Cloud Assembly 支援與 Active Directory 伺服器進行整合,以便在佈建虛擬機器之前,於 Active Directory 伺服器內指定的組織單位 (OU) 中現成建立電腦帳戶。Active Directory 支援與 Active Directory 伺服器建立 LDAP 連線。

與專案相關聯的 Active Directory 原則會套用至該專案範圍內佈建的所有虛擬機器。使用者可指定一或多個用於選擇性地將原則套用到已佈建至雲端區域 (具有相符功能標籤) 之虛擬機器的標籤。

建立 Active Directory 整合時,在 Active Directory 中建立電腦物件期間會設定某些內容,且無法變更。尤其是,無法變更以下預設內容:
WORKSTATION_TRUST_ACCOUNT	0x1000
PASSWD_NOTREQD (No password is required)	0x0020

對於內部部署,Active Directory 整合可讓您設定健全狀況檢查功能,其中顯示整合的狀態及其所依賴的基礎 ABX 整合,包括所需的擴充性雲端 Proxy。在套用 Active Directory 原則之前,Cloud Assembly 會檢查基礎整合的狀態。如果整合狀況良好,Cloud Assembly 會在指定的 Active Directory 中建立已部署的電腦物件。如果整合狀況不良,則在佈建期間,部署作業會略過 Active Directory 階段。

必要條件

  • Active Directory 整合需要與 Active Directory 伺服器建立 LDAP 連線。
  • 如果您要在雲端中設定與 Active Directory 的整合,則必須擁有 Microsoft AzureAmazon Web Services 帳戶。
  • 您必須為專案設定適當的雲端區域以及用於 Active Directory 整合的映像和類型模板對應。
  • 必須預先建立 Active Directory 中所需的 OU,然後才能將 Active Directory 整合與專案相關聯。
  • 為 Active Directory 整合設定的使用者必須具有在設定的 OU 中建立/刪除/搜尋電腦物件的權限。

程序

  1. 選取基礎結構 > 連線 > 整合,然後選取新增整合
  2. 按一下 Active Directory
  3. 摘要索引標籤上,輸入適當的 LDAP 主機和環境名稱。
    指定的 LDAP 主機用於驗證 Active Directory 整合,如果因錯誤或不可用而未指定和叫用備用主機,則還將用於後續部署。
  4. 輸入 LDAP 伺服器的名稱和密碼。
  5. 輸入指定所需 Active Directory 資源的根的適當基本 DN。
    備註: 每個 Active Directory 整合只能指定一個 DN。
  6. 按一下驗證,以確保整合正常運作。
  7. 輸入此整合的名稱與說明。
  8. 按一下儲存
  9. 按一下專案索引標籤,將專案新增至 Active Directory 整合。
    新增專案對話方塊中,您必須選取專案名稱和相對 DN,即在 [摘要] 索引標籤上指定的基本 DN 中存在的 DN。
  10. 在 [延伸選項] 選取項目下,提供以逗號分隔的備用主機清單,如果最初選取的伺服器在部署期間不可用,將使用該清單。主要伺服器始終用於對整合進行初始驗證。
    備註: 如果主要主機的格式為 LDAP,則備用主機不支援 LDAPS。
  11. 連線逾時方塊中輸入嘗試使用備用伺服器之前等待初始伺服器回應的時間 (以秒為單位)。
  12. 按一下儲存

結果

您現在可以將具有 Active Directory 整合的專案關聯至雲端範本。使用此雲端範本佈建機器時,它將預先暫存在指定的 Active Directory 和組織單位中。

最初,Active Directory 整合部署到預設 OU (幾乎沒有使用者限制)。依預設,將 Active Directory 整合對應到專案時,將設定 OU。可以將名為 FinalRelativeDN 的內容新增到藍圖,以變更 Active Directory 部署的 OU。透過此內容,可以指定要用於 Active Directory 部署的 OU。

formatVersion: 1
inputs: {}
resources:
  Cloud_vSphere_Machine_1:
    type: Cloud.vSphere.Machine
    properties:
      image: CenOS8
      flavor: tiny
      activeDirectory:
        finalRelativeDN: ou=test
        securityGroup: TestSecurityGroup

如上述 YAML 範例中所示,使用者可以將內容新增到 Active Directory 整合部署,以便將電腦帳戶新增到安全群組,為透過網路存取共用資源指派適當的權限。Active Directory 虛擬機器最初部署到固定 OU,但在該電腦準備發佈時,會移至具有適用於使用者的適當原則的其他 OU。

如果電腦帳戶在部署後移至其他 OU,Cloud Assembly 會嘗試刪除初始 OU 上的帳戶。僅當虛擬機器移至同一網域中的其他 OU 時,才會成功刪除電腦帳戶。

也可以為內部部署 Active Directory 整合實作以標籤為基礎的健全狀況檢查,如下所示。

  1. 如上述步驟所述建立 Active Directory 整合。
  2. 按一下專案索引標籤,將專案新增至 Active Directory 整合。
  3. 在 [新增專案] 對話方塊中,選取專案名稱和相對 DN。相對 DN 必須存在於指定的基本 DN 內。

    此對話方塊上有兩個切換按鈕,可讓您從雲端範本控制 Active Directory 組態。依預設,會關閉這兩個切換按鈕。

    • 覆寫 - 此切換按鈕可讓您覆寫 Active Directory 內容,尤其是雲端範本中的相對 DN。開啟此項時,可以變更雲端範本的 relativeDN 內容中所指定的 OU。佈建後,會將機器新增至雲端範本的 relativeDN 內容中所指定的 OU。下列範例顯示此內容出現的雲端範本階層。
      activeDirectory:
           relativeDN: OU=ad_integration_machine_override
    • 略過 - 此切換按鈕可讓您略過專案的 Active Directory 組態。開啟此項時,會將內容新增至相關聯虛擬機器的雲端範本 (稱為 ignoreActiveDirectory)。當此內容設為 true 時,表示機器在部署時不會新增至 Active Directory。
  4. 新增適當的標籤。這些標籤適用於 Active Directory 原則可套用到的雲端區域。
  5. 按一下 [儲存]。

Cloud Assembly 中的基礎結構 > 連線 > 整合頁面上,會針對每個整合顯示 Active Directory 整合的狀態。

您可以將具有 Active Directory 整合的專案與雲端範本建立關聯。使用此雲端範本佈建機器時,它將預先暫存在指定的 Active Directory 和 OU 中。