【vSphere | vCenter】vCenter 7或 8 加入 AD 域

vCenter Server 7.x 和 8.x 加入Active Directory的方法有三种。

• 命令行方式添加
• Active Directory 域方式添加
• 标识源方式添加

第一种通过CLI，后两种通过vSphere Client UI界面。

1. 命令行加域

命令：/opt/likewise/bin/domainjoin-cli join domain.com Domain_Administrator Password

/opt/likewise/bin/domainjoin-cli join vmware.local Administrator Passw0rd

2. 标识源加AD域

使用具有SSO域管理员权限的账户登录vSphere Clinet，点击菜单 > 系统管理 > Single Sign On > 配置，转到【标识源】选项卡，点击【添加】。

选择【基于 LDAP 的 Active Directory】。填写

• 标识源名称 / Identity source name：标识源的名称。一般填写AD域名

• 用户的基本标识名 / Base distinguished name for users：用户的基本识别名。输入要从中开始用户搜索的 DN。例如，cn=Users,dc=myCorp,dc=com。

• 组的基本标识名 / Base distinguished name for groups：组的基本标识名。输入从中开始组搜索的 DN。例如，cn=Groups,dc=myCorp,dc=com。

  或OU=

• 域名 / Domain name： 域的 FQDN。

• 域别名 / Domain alias：

• 用户名 / Username：域账户

• 密码 / Password：

• 连接到 / Connect to：

• 主服务器 URL / Primary server URL：

保存后，在【标识源】选项卡的列表中，会出现AD域信息。

用此方法加入的域，在AD域的computers管理列表中是不会出现VC的信息，在VC的CLI上也不会查询到AD域信息。直接在LDAP协议层添加，并非是传统加AD域。

3. Active Directory 域方式加AD域

使用具有SSO域管理员权限的账户登录vSphere Clinet，转到 菜单 > 系统管理 > Single Sign On > 配置，点击【Active Directory 域】，选中VC，点击【加入AD】

填写加入AD域信息

返回加域界面，系统提示：节点 vc7-1.yz.local 已成功加入 Active Directory。 重新引导节点以应用更改。

重新引导VC。（重启VC虚拟机或重启所有服务）

此时在AD域控中可以看到VC已经加入了AD域。

重新登录vSphere Client后，返回加域界面。在【标识源】选项卡中点击【添加】，系统会自动跳到【Active Directory（集成Windows身份验证）】选项，应在域名中自动填充上一步填写的AD域名，点击【添加】。

刷新vSphere Client页面，在【标识源】选项卡的列表中会出现刚才加域的信息。

4. 确认加入域

当加入域成功后，转到 菜单 > 系统管理 > Single Sign On > 用户和组，选择用户，在域的选项中会出现刚才加域的域名，域账户也会在下方列表中显示出来。

SSH到VCSA后，输入命令：/opt/likewise/bin/domainjoin-cli query
（该方法不适合标识源加域方法）

说明加AD域成功。

参考资料

• Active Directory over LDAP and OpenLDAP Server Identity Source Settings
• Configuring a vCenter Single Sign-On Identity Source using LDAP with SSL (LDAPS) (2041378)