Я знаком с vSphere и крупными установками и совсем не знаком с бесплатными продуктами.
Топология и конфигурация
У нас есть несколько филиалов, которые используют ESXi и имеют резидентный контроллер домена в качестве виртуального хоста. Это единственный локальный DC, к которому они могут получить доступ.
Чтобы усложнить ситуацию, эти удаленные офисы являются «лучами» в конфигурации концентратора и луча. Ни один луч никогда не может разговаривать с другим лучом (из-за отсутствия маршрутизации), и у каждого луча есть RODC.
Вопрос
Чтобы упростить управление, я подумываю о добавлении этих хостов в наш домен, но не уверен, потеряю ли я возможность «локального администратора» или что произойдет, когда DC будет недоступен.
При этом я вижу запись для настройки домена AD. Непонятно, как будут выбираться контроллеры домена или как работает отказоустойчивость, если вообще на esxi.
Я ищу кого-то более умного, чем я, чтобы помочь мне обдумать последствия подключения esxi к AD в следующих сценариях:
Я думаю, что эти сценарии интересны, потому что вполне возможно, что ESXI получит список всех NS для ADDomain.com, что соответствует каждому контроллеру домена, на котором размещен LDAP. *
* Сноска: я предполагаю, что ESXI использует LDAP .. но я не уверен
Нижняя граница
Должен ли я подключать esxi в луче к домену в этой конфигурации?
Потеряю ли я локальный доступ, если недоступен DC?
Мой опыт интеграции ESXi AD (на самом деле аналогично) показывает, что она может быть нестабильной. Это, вероятно, подходит для небольших простых топологий, но может не работать с более сложными распределенными топологиями. В каждом случае для меня обычный компьютер может без проблем присоединиться к AD или пройти аутентификацию в нем, используя одно и то же соединение или сегмент сети, когда у ESXi возникают проблемы.
Лучше всего включить ведение журнала для компонентов Likewise, иначе вы никуда не пойдете, когда возникнет проблема. И вы не можете сделать это через UI, получите CLI.
Включение ведения журнала для агентов Likewise на ESXi / ESX (1026554)
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1026554
Относительно того, "как" должен делать именно то, что делает клиент Windows, и следовать процессу DC Locator. Я подозреваю, что это не так или как-то отклоняется.
Процесс определения местоположения контроллера домена
http://technet.microsoft.com/en-us/library/cc978011.aspx
ESXi (как и любая другая система) будет всегда разрешить локальную аутентификацию (т.е. локальную root пользователь и любая созданная вами учетная запись локального пользователя), когда другие методы аутентификации недоступны; если у вас есть локальные учетные данные, вы всегда сможете войти на сервер ESXi, даже если vCenter, AD или что-то еще недоступно.
Документация:
Примечания относительно интеграции ESX (i) AD:
Что я обнаружил (в ESXi 5.0), так это то, что при присоединении хоста ESXi к домену (GUI) процесс через Likewise agent (на хосте) перечисляет доверенные домены и контроллеры домена во время присоединения и заполняет файл в / etc / likewise / krb5-affinity.conf с каждым дочерним / доменом и связанным контроллером домена.
Кажется, что процесс перечисляет домен только в этот единственный момент времени. Изучение файла показало мне, что перечисленные DC никогда не обновлялись автоматически, потому что было много старых IP-адресов DC, которые были выведены из эксплуатации или заменены и все еще находятся в этом списке.