这里有新手 ESXi 和网络/服务器管理员。
我有一台 ESXi 主机 (6.5),其中包含多个虚拟机,包括 Win'19 AD。我希望 ESXi 主机加入此 AD。
我可以通过将虚拟机暴露给外部/WAN 网络来访问 AD。有没有其他方法可以让主机加入 AD,而无需将 AD 虚拟机(或任何中间虚拟机)暴露给 ESXi 主机所在的同一网络?
编辑
澄清一下(感谢@Trix):我询问的是 DC 和 ESX 之间所需的网络隔离和连接,而不是“加入”过程。
答案1
您需要这些端口来连接 AD - 双向、UDP 和 TCP。它们不需要位于同一网络上:
Port 88 – Kerberos authentication
Port 123 – NTP
Port 135 – RPC
Port 137 – NetBIOS Name Service
Port 139 – NetBIOS Session Service (SMB)
Port 389/636 – LDAP/LDAPS
Port 445 – SMB
Port 464 – Kerberos – change/password changes
Port 3268/3269 - Global Catalog search/secure GC
显然是 DNS,因此您可以解析域控制器。
可以配置防火墙来对这些流量进行状态检查,但要避免终止 DC 和客户端之间的任何加密流量(当然可以,但是这非常痛苦)。
要加入域,您使用的帐户必须具有将计算机加入域的权限。
答案2
您可以使用 vSphere 客户端将 ESXi 主机添加到 Active Directory:
确认 ESXi 主机与 Active Directory 域控制器同步时间。
从 vSphere Client 中,选择要添加到 Active Directory 的主机。
单击“配置”选项卡。
单击身份验证服务。
单击右上方窗格中的“属性”链接。
在目录服务配置对话框中,从下拉菜单中选择目录服务。
输入域并单击加入域。
输入用户名([电子邮件保护]键入具有将主机加入域权限的目录服务用户帐户的格式和密码,然后单击“确定”。
单击“确定”关闭“目录服务配置”对话框。
单击配置选项卡,然后单击高级设置。
导航到配置 > HostAgent。
更改 Config.HostAgent.plugins.hostsvc.esxAdminsGroup 设置以匹配您想要在 Active Directory 中使用的管理员组。这些设置在一分钟内生效,无需重新启动。
从安全角度来看,我不建议这种做法。一般来说,AD 比 ESXi 主机更容易受到攻击。
主机不必与 AD 和来宾位于同一网段。仍然可以以相同的方式添加它,只需在两个使用的类别之间有适当的 IP 路由即可。