Sie können vCenter Server zu einer Active Directory-Domäne hinzufügen. Sie können die Benutzer und Gruppen aus dieser Active Directory-Domäne an Ihre vCenter Single Sign-On-Domäne anhängen. Sie können die Active Directory-Domäne verlassen.

Wichtig: Das Hinzufügen von vCenter Server zu einer Active Directory-Domäne mit einem schreibgeschützten Domänencontroller (RODC) wird nicht unterstützt. Sie können vCenter Server nur zu einer Active Directory-Domäne mit einem beschreibbaren Domänencontroller hinzufügen.

Wenn Sie Berechtigungen konfigurieren möchten, damit Benutzer und Gruppen aus einem Active Directory auf die vCenter Server-Komponenten zugreifen können, müssen Sie die vCenter Server-Instanz zur Active Directory-Domäne hinzufügen.

Um beispielsweise einem Active Directory-Benutzer die Anmeldung bei der vCenter Server-Instanz durch Verwendung des vSphere Client zu ermöglichen, müssen Sie die vCenter Server-Instanz der Active Directory-Domäne hinzufügen und diesem Benutzer die Rolle des Administrators zuweisen.

Voraussetzungen

  • Stellen Sie sicher, dass der Benutzer, der sich bei der vCenter Server-Instanz anmeldet, Mitglied der Gruppe „SystemConfiguration.Administrators“ in vCenter Single Sign-On ist.

  • Stellen Sie sicher, dass der Systemname der Appliance ein FQDN ist. Wenn Sie bei der Bereitstellung der Appliance eine IP-Adresse als einen Systemnamen festlegen, können Sie vCenter Server nicht zu einer Active Directory-Domäne hinzufügen.

Prozedur

  1. Verwenden Sie vSphere Client, um sich als „administrator@your_domain_name“ bei der vCenter Server-Instanz anzumelden.
  2. Wählen Sie im Menü vSphere Client die Option Verwaltung aus.
  3. Wählen Sie Single Sign On > Konfiguration.
  4. Klicken Sie auf die Registerkarte Identitätsanbieter und wählen Sie Active Directory-Domäne als Identitätsanbietertyp aus.
  5. Klicken Sie auf AD BEITRETEN.
  6. Geben Sie im Fenster „Active Directory-Domäne beitreten“ die folgenden Details an.
    Option Beschreibung
    Domäne Active Directory-Domänenname, z. B. mydomain.com. Geben Sie in diesem Textfeld keine IP-Adresse an.
    Organisationseinheit (optional) Der LDAP-FQDN der vollständigen Organisationseinheit (OU), wie z. B. OU=Engineering,DC=mydomain,DC=com.
    Wichtig: Verwenden Sie dieses Feld nur, wenn Sie mit LDAP vertraut sind.
    Benutzername Benutzername im UPN-Format (User Principal Name), z. B. „[email protected]“.
    Wichtig: Ein kompatibles Anmeldenamensformat, z. B. DOMAIN\UserName, wird nicht unterstützt.
    Kennwort Das Kennwort des Benutzers.
    Hinweis: Starten Sie den Knoten neu, um die Änderungen zu übernehmen.
  7. Klicken Sie auf BEITRETEN, um die vCenter Server zur Active Directory-Domäne hinzuzufügen.
    Der Vorgang wird erfolgreich automatisch ausgeführt und anstelle der Schaltfläche „AD beitreten“ wird nun die Schaltfläche „AD verlassen“ angezeigt.
  8. (Optional) Um die Active Directory-Domäne zu verlassen, klicken Sie auf AD VERLASSEN.
  9. Starten Sie den vCenter Server neu, um die Änderungen anzuwenden.
    Wichtig: Wenn Sie den vCenter Server nicht neu starten, treten bei Verwendung des vSphere Client möglicherweise Probleme auf.
  10. Wählen Sie die Registerkarte Identitätsquellen aus und klicken Sie auf HINZUFÜGEN.
    1. Wählen Sie im Fenster „Identitätsquelle hinzufügen“ die Option Active Directory (Integrierte Windows-Authentifizierung) als Identitätsquellentyp aus.
    2. Geben Sie die Identitätsquelleneinstellungen der hinzugefügten Active Directory-Domäne ein und klicken Sie auf HINZUFÜGEN.
      Tabelle 1. Hinzufügen von Einstellungen der Identitätsquelle
      Textfeld Beschreibung
      Domänenname Vollqualifizierter Domänenname (FDQN) der Domäne. Geben Sie in diesem Textfeld keine IP-Adresse an.
      Maschinenkonto verwenden Wählen Sie diese Option aus, um das Konto der lokalen Maschine als SPN zu verwenden. Mit dieser Option geben Sie nur den Domänennamen an. Verwenden Sie diese Option nicht, wenn Sie diese Maschine voraussichtlich umbenennen werden.
      SPN (Dienstprinzipalname) Wählen Sie diese Option aus, wenn Sie die lokale Maschine voraussichtlich umbenennen werden. Sie müssen einen SPN, einen Benutzer, der sich mit der Identitätsquelle authentifizieren kann, und ein Kennwort für den Benutzer angeben.
      Dienstprinzipalname Der SPN, mit dem Kerberos den Active Directory-Dienst identifiziert. Schließen Sie die Domäne in den Namen ein, wie z. B. „STS/example.com“.

      Möglicherweise müssen Sie setspn -S ausführen, um den gewünschten Benutzer hinzuzufügen. Weitere Informationen zu setspn finden Sie in der Microsoft-Dokumentation.

      Der SPN muss innerhalb der Domäne eindeutig sein. Durch Ausführen von setspn -S wird sichergestellt, dass keine Duplikate erstellt werden.

      Benutzername Der Name eines Benutzers, der sich mit dieser Identitätsquelle authentifizieren kann. Verwenden Sie das E-Mail-Adressformat wie z. B. „[email protected]“. Den Benutzerprinzipalnamen können Sie mit dem Active Directory-Dienstschnittstellen-Editor (ADSI Edit) überprüfen.
      Kennwort Das Kennwort für den Benutzer, der für die Authentifizierung mit dieser Identitätsquelle verwendet wird. Dies ist der Benutzer, der im UPN (Benutzerprinzipalnamen) angegeben ist. Schließen Sie den Domänennamen ein, wie z. B. „[email protected]“.

Ergebnisse

Auf der Registerkarte Identitätsquellen wird die hinzugefügte Active Directory-Domäne angezeigt.

Nächste Maßnahme

Sie können Berechtigungen konfigurieren, damit Benutzer und Gruppen aus der hinzugefügten Active Directory-Domäne auf die vCenter Server-Komponenten zugreifen können. Informationen zum Verwalten von Berechtigungen finden Sie in der Dokumentation vSphere-Sicherheit.