Frage Wenn ich esxi zu einer Active Directory-Domäne beitrage, wie wählt es aus, an welchen Domänencontroller sich authentifizieren soll?


Ich bin mit vSphere und großen Installationen vertraut und mit den kostenlosen Produkten überhaupt nicht vertraut.

Topologie und Konfiguration

Wir haben einige Zweigstellen, die ESXi verwenden und auf ihnen einen Domänencontroller als virtualisierten Host haben. Dies ist der einzige lokale Domänencontroller, auf den sie zugreifen können.

Um die Dinge komplexer zu machen, sind diese entfernten Büros die "Speichen" in einer Hub-and-Spoke-Konfiguration. Keine Speiche kann jemals mit einer anderen Speiche sprechen (durch fehlende Routing) und jede Speiche hat einen RODC.

Frage

Um die Verwaltung zu vereinfachen, überlege ich, diese Hosts zu unserer Domain hinzuzufügen, aber ich bin mir nicht sicher, ob ich die "lokale Admin" -Funktion verlieren werde oder was passieren wird, wenn der DC nicht verfügbar ist.

Davon abgesehen sehe ich einen Eintrag zum Konfigurieren einer AD-Domäne. Es ist nicht klar, wie die DCs ausgewählt werden oder wie Fehlertoleranz funktioniert, wenn überhaupt auf esxi.

Ich suche jemanden, der klüger ist als ich, um mir zu helfen, die Auswirkungen der Verbindung von esxi mit AD in den folgenden Szenarien zu überdenken:

  • ESXI hostet eine VM, die eine DC ist und hängt (1/100 DCs fehlgeschlagen)
  • ESXI kann nicht auf die Server im Hub zugreifen (99/100 DCs sind fehlgeschlagen)
  • Normaler Zugriff, bei dem Speichen nicht erreichbar sind (80/100 nicht erreichbar, könnte fehlschlagen)

Ich denke, diese Szenarien sind interessant, weil es durchaus möglich ist, dass ESXI eine Liste aller NS für ADDomain.com erhält, die jedem Domänencontroller entspricht, der LDAP hostet. *

* Fußnote: Ich nehme an, dass ESXI LDAP verwendet .. aber ich bin mir nicht sicher

Endeffekt 

Sollte ich esxi in einer Speiche mit der Domäne in dieser Konfiguration verbinden?

Verliere ich den lokalen Zugriff, wenn kein DC verfügbar ist?


4
2017-07-15 14:36


Ursprung




Antworten:


ESXi (genau wie jedes andere System) wird immer erlauben lokale Authentifizierung (d. h. das lokale root Benutzer und jedes lokale Benutzerkonto, das Sie erstellt haben), wenn andere Authentifizierungsmethoden nicht verfügbar sind. Wenn Sie über lokale Anmeldeinformationen verfügen, können Sie sich immer auf einem ESXi-Server anmelden, selbst wenn vCenter, AD oder was auch immer nicht verfügbar ist.

Dokumentation:

http://pubs.vmware.com/vsphere-51/index.jsp#com.vmware.vsphere.security.doc/GUID-D7AEC653-EBC8-4573-B990-D8E58742F8ED.html


4
2017-07-15 14:42



+1 Ich bin auch an der LDAP-Frage interessiert ... wie DCs ausgewählt und ausgewählt sind, die ich nicht in den Dokumenten sehe. - random65537
Es sollte Verwenden Sie die von Microsoft definierte Methode, um den nächstgelegenen Domänencontroller ordnungsgemäß zu finden (dh DNS-SRV-Einträge für einen Domänencontroller in der AD-Site des IP-Subnetzes des Computers abzufragen), aber wir wissen nicht, ob VMware dies richtig gemacht hat oder ob ESXi wählt einfach einen zufälligen DC unter den bestehenden. Ich würde das auch gerne wissen ... - Massimo


Meine Erfahrung mit der ESXi-AD-Integration (eigentlich gleich) ist, dass es flockig sein kann. Für kleine, einfache Topologien ist es wahrscheinlich in Ordnung, aber es kann mit komplexeren, verteilten Topologien zusammenfallen. In jedem Fall kann ein Vanilla-Computer bei AD mit der gleichen Verbindung oder dem gleichen Netzwerksegment beitreten oder sich authentifizieren, wenn ESXi Probleme aufweist.

Am besten aktivieren Sie die Protokollierung für die Komponenten von "Gleich", andernfalls gehen Sie bei einem Problem nicht weiter. Und Sie können dies nicht über die Benutzeroberfläche tun, erhalten Sie die CLI.

Aktivieren der Protokollierung für gleichartige Agenten auf ESXi / ESX (1026554)
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1026554 

In Bezug auf das "Wie" ist es sollte Machen Sie genau das, was ein Windows-Client tut, und folgen Sie dem DC Locator-Prozess. Ich würde vermuten, dass es nicht ist, oder in irgendeiner Weise abweicht.

Domänencontroller-Standortprozess
http://technet.microsoft.com/en-us/library/cc978011.aspx 


4
2017-07-15 15:45





Hinweise zur ESX (i) AD-Integration:

Was ich (auf ESXi 5.0) entdeckt habe, ist, wenn ich den ESXi-Host der Domäne (GUI) über den Prozess assoziere. Gleicher Agent (auf Host) listet die vertrauenswürdigen Domänen und Domänencontroller zum Zeitpunkt des Joins auf und füllt eine Datei in / etc / ebenfalls / krb5-affinity.conf mit jedem Kind / Domäne und zugehörigem DC.

Der Prozess scheint nur die Domäne zu diesem Zeitpunkt aufzuzählen. Die Überprüfung der Datei zeigte mir, dass die aufgelisteten DCs nie automatisch aktualisiert wurden, da viele alte DC IPs stillgelegt oder ersetzt wurden und immer noch in dieser Liste waren.


2
2017-08-26 13:23