如果選取 Active Directory (整合式 Windows 驗證) 身分識別來源類型,則可以使用本機機器帳戶做為 SPN (服務主體名稱) 或者明確指定 SPN。僅當 vCenter Single Sign-On 伺服器加入 Active Directory 網域時,您才能使用此選項。

使用 Active Directory 身分識別來源的必要條件

僅在身分識別來源可用的情況下,才能設定 vCenter Single Sign-On 使用該 Active Directory 身分識別來源。
  • 對於 Windows 安裝,請將 Windows 機器加入 Active Directory 網域。
  • 對於 vCenter Server Appliance,請遵循 vCenter Server Appliance 組態說明文件中的指示進行操作。
備註: Active Directory (整合式 Windows 驗證) 一律使用 Active Directory 網域樹系的根。若要將您的整合式 Windows 驗證身分識別來源設定為 Active Directory 樹系內的子網域,請參閱 VMware 知識庫文章,網址為 http://kb.vmware.com/kb/2070433

選取使用機器帳戶可加快組態速度。如果您打算重新命名執行 vCenter Single Sign-On 的本機機器,則最好明確指定 SPN。

備註: 在 vSphere 5.5 中,即使您指定 SPN, vCenter Single Sign-On 也會使用機器帳戶。請參閱 VMware 知識庫文章,網址為 http://kb.vmware.com/kb/2087978

如果您已在 Active Directory 中啟用診斷事件記錄來確定可能需要強化的位置,您可能會在該目錄伺服器上看到事件識別碼為 2889 的記錄事件。使用整合式 Windows 驗證時,事件識別碼 2889 會作為異常產生,而非安全性風險。如需有關事件識別碼 2889 的詳細資訊,請參閱 VMware 知識庫文章,網址為:https://kb.vmware.com/s/article/78644

表 1. 新增身分識別來源設定
文字方塊 說明
網域名稱 網域名稱的 FQDN,例如 mydomain.com。不提供 IP 位址。此網域名稱必須可由 vCenter Server 系統進行 DNS 解析。如果您使用 vCenter Server Appliance,請使用進行網路設定時使用的資訊來更新 DNS 伺服器設定。
使用機器帳戶 選取此選項可將本機機器帳戶用作 SPN。選取此選項時,應僅指定網域名稱。如果您打算重新命名此機器,請勿選取此選項。
使用服務主體名稱 (SPN) 如果您打算重新命名本機機器,請選取此選項。您必須指定 SPN、能夠透過身分識別來源進行驗證的使用者,以及該使用者的密碼。
服務主體名稱 (SPN) 可協助 Kerberos 識別 Active Directory 服務的 SPN。請在名稱中包含網域,例如 STS/example.com

SPN 在網域中必須是唯一的。執行 setspn -S 可檢查是否未建立任何重複項目。如需 setspn 的相關資訊,請參閱 Microsoft 說明文件。

使用者主體名稱 (UPN)

密碼

能夠透過此身分識別來源進行驗證之使用者的名稱和密碼。請使用電子郵件地址格式,例如 [email protected]。您可以透過 Active Directory 服務介面編輯器 (ADSI 編輯) 來驗證使用者主體名稱。