我对vSphere和大型安装熟悉,而且完全不熟悉免费产品。
拓扑和configuration
我们有一些使用ESXi的分支机构,并且有一个DC驻留在其上的虚拟主机。 这是他们可以访问的唯一的本地DC。
为了使事情更复杂,这些远程办公室是集线器和辐条configuration中的“辐条”。 没有发言可以与另一个发言谈话(通过缺乏路由),每个发言都有一个RODC。
题
为了使pipe理更容易,我正在考虑将这些主机添加到我们的域,但不确定是否会失去“本地pipe理”function,或者当DC不可用时会发生什么情况。
这就是说,我看到一个条目来configuration一个AD域。 目前还不清楚如何select区议会,或如何容错工作,如果在所有的西西。
我正在寻找比我更聪明的人来帮助我思考在以下情况下将esxi连接到AD的含义:
我认为这些场景很有趣,因为ESXI可能会得到ADDomain.com的每个NS的列表,这等于每个托pipeLDAP的域控制器。
*脚注:我假设ESXI正在使用LDAP ..但我不确定
底线
我应该将esxi连接到该configuration中的域吗?
如果没有DC,我会失去本地访问吗?
如果其他身份validation方法不可用,ESXi(就像任何其他系统一样)将始终允许本地身份validation(即本地root用户和您创build的任何本地用户帐户); 如果您拥有本地凭据,则即使vCenter,AD或其他任何不可用,您也始终可以login到ESXi服务器。
文档:
我在使用ESXi AD集成(实际上也是如此)方面的经验可能很糟糕。 对于小而简单的拓扑来说,这可能是好的,但是它可以用更复杂的分布式拓扑结构来解决。 对于我来说,在任何情况下,当ESXi出现问题时,一台vanilla计算机可以使用相同的连接或网段,与AD进行连接或validation。
最好的办法是启用类似组件的日志loggingfunction,否则当出现问题时你不会去任何地方。 而且你不能通过用户界面来做到这一点,得到CLI。
为ESXi / ESX上的同类代理启用日志logging(1026554)
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1026554
关于“如何” 应该做什么Windows客户端,并按照DC定位器进程。 我会怀疑它不是,或者以某种方式偏离。
域控制器定位过程
http://technet.microsoft.com/en-us/library/cc978011.aspx
有关ESX(i)AD集成的注意事项:
我发现的(在ESXi 5.0上)是将ESXi主机join域(GUI)时,通过类似代理(在主机上)枚举可信域和域控制器,并将文件填入/ etc / likewise / krb5-affinity.conf与每个子/域和关联的DC。
这个过程似乎只是在这个时间点列举这个域名。 检查文件表明,列出的数据中心从未自动更新,因为有许多旧的数据库知识产权已经停用或被replace,并仍在该列表中。