Conditions préalables

Le compte de domaine doit disposer d'une autorisation d'accès en lecture par AD pour tous les objets dans l'arborescence du domaine. Le compte du lecteur de journaux d'événements doit disposer d'autorisations d'accès en lecture des journaux des événements de sécurité.

Procédure

  1. Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Système (System) > Utilisateurs et domaines (Users and Domains).
  2. Cliquez sur l'onglet Domaines (Domains), puis sur l'icône Ajouter un domaine (Add domain) (Ajouter un domaine).
  3. Dans la boîte de dialogue Ajouter un domaine (Add Domain), entrez le nom complet du domaine (par exemple, eng.vmware.com) ainsi que le nom NetBIOS.
    Pour extraire le nom NetBIOS de votre domaine, tapez nbtstat -n dans une fenêtre de commande sur une poste de travail Windows appartenant à un domaine ou situé sur un contrôleur de domaine. Dans la table de noms locaux NetBIOS, l'entrée avec un préfixe <00> et le groupe de types est le nom NetBIOS.
  4. Lorsque vous ajoutez un domaine enfant, sélectionnez Fusionner automatiquement (Auto Merge).
  5. Lors de la synchronisation, pour filtrer les utilisateurs qui n'ont plus de compte actif, cliquez sur Ignorer les utilisateurs désactivés (Ignore disabled users).
  6. Cliquez sur Suivant (Next).
  7. Sur la page Options LDAP, indiquez le contrôleur de domaine avec lequel effectuer la synchronisation et sélectionnez le protocole. Reportez-vous à la section Configurations testées et prises en charge du pare-feu d'identité pour plus d'informations sur les options de synchronisation de domaine prises en charge.
  8. Le cas échéant, modifiez le numéro de port.
  9. Tapez les informations d'identification de l'utilisateur pour le compte de domaine. Cet utilisateur doit pouvoir accéder à l'arborescence du répertoire.
  10. Cliquez sur Suivant (Next).
  11. (Facultatif) Sur la page Accès au journal des événements de sécurité, sélectionnez CIFS ou WMI comme méthode de connexion pour accéder à des journaux des événements de sécurité sur le serveur AD spécifié. Le cas échéant, modifiez le numéro du port. Cette étape est utilisée par l'analyseur de journaux des événements Active Directory. Reportez-vous à la section Workflow d'Identity Firewall.
    Note : Le lecteur de journaux des événements recherche les événements avec les ID suivants dans le journal des événements de sécurité AD : Windows 2008/2012 : 4624, Windows 2003 : 540. Le serveur de journaux des événements a une limite de 128 Mo. Lorsque cette limite est atteinte, vous pouvez voir l'ID d'événement 1104 dans le lecteur de journaux de sécurité. Pour plus d'informations, reportez-vous à https://technet.microsoft.com/en-us/library/dd315518.
  12. Sélectionnez Utiliser les informations d'identification du domaine (Use Domain Credentials) pour utiliser les informations d'identification de l'utilisateur du serveur LDAP. Si vous souhaitez indiquer un autre compte de domaine pour l'accès aux journaux, désélectionnez Utiliser les informations d'identification du domaine (Use Domain Credentials) et indiquez le nom et le mot de passe de l'utilisateur en question.
    Ce compte doit pouvoir lire les journaux des événements de sécurité sur le contrôleur de domaine indiqué à l'étape 10.
  13. Cliquez sur Suivant (Next).
  14. Sur la page Prêt à terminer, vérifiez les paramètres que vous avez entrés.
  15. Cliquez sur Terminer (Finish).
    Attention :
    • Si un message d'erreur indiquant que l'opération Ajout du domaine a échoué pour l'entité à cause d'un conflit d'intérêt apparaît, sélectionnez Fusionner automatiquement. Les domaines seront créés et les paramètres affichés sous la liste de domaines.

Résultats

Le domaine est créé et ses paramètres s'affichent en dessous de la liste de domaines.

Que faire ensuite

Vérifiez que les événements de connexion du serveur du journal des événements sont activés.

Vous pouvez ajouter, modifier, supprimer, activer ou désactiver des serveurs LDAP en sélectionnant l'onglet Serveurs LDAP (LDAP Servers) dans le panneau situé en dessous de la liste de domaines. Vous pouvez faire de même pour les serveurs de journaux des événements en sélectionnant l'onglet Serveurs de journaux des événements (Event Log Servers) dans ce même panneau. L'ajout de plus d'un serveur Windows (contrôleurs de domaine, serveurs Exchange ou serveurs de fichiers) en tant que serveur de journaux des événements améliore l'association des identités des utilisateurs.

Note : Si vous utilisez IDFW, seuls les serveurs AD sont pris en charge.