Estou familiarizado com o vSphere e grandes instalações e não estou familiarizado com os produtos gratuitos.
Topologia e & configuração
Temos algumas filiais que usam o ESXi e têm um DC residente nelas, como um host virtualizado. Este é o único DC local que eles podem acessar.
Para tornar as coisas mais complexas, esses escritórios remotos são os "spokes" em uma configuração de hub e spoke. Nenhum spoke pode falar com outro spoke (por falta de roteamento) e cada spoke tem um RODC.
Pergunta
Para facilitar o gerenciamento, estou pensando em adicionar esses hosts ao nosso domínio, mas não tenho certeza se perderei o recurso "admin local" ou o que acontecerá quando o DC não estiver disponível.
Dito isso, vejo uma entrada para configurar um domínio do AD. Não está claro como os DCs serão selecionados, ou como funciona a tolerância a falhas, se em todos os esxi.
Estou procurando alguém mais inteligente do que eu para me ajudar a pensar nas implicações de conectar o esxi ao AD nos seguintes cenários:
Acho que esses cenários são interessantes porque é totalmente possível que o ESXI obtenha uma lista de cada NS para o ADDomain.com, que é igual a todos os controladores de domínio que hospedam o LDAP. *
* Nota de rodapé: presumo que o ESXI esteja a utilizar o LDAP .. mas não tenho a certeza
Linha de fundo
Devo conectar o esxi em um spoke ao domínio nessa configuração?
Perderei o acesso local se não houver CD disponível?
O ESXi (como qualquer outro sistema) sempre permite a autenticação local (ou seja, o usuário local root e qualquer conta de usuário local que você criou) quando outros métodos de autenticação não estão disponíveis; Se você tiver credenciais locais, sempre poderá fazer login em um servidor ESXi, mesmo se o vCenter, o AD ou qualquer outra coisa não estiver disponível.
Documentação:
Minha experiência com a integração do ESXi AD (na verdade, da mesma forma) é que ele pode ser esquisito. É provavelmente bom para topologias pequenas e simples, mas pode cair com topologias distribuídas mais complexas. Em todos os casos, para mim, um computador baunilha pode ingressar ou autenticar-se com o AD apenas usando a mesma conexão ou segmento de rede quando o ESXi está exibindo problemas.
Sua melhor aposta é ativar o registro para os componentes do mesmo modo, caso contrário, você não irá a lugar algum quando houver um problema. E você não pode fazer isso através da interface do usuário, obter o CLI.
Ativando o registro em log de agentes do Likewise no ESXi / ESX (1026554)
link
Em relação ao "como" está deve estar fazendo exatamente o que um cliente Windows faz, e seguir o processo do DC Locator. Eu suspeito que não é, ou está se desviando de alguma forma.
Processo de localização do controlador de domínio
link
Notas sobre a integração com o ESX (i) AD:
O que eu descobri (no ESXi 5.0) é quando entrar no host ESXi para o domínio (GUI) o processo via agente do tipo Likewise (no host) enumera os domínios confiáveis e controladores de domínio no momento da junção e preenche um arquivo em /etc/likewise/krb5-affinity.conf com cada criança / domínio e DC associado.
O processo parece apenas enumerar o domínio naquele único ponto no tempo. Examinar o arquivo mostrou que os DCs listados nunca foram atualizados automaticamente porque havia muitos IPs DC antigos que foram descomissionados ou substituídos e ainda estão nessa lista.