Um die Sicherheit von ESXi-Hosts zu verbessern, können Sie diese in den Sperrmodus versetzen. Im Sperrmodus müssen alle Hostvorgänge standardmäßig über vCenter Server durchgeführt werden.

Normaler Sperrmodus und strenger Sperrmodus

Mit vSphere 6.0 und höher können Sie den normalen oder den strengen Sperrmodus wählen.

Normaler Sperrmodus
Im normalen Sperrmodus bleibt der DCUI-Dienst aktiv. Wenn die Verbindung mit dem vCenter Server-System unterbrochen wird und über den vSphere Client kein Zugriff mehr besteht, können sich die berechtigten Konten bei der Schnittstelle der direkten Konsole (DCUI) des ESXi-Hosts anmelden und den Sperrmodus verlassen. Nur die folgenden Konten haben Zugriff auf die Benutzerschnittstelle der direkten Konsole:
  • Konten in der Liste der aus dem Sperrmodus ausgenommenen Benutzer mit Administratorrechten für den Host. Die Liste der ausgenommenen Benutzer ist für Dienstkonten gedacht, mit denen spezielle Aufgaben ausgeführt werden. Wenn Sie dieser Liste ESXi-Administratoren hinzufügen, widerspricht dies dem Zweck des Sperrmodus.
  • In der erweiterten Option DCUI.Access für den Host definierte Benutzer. Diese Option dient für den Notfallzugriff auf die Schnittstelle der direkten Konsole für den Fall, dass die Verbindung mit vCenter Server unterbrochen wird. Diese Benutzer benötigen keine Administratorrechte auf dem Host.
Strenger Sperrmodus
Im strengen Sperrmodus wird der DCUI-Dienst beendet. Wenn die Verbindung mit vCenter Server unterbrochen wird und der vSphere Client nicht mehr verfügbar ist, steht auch der ESXi-Host nicht mehr zur Verfügung – es sei denn, die ESXi Shell und die SSH-Dienste sind aktiviert und ausgenommene Benutzer wurden definiert. Wenn Sie die Verbindung mit dem vCenter Server-System nicht mehr herstellen können, müssen Sie den Host neu installieren.

Sperrmodus und ESXi Shell bzw. SSH-Dienste

Im strengen Sperrmodus wird der DCUI-Dienst angehalten. ESXi Shell und SSH-Dienste sind jedoch vom Sperrmodus nicht betroffen. Damit der Sperrmodus eine wirksame Schutzmaßnahme darstellen kann, müssen auch die ESXi Shell und die SSH-Dienste deaktiviert sein. Diese Dienste sind standardmäßig deaktiviert.

Bei einem Host im Sperrmodus können Benutzer in der Liste der ausgenommenen Benutzer über die ESXi Shell und SSH auf den Host zugreifen, wenn sie die Administratorrolle auf dem Host besitzen. Das ist sogar im strengen Sperrmodus möglich. Daher ist die sicherste Option, den ESXi Shell- und den SSH-Dienst deaktiviert zu lassen.

Hinweis: Die Liste der ausgenommenen Benutzer ist für Dienstkonten gedacht, mit denen sehr spezielle Aufgaben ausgeführt werden, und nicht für Administratoren. Wenn Sie der Liste „Ausnahme für Benutzer“ Administratoren hinzufügen, widerspricht dies dem Zweck des Sperrmodus.

Versetzen eines ESXi-Hosts in den normalen Sperrmodus mit dem VMware Host Client

Sie können einen Host mit dem VMware Host Client in den strengen Sperrmodus versetzen.

Prozedur

  1. Klicken Sie in der VMware Host Client-Bestandsliste mit der rechten Maustaste auf Host, wählen Sie Sperrmodus aus dem Dropdown-Menü aus und wählen Sie anschließend In den normalen Sperrmodus wechseln.
    Es wird eine Warnmeldung angezeigt.
  2. Klicken Sie auf In den normalen Sperrmodus wechseln.

Versetzen eines ESXi-Hosts in den strengen Sperrmodus mit dem VMware Host Client

Sie können einen Host mit dem VMware Host Client in den strengen Sperrmodus versetzen.

Prozedur

  1. Klicken Sie in der VMware Host Client-Bestandsliste mit der rechten Maustaste auf Host, wählen Sie Sperrmodus aus dem Dropdown-Menü aus und wählen Sie anschließend In den strengen Sperrmodus wechseln.
    Es wird eine Warnmeldung angezeigt.
  2. Klicken Sie auf In den strengen Sperrmodus wechseln.

Beenden des Sperrmodus mit dem VMware Host Client

Wenn Sie den normalen oder strengen Sperrmodus auf einem ESXi-Host aktiviert haben, können Sie ihn mit dem VMware Host Client beenden.

Prozedur

  • Klicken Sie in der VMware Host Client-Bestandsliste mit der rechten Maustaste auf Host, wählen Sie Sperrmodus aus dem Dropdown-Menü aus und wählen Sie anschließend Sperre beenden.

Angeben der Benutzerausnahmen für den Sperrmodus im VMware Host Client

In vSphere 6.0 und höher können Sie Benutzer über den VMware Host Client zur Liste „Ausnahme für Benutzer“ hinzufügen. Diese Benutzer verlieren ihre Berechtigungen nicht, wenn der Host in den Sperrmodus wechselt. Sie können Dienstkonten wie beispielsweise einen Backup-Agenten zur Liste „Ausnahme für Benutzer“ hinzufügen.

Ausgenommene Benutzer sind lokale Hostbenutzer oder Active Directory-Benutzer mit lokal für den ESXi-Host definierten Rechten. Sie sind keine Mitglieder einer Active Directory-Gruppe und keine vCenter Server-Benutzer. Diese Benutzer dürfen Vorgänge auf dem Host in Abhängigkeit von ihren Rechten durchführen. Dies bedeutet, dass beispielsweise ein Benutzer mit der Berechtigung „Nur Lesen“ den Sperrmodus auf einem Host nicht deaktivieren kann.
Hinweis: Die Liste „Ausnahme für Benutzer“ ist für Dienstkonten gedacht, mit denen sehr spezielle Aufgaben ausgeführt werden, und nicht für Administratoren. Wenn Sie der Liste „Ausnahme für Benutzer“ Administratoren hinzufügen, widerspricht dies dem Zweck des Sperrmodus.

Prozedur

  1. Klicken Sie in der VMware Host Client-Bestandsliste auf Verwalten und anschließend auf Sicherheit und Benutzer.
  2. Klicken Sie auf Sperrmodus.
  3. Klicken Sie auf Benutzerausnahme hinzufügen, geben Sie den Namen des Benutzers ein und klicken Sie auf Ausnahme hinzufügen.
  4. (Optional) Wählen Sie in der Liste „Ausnahme für Benutzer“ einen Namen aus, klicken Sie auf Benutzerausnahme entfernen und klicken Sie auf Bestätigen.