Sie können ESXi so konfigurieren, dass es einen Verzeichnisdienst, wie z. B. Active Directory, zur Benutzerverwaltung verwendet.

Das Erstellen von lokalen Benutzerkonten auf jedem Host stellt Herausforderungen beim Synchronisieren von Kontonamen und Kennwörtern über mehrere Hosts hinweg dar. Weisen Sie ESXi-Hosts eine Active Directory-Domäne zu, damit Sie lokale Benutzerkonten weder erstellen noch pflegen müssen. Durch die Verwendung von Active Directory für die Authentifizierung von Benutzern wird die Konfiguration des ESXi-Hosts vereinfacht und das Risiko von Konfigurationsproblemen, die einen unbefugten Zugriff ermöglichen, reduziert.

Wenn Sie Active Directory verwenden, geben Benutzer beim Hinzufügen eines Hosts zu einer Domäne die Active Directory-Anmeldedaten und den Domänennamen des Active Directory-Servers an.

Konfigurieren eines ESXi-Hosts für die Verwendung von Active Directory

Sie können einen ESXi-Host so konfigurieren, dass er Benutzer und Gruppen mithilfe eines Verzeichnisdiensts, wie z. B. Active Directory, verwaltet.

Wenn Sie einen ESXi-Host zu Active Directory hinzufügen, wird der DOMAIN-Gruppe ESX Admins (falls vorhanden) vollständiger Administratorzugriff auf den Host gewährt. Wenn Sie Benutzern den vollständigen Administratorzugriff nicht gewähren möchten, finden Sie eine Ausweichlösung im VMware-Knowledgebaseartikel 1025569.

Wenn der Host mit Auto Deploy bereitgestellt wurde, können die Active Directory-Anmeldedaten nicht in den Hosts gespeichert werden. Sie können vSphere Authentication Proxy verwenden, um mit dem Host einer Active Directory-Domäne beizutreten. Da zwischen vSphere Authentication Proxy und dem Host eine Vertrauenskette besteht, ist Authentication Proxy berechtigt, den Host in die Active Directory-Domäne einzufügen. Weitere Informationen hierzu finden Sie unter Verwenden des vSphere Authentication Proxy.

Hinweis: Beim Definieren von Benutzerkonteneinstellungen in Active Directory können Sie die Computer, die ein Benutzer zum Anmelden verwenden darf, nach Computername einschränken. Standardmäßig werden keine gleichwertigen Beschränkungen auf einem Benutzerkonto festgelegt. Wenn Sie diese Einschränkung festlegen, schlagen LDAP-Bindungsanforderungen für das Benutzerkonto auch dann mit der Meldung LDAP binding not successful fehl, wenn die Anforderung von einem der aufgeführten Computern stammt. Sie können dieses Problem vermeiden, indem Sie den NetBIOS-Namen für den Active Directory-Server zur Liste der Computer hinzufügen, bei denen sich das Benutzerkonto anmelden kann.

Voraussetzungen

  • Stellen Sie sicher, dass Sie eine Active Directory-Domäne eingerichtet haben. Weitere Informationen finden Sie in der Dokumentation Ihres Verzeichnisservers.
  • Stellen Sie sicher, dass der Name des ESXi-Hosts mit dem Domänennamen der Active Directory-Gesamtstruktur vollständig qualifiziert angegeben ist.

    vollqualifizierter Domänenname = Hostname.Domänenname

Prozedur

  1. Synchronisieren Sie die Uhrzeit von ESXi mit der des Verzeichnisdienst-Systems.
    Unter Synchronisieren der ESXi-Systemuhren mit einem NTP-Server oder in der VMware-Knowledgebase finden Sie Informationen über das Synchronisieren der ESXi-Uhrzeit mit einem Microsoft-Domänencontroller.
  2. Stellen Sie sicher, dass die DNS-Server, die Sie für den Host konfiguriert haben, die Hostnamen für die Active Directory-Controller auflösen können.
    1. Navigieren Sie zum Host im Navigator von vSphere Client.
    2. Klicken Sie auf Konfigurieren.
    3. Klicken Sie unter Netzwerk auf TCP/IP-Konfiguration.
    4. Klicken Sie unter TCP/IP Stack: Standard auf DNS und stellen Sie sicher, dass der Hostname und die DNS-Server-Informationen für den Host richtig sind.

Nächste Maßnahme

Fügen Sie den Host zu einer Verzeichnisdienstdomäne hinzu. Weitere Informationen hierzu finden Sie unter Hinzufügen eines ESXi-Hosts zu einer Verzeichnisdienst-Domäne. Für Hosts, die mit Auto Deploy bereitgestellt wurden, müssen Sie vSphere Authentication Proxy einrichten. Weitere Informationen hierzu finden Sie unter Verwenden des vSphere Authentication Proxy. Sie können Berechtigungen konfigurieren, damit Benutzer und Gruppen aus der hinzugefügten Active Directory-Domäne auf die vCenter Server-Komponenten zugreifen können. Informationen zum Verwalten von Berechtigungen finden Sie unter Hinzufügen einer Berechtigung zu einem Bestandslistenobjekt.

Hinzufügen eines ESXi-Hosts zu einer Verzeichnisdienst-Domäne

Damit der ESXi-Host einen Verzeichnisdienst verwenden kann, müssen Sie den Host mit der Verzeichnisdienst-Domäne verbinden.

Sie können den Domänennamen auf zwei Arten eingeben:

  • name.tld (Beispiel: domain.com): Das Konto wird unter dem Standardcontainer erstellt.
  • name.tld/container/path (Beispiel: domain.com/OU1/OU2): Das Konto wird unter der angegebenen Organisationseinheit (Organizational Unit, OU) erstellt.

Informationen zur Verwendung des vSphere Authentication Proxy-Diensts finden Sie unter Verwenden des vSphere Authentication Proxy.

Prozedur

  1. Navigieren Sie zu einem Host in der Bestandsliste des vSphere Client.
  2. Klicken Sie auf Konfigurieren.
  3. Wählen Sie unter „System“ die Option Authentifizierungsdienste.
  4. Klicken Sie auf Domäne beitreten.
  5. Geben Sie eine Domäne ein.

    Verwenden Sie das Fomular name.tld oder name.tld/container/path.

  6. Geben Sie den Benutzernamen und das Kennwort eines Verzeichnisdienstbenutzers ein, der über die Berechtigung verfügt, den Host mit der Domäne zu verbinden, und klicken Sie auf OK.
  7. (Optional) Wenn Sie einen Authentifizierungs-Proxy verwenden möchten, geben Sie die IP-Adresse des Proxy-Servers ein.
  8. Klicken Sie auf OK um das Dialogfeld für die Verzeichnisdienstkonfiguration zu schließen.

Nächste Maßnahme

Sie können Berechtigungen konfigurieren, damit Benutzer und Gruppen aus der hinzugefügten Active Directory-Domäne auf die vCenter Server-Komponenten zugreifen können. Informationen zum Verwalten von Berechtigungen finden Sie unter Hinzufügen einer Berechtigung zu einem Bestandslistenobjekt.

Anzeigen der Verzeichnisdiensteinstellungen für einen ESXi-Host

Sie können (soweit vorhanden) den Typ des Verzeichnisservers, den der ESXi-Host zum Authentifizieren von Benutzern verwendet, sowie die Verzeichnisservereinstellungen anzeigen.

Prozedur

  1. Navigieren Sie zum Host im Navigator des vSphere Client.
  2. Klicken Sie auf Konfigurieren.
  3. Wählen Sie unter „System“ die Option Authentifizierungsdienste.
    Auf der Seite „Authentifizierungsdienste“ werden der Verzeichnisdienst und die Domäneneinstellungen angezeigt.

Nächste Maßnahme

Sie können Berechtigungen konfigurieren, damit Benutzer und Gruppen aus der hinzugefügten Active Directory-Domäne auf die vCenter Server-Komponenten zugreifen können. Informationen zum Verwalten von Berechtigungen finden Sie unter Hinzufügen einer Berechtigung zu einem Bestandslistenobjekt.