vSphere
VCSA5.5加入AD域环境问题记录

实验目的:
搭建一套vSphere
VCSA5.5,并加入新搭建的AD域,并使用一个域用户登录VC,赋予对VC的只读权限。

实验环境:

使用VMWare
Workstation创建两台虚拟机,一台Win2008R2,新建AD域控,域名zhufeng.com,虚拟网卡使用NAT方式,分配静态IP:192.168.216.199。创建两个域用户user01和user02。
另一台部署VCSA,使用VMware-vCenter-Server-Appliance-5.5.0.30500-4180648_OVF10(U03e).ova来部署,虚拟网卡同样使用NAT方式,分配静态IP:192.168.216.200,主机名为vcsa55。


一、
搭建全新域控并创建两个域用户。

1、 安装一个全新的win server
2008R2。

2、
开始菜单运行dcpromo,开始创建新的域控环境。具体创建域控步骤可以参考这篇文章:https://jingyan.baidu.com/article/ab69b270a3b9222ca7189f2b.html

3、
取消密码复杂度策略。

服务器管理器->功能->组策略管理->林:zhufeng.com->Default
Domain
Policy右边的“设置选项卡”,点“全部显示”,然后在“计算机配置(已启用)”的黄色背景条上点右键,选择“编辑”,会弹出域的组策略管理编辑器。选择计算机配置->策略->Windows设置->安全设置->帐户策略->密码策略,把”密码必须符合复杂性要求“改为已禁用,”密码长度最小值“从7改为1。

然后开始菜单运行cmd,使用命令:gpupdate /force
使组策略马上生效。

需要说明的是,取消密码复杂度是方便我们做测试,因为在下面创建两个用户user01/user02,我们想把密码设为跟用户名一样,所以需要把密码复杂度的强制要求取消掉。而在生产环境,出于安全考虑,不要取消密码复杂度策略。


4、 创建两个域用户。
在服务器管理器->角色->Active Directory域服务->Active
Directory用户和计算机->zhufeng.com->Users上点右键,选择“新建->用户“。


5、
修改user01和user02的用户组。之所以要修改新创建的user01和user02的组,是因为默认策略下,新建的用户的默认组Domain
Users是无法直接登录系统,登录时会提示”您无法登录,因为您使用的登录方法在此计算机上不被允许。请咨询网络管理员了解详细信息“。

在刚创建用户的地方,即Users目录下,右边找到user01和user02,选择一个用户并右键选择属性,在属性对话框中选择“隶属于“选项卡,点”添加“,在选择组对话框里,选中Domain
Admins组并确定,这样user01就会隶属于Domain
Admins组了。对user02作同样的操作。添加了组之后,尝试使用user01或02登录系统,应该可以正常登录了。


二、
将VCSA5.5和AD域集成。
1、
从VMware-vCenter-Server-Appliance-5.5.0.30500-4180648_OVF10(U03e).ova部署出一台VCSA的虚拟机,将虚拟网卡改为NAT方式并开机。

2、
开机后默认应该会分配到一个IP,如下图,使用浏览器按提示的网址开始进行VCSA初始化配置。VCSA5.5的默认口令是root/vmware。

3、
具体的VCSA5.5和AD集成的配置,可以参考此文档:https://wenku.baidu.com/view/3535335d7375a417866f8f71.html。下面的步骤将针对我配置过程中遇到的问题进行记录。

4、
修改VCSA的IP地址。

在网页的配置界面,选择Network->Address,将eth0的IPv4 Address
Type从DHCP改成static,并按如下修改,将主机名也修改了。按右边的Save
Settings按钮。因为改了IP,所以配置网页的地址也要用新IP重新打开。如果出现打不开的情况,直接到虚拟机里面把VCSA的虚拟机重启一下。


5、
重新生成SSL证书。因为修改了主机名,所以需要把SSL证书重新生成,不然登录的时候会把SSL错误。上一步重启了VCSA虚拟机之后,重新进入网页的配置界面,点Admin,把下方的Certifacate
regeneration
enabled由No选成Yes,并点击Submit,之后再重启VCSA虚拟机,注意观察虚拟机启动打印的日志信息,应该能看到certificate在重新生成,也会重新注册lookup
service。


6、
添加AD域。在VCSA的配置网页,选择vCenter Server ->
Authentication,输入域信息保存之后报错,提示invalid hostname,需要FQDN。
在配置网络的地方将主机名改为vcsa55.zhufeng.com,然后要重新生成SSL证书,并重启一下VCSA虚拟机。


7、
重启完VCSA虚拟机之后,再次添加域,发现还是失败。


8、
使用命令行添加域。登录VCSA虚拟机控制台,选择Login,输入用户名密码登录。
# cd
/opt/likewise/bin
# ./domainjoin-cli
setname vcsa55
# ./domainjoin-cli join
zhufeng.com
administrator  
这里zhufeng.com是AD域,administrator是域管理员。

最后看到success之后就是成功了,然后重启VCSA虚拟机。

如果有报错:Error
DNS_ERROR_BAD_PACKET,需要把VCSA的DNS设为AD域的IP。


9、VCSA重启完后,在域控08R2上查看,已经有一个vcsa55的计算机了,查看属性,操作系统为SLES11,即可以确认是刚添加的VCSA。


10、在web
client添加AD域的标识源。
用浏览器登录到web
client,https://192.168.216.200:9443
,注意要用administrator@vsphere.local
用户登录,这个帐户的密码就是SSO的密码,如果在VCSA初始化的时候选择了使用默认配置,那密码应该是vmware,如果初始化时候是自定义设置,应该会在配置SSO密码那里会要求修改的。

选择web
client左侧的“系统管理”->Single
Sign-On->配置->标识源,点绿色的加号。

标识源类型,选择Active Directory
作为LDAP服务器,名称自己填,用户基本DN,就是域名分开写,组的基本DN也一样,然后主服务器URL,就是AD默认的3268商品,最后就是填上域管理员的用户名和密码。点下面的测试连接,成功建立连接之后,确定即可。


11、给user01分配一个只读的权限。
使用vsphere
client连接到VCSA,root用户或vsphere.local均可,在权限选项卡里面点右键,选择“添加权限”,用户和组那里点添加,在弹出的对话框里,域选上刚添加的zhufeng.com,然后就可以看到用户里面有user01和user02了,选中user01点添加,并确定。然后在分配权限对话框里面,分配角色部分,选只读,就是配置这个user01的用户不能进行任何的操作,只具有只读权限。最后点确定。


12、测试user01用户。退出vsphere
client的root身份,并使用user01@zhufeng.com用户登录,在左边的树形列表最高层的VCSA上点右键,发现菜单里面新建文件夹、新建数据中心、重命名、移除这些都是灰色不可选的,这也就达到了将user01设为只读的测试目的。



总结:

这个实验整体来看还是比较容易做的,VCSA5.5的部署应该说是后面这几个版本里面最简单的了,直接双击ova就可以部署出一个虚拟机了,简单方便。VCSA6.0则需要一个windows的机器安装一个插件,它必须要通过这个插件,将VCSA的虚拟机直接部署到ESXi主机上去。而VCSA6.5则省去了安装插件这个过程,它是直接将VCSA虚拟机直接部署到ESXi主机上。从测试的角度来讲,6.0和6.5的部署毫无疑问是非常不方便的,但从生产环境的部署来看,这又是一种很合理的方式。

而针对VCSA本身来说,传统上的理解就是它会比windows版的vcenter省一个windows的系统授权,但从实际的整个VC的架构来看,个人觉得VCSA其实是更好的,先不说linux相对于windows公认的更稳定,在windows版vcenter第一次部署完成之后,如果后续再要有涉及到修改IP,重新加域,修改密码这些需求,那需要做的操作会非常多非常繁琐,甚至管理员会直接选择重新安装一套vcenter,而VCSA就没有这些问题了,从上面的步骤来看,先后加域也好,修改IP也好,修改主机名也好,这些操作都非常简单,最多就是把VCSA重启一下的事情。

所以说针对vcenter这个产品来说,我认为从发布之初,就不应该发布windows版的,这样倒省去了很多事。至于很多人提到的,windows版的vcenter安装组件简单之类,确实是优点,但是从生产环境的稳定性角度来看,无疑VCSA是最佳选择。这样来看的话,后续VCSA的使用率应该会逐渐上升,就像vsphere
client和web client一样,这样类比可能不太恰当,毕竟,web
client真的非常的难用,这个锅可能要flash来背了,6.5的web
client据说是开始支持html5了,实际使用感受如何,就留到以后用过了再写吧。

vSphere VCSA5.5加入AD域环境问题记录的更多相关文章

  1. 安装部署VMware vSphere 5.5文档 (6-3) 安装配置AD域控制器

    部署VMware vSphere 5.5 实施文档 ########################################################################## ...

  2. 实验记录贴 —— 账号同步实验 RTX 和 LDAP(AD域)

    目前,公司有多个系统,RTX,邮箱(MD),OA,NC. 这些系统之间,如果要实现单点登录的话,账户肯定需要同步,或者某一种映射机制. 如果所有数据都和中央账号数据库(LDAP,这里是AD域)看齐,那 ...

  3. freeradius整合AD域作anyconncet认证服务器

    一.服务器要求 Radius服务器:centos6.6.hostname.selinux  disabled.stop iptables AD域服务器:Windows Server 2008 R2 E ...

  4. 如何查看/统计当前AD域控制器的活动用户?

    最近公司想知道某台AD域控制器上当前连接了多少活动用户? 此前个人只知道以下不是非常完善且统计起来比较麻烦的方法: 方法1:查看共享会话数.(不完全准确) 方法2:查看当前的DNS记录.(这种方法统计 ...

  5. 解决服务器SID引起虚拟机不能加入AD域用户,无法远程登录的问题

    最近在公司搭建AD域控制器,发现无法在计算机真正添加域用户,也就是添加的用户虽然可以在本地登录,但是无法远程登录,尝试多种方法都无法解决,而最终原因居然是虚拟机导致的服务器的SID冲突.本文记录下该问 ...

  6. AD域的安装

    AD域的安装 初始化设置,改计算机名字dcserver,改静态ip,改dns指向自己. dcpromo,执行后自动装了dns.   装完后检查 1,本地用户没了 2,dns指向自己 3,dns记录是否 ...

  7. Windows 的 AD 域寄生于 Linux 机器

    导读 对于帐户统一管理系统或软件来说,在 Linux 下你可能知道 NIS.OpenLDAP.samba 或者是 RedHat.IBM 的产品,在 Windows 下当然就是最出名的活动目录 (AD) ...

  8. Windows AD域升级方

    前面的博客中我谈到了网络的基本概念和网络参考模型,今天我们来谈企业中常用的技术,Windows AD 域,今天我的笔记将重点讲解Windows AD 域的升级和迁移方法,通过3个小实验进行配置,真实环 ...

  9. Windows Server 2012 R2 创建AD域

        前言 我们按照下图来创建第一个林中的第一个域.创建方法为先安装一台Windows服务器,然后将其升级为域控制器.然后创建第二台域控制器,一台成员服务器与一台加入域的Win8计算机. 环境 网络 ...

随机推荐

  1. spring boot多数据源配置示例

    1. application.properties #\u4E3B\u5E93\u914D\u7F6E spring.datasource.primary.url=jdbc:mysql://mysql ...

  2. SAS小记

    2011年8月13日 最近一直在跟着李东风的<统计软件教程>学习SAS,刚刚学完初等统计,感觉还没入门,找不到matlab编程时那种手顺的感觉.继续学习吧,加油!     最近用spss处 ...

  3. sql server 去掉某字段左边的0

    比如:将以下Code字段 Code 000 001 002 ... 009 010 依次去掉左边的0,000替换为0,001替换为1,010替换为10,以此类推 Code 0 1 2 ... 9 10 ...

  4. Microsoft Edge 针对 Web 开发人员更新日志

    Windows 10 build16215 之 Edge 新功能 新功能: 增加了对高级事件监听器的支持(“once”和“passive”)via 增加了对CSS object-fit/object- ...

  5. (转载) Android开发mac /dev/kvm is not found

    Android开发mac /dev/kvm is not found 标签: KVMAndroid开发KVM is not found芒果Android芒果iOS 2016-10-29 16:31 2 ...

  6. 【原创】Apache服务器500错误失去响应的问题解决

    某生产网站部署在Apache上,使用tomcat集群,偶尔网站失去响应,查看首页发现无法打开,页面假死,出现过多次,查看apache的日志,发现经常出现以下提示: [Fri Dec :: ] [war ...

  7. 微信小程序------开发测试

    一.注册小程序 注:微信小程序注册的邮箱不能被其他微信公众平台注册,未被微信开放平台注册,未被给人微信号绑定的微信号. 二.注册完小程序后,下载开发者工具 开发者工具的使用: 1.打开开发者工具:用已 ...

  8. selenium自动化(一).........................................搭建环境

    一  环境搭建 安装python(建议使用py3) py2和py3在语法上会有一定的差别 第三方插件逐步转向py3,很多py2的插件已经停止维护 本教程的所有代码基于py3 安装selenium插件 ...

  9. CSS常用样式--font

    CSS font 属性 参考:W3school- CSS font 所有浏览器都支持 font 属性,可在一个声明中设置所有字体属性,各属性需按顺序,语法如下: selector{ font:styl ...

  10. list 分页

    package com.jsz.peini.common.util; import java.util.ArrayList; import java.util.List; public class S ...