Voraussetzungen

Das Domänenkonto muss über AD-Leseberechtigung für alle Objekte in der Domänenstruktur verfügen. Das Konto des Ereignisprotokolllesers muss über Leseberechtigungen für Sicherheits-Ereignisprotokolle verfügen.

Prozedur

  1. Navigieren Sie im vSphere Web Clientzu Netzwerk und Sicherheit (Networking & Security) > System > Benutzer und Domänen (Users and Domains).
  2. Klicken Sie auf die Registerkarte Domains und anschließend auf das Symbol Domain hinzufügen (Add domain) (Domain hinzufügen).
  3. Geben Sie im Dialogfeld Domäne hinzufügen (Add Domain) den vollqualifizierten Domänennamen (z. B. eng.vmware.com) und den netBIOS-Namen für die Domäne ein.
    Um den netBIOS-Namen für die Domäne abzurufen, geben Sie nbtstat -n in einem Befehlsfenster auf einer Windows-Workstation ein, die Teil einer Domäne ist oder die sich auf einem Domänencontroller befindet. In der lokalen NetBIOS-Namentabelle ist der Eintrag mit einem Präfix <00> und dem Typ „Gruppe“ der netBIOS-Name.
  4. Wenn Sie eine untergeordnete Domäne hinzufügen, wählen Sie die Funktion Automatisch zusammenführen (Auto Merge) aus.
  5. Klicken Sie während der Synchronisierung zum Herausfiltern von Benutzern, die über kein aktives Konto mehr verfügen, auf Deaktivierte Benutzer ignorieren (Ignore disabled users).
  6. Klicken Sie auf Weiter (Next).
  7. Geben Sie auf der Seite „LDAP-Optionen“ den Domänencontroller an, mit dem die Domäne synchronisiert werden soll, und wählen Sie das Protokoll aus. Weitere Informationen zu den unterstützten Optionen für die Domänensynchronisierung finden Sie unter Für die identitätsbasierte Firewall getestete und unterstützte Konfigurationen.
  8. Bearbeiten Sie die Portnummer, falls erforderlich.
  9. Geben Sie die Anmeldedaten für das Domänenkonto ein. Dieser Benutzer muss auf die Verzeichnisstruktur zugreifen können.
  10. Klicken Sie auf Weiter (Next).
  11. (Optional) Wählen Sie auf der Seite „Zugriff auf Sicherheits-Ereignisprotokoll“ entweder CIFS oder WMI als Verbindungsmethode für den Zugriff auf Sicherheits-Ereignisprotokolle auf dem angegebenen AD-Server aus. Ändern Sie die Portnummer, falls erforderlich. Dieser Schritt wird von Active Directory Event Log Scraper verwendet. Weitere Informationen dazu finden Sie unter Workflow für die identitätsbasierte Firewall.
    Hinweis: Der Ereignisprotokollleser sucht im AD-Sicherheitsereignisprotokoll nach Ereignissen mit den folgenden IDs: Windows 2008/2012: 4624, Windows 2003: 540. Der Ereignisprotokoll-Server ist auf 128 MB beschränkt. Wenn diese Obergrenze erreicht wird, ist eventuell die Ereignis-ID 1104 im Sicherheitsprotokollleser enthalten. Weitere Informationen hierzu finden Sie unter https://technet.microsoft.com/en-us/library/dd315518.
  12. Wählen Sie Anmeldedaten der Domäne verwenden (Use Domain Credentials) aus, um die Anmeldedaten für den LDAP-Server zu verwenden. Um ein anderes Domänenkonto für den Zugriff auf die Protokolle anzugeben, heben Sie die Auswahl Anmeldedaten der Domäne verwenden (Use Domain Credentials) auf und geben Sie den Benutzernamen und das Kennwort an.
    Das angegebene Konto muss die Sicherheits-Ereignisprotokolle auf dem Domänencontroller, der in Schritt 10 angegeben wurde, lesen können.
  13. Klicken Sie auf Weiter (Next).
  14. Überprüfen Sie die eingegebenen Einstellungen auf der Seite „Bereit zum Abschließen“.
  15. Klicken Sie auf Beenden (Finish).
    Achtung:
    • Wenn eine Fehlermeldung anzeigt, dass das Hinzufügen einer Domäne für die Einheit aufgrund eines Domänenkonflikts nicht möglich ist, wählen Sie die Funktion „Automatisch zusammenführen“ aus. Die Domänen werden erstellt, und die Einstellungen werden unterhalb der Domänenliste angezeigt.

Ergebnisse

Die Domäne wird erstellt und ihre Einstellungen werden unter der Domänenliste angezeigt.

Nächste Maßnahme

Vergewissern Sie sich, dass Anmeldeereignisse auf dem Ereignisprotokoll-Server aktiviert sind.

Sie können LDAP-Server hinzufügen, bearbeiten, löschen, aktivieren oder deaktivieren, indem Sie die Registerkarte LDAP-Server (LDAP Servers) im Bereich unter der Domänenliste auswählen. Sie können dieselben Aufgaben für Ereignisprotokoll-Server ausführen, indem Sie die Registerkarte Ereignisprotokoll-Server (Event Log Servers) im Bereich unter der Domänenliste auswählen. Wenn Sie mehr als einen Windows-Server (Domänencontroller, Exchange Server oder Dateiserver) als Ereignisprotokoll-Server auswählen, wird dadurch die Zuordnung der Benutzeridentität verbessert.

Hinweis: Wenn Sie IDFW verwenden, werden nur AD-Server unterstützt.