NAKIVO > Bloggen

So verbinden Sie vCenter mit einer Active Directory-Domain

Veröffentlicht am: Februar 27, 2017

Written by: NAKIVO Team

>><> Die Integration einer vCenter Server Appliance (VCSA) mit Microsoft Active Directory als Identitätsquelle vereinfacht und verbessert die Sicherheit der Zugriffsverwaltung. Durch die Einbindung von vCenter in eine AD-Domain können VMware vSphere-Administratoren dieselbe Identitätsquelle verwenden, die auch für die Gewährung des Zugriffs auf Dateiserver und andere Ressourcen im Netzwerk verwendet wird, um Zugriff auf vSphere-Objekte zu gewähren. Lesen Sie weiter, um zu erfahren, wie Sie vCenter in eine Domain einbinden.

NAKIVO for VMware vSphere Backup

NAKIVO for VMware vSphere Backup

Complete data protection for VMware vSphere VMs and instant recovery options. Secure backup targets onsite, offsite and in the cloud. Anti-ransomware features.

DISCOVER SOLUTION

So fügen Sie vCenter zu einer Active Directory-Domain hinzu

Active Directory ist ein gängiger Standard für die zentralisierte Authentifizierung von Benutzern in vielen Unternehmen. Active Directory kann auch zur Authentifizierung von VMware ESXi- und VMware vCenter-Benutzern verwendet werden. Anschließend können wir den authentifizierten Active Directory-Domain-Benutzern die erforderlichen vSphere-Berechtigungen zuweisen.

Anforderungen

Für die Konfiguration der vCenter-AD-Integration gelten einige Anforderungen:

  • Ein Active Directory-Domänencontroller muss konfiguriert sein. Der Domänencontroller muss beschreibbar sein (und darf nicht nur im schreibgeschützten Modus betrieben werden).
  • Das für den vollqualifizierten Domänennamen (FQDN) des vCenter Servers verwendete DNS-Suffix muss korrekt sein.
  • Die DNS-Einstellungen der VCSA für die Kommunikation mit dem Domänencontroller müssen korrekt sein.
  • Die vCenter Server Appliance (VCSA) muss den DNS-Name des Active Directory-Domänencontrollers in eine IP-Adresse auflösen.

Hinweis: Es ist auch möglich, einen eigenständigen ESXi-Host der AD-Domäne hinzuzufügen.

So verbinden Sie vCenter mit der Domain

Wir müssen unsere VCSA-Appliance als Objekt mit Active Directory verbinden, um Active Directory (integrierte Windows-Authentifizierung)zu aktivieren. Mit dieser Option können wir die Anmeldeinformationen des angemeldeten Benutzers als Authentifizierung an den vCenter Web Client weiterleiten. Beachten Sie, dass wir in diesem Tutorial vCenter Server Appliance 7.0 mit einem integrierten Plattform-Service-Controller verwenden.

Führen Sie die folgenden Schritte aus, um die AD-Verbindung einzurichten:

  1. Melden Sie sich als SSO-Administrator bei vCenter an, indem Sie einen Webbrowser verwenden und die Seite VMware vSphere Client aufrufen. Der Standard-Administrator-Name lautet administrator@vsphere.local (beschrieben in einem früheren Beitrag zu vSphere SSO-Domain), bei dem es sich um den während der VCSA-Installation eingerichteten Admin-Benutzer handelt. Beachten Sie außerdem, dass es sich hierbei nicht um einen Windows Active Directory-Domänenbenutzer handelt. Sie können jedoch die Option Windows-Sitzungsauthentifizierung verwenden verwenden, wenn Sie vCenter in Active Directory integrieren.
    Log in to vCenter for configuring vCenter AD integration
  2. Nachdem Sie sich als SSO-Administrator beim Web Client angemeldet haben, klicken Sie auf das Menüsymbol in der oberen linken Ecke. Klicken Sie im sich öffnenden Menü auf Verwaltung .
    Opening administration configuration for vCenter AD integration
  3. Klicken Sie auf Konfiguration auf der Seite Verwaltung im Abschnitt Single Sign On . Wählen Sie die Registerkarte „ <“ (>) „Identity Provider“ (<) (> ), klicken Sie auf „<“ (> ) „Active Directory Domain“ (<) (>) und klicken Sie auf „ <“ (>). JOIN AD , um vCenter zur Domain hinzuzufügen.How to join vCenter to domain in VMware vSphere Client
  1. Daraufhin wird ein Dialogfeld angezeigt, in das Sie Folgendes eingeben müssen: Domäne, Organisationseinheit, Benutzernameund Passwort.
    • Geben Sie den Active Directory-Domänennamen ein, zum Beispiel domain1.net. Beachten Sie, dass der Name Ihrer bestehenden lokalen SSO-Domäne (vsphere.local in unserem Fall) und die Active Directory-Domain (domain1.net in unserem Fall) unterschiedlich sein müssen. Wenn Sie denselben AD-Domänennamen verwenden, erhalten Sie eine Fehlermeldung und können die Domain nicht beitreten und vCenter nicht in Active Directory integrieren.
    • Das Festlegen einer Organisationseinheit kann für diejenigen nützlich sein, die mit LDAP vertraut sind. Wenn das Feld „ Organisationseinheit “ leer gelassen wird, wird ein Computerkonto in AD am Standardsort, dem Container „ Computer “, erstellt. Sie können ein Computerobjekt immer in die gewünschte Organisationseinheit auf Ihrem Active Directory-Domänencontroller verschieben. Ein Beispiel für die Ausfüllung des Feldes „Organisationseinheit“:

      OU=Unit1,DC=domain1,DC=net

    • Geben Sie den Benutzernamen des Active Directory-Domänenadministrators und das Passwort ein. Unser Domänenadministrator ist administrator@domain.net. Sie können jedoch einen dedizierten Benutzer (z. B. vmwareadmin) auf dem Domänencontroller erstellen und diesen Benutzer zur entsprechenden Domänenadministratorgruppe hinzufügen.

      Nach dem Ausfüllen des Dialogfelds klicken Sie auf Join und Sie werden aufgefordert, Ihre vCenter-Appliance neu zu starten.

    Entering parameters to add vCenter to domain

    Hinweis: Wenn Sie eine Fehlermeldung wie die folgende sehen:
     
    Idm-Client-Ausnahme: Fehler beim Versuch, AD beizutreten, Fehlercode [11], Benutzer [domain1/administrator], Domain [domain1.net], orgUnit[]
     
    Versuchen Sie, den folgenden Befehl in der VCSA-Konsolen-Shell (Befehlszeile) als Root mit Ihrem Domain-Name und Domain-Administrator-Namen auszuführen:
     
    /opt/likewise/bin/domainjoin-cli join domain1.net administrator

  1. Um den vCenter-Server von der Benutzeroberfläche von VMware vSphere Client neu zu starten, gehen Sie zu Verwaltung > Systemkonfiguration, wählen Sie Ihren vCenter-Knoten aus und klicken Sie auf Neustart des Knotens.

    Alternativ können Sie sich beim VMware Host Client des ESXi-Hosts anmelden, auf dem die vCenter Server Appliance-VM ausgeführt wird, und die VCSA-VM neu starten. Eine weitere Lösung besteht darin, die Direct Console User Interface (DCUI) auf der VCSA zu verwenden und dort die Option „Reboot“ (Neustart) zu wählen.

    VCSA reboot is required to join vCenter to domain

  1. Nach dem Neustart von vCenter können Sie zu Verwaltung > Single Sign On > Configuration > Identitätsanbieter > Active Directory-Domänen (wie zuvor) und stellen Sie sicher, dass das Verbinden mit dem Domänencontroller erfolgreich war und Ihr vCenter nun ein Domänenmitglied ist.vCenter AD integration - vCenter has been added to a domain
  1. Sie können auch sicherstellen, dass Ihr vCenter-Computer der Domain in Windows Server beigetreten ist, der als Domänencontroller fungiert. Öffnen Sie dazu Active Directory-Benutzer und -Computer, wählen Sie Ihre Domain aus und klicken Sie auf Computer. In der folgenden Abbildung sehen Sie, dass unser vcenter7 Rechner Mitglied unserer Active Directory-Domäne ist.Verifying that vCenter was added to the Active Directory domain

Hinzufügen der Quelle der Identität

Nach dem Hinzufügen der vCenter Server Appliance (VCSA) zur Domain und dem Neustart können wir nun unsere Active Directory-Identitätsquelle hinzufügen:

  1. Kehren Sie zurück zu Verwaltung und klicken Sie auf Konfiguration unter dem Menü Single Sign-On . Klicken Sie auf die Registerkarte „ <“ (Identitätsquellen) >„Identity Sources“ (Identitätsquellen) und dann auf die Schaltfläche „Add Identity Source“ (Identitätsquelle hinzufügen) „Identity Provider“ (Identitätsanbieter) „Identity Provider“ (Identitätsanbieter) „Identity Provider“ (Identitätsanbieter) „Identity Provider“ (Identitätsanbieter) „Identity Provider“ (Identitätsanbieter) >Selecting the identity provider to integrate vCenter with Active Directory
  1. Wir wählen die Option Active Directory (integrierte Windows-Authentifizierung) . Nachdem wir unser vCenter nun mit der Domain verbunden haben, wird das Feld „ <“ automatisch mit unserem Domänennamen ausgefüllt. „Domain name“<. Wir können die Option „ <“ als Standardoption belassen. Schließen Sie abschließend die Konfiguration der Identitätsquelle ab und klicken Sie auf „ <“ >Fügen Sie „<“ >hinzu.Selecting the identity source type to integrate vCenter with Active Directory
  1. Nun sehen wir unter der Identitätsquelle unsere Domain. Sie können auf Als Standard festlegen klicken, um diese Active Directory-Domain standardmäßig zu verwenden.Setting the Active Directory identity source as the default identity in vCenter

Anschließend können Sie Rollen in vCenter erstellen und diesen Rollen Berechtigungen zuweisen, um dann eine Rolle einem Active Directory-Benutzer zuzuweisen.

Fazit

Ein zentralisiertes System für die Benutzerauthentifizierung in Ihrer Umgebung und die Verwendung von Active Directory für die vSphere-Benutzerauthentifizierung ist in vielen Situationen nützlich. Stellen Sie sicher, dass Sie regelmäßig Backups Ihres Active Directory Domänencontrollers und Ihrer vCenter Server-Appliance erstellen, um Ausfallzeiten und Probleme zu vermeiden, die durch die Unmöglichkeit der Benutzerauthentifizierung und des Verwalten der Infrastruktur verursacht werden. NAKIVO Backup & Replikation ist eine umfassende Lösung für die Datensicherheit in VMware vSphere-Umgebungen. Verwenden Sie die Lösung, um Ihre VMs und Anwendungen wie Microsoft Active Directory zu sichern.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Empfohlene Artikel

Picture
NAKIVO-Lösungslizenzierung und -Verlängerungsleitfaden
Picture
SharePoint vs. SharePoint Online: Ein vollständiger Vergleich
Picture
So erstellen und konfigurieren Sie VMware vSphere-Hostprofile