Cloud Assembly 支持与 Active Directory 服务器集成,以便在置备虚拟机之前在 Active Directory 服务器内的指定组织单位 (OU) 中现成创建计算机帐户。Active Directory 只支持与 Active Directory 服务器建立 LDAP 连接。

与项目关联的 Active Directory 策略将应用于在该项目范围内置备的所有虚拟机。用户可以指定一个或多个标记,以便有选择地将策略应用于已置备到具有匹配功能标记的云区域的虚拟机。

创建 Active Directory 集成时,在 Active Directory 中创建计算机对象期间会设置某些属性,且无法更改。特别是,无法更改以下默认属性:
WORKSTATION_TRUST_ACCOUNT	0x1000
PASSWD_NOTREQD (No password is required)	0x0020

对于内部部署,通过 Active Directory 集成,可以设置运行状况检查功能,以显示集成的状态及其所依赖的底层 ABX 集成(包括所需的可扩展性云代理)。在应用 Active Directory 策略之前,Cloud Assembly 会检查底层集成的状态。如果集成正常,Cloud Assembly 将在指定的 Active Directory 中创建已部署的计算机对象。如果集成不正常,则部署操作会在置备期间跳过 Active Directory 阶段。

前提条件

  • Active Directory 集成需要与 Active Directory 服务器建立 LDAP 连接。
  • 如果要在云中配置与 Active Directory 的集成,您必须拥有 Microsoft AzureAmazon Web Services 帐户。
  • 您必须为项目配置适当的云区域以及映像映射和特定实例映射,才能与 Active Directory 搭配使用。
  • 在将 Active Directory 集成与项目关联之前,必须在 Active Directory 上预先创建所需的 OU。
  • 为 Active Directory 集成配置的用户必须具有在配置的 OU 中创建/删除/搜索计算机对象的权限。

过程

  1. 选择基础架构 > 连接 > 集成,然后选择新建集成
  2. 单击 Active Directory
  3. 摘要选项卡上,输入适当的 LDAP 主机和环境名称。
    指定的 LDAP 主机用于验证 Active Directory 集成,如果因错误或不可用而未指定和调用备用主机,则还将用于后续部署。
  4. 输入 LDAP 服务器的用户名和密码。
  5. 输入指定所需Active Directory资源的根的相应基本 DN。
    注: 每个 Active Directory 集成只能指定一个 DN。
  6. 单击验证以确保集成正常运行。
  7. 输入此集成的名称和说明。
  8. 单击保存
  9. 单击项目选项卡,将项目添加到 Active Directory 集成。
    添加项目对话框中,必须选择项目名称和相对 DN(即在“摘要”选项卡上指定的“基本 DN”中存在的 DN)。
  10. 在“扩展选项”选择下,提供以逗号分隔的备用主机列表,如果最初选择的服务器在部署期间不可用,则将使用该列表。主服务器始终用于对集成进行初始验证。
    注: 如果首选主机的格式为 LDAP,则备用主机不支持 LDAPS。
  11. 连接超时框中输入尝试使用备用服务器之前等待初始服务器响应的时间(以秒为单位)。
  12. 单击保存

结果

现在,可以将具有 Active Directory 集成的项目关联到云模板。使用此云模板置备计算机时,该计算机将预转储在指定的 Active Directory 和组织单位中。

最初,Active Directory 集成部署到默认 OU(几乎没有用户限制)。默认情况下,将Active Directory集成映射到项目时,将设置 OU。可以将名为 FinalRelativeDN 的属性添加到蓝图,以更改 Active Directory 部署的 OU。通过此属性,可以指定要用于 Active Directory 部署的 OU。

formatVersion: 1
inputs: {}
resources:
  Cloud_vSphere_Machine_1:
    type: Cloud.vSphere.Machine
    properties:
      image: CenOS8
      flavor: tiny
      activeDirectory:
        finalRelativeDN: ou=test
        securityGroup: TestSecurityGroup

如上述 YAML 示例中所示,用户可以将属性添加到 Active Directory 集成部署,以便将计算机帐户添加到安全组,为通过网络访问共享资源分配适当的权限。Active Directory 虚拟机最初部署到固定 OU,但在该计算机准备发布时,会移至具有适用于用户的适当策略的其他 OU。

如果计算机帐户在部署后移至其他 OU,Cloud Assembly 会尝试删除初始 OU 上的帐户。仅当虚拟机移至同一域中的其他 OU 时,才会成功删除计算机帐户。

此外,还可以按照以下方式对内部部署 Active Directory 集成执行基于标记的运行状况检查。

  1. 按照前面步骤所述创建 Active Directory 集成。
  2. 单击项目选项卡,将项目添加到 Active Directory 集成。
  3. 在“添加项目”对话框中,选择项目名称和相对 DN。相对 DN 必须存在于指定的基本 DN 中。

    此对话框中有两个开关,用于从云模板控制 Active Directory 配置。默认情况下,这两个开关均处于关闭状态。

    • 替代- 可以使用此开关替代 Active Directory 属性,特别是云模板中的相对 DN。启用时,可以更改在云模板的 relativeDN 属性中指定的 OU。计算机在置备后将添加到云模板的 relativeDN 属性中指定的 OU。以下示例显示了呈现此属性的云模板层次结构。
      activeDirectory:
           relativeDN: OU=ad_integration_machine_override
    • 忽略 - 可以使用此开关忽略项目的 Active Directory 配置。启用时,会将关联虚拟机的一个属性(名为 ignoreActiveDirectory)添加到云模板。当此属性设置为 true 时,表示计算机在部署时不会添加到 Active Directory。
  4. 添加适当标记。这些标记适用于可能应用 Active Directory 策略的云区域。
  5. 单击“保存”。

Cloud Assembly 中的基础架构 > 连接 > 集成页面上将显示每个集成的 Active Directory 集成状态。

可以将具有 Active Directory 集成的项目与云模板相关联。使用此模板置备计算机时,该计算机将预转储在指定的 Active Directory 和 OU 中。