您可以將 vCenter Server 加入 Active Directory 網域。您可以將這個 Active Directory 網域的使用者和群組連結到 vCenter Single Sign-On 網域。您可以離開 Active Directory 網域。

重要: 不支援將 vCenter Server 加入具有唯讀網域控制站 (RODC) 的 Active Directory 網域。您只能將 vCenter Server 加入至具有可寫入網域控制站的 Active Directory 網域。

如果您想要設定權限,以便 Active Directory 中的使用者和群組可以存取 vCenter Server 元件,您必須將 vCenter Server 執行個體加入 Active Directory 網域。

例如,若要讓 Active Directory 使用者能夠使用 vSphere Client 登入 vCenter Server 執行個體,您必須將 vCenter Server 執行個體加入 Active Directory 網域,然後將管理員角色指派給這個使用者。

必要條件

  • 確認登入 vCenter Server 執行個體的使用者是 vCenter Single Sign-On 中 SystemConfiguration.Administrators 群組的成員。

  • 確認應用裝置的系統名稱為 FQDN。如果您在應用裝置部署期間將 IP 位址設定為系統名稱,便無法將 vCenter Server 加入 Active Directory 網域。

程序

  1. 使用 vSphere Client 以 administrator@your_domain_name 身分登入 vCenter Server 執行個體。
  2. vSphere Client 功能表中,選取管理
  3. 選取 Single Sign On > 組態
  4. 按一下身分識別提供者索引標籤,然後選取 Active Directory 網域做為身分識別提供類型。
  5. 按一下加入 AD
  6. 在 [加入 Active Directory 網域] 視窗中,提供下列詳細資料。
    選項 說明
    網域 Active Directory 網域名稱,例如 mydomain.com。請勿在此文字方塊中提供 IP 位址。
    組織單位 (選用) 完整的組織單位 (OU) LDAP FQDN,例如,OU=Engineering,DC=mydomain,DC=com。
    重要: 僅當您很熟悉 LDAP 時,才使用此文字方塊。
    Username 使用者名稱為使用者主體名稱 (UPN) 格式,例如 [email protected]
    重要: 不支援下層登入名稱格式,例如 DOMAIN\UserName。
    密碼 使用者的密碼。
    備註: 將節點重新開機以套用變更。
  7. 按一下加入,將 vCenter Server 加入 Active Directory 網域。
    作業隨即以無訊息方式成功,並且您可以發現 [加入 AD] 按鈕變成了 [離開 AD]。
  8. (選擇性) 若要離開 Active Directory 網域,請按一下離開 AD
  9. 重新啟動 vCenter Server 以套用變更。
    重要: 如果不重新啟動 vCenter Server,您可能會在使用 vSphere Client 時遇到問題。
  10. 選取身分識別來源索引標籤,然後按一下新增
    1. 在 [新增身分識別來源] 視窗中,選取 Active Directory (整合式 Windows 驗證) 做為身分識別來源類型。
    2. 輸入加入的 Active Directory 網域的身分識別來源設定,然後按一下新增
      表 1. 新增身分識別來源設定
      文字方塊 說明
      網域名稱 網域的 FDQN。請勿在此文字方塊中提供 IP 位址。
      使用機器帳戶 選取此選項可將本機機器帳戶用作 SPN。選取此選項時,應僅指定網域名稱。如果您打算重新命名此機器,請勿選取此選項。
      使用服務主體名稱 (SPN) 如果您打算重新命名本機機器,請選取此選項。您必須指定 SPN、能夠透過身分識別來源進行驗證的使用者,以及該使用者的密碼。
      服務主體名稱 可協助 Kerberos 識別 Active Directory 服務的 SPN。請在名稱中包含網域,例如 STS/example.com。

      您可能必須執行 setspn -S 才能新增要使用的使用者。如需 setspn 的相關資訊,請參閱 Microsoft 說明文件。

      SPN 在網域中必須是唯一的。執行 setspn -S 可檢查是否未建立任何重複項目。

      Username 能夠透過此身分識別來源進行驗證之使用者的名稱。請使用電子郵件地址格式,例如 [email protected]。您可以透過 Active Directory 服務介面編輯器 (ADSI 編輯) 來驗證使用者主體名稱。
      密碼 用於透過此身分識別來源進行驗證之使用者 (使用者主體名稱中所指定的使用者) 的密碼。請包含網域名稱,例如 [email protected]

結果

身分識別來源索引標籤上,您可以看到加入的 Active Directory 網域。

下一步

您可以設定權限,以便加入的 Active Directory 網域中的使用者和群組可以存取 vCenter Server 元件。如需管理權限的相關資訊,請參閱 vSphere 安全性說明文件。