前提条件

ドメイン アカウントには、ドメイン ツリー内のすべてのオブジェクトでの Active Directory 読み取り権限が必要です。イベント ログ リーダーのアカウントには、セキュリティ イベント ログに対する読み取り権限が必要です。

手順

  1. vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] > [システム (System)] > [ユーザーとドメイン (Users and Domains)] の順に移動します。
  2. [ドメイン (Domains)] タブをクリックして、[ドメインの追加 (Add domain)]ドメインの追加)アイコンをクリックします。
  3. [ドメインの追加 (Add Domain)] ダイアログ ボックスで、完全修飾ドメイン名(eng.vmware.com など)とドメインの netBIOS 名を入力します。
    ドメインの netBIOS 名を取得するには、ドメインまたはドメイン コントローラに属する Windows ワークステーションのコマンド ウィンドウで、 nbtstat -n と入力します。NetBIOS のローカル名テーブルでは、プリフィックスが <00> でタイプがグループのエントリが netBIOS 名です。
  4. 子ドメインを追加するときに、[自動マージ (Auto Merge)] を選択します。
  5. 同期する際に、有効なアカウントを持っていないユーザーを除外するには、[無効なユーザーを無視 (Ignore disabled users)] をクリックします。
  6. [次へ (Next)] をクリックします。
  7. [LDAP オプション] ページで、ドメインと同期するドメイン コントローラを指定し、プロトコルを選択します。サポートされるドメイン同期オプションの詳細については、Identity Firewall でサポートされるテスト済みの構成 を参照してください。
  8. 必要に応じてポート番号を編集します。
  9. ドメイン アカウントのユーザー認証情報を入力します。このユーザーは、ディレクトリ ツリー構造にアクセスできる必要があります。
  10. [次へ (Next)] をクリックします。
  11. (オプション) [セキュリティ イベント ログ アクセス] ページで、指定した Active Directory サーバのセキュリティ イベント ログにアクセスするための接続方法として、[CIFS] または [WMI] を選択します。必要に応じてポート番号を変更します。この手順は、Active Directory イベント ログ スクレイパによって使用されます。Identity Firewall のワークフローを参照してください。
    注: イベント ログ リーダーは、Active Directory のイベント ログから、「Windows 2008/2012: 4624, Windows 2003: 540」という ID を持つイベントを探します。イベント ログ サーバには 128 MB という制限があります。この制限に到達すると、セキュリティ ログ リーダーにイベント ID 1104 が表示されます。詳細については https://technet.microsoft.com/en-us/library/dd315518を参照してください。
  12. LDAP サーバのユーザー認証情報を使用する場合は、[ドメイン認証情報を使用 (Use Domain Credentials)] を選択します。ログ アクセス用の代替ドメイン アカウントを指定する場合は、[ドメイン認証情報を使用 (Use Domain Credentials)] の選択を解除し、ユーザー名とパスワードを指定します。
    指定したアカウントには、手順 10 で指定したドメイン コントローラのセキュリティ イベント ログの読み取り権限が必要です。
  13. [次へ (Next)] をクリックします。
  14. [設定の確認] ページで、入力した設定を確認します。
  15. [終了 (Finish)] をクリックします。
    注目:
    • ドメインの競合によって、エンティティに対するドメインの追加処理が失敗したというエラー メッセージが表示された場合は、[自動マージ] を選択します。ドメインが作成され、ドメイン リストの下に設定が表示されます。

結果

ドメインが作成され、その設定がドメイン リストの下に表示されます。

次のタスク

イベント ログ サーバのログイン イベントが有効であることを確認します。

LDAP サーバを追加、編集、削除、有効、または無効にするには、ドメイン リストの下のパネルで [LDAP サーバ (LDAP Servers)] タブを選択します。イベント ログ サーバに対して同様のタスクを実行するには、ドメイン リストの下のパネルで [イベント ログ サーバ (Event Log Servers)] タブを選択します。複数の Windows サーバ(ドメイン コントローラ、Exchange サーバ、またはファイル サーバ)をイベント ログ サーバとして追加すると、ユーザー ID との関連付けが強化されます。

注: Identity Firewall を使用している場合、Active Directory サーバのみがサポートされます。