esxiをActiveDirectoryドメインに参加させた場合、認証先のDC)をどのように選択しますか?
私はvSphereと大規模なインストールに精通していますが、無料の製品にはまったく精通していません。
トポロジと構成
ESXiを使用し、仮想化ホストとしてDC常駐するブランチオフィスがいくつかあります。これは、アクセスできる唯一のローカルDCです。
さらに複雑にするために、これらのリモートオフィスはハブアンドスポーク構成の「スポーク」です。スポークは(ルーティングの欠如により)別のスポークと話すことはできず、各スポークにはRODCがあります。
質問
管理を容易にするために、これらのホストをドメインに追加することを検討していますが、「ローカル管理者」機能が失われるかどうか、またはDCが利用できない場合はどうなるか)はわかりません。
そうは言っても、ADドメインを構成するためのエントリが表示されます。 esxiでDCがどのように選択されるか、またはフォールトトレランスがどのように機能するかは明確ではありません。
次のシナリオでesxiをADに接続することの影響について考えるのに役立つ、私より賢い人を探しています。
- ESXIはVM、つまりDCでハングしています(1/100 DCが失敗しました)
- ESXIがハブ内のサーバーにアクセスできません(99/100 DCに障害が発生しました)
- スポークに到達できない通常のアクセス(80/100に到達できない、失敗したように見える場合があります)
これらのシナリオは興味深いと思います。ESXIがADDomain.comのすべてのNS、LDAPをホストするすべてのドメインコントローラーに等しい)のリストを取得する可能性があるからです。*
*脚注:ESXIはLDAPを使用していると思いますが、よくわかりません
ボトムライン
スポークのesxiをこの構成のドメインに接続する必要がありますか?
DCが利用できない場合、ローカルアクセスは失われますか?
ESXi(他のシステムと同様)は常にローカル認証(つまり、ローカルrootユーザーと作成したローカルユーザーアカウント)を許可します他の認証方法が利用できない場合。ローカル資格情報を持っている場合は、vCenter、AD、またはその他のものが利用できない場合でも、ESXiサーバーにいつでもログインできます。
ドキュメンテーション:
ESXi AD統合に関する私の経験(実際には同様)は、不安定になる可能性があることです。小さくて単純なトポロジではおそらく問題ありませんが、より複雑で分散したトポロジでは失敗する可能性があります。いずれの場合も、ESXiで問題が発生している場合、Vanillaコンピューターは同じ接続またはネットワークセグメントを使用してADに参加または認証できます。
最善の策は、Likelyコンポーネントのロギングを有効にすることです。そうしないと、問題が発生したときにどこにも行きません。そして、UIを介してこれを行うことはできません。CLIを取得してください。
ESXi/ESXで同様のエージェントのロギングを有効にする(1026554)
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1026554
「方法」についてshould Windowsクライアントとまったく同じように実行し、DCロケータープロセスに従います。そうではないか、逸脱していると思われます。何らかの方法で。
ドメインコントローラーの場所のプロセス
http://technet.Microsoft.com/en-us/library/cc978011.aspx
ESX(i)AD統合に関する注意事項:
私が(ESXi 5.0で)発見したのは、ESXiホストをドメイン(GUI)に参加させるときに、同様のエージェント(ホスト上)を介したプロセスが、参加時に信頼できるドメインとドメインコントローラーを列挙し、/にファイルを入力することです。 etc/likewise /krb5-affinity.confと各子/ドメインおよび関連するDC。
このプロセスでは、その単一の時点でのみドメインを列挙しているようです。ファイルを調べたところ、廃止または交換された古いDC IPがまだリストに残っているため、リストされたDCが自動的に更新されることはありませんでした。