vSphere
VCSA5.5加入AD域环境问题记录

实验目的:
搭建一套vSphere
VCSA5.5,并加入新搭建的AD域,并使用一个域用户登录VC,赋予对VC的只读权限。

实验环境:

使用VMWare
Workstation创建两台虚拟机,一台Win2008R2,新建AD域控,域名zhufeng.com,虚拟网卡使用NAT方式,分配静态IP:192.168.216.199。创建两个域用户user01和user02。
另一台部署VCSA,使用VMware-vCenter-Server-Appliance-5.5.0.30500-4180648_OVF10(U03e).ova来部署,虚拟网卡同样使用NAT方式,分配静态IP:192.168.216.200,主机名为vcsa55。


一、
搭建全新域控并创建两个域用户。

1、 安装一个全新的win server
2008R2。

2、
开始菜单运行dcpromo,开始创建新的域控环境。具体创建域控步骤可以参考这篇文章:https://jingyan.baidu.com/article/ab69b270a3b9222ca7189f2b.html

3、
取消密码复杂度策略。

服务器管理器->功能->组策略管理->林:zhufeng.com->Default
Domain
Policy右边的“设置选项卡”,点“全部显示”,然后在“计算机配置(已启用)”的黄色背景条上点右键,选择“编辑”,会弹出域的组策略管理编辑器。选择计算机配置->策略->Windows设置->安全设置->帐户策略->密码策略,把”密码必须符合复杂性要求“改为已禁用,”密码长度最小值“从7改为1。

然后开始菜单运行cmd,使用命令:gpupdate /force
使组策略马上生效。

需要说明的是,取消密码复杂度是方便我们做测试,因为在下面创建两个用户user01/user02,我们想把密码设为跟用户名一样,所以需要把密码复杂度的强制要求取消掉。而在生产环境,出于安全考虑,不要取消密码复杂度策略。


4、 创建两个域用户。
在服务器管理器->角色->Active Directory域服务->Active
Directory用户和计算机->zhufeng.com->Users上点右键,选择“新建->用户“。


5、
修改user01和user02的用户组。之所以要修改新创建的user01和user02的组,是因为默认策略下,新建的用户的默认组Domain
Users是无法直接登录系统,登录时会提示”您无法登录,因为您使用的登录方法在此计算机上不被允许。请咨询网络管理员了解详细信息“。

在刚创建用户的地方,即Users目录下,右边找到user01和user02,选择一个用户并右键选择属性,在属性对话框中选择“隶属于“选项卡,点”添加“,在选择组对话框里,选中Domain
Admins组并确定,这样user01就会隶属于Domain
Admins组了。对user02作同样的操作。添加了组之后,尝试使用user01或02登录系统,应该可以正常登录了。


二、
将VCSA5.5和AD域集成。
1、
从VMware-vCenter-Server-Appliance-5.5.0.30500-4180648_OVF10(U03e).ova部署出一台VCSA的虚拟机,将虚拟网卡改为NAT方式并开机。

2、
开机后默认应该会分配到一个IP,如下图,使用浏览器按提示的网址开始进行VCSA初始化配置。VCSA5.5的默认口令是root/vmware。

3、
具体的VCSA5.5和AD集成的配置,可以参考此文档:https://wenku.baidu.com/view/3535335d7375a417866f8f71.html。下面的步骤将针对我配置过程中遇到的问题进行记录。

4、
修改VCSA的IP地址。

在网页的配置界面,选择Network->Address,将eth0的IPv4 Address
Type从DHCP改成static,并按如下修改,将主机名也修改了。按右边的Save
Settings按钮。因为改了IP,所以配置网页的地址也要用新IP重新打开。如果出现打不开的情况,直接到虚拟机里面把VCSA的虚拟机重启一下。


5、
重新生成SSL证书。因为修改了主机名,所以需要把SSL证书重新生成,不然登录的时候会把SSL错误。上一步重启了VCSA虚拟机之后,重新进入网页的配置界面,点Admin,把下方的Certifacate
regeneration
enabled由No选成Yes,并点击Submit,之后再重启VCSA虚拟机,注意观察虚拟机启动打印的日志信息,应该能看到certificate在重新生成,也会重新注册lookup
service。


6、
添加AD域。在VCSA的配置网页,选择vCenter Server ->
Authentication,输入域信息保存之后报错,提示invalid hostname,需要FQDN。
在配置网络的地方将主机名改为vcsa55.zhufeng.com,然后要重新生成SSL证书,并重启一下VCSA虚拟机。


7、
重启完VCSA虚拟机之后,再次添加域,发现还是失败。


8、
使用命令行添加域。登录VCSA虚拟机控制台,选择Login,输入用户名密码登录。
# cd
/opt/likewise/bin
# ./domainjoin-cli
setname vcsa55
# ./domainjoin-cli join
zhufeng.com
administrator  
这里zhufeng.com是AD域,administrator是域管理员。

最后看到success之后就是成功了,然后重启VCSA虚拟机。

如果有报错:Error
DNS_ERROR_BAD_PACKET,需要把VCSA的DNS设为AD域的IP。


9、VCSA重启完后,在域控08R2上查看,已经有一个vcsa55的计算机了,查看属性,操作系统为SLES11,即可以确认是刚添加的VCSA。


10、在web
client添加AD域的标识源。
用浏览器登录到web
client,https://192.168.216.200:9443
,注意要用administrator@vsphere.local
用户登录,这个帐户的密码就是SSO的密码,如果在VCSA初始化的时候选择了使用默认配置,那密码应该是vmware,如果初始化时候是自定义设置,应该会在配置SSO密码那里会要求修改的。

选择web
client左侧的“系统管理”->Single
Sign-On->配置->标识源,点绿色的加号。

标识源类型,选择Active Directory
作为LDAP服务器,名称自己填,用户基本DN,就是域名分开写,组的基本DN也一样,然后主服务器URL,就是AD默认的3268商品,最后就是填上域管理员的用户名和密码。点下面的测试连接,成功建立连接之后,确定即可。


11、给user01分配一个只读的权限。
使用vsphere
client连接到VCSA,root用户或vsphere.local均可,在权限选项卡里面点右键,选择“添加权限”,用户和组那里点添加,在弹出的对话框里,域选上刚添加的zhufeng.com,然后就可以看到用户里面有user01和user02了,选中user01点添加,并确定。然后在分配权限对话框里面,分配角色部分,选只读,就是配置这个user01的用户不能进行任何的操作,只具有只读权限。最后点确定。


12、测试user01用户。退出vsphere
client的root身份,并使用user01@zhufeng.com用户登录,在左边的树形列表最高层的VCSA上点右键,发现菜单里面新建文件夹、新建数据中心、重命名、移除这些都是灰色不可选的,这也就达到了将user01设为只读的测试目的。



总结:

这个实验整体来看还是比较容易做的,VCSA5.5的部署应该说是后面这几个版本里面最简单的了,直接双击ova就可以部署出一个虚拟机了,简单方便。VCSA6.0则需要一个windows的机器安装一个插件,它必须要通过这个插件,将VCSA的虚拟机直接部署到ESXi主机上去。而VCSA6.5则省去了安装插件这个过程,它是直接将VCSA虚拟机直接部署到ESXi主机上。从测试的角度来讲,6.0和6.5的部署毫无疑问是非常不方便的,但从生产环境的部署来看,这又是一种很合理的方式。

而针对VCSA本身来说,传统上的理解就是它会比windows版的vcenter省一个windows的系统授权,但从实际的整个VC的架构来看,个人觉得VCSA其实是更好的,先不说linux相对于windows公认的更稳定,在windows版vcenter第一次部署完成之后,如果后续再要有涉及到修改IP,重新加域,修改密码这些需求,那需要做的操作会非常多非常繁琐,甚至管理员会直接选择重新安装一套vcenter,而VCSA就没有这些问题了,从上面的步骤来看,先后加域也好,修改IP也好,修改主机名也好,这些操作都非常简单,最多就是把VCSA重启一下的事情。

所以说针对vcenter这个产品来说,我认为从发布之初,就不应该发布windows版的,这样倒省去了很多事。至于很多人提到的,windows版的vcenter安装组件简单之类,确实是优点,但是从生产环境的稳定性角度来看,无疑VCSA是最佳选择。这样来看的话,后续VCSA的使用率应该会逐渐上升,就像vsphere
client和web client一样,这样类比可能不太恰当,毕竟,web
client真的非常的难用,这个锅可能要flash来背了,6.5的web
client据说是开始支持html5了,实际使用感受如何,就留到以后用过了再写吧。

vSphere VCSA5.5加入AD域环境问题记录的更多相关文章

  1. 安装部署VMware vSphere 5.5文档 (6-3) 安装配置AD域控制器

    部署VMware vSphere 5.5 实施文档 ########################################################################## ...

  2. 实验记录贴 —— 账号同步实验 RTX 和 LDAP(AD域)

    目前,公司有多个系统,RTX,邮箱(MD),OA,NC. 这些系统之间,如果要实现单点登录的话,账户肯定需要同步,或者某一种映射机制. 如果所有数据都和中央账号数据库(LDAP,这里是AD域)看齐,那 ...

  3. freeradius整合AD域作anyconncet认证服务器

    一.服务器要求 Radius服务器:centos6.6.hostname.selinux  disabled.stop iptables AD域服务器:Windows Server 2008 R2 E ...

  4. 如何查看/统计当前AD域控制器的活动用户?

    最近公司想知道某台AD域控制器上当前连接了多少活动用户? 此前个人只知道以下不是非常完善且统计起来比较麻烦的方法: 方法1:查看共享会话数.(不完全准确) 方法2:查看当前的DNS记录.(这种方法统计 ...

  5. 解决服务器SID引起虚拟机不能加入AD域用户,无法远程登录的问题

    最近在公司搭建AD域控制器,发现无法在计算机真正添加域用户,也就是添加的用户虽然可以在本地登录,但是无法远程登录,尝试多种方法都无法解决,而最终原因居然是虚拟机导致的服务器的SID冲突.本文记录下该问 ...

  6. AD域的安装

    AD域的安装 初始化设置,改计算机名字dcserver,改静态ip,改dns指向自己. dcpromo,执行后自动装了dns.   装完后检查 1,本地用户没了 2,dns指向自己 3,dns记录是否 ...

  7. Windows 的 AD 域寄生于 Linux 机器

    导读 对于帐户统一管理系统或软件来说,在 Linux 下你可能知道 NIS.OpenLDAP.samba 或者是 RedHat.IBM 的产品,在 Windows 下当然就是最出名的活动目录 (AD) ...

  8. Windows AD域升级方

    前面的博客中我谈到了网络的基本概念和网络参考模型,今天我们来谈企业中常用的技术,Windows AD 域,今天我的笔记将重点讲解Windows AD 域的升级和迁移方法,通过3个小实验进行配置,真实环 ...

  9. Windows Server 2012 R2 创建AD域

        前言 我们按照下图来创建第一个林中的第一个域.创建方法为先安装一台Windows服务器,然后将其升级为域控制器.然后创建第二台域控制器,一台成员服务器与一台加入域的Win8计算机. 环境 网络 ...

随机推荐

  1. C# 导出excel的压缩包到浏览器页面

    需求背景:TCX_1710项目产品质量导出功能,客户希望每个总成导出到一个Excel表中 实现分析:客户选择时间段,点击导出按钮,默认导出开始时间当天的数据,每个总成一个Excel,将各个Excel打 ...

  2. 马云谈AI:未来10-15年传统制造业的痛苦将远超今天的想象

    马云谈AI:未来10-15年传统制造业的痛苦将远超今天的想象 “未来10到15年,传统制造业面临的痛苦将会远远超过今天的想象,企业如果不能从规模化.标准化向个性化和智慧化转型,将很难生存下去.” 9月 ...

  3. Day92

    # session:用于保存客户端历史访问的信息# BeautifulSoup是一个模块,该模块用于接收一个HTML或XML字符串,然后将其进行格式化,# 之后遍可以使用他提供的方法进行快速查找指定元 ...

  4. json对象获取长度以及字符串和json对象的转换

    var arr = Object.keys(typeARR); var str = ''; var len = arr.length; for(var i = 0;i<len;i++){ str ...

  5. C# treeview绑定

    protected void Page_Load(object sender, EventArgs e)        {            if (!IsPostBack)            ...

  6. 洛谷3627 [APIO2009]抢掠计划

    题目描述 输入格式: 第一行包含两个整数 N.M.N 表示路口的个数,M 表示道路条数.接下来 M 行,每行两个整数,这两个整数都在 1 到 N 之间,第 i+1 行的两个整数表示第 i 条道路的起点 ...

  7. CF939F Cutlet (单调队列优化DP)

    题目大意:要煎一块有两个面的肉,只能在一段k不相交的时间段$[l_{i},r_{i}]$内翻转,求$2*n$秒后,保证两个面煎的时间一样长时,需要最少的翻转次数,$n<=100000$,$k&l ...

  8. 《virtual san 最佳实践》节选 Virtual SAN的发展与现状

    Virtual SAN的发展与现状Virtual SAN已经迭代更新到第四代,即Virtual SAN 6.2.通过三次主版本迭代,Virtual SAN已经成为一款非常成熟的软件定义存储软件.在此, ...

  9. System.IO.IsolatedStorage 使用 IsolatedStorageFileStream 存储信息

    在C#中还有一种叫做IsolatedStorage的存储机制,他存储信息的方式类似于我们的cookie, IsolatedStorage存储独立于每一个application,换句话说我们加载多个应用 ...

  10. JDK的安装及配置环境变量

    开发java程序的必备工具:JDK,全名是Java Development Kit, 是Java语言的软件开发工具包. 第一步:下载安装包 从Oracle官网可以选择自己所需的版本下载,(附Oracl ...