Konfigurieren und Verwalten des Sperrmodus auf ESXi-Hosts

Um die Sicherheit von ESXi-Hosts zu verbessern, können Sie diese in den Sperrmodus versetzen. Im Sperrmodus müssen alle Hostvorgänge standardmäßig über vCenter Server durchgeführt werden.

Sie können zwischen dem normalen und dem strengen Sperrmodus mit jeweils unterschiedlicher Sperrstärke wählen. Sie können auch die Liste der ausgenommenen Benutzer verwenden. Ausgenommene Benutzer verlieren ihre Rechte nicht, wenn der Host in den Sperrmodus wechselt. In die Liste der ausgenommenen Benutzer können Sie Konten von Drittanbieterlösungen und externe Anwendungen aufnehmen, die auch im Sperrmodus direkten Zugang zum Host benötigen.

Verhalten im Sperrmodus

Im Sperrmodus sind einige Dienste deaktiviert und auf einige Dienste haben nur bestimmte Benutzer Zugriff.

Sperrmodus-Dienste für unterschiedliche Benutzer verfügbar

Wenn der Host ausgeführt wird, sind die verfügbaren Dienste davon abhängig, ob der Sperrmodus aktiviert ist, und welcher Sperrmodustyp verwendet wird.

Im strengen und normalen Sperrmodus haben berechtigte Benutzer über vCenter Server Zugriff auf den Host, und zwar über den vSphere Client oder mit dem vSphere Web Services SDK.
Das Verhalten der Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI) ist für den strengen Sperrmodus und den normalen Sperrmodus unterschiedlich.
- Im strengen Sperrmodus ist der DCUI-Dienst deaktiviert.
- Im normalen Sperrmodus können Konten in der Liste der ausgenommenen Benutzer auf die DCUI zugreifen, wenn sie über Administratorrechte verfügen. Darüber hinaus können alle Benutzer, die in der erweiterten Systemeinstellung DCUI.Access angegeben sind, auf die DCUI zugreifen.
Falls die ESXi Shell oder SSH aktiviert ist und der Host in den normalen Sperrmodus wechselt, können diese Dienste von Konten in der Liste der ausgenommenen Benutzer mit Administratorrechten verwendet werden. Für alle anderen Benutzer ist ESXi Shell oder SSH deaktiviert. ESXi- oder SSH-Sitzungen werden für Benutzer ohne Administratorrechte geschlossen.

Alle Zugriffe werden für den strengen und den normalen Sperrmodus protokolliert.

Tabelle 1. Verhalten im Sperrmodus
Dienst	Normaler Modus	Normaler Sperrmodus	Strenger Sperrmodus
vSphere Web Services-API	Alle Benutzer, basierend auf Berechtigungen	vCenter (vpxuser) Ausgenommene Benutzer, basierend auf Berechtigungen vCloud Director (vslauser, soweit verfügbar)	vCenter (vpxuser) Ausgenommene Benutzer, basierend auf Berechtigungen vCloud Director (vslauser, soweit verfügbar)
CIM-Anbieter	Benutzer mit Administratorrechten auf dem Host	Ausgenommene vCenter (vpxuser)-Benutzer, basierend auf Berechtigungen vCloud Director (vslauser, soweit verfügbar)	Ausgenommene vCenter (vpxuser)-Benutzer, basierend auf Berechtigungen vCloud Director (vslauser, soweit verfügbar)
Die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI)	Benutzer mit Administratorrechten auf dem Host und Benutzer in der erweiterten Systemeinstellung „`DCUI.Access`“	In der erweiterten Systemeinstellung „`DCUI.Access`“ definierte Benutzer Ausgenommene Benutzer mit Administratorrechten auf dem Host	DCUI-Dienst wird angehalten.
ESXi Shell (falls aktiviert) und SSH (falls aktiviert)	Benutzer mit Administratorrechten auf dem Host	In der erweiterten Option `DCUI.Access` definierte Benutzer Ausgenommene Benutzer mit Administratorrechten auf dem Host	In der erweiterten Systemeinstellung „`DCUI.Access`“ definierte Benutzer Ausgenommene Benutzer mit Administratorrechten auf dem Host

Sperrmodusverhalten für Benutzer, die bei der ESXi Shell angemeldet sind, wenn der Sperrmodus aktiviert ist

Benutzer melden sich unter Umständen an der ESXi Shell an oder greifen über SSH auf den Host zu, bevor der Sperrmodus aktiviert wird. In diesem Fall bleiben Benutzer, die sich in der Liste der ausgenommenen Benutzer befinden und über Administratorrechte auf dem Host verfügen, angemeldet. Die Sitzung ist für alle anderen Benutzer geschlossen. Dies betrifft sowohl den normalen als auch den strengen Sperrmodus.

Vorgehensweise zum Deaktivieren des Sperrmodus

Sie können den Sperrmodus folgendermaßen deaktivieren.

Über den vSphere Client: Benutzer können sowohl den normalen Sperrmodus als auch den strengen Sperrmodus über den vSphere Client deaktivieren. Weitere Informationen finden Sie unter Deaktivieren des Sperrmodus über den vSphere Client.
Über die DCUI: Benutzer, die auf dem ESXi-Host Zugriff auf die DCUI haben, können den normalen Sperrmodus deaktivieren. Im strengen Sperrmodus wird der DCUI-Dienst beendet. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren des normalen Sperrmodus über die Benutzerschnittstelle der direkten Konsole.

Aktivieren des Sperrmodus über den vSphere Client

Wählen Sie den Sperrmodus aus, damit alle Konfigurationsänderungen vCenter Server durchlaufen müssen. vSphere unterstützt den normalen Sperrmodus und den strengen Sperrmodus.

Wenn Sie den direkten Zugriff auf einen Host vollständig unterbinden möchten, können Sie den strengen Sperrmodus auswählen. Im strengen Sperrmodus ist der Zugriff auf einen Host nicht möglich, falls vCenter Server nicht verfügbar ist und SSH und die ESXi Shell deaktiviert sind. Weitere Informationen hierzu finden Sie unter Verhalten im Sperrmodus.

Prozedur

Navigieren Sie zum Host im Navigator des vSphere Client.
Klicken Sie auf Konfigurieren.
Klicken Sie unter „System“ auf Sicherheitsprofil.
Klicken Sie im Bereich „Sperrmodus“ auf Bearbeiten.

Klicken Sie auf Sperrmodus und wählen Sie eine der Optionen für den Sperrmodus aus.

Option	Beschreibung
Normal	Der Zugriff auf den Host ist über vCenter Server möglich. Nur Benutzer in der Liste „Ausnahme für Benutzer“ und mit Administratorrechten können sich bei der Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI) anmelden. Falls SSH oder die ESXi Shell aktiviert ist, könnte der Zugriff möglich sein.
Streng	Der Zugriff auf den Host ist nur über vCenter Server möglich. Falls SSH oder die ESXi Shell aktiviert ist, ist die Ausführung von Sitzungen für Konten über die erweiterte Systemeinstellung „`DCUI.Access`“ und für Benutzerausnahmekonten mit Administratorrechten weiterhin möglich. Alle anderen Sitzungen werden geschlossen.

Klicken Sie auf OK.

Deaktivieren des Sperrmodus über den vSphere Client

Deaktivieren Sie den Sperrmodus, um Konfigurationsänderungen über Direktverbindungen mit dem ESXi-Host zuzulassen. Wenn Sie den Sperrmodus aktiviert lassen, bedeutet dies eine sicherere Umgebung.

Benutzer können sowohl den normalen Sperrmodus als auch den strengen Sperrmodus über den vSphere Client deaktivieren.

Prozedur

Navigieren Sie zu einem Host in der Bestandsliste des vSphere Client.
Klicken Sie auf Konfigurieren.
Klicken Sie unter „System“ auf Sicherheitsprofil.
Klicken Sie im Bereich „Sperrmodus“ auf Bearbeiten.
Klicken Sie auf Sperrmodus und wählen Sie Deaktiviert aus, um den Sperrmodus zu deaktivieren.
Klicken Sie auf OK.

Ergebnisse

Der Sperrmodus wird beendet, vCenter Server zeigt einen Alarm an und dem Überwachungsprotokoll wird ein Eintrag hinzugefügt.

Aktivieren oder Deaktivieren des normalen Sperrmodus über die Benutzerschnittstelle der direkten Konsole

Sie können den normalen Sperrmodus über die Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI) aktivieren und deaktivieren. Den strengen Sperrmodus können Sie nur über den vSphere Client aktivieren und deaktivieren.

Wenn sich der Host im normalen Sperrmodus befindet, können die folgenden Konten auf die DCUI zugreifen:

Konten in der Liste „Ausnahme für Benutzer“ mit Administratorrechten für den Host. Die Liste „Ausnahme für Benutzer“ ist für Dienstkonten wie z. B. einen Backup-Agenten gedacht.
In der erweiterten Option DCUI.Access für den Host definierte Benutzer. Mithilfe dieser Option kann der Zugriff bei einem schwerwiegenden Fehler aktiviert werden.

Benutzerberechtigungen werden beibehalten, wenn Sie den Sperrmodus aktivieren. Die Benutzerberechtigen werden wiederhergestellt, wenn Sie den Sperrmodus über die DCUI deaktivieren.

Hinweis: Wenn Sie ein Upgrade für einen im Sperrmodus befindlichen Host auf ESXi 6.0 durchführen, ohne den Sperrmodus zu beenden, und wenn Sie den Sperrmodus nach dem Upgrade beenden, gehen alle vor dem Wechsel des Hosts in den Sperrmodus definierten Berechtigungen verloren. Die Administratorrolle wird allen Benutzern zugewiesen, die in der erweiterten Option DCUI.Access gefunden werden, um sicherzustellen, dass der Zugriff auf den Host weiterhin möglich ist.

Um die Berechtigungen beizubehalten, deaktivieren Sie vor dem Upgrade den Sperrmodus für den Host über den vSphere Client.

Prozedur

Drücken Sie F2 an der Benutzerschnittstelle der direkten Konsole des Hosts und melden Sie sich an.
Führen Sie einen Bildlauf nach unten zur Einstellung Sperrmodus konfigurieren aus und drücken Sie die Eingabetaste, um die aktuelle Einstellung umzuschalten.
Drücken Sie die Esc-Taste wiederholt, bis Sie zurück zum Hauptmenü der Benutzerschnittstelle der direkten Konsole gelangt sind.

Angeben von Konten mit Zugriffsrechten im Sperrmodus

Sie können Dienstkonten angeben, die direkten Zugriff auf den ESXi-Host haben, indem Sie sie zur Liste „Ausnahme für Benutzer“ hinzufügen. Sie können einen einzelnen Benutzer angeben, der auf den ESXi-Host zugreifen kann, wenn es auf dem vCenter Server zu einem schwerwiegenden Fehler kommt.

Funktionsweise von Konten bei aktiviertem Sperrmodus in vSphere

Die Version von vSphere bestimmt, was die verschiedenen Konten standardmäßig bei aktiviertem Sperrmodus tun können und wie Sie das Standardverhalten ändern können.

In vSphere 5.0 und früheren Versionen kann sich nur der Root-Benutzer bei der Benutzerschnittstelle der direkten Konsole (Direct Console User Interface, DCUI) auf einem ESXi-Host anmelden, der sich im Sperrmodus befindet.
In vSphere 5.1 und höher können Sie der erweiterten Systemeinstellung DCUI.Access für jeden Host einen Benutzer hinzufügen. Die Einstellung ist für schwerwiegende Fehler auf dem vCenter Server vorgesehen. Unternehmen sperren in der Regel das Kennwort des Benutzers mit diesem Zugriff. Ein Benutzer in der DCUI.Access-Liste benötigt keine vollständigen Administratorrechte auf dem Host.
In vSphere 6.0 und höher wird die erweiterte Systemeinstellung DCUI.Access weiterhin unterstützt. Darüber hinaus unterstützt vSphere 6.0 und höher eine Liste „Ausnahme für Benutzer“ für Dienstkonten, die sich direkt am Host anmelden müssen. Konten mit Administratorrechten, die sich in der Liste „Ausnahme für Benutzer“ befinden, können sich bei der ESXi Shell anmelden. Darüber hinaus können sich diese Benutzer bei der DCUI eines Hosts im normalen Sperrmodus anmelden und können den Sperrmodus beenden.
Ausgenommene Benutzer geben Sie über den vSphere Client an.
Hinweis: Ausgenommene Benutzer sind lokale Hostbenutzer oder Active Directory-Benutzer mit lokal für den ESXi-Host definierten Rechten. Benutzer, die zu einer Active Directory-Gruppe gehören, verlieren ihre Berechtigungen, wenn sich der Host im Sperrmodus befindet.

Hinzufügen von Benutzern zur erweiterten Systemeinstellung „DCUI.Access“

Bei einem schwerwiegenden Fehler können Sie den Sperrmodus über die erweiterte Systemeinstellung DCUI.Access beenden, wenn Sie nicht über vCenter Server auf den Host zugreifen können. Sie fügen Benutzer zur Liste hinzu, indem Sie die erweiterten Einstellungen für den Host über den vSphere Client bearbeiten.

Hinweis: Benutzer in der DCUI.Access-Liste können die Einstellungen des Sperrmodus unabhängig von ihren Rechten ändern. Die Möglichkeit, Sperrmodi zu ändern, kann sich auf die Sicherheit Ihres Hosts auswirken. Für Dienstkonten, die direkten Zugriff auf den Host benötigen, sollten Sie eventuell stattdessen Benutzer zur Liste „Ausnahme für Benutzer“ hinzufügen. Die Benutzer in dieser Liste können nur Aufgaben ausführen, für die sie über die erforderlichen Rechte verfügen. Weitere Informationen finden Sie unter „Festlegen von Ausnahmebenutzern im Sperrmodus“ weiter unten in diesem Thema.

Navigieren Sie zum Host im Navigator von vSphere Client.
Klicken Sie auf Konfigurieren.
Klicken Sie unter „System“ auf Erweiterte Systemeinstellungen und dann auf Bearbeiten.
Filtern Sie nach „DCUI“.
Geben Sie im Textfeld DCUI.Access die lokalen ESXi-Benutzernamen durch Komma getrennt ein.
Hinweis: Sie können keine Active Directory Benutzer eingeben. Es werden nur lokale ESXi-Benutzer unterstützt.
Der Root-Benutzer ist standardmäßig einbezogen. Zur besseren Überprüfung sollten Sie eventuell den Root-Benutzer aus der DCUI.Access-Liste entfernen und ein benanntes Konto angeben.
Klicken Sie auf OK.

Angeben der Benutzerausnahmen für den Sperrmodus

Sie können Benutzer über den vSphere Client zur Liste „Ausgenommene Benutzer“ hinzufügen. Diese Benutzer verlieren ihre Berechtigungen nicht, wenn der Host in den Sperrmodus wechselt.

Bei diesen Benutzern handelt es sich gewöhnlich um Konten, die Drittanbieterlösungen und externe Anwendungen darstellen, die auch im Sperrmodus weiterhin funktionieren müssen. Beispielsweise ist es sinnvoll, Dienstkonten wie beispielsweise einen Backup-Agenten zur Liste „Ausnahme für Benutzer“ hinzuzufügen.

Hinweis: Die Liste „Ausnahme für Benutzer“ ist nicht für Administratoren, sondern für Dienstkonten gedacht, mit denen sehr spezielle Aufgaben ausgeführt werden. Wenn Sie der Liste „Ausnahme für Benutzer“ Administratoren hinzufügen, widerspricht dies dem Zweck des Sperrmodus.

Ausgenommene Benutzer sind lokale Hostbenutzer oder Active Directory-Benutzer mit lokal für den ESXi-Host definierten Rechten. Sie sind keine Mitglieder einer Active Directory-Gruppe und keine vCenter Server-Benutzer. Diese Benutzer dürfen Vorgänge auf dem Host in Abhängigkeit von ihren Rechten durchführen. Dies bedeutet, dass beispielsweise ein Benutzer mit der Berechtigung „Nur Lesen“ den Sperrmodus auf einem Host nicht deaktivieren kann.

Navigieren Sie zum Host im Navigator von vSphere Client.
Klicken Sie auf Konfigurieren.
Klicken Sie unter „System“ auf Sicherheitsprofil.
Klicken Sie im Bereich „Sperrmodus“ auf Bearbeiten.
Klicken Sie auf Ausnahme für Benutzer und klicken Sie dann auf das Symbol Benutzer hinzufügen, um ausgenommene Benutzer hinzuzufügen.
Klicken Sie auf OK.