您可以將 Platform Services Controller應用裝置或含內嵌式 Platform Services ControllervCenter Server Appliance 加入 Active Directory 網域。您可以將這個 Active Directory 網域的使用者和群組連結到 vCenter Single Sign-On 網域。

執行這項作業的原因和時機

重要事項︰

不支援將 Platform Services Controller應用裝置或含內嵌式 Platform Services ControllervCenter Server Appliance 加入具有唯讀網域控制站 (RODC) 的 Active Directory 網域。您僅可以將 Platform Services Controller或含內嵌式 Platform Services ControllervCenter Server Appliance 加入具有可寫入網域控制站的 Active Directory 網域。

如果您想要為 Active Directory 網域的使用者和群組設定存取 vCenter Server元件的權限,則必須將其相關聯的內嵌式或外部 Platform Services Controller 執行個體加入 Active Directory 網域。

例如,若要讓 Active Directory 使用者能透過使用 vSphere Web Client搭配 Windows 工作階段驗證 (SSPI) 的方式,在含內嵌式 Platform Services ControllervCenter Server Appliance 中登入 vCenter Server 執行個體,您必須將vCenter Server Appliance 加入 Active Directory 網域,然後將管理員角色指派給這個使用者。若要讓 Active Directory 使用者能透過使用 vSphere Web Client搭配 SSPI 的方式,登入使用外部 Platform Services Controller 應用裝置的 vCenter Server 執行個體,您必須將 Platform Services Controller 應用裝置加入 Active Directory 網域,然後將管理員角色指派給這個使用者。

先決條件

  • 確認登入 vCenter Server AppliancevCenter Server 執行個體的使用者是 vCenter Single Sign-On 中 SystemConfiguration.Administrators 群組的成員。

  • 確認應用裝置的系統名稱為 FQDN。如果您在應用裝置部署期間將 IP 位址設定為系統名稱,便無法將 vCenter Server Appliance加入 Active Directory 網域。

程序

  1. 使用 vSphere Web Client,以 administrator@your_domain_name 身分登入 vCenter Server Appliance 中的 vCenter Server 執行個體。

    位址類型為 http://appliance-IP-address-or-FQDN/vsphere-client。

  2. vSphere Web Client主頁面上,將游標暫留在首頁圖示上,按一下首頁,然後選取系統組態
  3. 在 [部署] 下,按一下系統組態
  4. 在 [系統組態] 下,按一下節點
  5. 在 [節點] 下,選取節點,然後按一下管理索引標籤。
  6. 在 [進階] 下,選取 Active Directory,然後按一下加入
  7. 輸入 Active Directory 詳細資料。

    選項

    說明

    網域

    Active Directory 網域名稱,例如 mydomain.com。請勿在此文字方塊中提供 IP 位址。

    組織單位

    選擇性。完整的 OU LDAP FQDN,例如,OU=Engineering,DC=mydomain,DC=com。

    重要事項︰

    僅當您很熟悉 LDAP 時,才使用此文字方塊。

    使用者名稱

    使用者名稱為使用者主體名稱 (UPN) 格式,例如 jchin@mydomain.com。

    重要事項︰

    不支援下層登入名稱格式,例如 DOMAIN\UserName。

    密碼

    使用者的密碼。

  8. 按一下確定,將 vCenter Server Appliance 加入 Active Directory 網域。

    作業隨即以無訊息方式成功,並且您可以發現 [加入] 按鈕變成了 [離開]。

  9. 在您編輯的節點上按一下滑鼠右鍵,然後選取重新開機重新啟動應用裝置以套用變更。
    重要事項︰

    如果不重新啟動應用裝置,您可能會在使用 vSphere Web Client時遇到問題。

  10. 導覽至管理 > Single Sign-On > 組態
  11. 身分識別來源索引標籤上,按一下新增身分識別來源圖示。
  12. 選取 Active Directory (整合式 Windows 驗證),輸入加入的 Active Directory 網域的身分識別來源設定,然後按一下確定
    表格 1. 新增身分識別來源設定

    文字方塊

    說明

    網域名稱

    網域的 FDQN。請勿在此文字方塊中提供 IP 位址。

    使用機器帳戶

    選取此選項可將本機機器帳戶用作 SPN。選取此選項時,應僅指定網域名稱。如果您打算重新命名此機器,請勿選取此選項。

    使用服務主體名稱 (SPN)

    如果您打算重新命名本機機器,請選取此選項。您必須指定 SPN、能夠透過身分識別來源進行驗證的使用者,以及該使用者的密碼。

    服務主體名稱 (SPN)

    可協助 Kerberos 識別 Active Directory 服務的 SPN。請在名稱中包含網域,例如 STS/example.com。

    您可能必須執行setspn -S才能新增要使用的使用者。如需 setspn的相關資訊,請參閱 Microsoft 說明文件。

    SPN 在網域中必須是唯一的。執行 setspn -S可檢查是否未建立任何重複項目。

    使用者主體名稱 (UPN)

    能夠透過此身分識別來源進行驗證之使用者的名稱。請使用電子郵件地址格式,例如 jchin@mydomain.com。您可以透過 Active Directory 服務介面編輯器 (ADSI 編輯) 來驗證使用者主體名稱。

    密碼

    用於透過此身分識別來源進行驗證之使用者 (使用者主體名稱中所指定的使用者) 的密碼。請包含網域名稱,例如 jdoe@example.com。

結果

身分識別來源索引標籤上,您可以看到加入的 Active Directory 網域。

下一步

您可以為加入的 Active Directory 網域中的使用者和群組設定存取vCenter Server元件的權限。如需管理權限的相關資訊,請參閱 vSphere 安全性說明文件。