Die ESXi Shell stellt wichtige Wartungsbefehle bereit und ist auf ESXi-Hosts standardmäßig deaktiviert. Sie können bei Bedarf lokalen Zugriff und Remotezugriff auf die Shell aktivieren. Um das Risiko eines nicht autorisierten Zugriffs zu reduzieren, aktivieren Sie die ESXi Shell nur zur Fehlerbehebung.

Die ESXi Shell ist unabhängig vom Sperrmodus. Selbst wenn der Host im Sperrmodus ausgeführt wird, können Sie sich weiterhin bei der ESXi Shell anmelden, soweit sie aktiviert ist.

Dies sind die Anwendungsdienste:

ESXi Shell
Aktivieren Sie diesen Dienst, um lokal auf die ESXi Shell zuzugreifen.
SSH
Aktivieren Sie diesen Dienst, um die ESXi Shell remote über SSH aufzurufen.

Der Root-Benutzer und Benutzer mit der Rolle „Administrator“ können auf die ESXi Shell zugreifen. Benutzern, die zur Active Directory-Gruppe „ESX Admins“ gehören, wird automatisch die Rolle „Administrator“ zugewiesen. Standardmäßig kann nur der Root-Benutzer Systembefehle (z. B. vmware -v) über die ESXi Shell ausführen.

Hinweis: Aktivieren Sie die ESXi Shell nur, wenn dies wirklich erforderlich ist.

Festlegen der Zeitüberschreitungswerts für Leerlauf für die ESXi Shell mithilfe des vSphere Client

Wenn Sie die ESXi Shell auf einem Host aktivieren, sich aber nicht von der Sitzung abmelden, bleibt die Sitzung im Leerlauf für unbestimmte Zeit bestehen. Die offene Verbindung erhöht die Möglichkeit für einen privilegierten Zugriff auf den Host. Verhindern Sie dies, indem Sie eine Zeitüberschreitung für Sitzungen im Leerlauf festlegen.

Der Zeitüberschreitungswert für die Leerlaufzeit gibt die Zeitspanne an, die verstreichen darf, bis ein Benutzer bei interaktiven Sitzungen, die sich im Leerlauf befinden, abgemeldet wird. Sie können die Zeit sowohl für lokale als auch Remote-Sitzungen (SSH) vom Direct Console Interface (DCUI) oder vom vSphere Client aus steuern.

Prozedur

  1. Navigieren Sie zum Host im Navigator des vSphere Client.
  2. Klicken Sie auf Konfigurieren.
  3. Klicken Sie unter „System“ auf Erweiterte Systemeinstellungen.
  4. Klicken Sie auf Bearbeiten, wählen Sie UserVars.ESXiShellInteractiveTimeOut aus und geben Sie die Einstellung für die Zeitüberschreitung ein.
    Mit dem Wert NULL (0) wird die Leerlaufzeit deaktiviert.
  5. Sie müssen den ESXi Shell-Dienst neu starten, damit die Einstellungen wirksam werden.
    1. Wechseln Sie zu System > Dienste.
    2. Wählen Sie nacheinander „ESXi Shell“ und „SSH“ aus und klicken Sie auf Neustart.

Ergebnisse

Wenn die Sitzung sich im Leerlauf befindet, werden die Benutzer nach Ablauf der Zeitüberschreitungszeitspanne abgemeldet.

Festlegen eines Zeitüberschreitungswerts für Verfügbarkeit für die ESXi Shell mithilfe des vSphere Client

Die ESXi Shell ist standardmäßig deaktiviert. Sie können einen Zeitüberschreitungswert für die Verfügbarkeit für die ESXi Shell festlegen, um die Sicherheit beim Aktivieren der Shell zu erhöhen.

Der Zeitüberschreitungswert für die Verfügbarkeit gibt die Zeitspanne an, während der Sie sich nach der Aktivierung der ESXi Shell anmelden müssen. Nach Ablauf dieser Zeitspanne wird der Dienst deaktiviert und die Benutzer können sich nicht mehr anmelden.

Prozedur

  1. Navigieren Sie zum Host im Navigator des vSphere Client.
  2. Klicken Sie auf Konfigurieren.
  3. Klicken Sie unter „System“ auf Erweiterte Systemeinstellungen.
  4. Klicken Sie auf Bearbeiten und wählen Sie UserVars.ESXiShellTimeOut aus.
  5. Geben Sie den Zeitüberschreitungswert für den Leerlauf ein.
  6. Klicken Sie auf OK.
  7. Sie müssen den ESXi Shell-Dienst neu starten, damit die Einstellungen wirksam werden.
    1. Wechseln Sie zu System > Dienste.
    2. Wählen Sie nacheinander „ESXi Shell“ und „SSH“ aus und klicken Sie auf Neustart.

Ergebnisse

Wenn Sie zu diesem Zeitpunkt angemeldet sind, bleibt Ihre Sitzung bestehen. Wenn Sie sich jedoch abmelden oder die Sitzung beendet wird, können Sie sich nicht mehr anmelden.

Festlegen von Zeitüberschreitungswerten für Verfügbarkeit oder Leerlauf für die ESXi Shell mithilfe der DCUI

Die ESXi Shell ist standardmäßig deaktiviert. Zur Erhöhung der Sicherheit beim Aktivieren der Shell können Sie einen Zeitüberschreitungswert für Verfügbarkeit und/oder Leerlauf festlegen.

Die beiden Zeitüberschreitungstypen treten in verschiedenen Situationen auf.
ESXi Shell-Leerlauf-Zeitüberschreitung
Wenn ein Benutzer die ESXi Shell auf einem Host aktiviert, aber vergisst, sich von der Sitzung abzumelden, bleibt die Sitzung im Leerlauf für unbestimmte Zeit bestehen. Die offene Verbindung kann die Möglichkeit für einen privilegierten Zugriff auf den Host erhöhen. Diese Situation können Sie verhindern, indem Sie eine Zeitüberschreitung für Sitzungen im Leerlauf festlegen.
ESXi Shell-Verfügbarkeits-Zeitüberschreitung
Der Zeitüberschreitungswert für Verfügbarkeit bestimmt, wie viel Zeit bis zur Anmeldung nach der anfänglichen Aktivierung der Shell vergehen kann. Wenn Sie länger warten, wird der Dienst deaktiviert und eine Anmeldung bei der ESXi Shell ist nicht möglich.

Voraussetzungen

Aktivieren Sie ESXi Shell. Weitere Informationen hierzu finden Sie unter Aktivieren des Zugriffs auf die ESXi Shell mithilfe der DCUI.

Prozedur

  1. Melden Sie sich beim ESXi Shell an.
  2. Wählen Sie im Menü „Optionen für den Fehlerbehebungsmodus“ die Option ESXi Shell- und SSH-Zeitüberschreitungen ändern aus und drücken Sie die Eingabetaste.
  3. Geben Sie den Zeitüberschreitungswert für Leerlauf (in Sekunden) oder den Zeitüberschreitungswert für Verfügbarkeit ein.
  4. Drücken Sie wiederholt die Eingabetaste und die Esc-Taste, bis Sie zurück zum Hauptmenü der Benutzerschnittstelle der direkten Konsole gelangt sind.
  5. Klicken Sie auf OK.
  6. Sie müssen den ESXi Shell-Dienst neu starten, damit die Einstellungen wirksam werden.
    1. Wählen Sie im vSphere Client den Host aus und navigieren Sie zu Konfigurieren > System > Dienste.
    2. Wählen Sie nacheinander „ESXi Shell“ und „SSH“ aus und klicken Sie auf Neustart.

Ergebnisse

  • Bei festgelegtem Zeitüberschreitungswert für Leerlauf werden Benutzer abgemeldet, wenn sich die Sitzung während des angegebenen Zeitraums im Leerlauf befindet.
  • Wenn Sie den Zeitüberschreitungswert für Verfügbarkeit festlegen und sich nicht vor Ablauf dieses Zeitüberschreitungswerts anmelden, werden die Anmeldungen erneut deaktiviert.

Aktivieren des Zugriffs auf ESXi Shell mithilfe des vSphere Client

ESXi Shell- und SSH-Schnittstellen sind standardmäßig deaktiviert. Aktivieren Sie diese Schnittstellen erst, wenn Fehlerbehebungs- oder Supportaktivitäten durchgeführt werden müssen. Verwenden Sie für tägliche Aktivitäten den vSphere Client, wobei die Aktivitäten den Methoden der rollenbasierten und modernen Zugriffssteuerung unterliegen.

Hinweis: Greifen Sie auf den Host zu, indem Sie den vSphere Client, Remote-Befehlszeilentools (ESXCLI und PowerCLI) und veröffentlichte APIs verwenden. Aktivieren Sie den Remotezugriff auf den Host nicht mit SSH, es sei denn, bestimmte Umstände erfordern eine Aktivierung.

Voraussetzungen

Wenn Sie einen autorisierten SSH-Schlüssel verwenden möchten, können Sie ihn hochladen. Weitere Informationen finden Sie unter ESXi-SSH-Schlüssel.

Prozedur

  1. Navigieren Sie zum Host in der Bestandsliste.
  2. Klicken Sie auf Konfigurieren und dann unter „System“ auf Dienste.
  3. Verwalten Sie ESXi-, SSH- oder Dienste der Benutzerschnittstelle der direkten Konsole.
    1. Wählen Sie im Fenster „Dienste“ den Dienst aus.
    2. Klicken Sie auf Startrichtlinie bearbeiten und wählen Sie die Startrichtlinie Manuell starten und stoppen aus.
    3. Klicken Sie zum Aktivieren des Diensts auf Starten.
    Wenn Sie Manuell starten und beenden wählen, wird der Dienst nicht gestartet, wenn Sie den Host neu starten. Wenn Sie den Dienst beim Neustart des Hosts starten möchten, wählen Sie Mit dem Host starten und beenden.

Nächste Maßnahme

Legen Sie die Zeitüberschreitungswerte für die Verfügbarkeits- und Leerlaufzeiten der ESXi Shell fest. Weitere Informationen hierzu finden Sie unter Festlegen eines Zeitüberschreitungswerts für Verfügbarkeit für die ESXi Shell mithilfe des vSphere Client und Festlegen der Zeitüberschreitungswerts für Leerlauf für die ESXi Shell mithilfe des vSphere Client.

Aktivieren des Zugriffs auf die ESXi Shell mithilfe der DCUI

Mithilfe der Benutzerschnittstelle der direkten Konsole (DCUI) können Sie lokal unter Verwendung textbasierter Menüs mit dem Hosts interagieren. Wägen Sie ab, ob die Sicherheitsanforderungen Ihrer Umgebung die Direct Console User Interface unterstützen.

Sie können die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI) verwenden, um lokalen und Remotezugriff auf die ESXi Shell zu ermöglichen. Sie greifen über die mit dem Host verbundene physische Konsole auf die Benutzerschnittstelle der direkten Konsole zu. Nachdem der Host neu gestartet und ESXi geladen wurde, drücken Sie F2 zum Anmelden bei der DCUI. Geben Sie die Anmeldedaten ein, die Sie bei der Installation von ESXi erstellt haben.
Hinweis: Änderungen am Host, die mit der Benutzerschnittstelle der direkten Konsole, dem vSphere Client, ESXCLI oder anderen Verwaltungs-Tools vorgenommen wurden, werden stündlich oder beim ordnungsgemäßen Herunterfahren des Systems dauerhaft gespeichert. Wenn der Host ausfällt, bevor die Änderungen vorgenommen wurden, gehen sie möglicherweise verloren.

Prozedur

  1. Drücken Sie in Direct Console User Interface die Taste F2, um das Menü für die Systemanpassung aufzurufen.
  2. Wählen Sie Fehlerbehebungsoptionen und drücken Sie die Eingabetaste.
  3. Wählen Sie im Menü „Optionen für den Fehlerbehebungsmodus“ einen Dienst aus, der aktiviert werden soll.
    • Aktivieren von ESXi Shell
    • Aktivieren von SSH
  4. Drücken Sie die Eingabetaste, um den Dienst zu aktivieren.
  5. Drücken Sie die Esc-Taste wiederholt, bis Sie zurück zum Hauptmenü der Benutzerschnittstelle der direkten Konsole gelangt sind.

Nächste Maßnahme

Legen Sie die Zeitüberschreitungswerte für die Verfügbarkeits- und Leerlaufzeiten der ESXi Shell fest. Weitere Informationen hierzu finden Sie unter Festlegen von Zeitüberschreitungswerten für Verfügbarkeit oder Leerlauf für die ESXi Shell mithilfe der DCUI.

Anmelden bei der ESXi Shell zur Fehlerbehebung

Führen Sie ESXi-Konfigurationsaufgaben mit vSphere Client, ESXCLI oder VMware PowerCLI aus. Melden Sie sich bei der ESXi Shell (vormals Support-Modus oder TSM) nur zwecks Fehlerbehebung an.

Prozedur

  1. Melden Sie sich an der ESXi Shell mit einer der folgenden Methoden an:
    • Wenn Sie direkten Zugriff auf den Host haben, drücken Sie Alt+F1, um den Anmeldebildschirm auf der physischen Konsole der Maschine aufzurufen.
    • Wenn Sie eine Verbindung mit dem Host remote herstellen, verwenden Sie SSH oder eine andere Remote-Konsolenverbindung, um eine Sitzung auf dem Host zu starten.
  2. Geben Sie einen Benutzernamen und ein Kennwort ein, die vom Host erkannt werden.