Um die Sicherheit von ESXi-Hosts zu verbessern, können Sie diese in den Sperrmodus versetzen. Im Sperrmodus müssen alle Hostvorgänge standardmäßig über vCenter Server durchgeführt werden.
Normaler Sperrmodus und strenger Sperrmodus
Mit vSphere 6.0 und höher können Sie den normalen oder den strengen Sperrmodus wählen.
- Normaler Sperrmodus
-
Im normalen Sperrmodus bleibt der DCUI-Dienst aktiv. Wenn die Verbindung mit dem
vCenter Server-System unterbrochen wird und über den
vSphere Client kein Zugriff mehr besteht, können sich die berechtigten Konten bei der Schnittstelle der direkten Konsole (DCUI) des
ESXi-Hosts anmelden und den Sperrmodus verlassen. Nur die folgenden Konten haben Zugriff auf die Benutzerschnittstelle der direkten Konsole:
- Konten in der Liste der aus dem Sperrmodus ausgenommenen Benutzer mit Administratorrechten für den Host. Die Liste der ausgenommenen Benutzer ist für Dienstkonten gedacht, mit denen spezielle Aufgaben ausgeführt werden. Wenn Sie dieser Liste ESXi-Administratoren hinzufügen, widerspricht dies dem Zweck des Sperrmodus.
- In der erweiterten Option DCUI.Access für den Host definierte Benutzer. Diese Option dient für den Notfallzugriff auf die Schnittstelle der direkten Konsole für den Fall, dass die Verbindung mit vCenter Server unterbrochen wird. Diese Benutzer benötigen keine Administratorrechte auf dem Host.
- Strenger Sperrmodus
- Im strengen Sperrmodus wird der DCUI-Dienst beendet. Wenn die Verbindung mit vCenter Server unterbrochen wird und der vSphere Client nicht mehr verfügbar ist, steht auch der ESXi-Host nicht mehr zur Verfügung – es sei denn, die ESXi Shell und die SSH-Dienste sind aktiviert und ausgenommene Benutzer wurden definiert. Wenn Sie die Verbindung mit dem vCenter Server-System nicht mehr herstellen können, müssen Sie den Host neu installieren.
Sperrmodus und ESXi Shell bzw. SSH-Dienste
Im strengen Sperrmodus wird der DCUI-Dienst angehalten. ESXi Shell und SSH-Dienste sind jedoch vom Sperrmodus nicht betroffen. Damit der Sperrmodus eine wirksame Schutzmaßnahme darstellen kann, müssen auch die ESXi Shell und die SSH-Dienste deaktiviert sein. Diese Dienste sind standardmäßig deaktiviert.
Bei einem Host im Sperrmodus können Benutzer in der Liste der ausgenommenen Benutzer über die ESXi Shell und SSH auf den Host zugreifen, wenn sie die Administratorrolle auf dem Host besitzen. Das ist sogar im strengen Sperrmodus möglich. Daher ist die sicherste Option, den ESXi Shell- und den SSH-Dienst deaktiviert zu lassen.