Veja como ingressar um host VMWare ESXi ao domínio Active Directory para evitar o a autenticação no ESXi com usuários locais, pois isso não é recomendado pela VMWare.
Para ingressar corretamente é importante que alguns itens esteja corretamente configurados, tais como: a rede (com os DNS e o nome com sufixo), sincronizando horário através de um NTP, que exista o ponteiro DNS criado no servidor, vamos abordar tudo aqui.
Esses procedimentos foram baseados nos links disponibilizados nas referências, abaixo.
Falaremos sobre a execução de determinada configuração em alguma ferramenta de administração do ESXi, vamos explicar aqui quais são as ferramentas de administração de um host ESXi:
- DCUI – É a interface acessada pela console local, uma interface simples com algumas poucas ferramentas;
- vSphere Client – É a interface de acesso, é acessado via web pelo endereço https://IP_DO_SERVIDOR/ui;
- vSphere Client for Windows – É o cliente instalado no windows, apesar de ser possível usar esta ferramenta para administrar um host ESXi, não abordaremos esta ferramenta aqui e como ela não é mais usada para administrar o ambiente vCenter recomendamos que se evite o uso dela;
- vSphere Shell – É um shell linux que pode ser acessado por console (saindo da DCUI) ou SSH, não abordaremos esta ferramenta aqui.
Execução dos Requisitos
- Libere no firewall o acesso às seguintes portas do host ESXi (UDP e TCP):
- 53 (DNS);
- 88 (Kerberos authentication);
- 123 (NTP);
- 135 (RPC);
- 137 (NetBIOS Name Service);
- 139 (SMB);
- 389 (LDAP);
- 445 (SMB over TCP);
- 464 (Kerberos);
- 3268 (Global Catalog search).
- No seu servidor DNS, crie um registro host (A) e um registro PTR no domínio AD com o nome do host ESXi;Pelo vSphere Client, habilite as regras de firewall para permitir acesso ao Active Directory, para isso vá em Networking > Firewall rules > clique com o botão direito sobre a regra Active Directory All e escolha Enable.
Pelo vSphere Client, para configurar para utilizar o DNS vá na opção Networking > TCP/IP stacks > Default TCP/IP stacks > Edit settings , configure o Host name (neste caso apenas o nome do host), o Domain name (com o nome DNS do domínio), o Primary DNS server, o Secondary DNS server (se houver um secundário), o Search domains (com o nome DNS do domínio) e o gateway. Em seguida clique em Save; - No AD, crie um grupo chamado ESX Admins (o ESXi irá procurar este grupo por padrão, se quiser alterar o nome desse grupo, vá primeiro no host ESXi pelo vSphere Client, acesse Manage > Advanced Settings > altere o nome do grupo na variável Config.HostAgent.plugins.hostsvc.esxAdminsGroup). Adicione como membro (do grupo criado) os usuários que poderão fazer logon no host ESXi;
- Pelo vSphere Client, configure o NTP em Manage > System > Time & date > Edit settings > altere o NTP service startup policy para Start and stop with host, em NTP servers coloque o(s) servidor(es) NTP e clique em Save. Ainda na tela Time & date, clique em Actions > NTP service e selecione start ou restart.
Ingressando ao Domínio
- Pelo vSphere Client, vá em Manage > Security & users > Authentication > Join domain > coloque o domínio e as credenciais com acesso a ingressar neste domínio e clique em Join domain.
Fontes/Referências
https://www.altaro.com/vmware/how-to-join-esxi-to-active-directory-for-improved-management-and-security/
https://www.jonathanneilly.co.uk/2017/02/13/join-esxi-6-5-host-to-active-directory-domain/
Mais Informações
Esperamos ter ajudado da melhor forma possível e estaremos sempre a disposição para mais informações.
Entre em contato conosco pelo e-mail equipe@nvlan.com.br.