Vorbereitungen

Das Domänenkonto muss über AD-Leseberechtigung für alle Objekte in der Domänenstruktur verfügen. Das Konto des Ereignisprotokolllesers muss über Leseberechtigungen für Sicherheits-Ereignisprotokolle verfügen.

Prozedur

  1. Melden Sie sich beim vSphere Web Client an. 2. 3.
  2. Klicken Sie auf Networking & Security und anschließend auf NSX Manager (NSX Managers).
  3. Klicken Sie in der Spalte Name auf einen NSX Manager und klicken Sie dann auf die Registerkarte Verwalten (Manage).
  4. Klicken Sie auf die Registerkarte Domäne (Domain) und anschließend auf das Symbol Domäne hinzufügen (Add domain) (Domäne hinzufügen).
  5. Geben Sie im Dialogfeld Domäne hinzufügen (Add Domain) den vollqualifizierten Domänennamen (z. B. eng.vmware.com) und den netBIOS-Namen für die Domäne ein.

    Um den netBIOS-Namen für die Domäne abzurufen, geben Sie nbstat -n in einem Befehlsfenster auf einer Windows-Workstation ein, die Teil einer Domäne ist oder die sich auf einem Domänencontroller befindet. In der lokalen NetBIOS-Namentabelle ist der Eintrag mit einem Präfix <00> und dem Typ „Gruppe“ der netBIOS-Name.

  6. Klicken Sie während der Synchronisierung zum Herausfiltern von Benutzern, die über kein aktives Konto mehr verfügen, auf Deaktivierte Benutzer ignorieren (Ignore disabled users).
  7. Klicken Sie auf Weiter (Next).
  8. Geben Sie auf der Seite „LDAP-Optionen“ den Domänencontroller an, mit dem die Domäne synchronisiert werden soll, und wählen Sie das Protokoll aus.
  9. Bearbeiten Sie die Portnummer, falls erforderlich.
  10. Geben Sie die Anmeldedaten für das Domänenkonto ein. Dieser Benutzer muss auf die Verzeichnisstruktur zugreifen können.
  11. Klicken Sie auf Weiter (Next).
  12. (Optional) : Wählen Sie auf der Seite „Zugriff auf Sicherheits-Ereignisprotokoll“ entweder CIFS oder WMI als Verbindungsmethode für den Zugriff auf Sicherheits-Ereignisprotokolle auf dem angegebenen AD-Server aus. Ändern Sie die Portnummer, falls erforderlich. Dieser Schritt wird von Active Directory Event Log Scraper verwendet. Weitere Informationen dazu finden Sie unter Workflow für die identitätsbasierte Firewall.
    Anmerkung:

    Der Ereignisprotokollleser sucht im AD-Sicherheitsereignisprotokoll nach Ereignissen mit den folgenden IDs: Windows 2008/2012: 4624, Windows 2003: 540. Der Ereignisprotokoll-Server ist auf 128 MB beschränkt. Wenn diese Obergrenze erreicht wird, ist eventuell die Ereignis-ID 1104 im Sicherheitsprotokollleser enthalten. Weitere Informationen hierzu finden Sie unter https://technet.microsoft.com/en-us/library/dd315518.

  13. Wählen Sie Anmeldedaten der Domäne verwenden (Use Domain Credentials) aus, um die Anmeldedaten für den LDAP-Server zu verwenden. Um ein anderes Domänenkonto für den Zugriff auf die Protokolle anzugeben, heben Sie die Auswahl Anmeldedaten der Domäne verwenden (Use Domain Credentials) auf und geben Sie den Benutzernamen und das Kennwort an.

    Das angegebene Konto muss die Sicherheits-Ereignisprotokolle auf dem Domänencontroller, der in Schritt 10 angegeben wurde, lesen können.

  14. Klicken Sie auf Weiter (Next).
  15. Überprüfen Sie die eingegebenen Einstellungen auf der Seite „Bereit zum Abschließen“.
  16. Klicken Sie auf Beenden (Finish).
    Achtung:

    Wenn eine Fehlermeldung angezeigt, dass das Hinzufügen einer Domäne für die Einheit aufgrund eines Domänenkonflikts nicht möglich ist, wählen Sie als Problemumgehung die Funktion „Automatisch zusammenführen“ aus.

Ergebnisse

Die Domäne wird erstellt und ihre Einstellungen werden unter der Domänenliste angezeigt.

Nächste Maßnahme

Vergewissern Sie sich, dass Anmeldeereignisse auf dem Ereignisprotokoll-Server aktiviert sind.

Sie können LDAP-Server hinzufügen, bearbeiten, löschen, aktivieren oder deaktivieren, indem Sie die Registerkarte LDAP-Server (LDAP Servers) im Bereich unter der Domänenliste auswählen. Sie können dieselben Aufgaben für Ereignisprotokoll-Server ausführen, indem Sie die Registerkarte Ereignisprotokoll-Server (Event Log Servers) im Bereich unter der Domänenliste auswählen. Wenn Sie mehr als einen Windows-Server (Domänencontroller, Exchange Server oder Dateiserver) als Ereignisprotokoll-Server auswählen, wird dadurch die Zuordnung der Benutzeridentität verbessert.

Anmerkung:

Wenn Sie IDFW verwenden, werden nur AD-Server unterstützt.