Active Directory vs vSphere 5.1

В процессе использования vSphere 5.1 столкнулся с несколькими нюансами работы платформы с Active Directory.

vSphere 5.1 SSO и домены с доверительными отношениями.

Эпически глючная вещь в vSphere 5.1 — это сильно распиаренный Single Sign-On. На нашем предприятии развернут лес с двумя поддоменами, где «живут» учётные записи пользователей, которым требуется доступ к виртуальной инфраструктуре.  Очень интересно ведёт себя SSO при недоступности доменных контроллеров доверенных доменов — он просто не даёт авторизовать в других. У меня проблемы две — временная недоступность из-за сетевой недоступности и некорректная настройка DNS.

При восстановлении сетевой доступности SSO не слишком торопится достучаться до контроллеров домена, обычно, приходится авторизоваться под учётной записью admin@system-domain и делать шаманские пляски с перепроверкой identity source.

Вторая проблема возникает при попытке заменить адреса доменных контроллеров на имя домена, то есть вместо dc-01.perm.contoso.com писать perm.contoso.com, так как фактически DNS на запрос perm.contoso.com возвращает NS-серверы, а не доменные контроллеры.  В моём случае, запрос по имени доверенного домена возвращает по одному из 4 адресов не контроллер домена. Ну, это местечковые грабли. Для решения проблемы прописал «наиболее доступные» контроллеры домена.

vCenter и объекты безопасности Active Directory.

Второе «волшебное» поведение платформы — это группы и пользователи AD с назначенными разрешениями к объектам vCenter. Вы назначаете группе или учётной записи доступ к виртуальной машине, а спустя некоторое время решает привести названия групп к новому стандарту наименования. Результат впечатляет — все переименованные группы и учётные записи бесследно исчезают из разрешений. Но, как говорится, это by design.

Примечание. При создании локальной доменной группы (domain local) безопасности, добавлении  в неё учётной записи из доверенного домена и назначении прав в vCenter получил негативный результат — доступ не был предоставлен. Возможно, где-то я скосячил, а может и не я.

Запись опубликована в рубрике 5.1, Domain Controller, Microsoft, VMware, vSphere, Советы. Добавьте в закладки постоянную ссылку.

Один комментарий: Active Directory vs vSphere 5.1

  1. philzy говорит:

    Хочешь переставить VCenter — залезь в настройки SSO.
    Оно падает и выносит за собой все.
    В KB про восстановление SSO страшно смотреть.

    А вот мое любимое — http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2035820

    Я имел 2 дня секаса и не мог понять в чем дело.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *