可以將 ESXi 設定為使用 Active Directory 等目錄服務來管理使用者。

如果要在每台主機上都建立本機使用者帳戶,會面臨必須在多台主機間同步帳戶名稱和密碼的挑戰。若將 ESXi 主機加入到 Active Directory 網域中,就無需再建立和維護本機使用者帳戶。若使用 Active Directory 進行使用者驗證,可簡化 ESXi 主機組態,並降低可能導致未授權存取的組態問題風險。

使用 Active Directory 時,若將主機新增到網域,使用者會提供自己的 Active Directory 認證和 Active Directory 伺服器的網域名稱。

ESXi 主機設定為使用 Active Directory

可以設定 ESXi 主機,以使用目錄服務 (如 Active Directory) 管理使用者和群組。

ESXi 主機新增至 Active Directory 時,如果存在 DOMAIN 群組 ESX Admins,則為其指派對主機的完整管理存取權。如果不希望分配完整管理存取權,請參閱 VMware 知識庫文章 1025569 獲取因應措施。

如果使用 Auto Deploy 佈建主機,則無法在主機上儲存 Active Directory 認證。您可以使用 vSphere Authentication Proxy 將主機加入 Active Directory 網域。因為 vSphere Authentication Proxy 和主機之間存在信任鏈,Authentication Proxy 可以將主機加入 Active Directory 網域。請參閱使用 vSphere Authentication Proxy

備註: 在 Active Directory 中定義使用者帳戶設定時,可以按電腦名稱限制使用者能夠登入的電腦。依預設,未對使用者帳戶設定任何相關限制。如果設定了此限制,對使用者帳戶的 LDAP 繫結要求將失敗,並顯示訊息 LDAP 繫結失敗,即使該要求來自列出的電腦也是如此。透過將 Active Directory 伺服器的 netBIOS 名稱新增到使用者帳戶能夠登入的電腦清單,可避免此問題。

必要條件

  • 確認您擁有 Active Directory 網域。請參閱目錄伺服器說明文件。
  • 確認 ESXi 的主機名稱完全符合 Active Directory 樹系的網域名稱條件。

    fully qualified domain name = host_name.domain_name

程序

  1. ESXi 和目錄服務系統的時間同步。
    如需如何使用 Microsoft 網域控制站同步 ESXi 時間的相關資訊,請參閱 使 ESXi時鐘與網路時間伺服器同步或 VMware 知識庫。
  2. 確保為主機設定的 DNS 伺服器可以解析 Active Directory 控制站的主機名稱。
    1. vSphere Client 詳細目錄中瀏覽到主機。
    2. 按一下設定
    3. 在 [網路] 下,按一下 TCP/IP 組態
    4. 在 [TCP/IP 堆疊: 預設] 下,按一下 DNS,然後確認該主機的主機名稱和 DNS 伺服器資訊正確無誤。

下一步

將主機加入目錄服務網域。請參閱將 ESXi 主機新增至目錄服務網域。對於使用 Auto Deploy 佈建的主機,請設定 vSphere Authentication Proxy。請參閱使用 vSphere Authentication Proxy。您可以設定權限,以便加入的 Active Directory 網域中的使用者和群組可以存取 vCenter Server 元件。如需有關管理權限的資訊,請參閱將權限新增到詳細目錄物件

ESXi 主機新增至目錄服務網域

ESXi 主機要使用目錄服務,必須先將主機加入目錄服務網域。

您可以使用下列兩種方式中的一種來輸入網域名稱:

  • name.tld (例如,domain.com):會在預設容器下建立帳戶。
  • name.tld/container/path (例如,domain.com/OU1/OU2):會在特定組織單位 (OU) 下建立帳戶。

若要使用 vSphere Authentication Proxy 服務,請參閱使用 vSphere Authentication Proxy

程序

  1. vSphere Client 詳細目錄中瀏覽到主機。
  2. 按一下設定
  3. 在 [系統] 下,選取驗證服務
  4. 按一下加入網域
  5. 輸入網域。

    使用 name.tldname.tld/container/path 形式。

  6. 輸入有權將主機加入網域的目錄服務使用者的使用者名稱和密碼,然後按一下確定
  7. (選擇性) 如果您想要使用驗證 Proxy,請輸入 Proxy 伺服器 IP 位址。
  8. 按一下確定,關閉 [目錄服務組態] 對話方塊。

下一步

您可以設定權限,以便加入的 Active Directory 網域中的使用者和群組可以存取 vCenter Server 元件。如需有關管理權限的資訊,請參閱將權限新增到詳細目錄物件

檢視 ESXi 主機的目錄服務設定

您可以檢視目錄伺服器的類型 (如果有類型可檢視),ESXi 主機使用此類型來驗證使用者和目錄伺服器設定。

程序

  1. vSphere Client 詳細目錄中瀏覽到主機。
  2. 按一下設定
  3. 在 [系統] 下,選取驗證服務
    [驗證服務] 分頁將顯示目錄服務和網域設定。

下一步

您可以設定權限,以便加入的 Active Directory 網域中的使用者和群組可以存取 vCenter Server 元件。如需有關管理權限的資訊,請參閱將權限新增到詳細目錄物件