重命名此计算机，请勿选择此选项。
使用服务主体名称 (SPN)	如果您希望重命名本地计算机，请选择此选项。必须指定 SPN、能够通过标识源进行身份验证的用户以及该用户的密码。
服务主体名称	有助于 Kerberos 识别 Active Directory 服务的 SPN。请在名称中包含域，例如 STS/example.com。您可能需要运行 setspn -S 以添加要使用的用户。有关 setspn 的信息，请参见 Microsoft 文档。 SPN 在域中必须唯一。运行 setspn -S 可检查是否未创建重复项。
用户名	能够通过此标识源进行身份验证的用户的名称。请使用电子邮件地址格式，例如 [email protected]。可以通过 Active Directory 服务界面编辑器 (ADSI Edit) 验证用户主体名称。
密码	用于通过此标识源进行身份验证的用户的密码，该用户是在用户主体名称中指定的用户。请包括域名，例如 [email protected]。

在标识源选项卡上，您可以看到已加入的 Active Directory 域。

您可以配置权限，以便已加入的 Active Directory 域中的用户和组配置可以访问 vCenter Server 组件。有关管理权限的信息，请参见《vSphere 安全性》文档。