Ingressar um host ESXi ao Active Directory

Objetivo

 

Aqui falaremos rapidamente sobre como ingressar um host VMWare ESXi ao domínio Active Directory para evitar o a autenticação no ESXi com usuários locais, pois isso não é recomendado pela VMWare.

Para ingressar corretamente é importante que alguns itens esteja corretamente configurados, tais como: a rede (com os DNS e o nome com sufixo), sincronizando horário através de um NTP, que exista o ponteiro DNS criado no servidor, vamos abordar tudo aqui.

Esses procedimentos foram baseados nos links disponibilizados nas referências, abaixo.

Passos/Condutas

 

Falaremos sobre a execução de determinada configuração em alguma ferramenta de administração do ESXi, vamos explicar aqui quais são as ferramentas de administração de um host ESXi:

  • DCUI – É a interface acessada pela console local, uma interface simples com algumas poucas ferramentas;
  • vSphere Client – É a interface de acesso, é acessado via web pelo endereço https://IP_DO_SERVIDOR/ui;
  • vSphere Client for Windows – É o cliente instalado no windows, apesar de ser possível usar esta ferramenta para administrar um host ESXi, não abordaremos esta ferramenta aqui e como ela não é mais usada para administrar o ambiente vCenter recomendamos que se evite o uso dela;
  • vSphere Shell – É um shell linux que pode ser acessado por console (saindo da DCUI) ou SSH, não abordaremos esta ferramenta aqui.

Execução dos Requisitos

 

  • Libere no firewall o acesso às seguintes portas do host ESXi (UDP e TCP):
  1. 53 (DNS);
  2. 88 (Kerberos authentication);
  3. 123 (NTP);
  4. 135 (RPC);
  5. 137 (NetBIOS Name Service);
  6. 139 (SMB);
  7. 389 (LDAP);
  8. 445 (SMB over TCP);
  9. 464 (Kerberos);
  10. 3268 (Global Catalog search).
  • No seu servidor DNS, crie um registro host (A) e um registro PTR no domínio AD com o nome do host ESXi;Pelo vSphere Client, habilite as regras de firewall para permitir acesso ao Active Directory, para isso vá em Networking > Firewall rules > clique com o botão direito sobre a regra Active Directory All e escolha Enable.
    Pelo vSphere Client, para configurar para utilizar o DNS vá na opção Networking > TCP/IP stacks > Default TCP/IP stacks > Edit settings , configure o Host name (neste caso apenas o nome do host), o Domain name (com o nome DNS do domínio), o Primary DNS server, o Secondary DNS server (se houver um secundário), o Search domains (com o nome DNS do domínio) e o gateway. Em seguida clique em Save;
  • No AD, crie um grupo chamado ESX Admins (o ESXi irá procurar este grupo por padrão, se quiser alterar o nome desse grupo, vá primeiro no host ESXi pelo vSphere Client, acesse Manage > Advanced Settings > altere o nome do grupo na variável Config.HostAgent.plugins.hostsvc.esxAdminsGroup). Adicione como membro (do grupo criado) os usuários que poderão fazer logon no host ESXi;
  • Pelo vSphere Client, configure o NTP em Manage > System > Time & date > Edit settings > altere o NTP service startup policy para Start and stop with host, em NTP servers coloque o(s) servidor(es) NTP e clique em Save. Ainda na tela Time & date, clique em Actions > NTP service e selecione start ou restart.

Ingressando ao Domínio

 

  • Pelo vSphere Client, vá em Manage > Security & users > Authentication > Join domain > coloque o domínio e as credenciais com acesso a ingressar neste domínio e clique em Join domain.

Fontes/Referências

 

https://www.altaro.com/vmware/how-to-join-esxi-to-active-directory-for-improved-management-and-security/
https://www.jonathanneilly.co.uk/2017/02/13/join-esxi-6-5-host-to-active-directory-domain/

Mais Informações

 

Esperamos ter ajudado da melhor forma possível e estaremos sempre a disposição para mais informações.

Entre em contato conosco pelo e-mail equipe@nvlan.com.br.