VMware ESXi 7
Sponsored Link

Active Directory ドメインに参加する2023/02/23

 
Windows の Active Directory ドメインに参加します。
ローカルネットワーク内に Active Directory Domain Service が稼働していることが前提です。
当例では、以下のような Active Directory ドメイン環境で設定します。
ドメインサーバー : Windows Server 2022
ドメイン名 : srv.world
ホスト名 : fd3s.srv.world (10.0.0.100)
NetBIOS 名 : FD3S01
レルム : SRV.WORLD
[1]
ESXi と Active Directory で時刻同期しておきます
* ESXi は UTC のため表示時刻は同じとはなりません
[2] Active Directory 側で、ESXi 用のグループを [ESX Admins] という名称で作成しておきます。
所属メンバーは任意です。当例では [Domain Admins] をメンバーに加えて進めます。
[3] ESXi にシェルアクセスして、Active Directory ドメインに参加します。
# 参照する DNS を AD に変更しておく

[root@ctrl:~]
esxcli network ip dns server list

   DNSServers: 10.0.0.10
[root@ctrl:~]
esxcli network ip dns server add --server=10.0.0.100

[root@ctrl:~]
esxcli network ip dns server remove --server=10.0.0.10

[root@ctrl:~]
esxcli network ip dns server list

   DNSServers: 10.0.0.100

# 必要なサービス起動

[root@ctrl:~]
/etc/init.d/lwsmd start

Starting Likewise Service Manager [memory reservation set] SUCCESS
 [starting lsass service] Starting service dependency: netlogon
Starting service dependency: lwio
Starting service dependency: rdr
Starting service: lsass
...ok
[root@ctrl:~]
chkconfig lwsmd on
# AD 用のファイアウォールルール許可 (事前定義が存在)
# * ESXi のファイアウォールルールはアウトバウンドもデフォルト拒否

[root@ctrl:~]
esxcli network firewall ruleset set -r activeDirectoryAll --enabled 1

[root@ctrl:~]
esxcli network firewall ruleset list | grep -i active

activeDirectoryAll              true
[root@ctrl:~]
esxcli network firewall ruleset rule list | grep -i active

activeDirectoryAll           Outbound   UDP       Dst                88        88
activeDirectoryAll           Outbound   TCP       Dst                88        88
activeDirectoryAll           Outbound   UDP       Dst               123       123
activeDirectoryAll           Outbound   UDP       Dst               137       137
activeDirectoryAll           Outbound   TCP       Dst               139       139
activeDirectoryAll           Outbound   TCP       Dst               389       389
activeDirectoryAll           Outbound   UDP       Dst               389       389
activeDirectoryAll           Outbound   TCP       Dst               445       445
activeDirectoryAll           Outbound   UDP       Dst               464       464
activeDirectoryAll           Outbound   TCP       Dst               464       464
activeDirectoryAll           Outbound   TCP       Dst              3268      3268
activeDirectoryAll           Outbound   TCP       Dst              7476      7476
activeDirectoryAll           Inbound    TCP       Dst              2020      2020

# Active Directory ドメインに join する
# /usr/lib/vmware/likewise/bin/domainjoin-cli join (AD ドメイン名) (AD ユーザー名)

[root@ctrl:~]
/usr/lib/vmware/likewise/bin/domainjoin-cli join srv.world Serverworld

Joining to AD Domain:   srv.world
With Computer DNS Name: ctrl.srv.world

Serverworld@SRV.WORLD's password:
SUCCESS

# Active Directory ドメインに join 後は
# [ESX Admins] グループに管理者権限が付与される

[root@ctrl:~]
esxcli system permission list

Principal          Is Group  Role   Role Description
-----------------  --------  -----  ----------------
FD3S01\esx^admins      true  Admin  Full access rights
dcui                  false  Admin  Full access rights
root                  false  Admin  Full access rights
vpxuser               false  Admin  Full access rights
[4] 任意のクライアントコンピューターから、[ESX Admins] グループ所属の任意の AD ユーザーで、ESXi にログイン可能か確認しておきます。
[root@localhost ~]#
ssh serverworld@srv.world@ctrl.srv.world

(serverworld@srv.world@ctrl.srv.world) Password:
The time and date of this login have been sent to the system logs.

WARNING:
   All commands run on the ESXi shell are logged and may be included in
   support bundles. Do not provide passwords directly on the command line.
   Most tools can prompt for secrets or accept them from standard input.

VMware offers supported, powerful system administration tools.  Please
see www.vmware.com/go/sysadmintools for details.

The ESXi Shell can be disabled by an administrative user. See the
vSphere Security documentation for more information.
Could not chdir to home directory /home/local/FD3S01/serverworld: No such file or directory
[FD3S01\serverworld@ctrl:~]
 
VMware Host Client で設定する場合は以下のように実行します。
[5] VMware Host Client に root ユーザーアカウントでログインし、左側の [Navigator] から [Manage] アイコンをクリックし、右ペイン上部の [Security & users] タブに移動して、[Join domain] ボタンをクリックします。
[6] 必要な情報を入力して [Join domain] ボタンをクリックします。
コマンド操作とは異なり、必要なサービスやファイアウォールルールは自動設定されます。
[7] ドメイン参加後は、[ESX Admins] グループ所属の任意の AD ユーザーで、VMware Host Client にログイン可能か確認しておくとよいでしょう。
関連コンテンツ