Se eu juntar o esxi a um domínio do Active Directory, como ele escolhe para qual DC se autenticar?

4

Estou familiarizado com o vSphere e grandes instalações e não estou familiarizado com os produtos gratuitos.

Topologia e & configuração

Temos algumas filiais que usam o ESXi e têm um DC residente nelas, como um host virtualizado. Este é o único DC local que eles podem acessar.

Para tornar as coisas mais complexas, esses escritórios remotos são os "spokes" em uma configuração de hub e spoke. Nenhum spoke pode falar com outro spoke (por falta de roteamento) e cada spoke tem um RODC.

Pergunta

Para facilitar o gerenciamento, estou pensando em adicionar esses hosts ao nosso domínio, mas não tenho certeza se perderei o recurso "admin local" ou o que acontecerá quando o DC não estiver disponível.

Dito isso, vejo uma entrada para configurar um domínio do AD. Não está claro como os DCs serão selecionados, ou como funciona a tolerância a falhas, se em todos os esxi.

Estou procurando alguém mais inteligente do que eu para me ajudar a pensar nas implicações de conectar o esxi ao AD nos seguintes cenários:

  • O ESXI hospeda uma VM que é um DC e está suspensa (1/100 DCs falhou)
  • O ESXI não pode acessar os servidores no hub (99/100 DCs falharam)
  • Acesso normal, onde os spokes estão inacessíveis (80/100 inacessível, pode parecer que falhou)

Acho que esses cenários são interessantes porque é totalmente possível que o ESXI obtenha uma lista de cada NS para o ADDomain.com, que é igual a todos os controladores de domínio que hospedam o LDAP. *

* Nota de rodapé: presumo que o ESXI esteja a utilizar o LDAP .. mas não tenho a certeza

Linha de fundo

Devo conectar o esxi em um spoke ao domínio nessa configuração?

Perderei o acesso local se não houver CD disponível?

    
por random65537 15.07.2014 / 16:36

3 respostas

4

O ESXi (como qualquer outro sistema) sempre permite a autenticação local (ou seja, o usuário local root e qualquer conta de usuário local que você criou) quando outros métodos de autenticação não estão disponíveis; Se você tiver credenciais locais, sempre poderá fazer login em um servidor ESXi, mesmo se o vCenter, o AD ou qualquer outra coisa não estiver disponível.

Documentação:

link

    
por 15.07.2014 / 16:42
4

Minha experiência com a integração do ESXi AD (na verdade, da mesma forma) é que ele pode ser esquisito. É provavelmente bom para topologias pequenas e simples, mas pode cair com topologias distribuídas mais complexas. Em todos os casos, para mim, um computador baunilha pode ingressar ou autenticar-se com o AD apenas usando a mesma conexão ou segmento de rede quando o ESXi está exibindo problemas.

Sua melhor aposta é ativar o registro para os componentes do mesmo modo, caso contrário, você não irá a lugar algum quando houver um problema. E você não pode fazer isso através da interface do usuário, obter o CLI.

Ativando o registro em log de agentes do Likewise no ESXi / ESX (1026554)
link

Em relação ao "como" está deve estar fazendo exatamente o que um cliente Windows faz, e seguir o processo do DC Locator. Eu suspeito que não é, ou está se desviando de alguma forma.

Processo de localização do controlador de domínio
link

    
por 15.07.2014 / 17:45
2

Notas sobre a integração com o ESX (i) AD:

O que eu descobri (no ESXi 5.0) é quando entrar no host ESXi para o domínio (GUI) o processo via agente do tipo Likewise (no host) enumera os domínios confiáveis e controladores de domínio no momento da junção e preenche um arquivo em /etc/likewise/krb5-affinity.conf com cada criança / domínio e DC associado.

O processo parece apenas enumerar o domínio naquele único ponto no tempo. Examinar o arquivo mostrou que os DCs listados nunca foram atualizados automaticamente porque havia muitos IPs DC antigos que foram descomissionados ou substituídos e ainda estão nessa lista.

    
por 26.08.2014 / 15:23