vSphere VCSA5.5加入AD域环境问题记录
vSphere
VCSA5.5加入AD域环境问题记录
实验目的:
搭建一套vSphere
VCSA5.5,并加入新搭建的AD域,并使用一个域用户登录VC,赋予对VC的只读权限。
实验环境:
使用VMWare
Workstation创建两台虚拟机,一台Win2008R2,新建AD域控,域名zhufeng.com,虚拟网卡使用NAT方式,分配静态IP:192.168.216.199。创建两个域用户user01和user02。
另一台部署VCSA,使用VMware-vCenter-Server-Appliance-5.5.0.30500-4180648_OVF10(U03e).ova来部署,虚拟网卡同样使用NAT方式,分配静态IP:192.168.216.200,主机名为vcsa55。
一、
搭建全新域控并创建两个域用户。
1、 安装一个全新的win server
2008R2。
2、
开始菜单运行dcpromo,开始创建新的域控环境。具体创建域控步骤可以参考这篇文章:https://jingyan.baidu.com/article/ab69b270a3b9222ca7189f2b.html 。
3、
取消密码复杂度策略。
服务器管理器->功能->组策略管理->林:zhufeng.com->Default
Domain
Policy右边的“设置选项卡”,点“全部显示”,然后在“计算机配置(已启用)”的黄色背景条上点右键,选择“编辑”,会弹出域的组策略管理编辑器。选择计算机配置->策略->Windows设置->安全设置->帐户策略->密码策略,把”密码必须符合复杂性要求“改为已禁用,”密码长度最小值“从7改为1。
然后开始菜单运行cmd,使用命令:gpupdate /force
使组策略马上生效。
需要说明的是,取消密码复杂度是方便我们做测试,因为在下面创建两个用户user01/user02,我们想把密码设为跟用户名一样,所以需要把密码复杂度的强制要求取消掉。而在生产环境,出于安全考虑,不要取消密码复杂度策略。
4、 创建两个域用户。
在服务器管理器->角色->Active Directory域服务->Active
Directory用户和计算机->zhufeng.com->Users上点右键,选择“新建->用户“。
5、
修改user01和user02的用户组。之所以要修改新创建的user01和user02的组,是因为默认策略下,新建的用户的默认组Domain
Users是无法直接登录系统,登录时会提示”您无法登录,因为您使用的登录方法在此计算机上不被允许。请咨询网络管理员了解详细信息“。
在刚创建用户的地方,即Users目录下,右边找到user01和user02,选择一个用户并右键选择属性,在属性对话框中选择“隶属于“选项卡,点”添加“,在选择组对话框里,选中Domain
Admins组并确定,这样user01就会隶属于Domain
Admins组了。对user02作同样的操作。添加了组之后,尝试使用user01或02登录系统,应该可以正常登录了。
二、
将VCSA5.5和AD域集成。
1、
从VMware-vCenter-Server-Appliance-5.5.0.30500-4180648_OVF10(U03e).ova部署出一台VCSA的虚拟机,将虚拟网卡改为NAT方式并开机。
2、
开机后默认应该会分配到一个IP,如下图,使用浏览器按提示的网址开始进行VCSA初始化配置。VCSA5.5的默认口令是root/vmware。
3、
具体的VCSA5.5和AD集成的配置,可以参考此文档:https://wenku.baidu.com/view/3535335d7375a417866f8f71.html 。下面的步骤将针对我配置过程中遇到的问题进行记录。
4、
修改VCSA的IP地址。
在网页的配置界面,选择Network->Address,将eth0的IPv4 Address
Type从DHCP改成static,并按如下修改,将主机名也修改了。按右边的Save
Settings按钮。因为改了IP,所以配置网页的地址也要用新IP重新打开。如果出现打不开的情况,直接到虚拟机里面把VCSA的虚拟机重启一下。
5、
重新生成SSL证书。因为修改了主机名,所以需要把SSL证书重新生成,不然登录的时候会把SSL错误。上一步重启了VCSA虚拟机之后,重新进入网页的配置界面,点Admin,把下方的Certifacate
regeneration
enabled由No选成Yes,并点击Submit,之后再重启VCSA虚拟机,注意观察虚拟机启动打印的日志信息,应该能看到certificate在重新生成,也会重新注册lookup
service。
6、
添加AD域。在VCSA的配置网页,选择vCenter Server ->
Authentication,输入域信息保存之后报错,提示invalid hostname,需要FQDN。
在配置网络的地方将主机名改为vcsa55.zhufeng.com,然后要重新生成SSL证书,并重启一下VCSA虚拟机。
7、
重启完VCSA虚拟机之后,再次添加域,发现还是失败。
8、
使用命令行添加域。登录VCSA虚拟机控制台,选择Login,输入用户名密码登录。
# cd
/opt/likewise/bin
# ./domainjoin-cli
setname vcsa55
# ./domainjoin-cli join
zhufeng.com
administrator
这里zhufeng.com是AD域,administrator是域管理员。
最后看到success之后就是成功了,然后重启VCSA虚拟机。
如果有报错:Error
DNS_ERROR_BAD_PACKET,需要把VCSA的DNS设为AD域的IP。
9、VCSA重启完后,在域控08R2上查看,已经有一个vcsa55的计算机了,查看属性,操作系统为SLES11,即可以确认是刚添加的VCSA。
10、在web
client添加AD域的标识源。
用浏览器登录到web
client,https://192.168.216.200:9443
,注意要用administrator@vsphere.local
用户登录,这个帐户的密码就是SSO的密码,如果在VCSA初始化的时候选择了使用默认配置,那密码应该是vmware,如果初始化时候是自定义设置,应该会在配置SSO密码那里会要求修改的。
选择web
client左侧的“系统管理”->Single
Sign-On->配置->标识源,点绿色的加号。
标识源类型,选择Active Directory
作为LDAP服务器,名称自己填,用户基本DN,就是域名分开写,组的基本DN也一样,然后主服务器URL,就是AD默认的3268商品,最后就是填上域管理员的用户名和密码。点下面的测试连接,成功建立连接之后,确定即可。
11、给user01分配一个只读的权限。
使用vsphere
client连接到VCSA,root用户或vsphere.local均可,在权限选项卡里面点右键,选择“添加权限”,用户和组那里点添加,在弹出的对话框里,域选上刚添加的zhufeng.com,然后就可以看到用户里面有user01和user02了,选中user01点添加,并确定。然后在分配权限对话框里面,分配角色部分,选只读,就是配置这个user01的用户不能进行任何的操作,只具有只读权限。最后点确定。
12、测试user01用户。退出vsphere
client的root身份,并使用user01@zhufeng.com用户登录,在左边的树形列表最高层的VCSA上点右键,发现菜单里面新建文件夹、新建数据中心、重命名、移除这些都是灰色不可选的,这也就达到了将user01设为只读的测试目的。
总结:
这个实验整体来看还是比较容易做的,VCSA5.5的部署应该说是后面这几个版本里面最简单的了,直接双击ova就可以部署出一个虚拟机了,简单方便。VCSA6.0则需要一个windows的机器安装一个插件,它必须要通过这个插件,将VCSA的虚拟机直接部署到ESXi主机上去。而VCSA6.5则省去了安装插件这个过程,它是直接将VCSA虚拟机直接部署到ESXi主机上。从测试的角度来讲,6.0和6.5的部署毫无疑问是非常不方便的,但从生产环境的部署来看,这又是一种很合理的方式。
而针对VCSA本身来说,传统上的理解就是它会比windows版的vcenter省一个windows的系统授权,但从实际的整个VC的架构来看,个人觉得VCSA其实是更好的,先不说linux相对于windows公认的更稳定,在windows版vcenter第一次部署完成之后,如果后续再要有涉及到修改IP,重新加域,修改密码这些需求,那需要做的操作会非常多非常繁琐,甚至管理员会直接选择重新安装一套vcenter,而VCSA就没有这些问题了,从上面的步骤来看,先后加域也好,修改IP也好,修改主机名也好,这些操作都非常简单,最多就是把VCSA重启一下的事情。
所以说针对vcenter这个产品来说,我认为从发布之初,就不应该发布windows版的,这样倒省去了很多事。至于很多人提到的,windows版的vcenter安装组件简单之类,确实是优点,但是从生产环境的稳定性角度来看,无疑VCSA是最佳选择。这样来看的话,后续VCSA的使用率应该会逐渐上升,就像vsphere
client和web client一样,这样类比可能不太恰当,毕竟,web
client真的非常的难用,这个锅可能要flash来背了,6.5的web
client据说是开始支持html5了,实际使用感受如何,就留到以后用过了再写吧。