可以将 ESXi 配置为使用像 Active Directory 这样的目录服务来管理用户。

如果要在每台主机上都创建本地用户帐户，则涉及到必须在多个主机间同步帐户名和密码的问题。若将 ESXi 主机加入到 Active Directory 域中，则无需再创建和维护本地用户帐户。使用 Active Directory 进行用户身份验证可以简化 ESXi 主机配置，并能降低可导致出现未授权访问的配置问题的风险。

当使用活动目录时，将主机添加到域时用户会提供活动目录凭据以及活动目录服务器的域名。

您可以通过使用 vSphere Authentication Proxy 将 ESXi 主机添加到 Active Directory 域，而不是将主机明确添加到 Active Directory 域。

您只需设置主机，使其能够识别 Active Directory 服务器的域名和 vSphere Authentication Proxy 的 IP 地址。当启用了 vSphere Authentication Proxy 时，其会自动将使用 Auto Deploy 置备的主机添加到 Active Directory 域。您还可以对未使用 Auto Deploy 置备的主机使用 vSphere Authentication Proxy。

有关启用 vSphere Authentication Proxy 以及 vSphere Authentication Proxy 需要哪些 vCenter Server 端口的信息，请参见《vSphere 安全性》文档。

Auto Deploy

如果使用 Auto Deploy 置备主机，可以设置指向 Authentication Proxy 的引用主机。随后可以设置一个规则，将引用主机的配置文件应用到使用 Auto Deploy 置备的所有 ESXi 主机。vSphere Authentication Proxy 会将 Auto Deploy 使用 PXE 置备的所有主机的 IP 地址存储在其访问控制列表中。主机会在引导时与 vSphere Authentication Proxy 联系，而 vSphere Authentication Proxy 会将其访问控制列表中已存在的主机加入到 Active Directory 域中。

即使在使用 VMCA 置备的证书或第三方证书的环境中使用 vSphere Authentication Proxy，只要遵循有关将自定义证书与 Auto Deploy 配合使用的说明，即可无缝运行相关过程。

其他 ESXi 主机

如果您希望其他主机能够在不使用 Active Directory 凭据的情况下加入域，可以将这些主机设置为使用 vSphere Authentication Proxy。这意味着，您无需将 Active Directory 凭据传输到主机，且无需在主机配置文件中保存 Active Directory 凭据。

在此情况下，需要将主机的 IP 地址添加到 vSphere Authentication Proxy 访问控制列表，而 vSphere Authentication Proxy 默认情况下会根据主机 IP 地址对主机进行授权。您可以通过启用客户端身份验证，让 vSphere Authentication Proxy 检查主机证书。