Wenn Sie den Identitätsquellentyp Active Directory (Integrierte Windows-Authentifizierung) auswählen, können Sie das Konto der lokalen Maschine als SPN (Service Principal Name, Dienstprinzipalname) auswählen oder einen SPN explizit angeben. Sie können diese Option nur verwenden, wenn der vCenter Single Sign On-Server einer Active Directory-Domäne beigetreten ist.

Voraussetzungen für die Verwendung einer Active Directory-Identitätsquelle (Integrierte Windows-Authentifizierung)

Sie können vCenter Single Sign On so einrichten, dass nur dann eine Active Directory-Identitätsquelle (Integrierte Windows-Authentifizierung) verwendet wird, wenn diese Identitätsquelle verfügbar ist. Folgen Sie den Anweisungen in der Dokumentation zur vCenter Server-Konfiguration.

Hinweis: Active Directory (integrierte Windows-Authentifizierung) verwendet immer der Stamm der Active Directory-Domänengesamtstruktur. Informationen zur Konfiguration der Identitätsquelle für integrierte Windows-Authentifizierung mit einer untergeordneten Domäne in der Active Directory-Gesamtstruktur finden Sie im VMware-Knowledgebase-Artikel unter http://kb.vmware.com/kb/2070433.

Wählen Sie Maschinenkonto verwenden aus, um die Konfiguration zu beschleunigen. Wenn Sie die lokale Maschine, auf der vCenter Single Sign On ausgeführt wird, voraussichtlich umbenennen werden, empfiehlt sich die explizite Angabe eines SPN.

Wenn Sie Protokollierung für Diagnoseereignisse in Active Directory aktiviert haben, um herauszufinden, an welcher Stelle Härtung notwendig sein könnte, wird unter Umständen ein Protokollereignis mit der Ereignis-ID 2889 auf diesem Verzeichnisserver angezeigt. Die Ereignis-ID 2889 wird bei Verwendung integrierter Windows-Authentifizierung eher als Anomalie denn als Sicherheitsrisiko erzeugt. Weitere Informationen zur Ereignis-ID 2889 finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/78644.

Tabelle 1. Hinzufügen von Einstellungen der Identitätsquelle
Textfeld Beschreibung
Domänenname FQDN des Domänennamens, zum Beispiel „mydomain.com“. Geben Sie keine IP-Adresse an. Dieser Domänenname muss durch das vCenter Server-System per DNS auflösbar sein.
Maschinenkonto verwenden Wählen Sie diese Option aus, um das Konto der lokalen Maschine als SPN zu verwenden. Mit dieser Option geben Sie nur den Domänennamen an. Verwenden Sie diese Option nicht, wenn Sie diese Maschine voraussichtlich umbenennen werden.
SPN (Dienstprinzipalname) verwenden Wählen Sie diese Option aus, wenn Sie die lokale Maschine voraussichtlich umbenennen werden. Sie müssen einen SPN, einen Benutzer, der sich mit der Identitätsquelle authentifizieren kann, und ein Kennwort für den Benutzer angeben.
SPN (Dienstprinzipalname) Der SPN, mit dem Kerberos den Active Directory-Dienst identifiziert. Schließen Sie die Domäne in den Namen ein. Beispiel: „STS/example.com“.

Der SPN muss innerhalb der Domäne eindeutig sein. Durch Ausführen des Befehls setspn -S wird sichergestellt, dass keine Duplikate erstellt werden. Weitere Informationen zu setspn finden Sie in der Microsoft-Dokumentation.

UPN (Benutzerprinzipalname)

Kennwort

Der Name und das Kennwort eines Benutzers, der sich mit dieser Identitätsquelle authentifizieren kann. Verwenden Sie beispielsweise folgendes E-Mail-Adressformat: „ jchin@mydomain.com“. Den Benutzerprinzipalnamen können Sie mit dem Active Directory-Dienstschnittstellen-Editor (ADSI Edit) überprüfen.