Sie können nur eine Platform Services Controller-Appliance oder eine vCenter Server Appliance mit einem eingebetteten Platform Services Controller zu einer Active Directory-Domäne hinzufügen. Sie können die Benutzer und Gruppen aus dieser Active Directory-Domäne an Ihre vCenter Single Sign-On-Domäne anhängen.

Warum und wann dieser Vorgang ausgeführt wird

Wichtig:

Das Hinzufügen einer Platform Services Controller Appliance oder einer vCenter Server Appliance mit eingebettetem Platform Services Controller zu einer Active Directory-Domäne mit schreibgeschütztem Domänen-Controller (RODC) wird nicht unterstützt. Sie können nur einen Platform Services Controller oder eine vCenter Server Appliance mit einem eingebetteten Platform Services Controller zu einer Active Directory-Domäne mit einem beschreibbaren Domänencontroller hinzufügen.

Wenn Sie Berechtigungen für Benutzer und Gruppen aus einer Active Directory-Domäne konfigurieren möchten, um auf die vCenter Server-Komponenten zuzugreifen, müssen Sie dessen verknüpfte eingebettete oder externe Platform Services Controller-Instanz zum Active Directory hinzufügen.

Um beispielsweise einem Active Directory-Benutzer die Anmeldung an der vCenter Server-Instanz in einer vCenter Server Appliance mit eingebettetem Platform Services Controller durch Verwendung des vSphere Web Clients mit Windows-Sitzungsauthentifizierung (SSPI) zu ermöglichen, müssen Sie die vCenter Server Appliance zu der Active Directory-Domäne hinzufügen und diesem Benutzer die Rolle des Administrators zuweisen. Um einem Active Directory-Benutzer die Anmeldung an einer vCenter Server-Instanz zu ermöglichen, die eine externe Platform Services Controller-Appliance unter Nutzung des vSphere Web Clients mit SSPI verwendet, müssen Sie die Platform Services Controller-Appliance zu der Active Directory-Domäne hinzufügen und diesem Benutzer die Rolle des Administrators zuweisen.

Voraussetzungen

  • Stellen Sie sicher, dass der Benutzer, der sich bei der vCenter Server-Instanz in der vCenter Server Appliance anmeldet, Mitglied der Gruppe „SystemConfiguration.Administrators“ in vCenter Single Sign-On ist.

  • Stellen Sie sicher, dass der Systemname der Appliance ein FQDN ist. Wenn Sie bei der Bereitstellung der Appliance eine IP-Adresse als einen Systemnamen festlegen, können Sie die vCenter Server Appliance nicht zu einer Active Directory-Domäne hinzufügen.

Prozedur

  1. Verwenden Sie vSphere Web Client, um sich als „administrator@ihr_domänenname“ bei der vCenter Server-Instanz in der vCenter Server Appliance anzumelden.

    Die Adresse ist vom Typ „http://appliance-IP-adresse-oder-FQDN/vsphere-client“.

  2. Halten Sie auf der Hauptseite von vSphere Web Client den Mauszeiger über das Symbol Startseite, klicken Sie auf Startseite und wählen Sie Systemkonfiguration aus.
  3. Klicken Sie unter „Bereitstellung“ auf Systemkonfiguration.
  4. Klicken Sie unter „Systemkonfiguration“ auf Knoten.
  5. Wählen Sie unter „Knoten“ einen Knoten aus und klicken Sie auf die Registerkarte Verwalten.
  6. Wählen Sie unter „Erweitert“ die Option Active Directory und klicken Sie auf Beitreten.
  7. Geben Sie die Active Directory-Details ein.

    Option

    Beschreibung

    Domäne

    Active Directory-Domänenname, z. B. mydomain.com. Geben Sie in diesem Textfeld keine IP-Adresse an.

    Organisationseinheit

    Optional. Der vollständige OU LDAP-FQDN, wie z. B. OU=Engineering,DC=mydomain,DC=com.

    Wichtig:

    Verwenden Sie dieses Feld nur, wenn Sie mit LDAP vertraut sind.

    Benutzername

    Benutzername im UPN-Format (User Principal Name), z. B. „jchin@mydomain.com“.

    Wichtig:

    Ein kompatibles Anmeldenamensformat, z. B. DOMAIN\UserName, wird nicht unterstützt.

    Kennwort

    Das Kennwort des Benutzers.

  8. Klicken Sie auf OK, um die vCenter Server Appliance zur Active Directory-Domäne hinzuzufügen.

    Der Vorgang wird erfolgreich automatisch ausgeführt und anstelle der Schaltfläche „Beitreten“ wird nun die Schaltfläche „Verlassen“ angezeigt.

  9. Klicken Sie mit der rechten Maustaste auf den bearbeiteten Knoten, und wählen Sie Neu starten, um die Appliance neu zu starten und die Änderungen anzuwenden.
    Wichtig:

    Wenn Sie die Appliance nicht neu starten, treten bei Verwendung des vSphere Web Client möglicherweise Probleme auf.

  10. Navigieren Sie zu Verwaltung > Single Sign On > Konfiguration.
  11. Klicken Sie auf der Registerkarte Identitätsquelle auf das Symbol Identitätsquelle hinzufügen.
  12. Wählen Sie Active Directory (Integrierte Windows-Authentifizierung) aus, geben Sie die Einstellungen der Identitätsquelle der hinzugefügten Active Directory-Domäne ein und klicken Sie auf OK.
    Tabelle 1. Hinzufügen von Einstellungen der Identitätsquelle

    Textfeld

    Beschreibung

    Domänenname

    Vollqualifizierter Domänenname (FDQN) der Domäne. Geben Sie in diesem Textfeld keine IP-Adresse an.

    Maschinenkonto verwenden

    Wählen Sie diese Option aus, um das Konto der lokalen Maschine als SPN zu verwenden. Mit dieser Option geben Sie nur den Domänennamen an. Verwenden Sie diese Option nicht, wenn Sie diese Maschine voraussichtlich umbenennen werden.

    SPN (Dienstprinzipalname)

    Wählen Sie diese Option aus, wenn Sie die lokale Maschine voraussichtlich umbenennen werden. Sie müssen einen SPN, einen Benutzer, der sich mit der Identitätsquelle authentifizieren kann, und ein Kennwort für den Benutzer angeben.

    SPN (Dienstprinzipalname)

    Der SPN, mit dem Kerberos den Active Directory-Dienst identifiziert. Schließen Sie die Domäne in den Namen ein, wie z. B. „STS/example.com“.

    Möglicherweise müssen Sie setspn -S ausführen, um den gewünschten Benutzer hinzuzufügen. Weitere Informationen zu setspn finden Sie in der Microsoft-Dokumentation.

    Der SPN muss innerhalb der Domäne eindeutig sein. Durch Ausführen von setspn -S wird sichergestellt, dass keine Duplikate erstellt werden.

    UPN (Benutzerprinzipalname)

    Der Name eines Benutzers, der sich mit dieser Identitätsquelle authentifizieren kann. Verwenden Sie das E-Mail-Adressformat wie z. B. „jchin@mydomain.com“. Den Benutzerprinzipalnamen können Sie mit dem Active Directory-Dienstschnittstellen-Editor (ADSI Edit) überprüfen.

    Kennwort

    Das Kennwort für den Benutzer, der für die Authentifizierung mit dieser Identitätsquelle verwendet wird. Dies ist der Benutzer, der im UPN (Benutzerprinzipalnamen) angegeben ist. Schließen Sie den Domänennamen ein, wie z. B. „jdoe@example.com“.

Ergebnisse

Auf der Registerkarte Identitätsquellen wird die hinzugefügte Active Directory-Domäne angezeigt.

Nächste Maßnahme

Sie können Berechtigungen für Benutzer und Gruppen aus der hinzugefügten Active Directory-Domäne konfigurieren, um auf die vCenter Server-Komponenten zuzugreifen. Informationen zum Verwalten von Berechtigungen finden Sie in der Dokumentation vSphere-Sicherheit.