соединение esxi к активному домену каталога перестало работать из-за неправильных учетных данных даже при том, что учетные данные корректны
Хорошее эмпирическое правило состоит в том, чтобы рассмотреть ущерб, который мог потенциально быть нанесен, если бы сервер должен был быть поставлен под угрозу через сервис, который Вы открыли. Вы захотите рассмотреть два фактора для каждого устройства: уровень риска ("Как, вероятно, это быть поставлено под угрозу?" - эта мера должна пойти путем, как только сервис выставляется Интернету), и уровень уязвимости ("Сколько из потери это было бы, если бы эта система была поставлена под угрозу? Есть ли важные / конфиденциальные данные?").
Для систем высокого риска необходимо пытаться сохранять их чувствительность максимально низко. Это - причина, что Вы создаете демилитаризованную зону.
Идея демилитаризованной зоны состоит в том, чтобы изолировать рискованные системы, так, чтобы взломщик проник через дополнительный уровень безопасности (другой брандмауэр) для доступа к очень чувствительным системам. Вы будете, вероятно, нуждаться в некоторых соединениях между демилитаризованной зоной и внутренней сетью, но пытаться продвинуть данные, исходящие к демилитаризованной зоне вместо того, чтобы позволить соединения, входящие внутренней сети.
Есть несколько вещей, которые вы можете попробовать / проверить:
Вы создали группу глобальной безопасности в Active Directory с именем ESX Admins? ESXi использует эту группу, чтобы определить, кому разрешено входить на сервер. Добавьте пользователей в эту группу, чтобы предоставить им разрешения на вход.
Правильно ли установлены настройки времени и даты? Если разница между контроллером домена и сервером ESXi составляет более 5 минут, аутентификация учетных записей невозможна.
Был ли сервер ESXi добавлен к DNS-серверу? Вам необходимо настроить запись A в зоне прямого просмотра и зоне обратного просмотра, чтобы можно было разрешить имя хоста ESXi и IP. Убедитесь, что вы получили правильное имя хоста, когда пинговаете сервер по его IP-адресу, а также убедитесь, что вы получили правильный IP-адрес при использовании "ping -a" для проверки связи с именем хоста.