如何將 vCenter 加入到活動目錄域

將vCenter Server Appliance（VCSA）與Microsoft Active Directory集成作為身份源可簡化並改進訪問管理的安全性。通過將vCenter加入AD域，VMware vSphere管理員可以使用相同的身份源來授予對文件服務器和網絡上其他資源的訪問權限，以授予對vSphere對象的訪問權限。繼續閱讀以了解加入vCenter到域的步驟。

如何將vCenter添加到Active Directory域

Active Directory是許多組織中用於用戶集中身份驗證的常見標準。 Active Directory還可用於驗證VMware ESXi和VMware vCenter用戶。然後，我們可以為經過身份驗證的Active Directory域用戶分配所需的vSphere權限。

要求

配置vCenter AD集成有一些要求：

• 必須配置Active Directory域控制器。 域控制器必須可寫入（而不僅僅是讀取模式）。
• 用於vCenter Server的完全限定域名（FQDN）的DNS後綴必須正確。
• vCSA與域控制器通信的DNS設置必須正確。
• vCenter Server Appliance（VCSA）必須將Active Directory域控制器的DNS名解析為IP地址。

注意：還可以將獨立的ESXi主機加入AD域。

如何將vCenter加入到域

我們需要將我們的 VCSA 遠端設備加入 Active Directory 作為一個物件，以啟用Active Directory（整合式 Windows 認證）。此選項允許我們將已登錄使用者的 Windows 憑證作為驗證方式傳遞給 vCenter Web 客戶端。請注意，在本教程中，我們使用的是具有內置平台服務控制器的 vCenter Server Appliance 7.0。

完成以下步驟來設置 AD 連接：

1. 使用 Web 瀏覽器以SSO 管理員身分登入 vCenter，並前往 VMware vSphere Client 頁面。默認管理員名稱為[email protected]（在先前關於vSphere SSO 域的文章中有提到），這是在 VCSA 安裝期間設置的管理使用者。同時，請注意，這不是一個 Windows Active Directory 域使用者。但是，當您將 vCenter 整合到 Active Directory 時，您可以使用使用 Windows 會話驗證選項。
   
2. 一旦您以 SSO 管理員身分登入 Web 客戶端，請點擊左上角的選單圖標。在打開的菜單中點擊管理。
   
3. 點擊 配置 在 管理 頁面的 單一登錄 部分。 選擇 身份提供者 標籤，點擊 Active Directory 域，然後點擊 加入 AD 以將 vCenter 加入域。

4. 這將彈出對話框來輸入域名、組織單位、用戶名和密碼。
   • 輸入 Active Directory 域名，例如，domain1.net。請注意，您現有的本地 SSO 域名（在我們的案例中為vsphere.local）和 Active Directory 域名（在我們的案例中為domain1.net）必須不同。如果使用相同的 AD 域名，您將收到錯誤消息，無法加入域並將 vCenter 整合到 Active Directory。
   • 設置組織單位對於熟悉 LDAP 的人可能很有用。如果 組織單位 欄位留空，則在 AD 中創建計算機帳戶時將在默認位置創建，這是一個計算機容器。您始終可以將計算機對象移動到您的 Active Directory 域控制器上所需的組織單位。填寫組織單位字段的示例：

     OU=Unit1,DC=domain1,DC=net

   • 輸入 Active Directory 域管理員的用戶名和密碼。我們的域管理員是[email protected]。但是，您可以在域控制器上創建一個專用用戶（例如，vmwareadmin），並將此用戶添加到適當的域管理員組中。

     填寫對話框後，點擊加入，然後您將被提示重新啟動 vCenter 應用程式。

   

   注意：如果看到類似以下錯誤：
    
   Idm 客戶端異常：嘗試加入 AD 時出錯，錯誤代碼[11]，用戶[domain1/administrator]，域[domain1.net]，orgUnit[]
    
   請嘗試在 VCSA 控制台 shell（命令行）中以 root 身份運行以下命令，並使用您的域名和域管理員名稱：
    
   /opt/likewise/bin/domainjoin-cli join domain1.net administrator

5. 要從VMware vSphere Client界面重新啟動vCenter服務器，請轉到管理>系統配置，選擇您的vCenter節點，然後點擊重新啟動節點。

   另外，您可以登錄正在運行vCenter Server Appliance VM的ESXi主機的VMware Host Client並重新啟動VCSA VM。另一個解決方案是使用VCSA上的Direct Console用戶界面（DCUI）並在那裡使用重新啟動選項。

   

6. vCenter 重新啟動後，您可以進入管理 > 單一登錄 > 配置 > 身份提供者 > 活動目錄域（就像您之前所做的那樣），並確保連接到域控制器成功，並且您的 vCenter 現在是域成員。

7. 您還可以確保您的 vCenter 機器已加入作為域控制器的 Windows Server 中的域。為此，打開活動目錄用戶和計算機，選擇您的域，然後點擊計算機。您可以在下面的截圖中看到，我們的vcenter7機器是我們的活動目錄域的成員。

添加身份來源

將 vCenter Server Appliance（VCSA）加入到網域並重新啟動後，我們現在準備添加我們的 Active Directory 身份來源：

1. 返回 管理，在 單一登錄 選單下點擊 配置。在 身份提供者 頁籤中點擊 身份來源，然後點擊 新增 按鈕以添加身份來源。

2. 我們選擇 Active Directory（集成 Windows 身份驗證） 選項。現在我們已將 vCenter 加入到網域中，域名 欄位會自動填入我們的域名。我們可以將 使用機器帳戶 保留為默認選項。最後，完成身份來源的配置，然後點擊 新增。

3. 現在，在身份來源下，我們可以看到我們的網域。您可以點擊設為默認，以便默認使用此 Active Directory 網域。

然後，您可以在 vCenter 中創建角色，並將特權分配給這些角色，然後將角色附加到 Active Directory 用戶。

結論

在您的環境中擁有用戶身份驗證的集中系統並且使用 Active Directory 進行 vSphere 用戶身份驗證在許多情況下都是有用的。請確保定期備份您的 Active Directory域控制器和 vCenter Server 虛擬機，以避免因無法對用戶進行身份驗證和管理基礎設施而導致的停機和問題。NAKIVO Backup & Replication 是 VMware vSphere 環境的完整數據保護解決方案。使用該解決方案備份您的 VM 和應用程序，如 Microsoft Active Directory。