Если я соединяю esxi с доменом Active Directory, как он выбирает который DC пройти проверку подлинности к?
Я знаком vSphere и большим установкам, и нисколько знаком с бесплатными продуктами.
Топология и конфигурация
У нас есть некоторые филиалы, которые используют ESXI и имеют резидентный объект DC на них как виртуализированный хост. Это - единственный локальный DC, к которому они могут получить доступ.
Для создания вещей более сложными эти удаленные офисы являются "спицами" в концентраторе и говорили конфигурацию. Нет говорил, может когда-либо говорить, другой говорил (через отсутствие маршрутизации), и каждый говорил, имеет RODC.
Вопрос
Для создания управления легче я рассматриваю добавление этих хостов нашего домена, но не уверенный, если я потеряю "локального администратора" возможность, или что произойдет, когда DC будет недоступен.
Однако я вижу запись для конфигурирования домена AD. Не ясно, как DCS будет выбран, или как отказоустойчивость работает, если вообще на esxi.
Я ищу кого-то более умного, чем я, чтобы помочь мне продумать последствия соединения esxi к AD в следующих сценариях:
- ESXI размещает VM, который является DC и подвешивается (1/100 отказавший DCS)
- ESXi не может получить доступ к серверам в концентраторе (99/100 отказавший DCS)
- Нормальный доступ, где спицы недостижимы (80/100 недостижимый, мог бы казаться неудавшимся),
Я думаю, что эти сценарии интересны, потому что совершенно возможно, что ESXI получит список каждого NS для ADDomain.com, который равняется каждому контроллеру домена, размещающему LDAP.*
*Сноска: Я предполагаю, что ESXI использует LDAP.. но я не уверен
Нижняя строка
Я должен соединить esxi в том, чтобы говорить с доменом в этой конфигурации?
Я потеряю локальный доступ, если никакой DC не будет доступен?
ESXi (как и любая другая система) будет всегда разрешать локальную аутентификацию (т.е. локальный root пользователь и любая учетная запись локального пользователя, которую вы создали), когда другие методы аутентификации недоступны; если у вас есть локальные учетные данные, вы всегда сможете войти на сервер ESXi, даже если vCenter, AD, или что-то еще недоступно.
Документация:
Мой опыт с интеграцией ESXi AD (на самом деле Точно так же) показывает, что он может быть нечетким. Вероятно, это нормально для небольших, простых топологий, но она может упасть с более сложными, распределенными топологиями. В любом случае для меня, ванильный компьютер может присоединиться или аутентифицироваться с помощью AD, просто отлично используя то же самое подключение или сетевой сегмент, когда ESXi проявляет проблемы.
Лучше всего включить протоколирование для компонентов, работающих по схеме "Аналогично", иначе вы никуда не пойдете, когда возникнет проблема. И ты не можешь сделать это через UI, получи CLI.
Включение протоколирования для Likewise агентов на ESXi/ESX (1026554)
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1026554
Что касается "как", то должен делать именно то, что делает клиент Windows, и следовать процессу DC Locator. Я бы заподозрил, что это не так, или что-то отклоняется.
Domain Controller Location Process
http://technet.microsoft.com/en-us/library/cc978011.aspx
Примечания относительно интеграции ESX (i) AD:
Я обнаружил (в ESXi 5.0), когда процесс присоединения хоста ESXi к домену (GUI) осуществляется через агент Likewise ( на хосте) перечисляет доверенные домены и контроллеры домена во время присоединения и заполняет файл в /etc/likewise/krb5-affinity.conf с каждым дочерним доменом / доменом и связанным контроллером домена.
Процесс, кажется, только перечисляет домен в этот единственный момент времени. Изучение файла показало мне, что перечисленные DC никогда не обновлялись автоматически, потому что было много старых IP-адресов DC, которые были выведены из эксплуатации или заменены и все еще находятся в этом списке.