Um die Sicherheit von ESXi-Hosts zu verbessern, können Sie diese in den Sperrmodus versetzen. Im Sperrmodus müssen alle Hostvorgänge standardmäßig über vCenter Server durchgeführt werden.

Ab vSphere 6.0 haben Sie die Wahl zwischen dem normalen und dem strengen Sperrmodus mit jeweils unterschiedlicher Sperrstärke. In vSphere 6.0 steht Ihnen außerdem eine Liste ausgenommener Benutzer bereit. Ausgenommene Benutzer verlieren ihre Rechte nicht, wenn der Host in den Sperrmodus wechselt. In die Liste der ausgenommenen Benutzer können Sie Konten von Drittanbieterlösungen und externe Anwendungen aufnehmen, die auch im Sperrmodus direkten Zugang zum Host benötigen. Siehe Angeben der Benutzerausnahmen für den Sperrmodus.

Normaler Sperrmodus und strenger Sperrmodus

Ab vSphere 6.0 haben Sie die Wahl zwischen dem normalen und dem strengen Sperrmodus mit jeweils unterschiedlicher Sperrstärke.

Normaler Sperrmodus

Im normalen Sperrmodus wird der DCUI-Dienst nicht angehalten. Wenn die Verbindung mit dem vCenter Server-System unterbrochen wird und über den vSphere Web Client kein Zugriff mehr besteht, können sich die berechtigten Konten bei der Schnittstelle der direkten Konsole (DCUI) des ESXi-Hosts anmelden und den Sperrmodus verlassen. Nur die folgenden Konten haben Zugriff auf die Benutzerschnittstelle der direkten Konsole:

  • Konten in der Liste der aus dem Sperrmodus ausgenommenen Benutzer mit Administratorrechten für den Host. Die Liste der ausgenommenen Benutzer ist für Dienstkonten gedacht, mit denen sehr spezielle Aufgaben ausgeführt werden. Wenn Sie dieser Liste ESXi-Administratoren hinzufügen, widerspricht dies dem Zweck des Sperrmodus.

  • In der erweiterten Option DCUI.Access für den Host definierte Benutzer. Diese Option dient für den Notfallzugriff auf die Schnittstelle der direkten Konsole für den Fall, dass die Verbindung mit vCenter Server unterbrochen wird. Diese Benutzer benötigen keine Administratorrechte auf dem Host.

Strenger Sperrmodus

Im strengen Sperrmodus, neu in vSphere 6.0, wird der DCUI-Dienst angehalten. Wenn die Verbindung mit vCenter Server unterbrochen wird und der vSphere Web Client nicht mehr verfügbar ist, steht auch der ESXi-Host nicht mehr zur Verfügung – es sei denn, die ESXi Shell und die SSH-Dienste sind aktiviert und ausgenommene Benutzer wurden definiert. Wenn Sie die Verbindung mit dem vCenter Server-System nicht mehr herstellen können, müssen Sie den Host neu installieren.

Sperrmodus und ESXi Shell bzw. SSH-Dienste

Im strengen Sperrmodus wird der DCUI-Dienst angehalten. ESXi Shell und SSH-Dienste sind jedoch vom Sperrmodus nicht betroffen. Damit der Sperrmodus eine wirksame Schutzmaßnahme darstellen kann, müssen auch die ESXi Shell und die SSH-Dienste deaktiviert sein. Diese Dienste sind standardmäßig deaktiviert.

Bei einem Host im Sperrmodus können Benutzer in der Liste der ausgenommenen Benutzer über die ESXi Shell und SSH auf den Host zugreifen, wenn sie die Administratorrolle auf dem Host besitzen. Das ist sogar im strengen Sperrmodus möglich. Daher ist die sicherste Option, den ESXi Shell- und den SSH-Dienst deaktiviert zu lassen.

Anmerkung:

Die Liste der ausgenommenen Benutzer ist für Dienstkonten gedacht, mit denen sehr spezielle Aufgaben ausgeführt werden, und nicht für Administratoren. Wenn Sie der Liste „Ausnahme für Benutzer“ Administratoren hinzufügen, widerspricht dies dem Zweck des Sperrmodus.

Aktivieren und Deaktivieren des Sperrmodus

Berechtigte Benutzer haben mehrere Möglichkeiten, den Sperrmodus zu aktivieren:

Berechtigte Benutzer können den Sperrmodus im vSphere Web Client deaktivieren. Über die Benutzerschnittstelle der direkten Konsole kann der normale, nicht aber der strenge Sperrmodus deaktiviert werden.

Anmerkung:

Wenn Sie den Sperrmodus über die Benutzerschnittstelle der direkten Konsole aktivieren bzw. deaktivieren, werden Berechtigungen für Benutzer und Gruppen auf dem Host verworfen. Um diese Berechtigungen beizubehalten, müssen Sie den Sperrmodus im vSphere Web Client aktivieren oder deaktivieren.