A proposito dell'autore

Senior Storage Engineer

- BS in Computer Science - Debian supporter - Storage Engineer - Developer - IT Evangelist

Come ben sappiamo all’interno di Vmware ESXi (4.1.0 Build 260247) abbiamo la possibilità di creare differenti Resource Pool ove installare le VM, tra le tante opzioni abbiamo quella per la quale è possibile definire determinati utenti e permettere ad essi l’accesso ad un Resource Pool con determinate credenziali/permessi che troviamo definito nel TAB Roles (No access, Read Only, Administrator).

Ciò significa che in un azienda con un numero N di dipendenti bisognerebbe definire un numero N di
utenti per gli accessi ai diversi Resource Pool (una cosa semplice da fare ma diciamo snervante
soprattutto se arriviamo a toccare 200 account).

Posti nella situazione in cui esista un domain controller, dopo alcune semplici operazioni avremo la possibilità di joinare il dominio e aggiungere direttamente utenti di dominio come utenti ai resource pool esistenti.
Vediamo come:

Configurazione per effettuare il join al dominio

Dopo aver avuto accesso al server VMware ESXi tramite il nostro caro vSpkere Client, selezioniamo l’Inventory e posizioniamoci sulla scheda Configuration. Dalla colonna destra scegliere la voce “Authentication Services”,potrete leggere sulla destra che la topologia di autenticazione è di tipo “Local domain”. In alto a destra vedrete la scritta “properties” (in azzurro), cliccateci sopra per far si che vi appaia una finestra dal nome “Directory Services Configuration”. Avrete adesso dei campi da riempire.

Alla voce “Select Directory Service Type” selezioniamo Active Directory, nel campo “Domain” sottostante inseriamo il dominio della nostra rete aziendale e clicchiamo su “Join Domain”. A questo punto no ci resta che inserire le credenziali utente/password di Administrator del nostro server ADS e premere ok per joinare il dominio.

Aggiungere utenti del dominio ad un Resoruce Pool

Eseguite le azioni preliminari di configurazione passiamo adesso all’effettiva aggiunta degli utenti di dominio ad una risorsa (cosa praticamente facilissima). Dalla colonna sinistra selezioniamo un Resource Pool, selezioniamo poi la scheda Permission cliccando con il tasto destro all’interno della stessa selezioniamo la voce “Add Permission”, ci verrà visualizzata una finestra del genere:

clicchiamo sul pulsante “Add”, ci verrà mostrata la seguente finestra :

qui avremo da effettuare alcune selezioni. Alla voce “Domain” selezioniamo il nome del nostro dominio, abbiamo poi la possibilità di aggiungere utenti singoli oppure gruppi. Queste scelte vengono aiutate dal tasto “Search” per effettuare una ricerca per nome e dalla visualizzazione di “Show Users First”, “Show Groups First” oppure “Alphabetical”.

Una volta selezionato l’utente cliccare sul pulsante “Add” e subito dopo sul pulsante “OK”, sarete riportati alla finestra iniziale ove noterete che l’utente è presente nella colonna di sinistra, a destra potrete scegliere l’ “Assigned Role”:

cliccare su “OK” per completare l’operazione, avete adesso un nuovo utente di dominio all’interno della scheda “Permissions”.

Un saluto,

Giovanni Uccio

 

  • Fenshu

    Ciao.
    Ho seguito la guida, il server esxi effettua il join al dominio (infatti lo vedo tra i pc in active directory user and computers).

    Però quando cerco di aggiungere una permission ottengo questo errore:

    Call “UserDirectory.RetrieveUserGroups” for object “ha-user-directory” on ESXi “esxi” failed.

    Sapete come risolvere?

  • Giovanni Uccio

    salve,
    per effettuare l’operazione hai utilizzato un vSphere Client come nella guida o un vCenter Server ? gentilmente forniscimi qualche informazione in più sull’ enviroment in cui ti trovi come : versione e build di ESXi , versione di windows server.
    Posso intanto iniziare a forniti alcuni controlli per essaminare meglio la questione:

    Windows Server Side

    1) controllare l’account utente (ad esempio se disabilitato)

    2) controllare che non ci siano stati problemi nell’aggiunta del ESXi host all’interno del dominio

    ESXi Host Side

    1) controllare i log presenti in /var/log/messages , analizzarli in modo da capire se per qualche motivo l’ESXi host abbia lasciato il dominio et simila oppure notizie più dettagliate sull’errore in questione.
    2) riprovare riavviando i servizi /sbin/services.sh restart

    3) riprovare ad effettuare il join al dominio

    4) Controlla che nella scheda DNS e Routing sia tutto corretto

    aggiornami sulla situazione

    Cordiali Saluti,
    Giovanni Uccio

  • Fenshu

    Anzitutto grazie per la celere risposta.
    Si, utilizzo vsphare client, non vCenter Server. Il server di dominio è Windows 2008 Standard Edition.

    Windows Server Side
    1) L’account utente è abilitato, funzionante e con i privilegi di admin
    2) Nessun problema con l’aggiunta di esxi (4.1.0 260247) in dominio, lo vedo in AD.

    Esxi Host Side:
    1) I log sono abbastanza ostici, ma da quel che ho capito Esxi “cerca” un gruppo “ESX Admins”. L’ho creato in AD ed effettivamente adesso vedo il gruppo nel vSphere Client. Se, sempre da AD, inserisco il contatto AZIENDA\mrossi nel gruppo “Esx Admins” riesco a loggarmi con vSphere client. Il problema dell’aggiunta delle permission però rimane.
    3) provato ad eseguire /sbin/services.sh restart, il problema persiste
    4) Dns e routing configurati correttamente.
    Saluti
    Luca

  • Giovanni Uccio

    Controlla:

    1) Sincronizzazione dell’ora tra il tuo esxi host e il Domain controller, kerberos potrebbe incattivirsi

    2) Che l’ESXi host abbia un FQDN

    3) Prova aggiungendo il gruppo ESX Admins con permessi di Administrator (lato ESXi host nel contesto permessi)

    Sarebbe però interessante visionare i log, se puoi pubblicarli un qualche posto.
    Sapere con precisione i passaggi che fai e dove precisamente si presenta il problema cliccando quale pulsante..etc, e poi leggere i log in quel momento.

    La soluzione non c’è al momento poichè non ho mai incontrato questa casistica, sto cercando di eseguire un pò di troubleshooting partendo da contesti elementari salendo di grado; intanto faccio presente che il server windows con cui sono state fatte le prove è un Windows Server 2003 R2 Enterprise SP2.

  • Fenshu

    Ciao.
    Ho:
    1) rifatto l’installazione,
    2) creato il gruppo “ESX Admins” in AD, aggiunto il mio utente di dominio e l’amministratore.
    3) Configurato la rete, FQDN, impostato il server ntp e verificato la registrazione del seriale.
    4) Effettuato il join senza problemi, vedo il gruppo Azienda\ESX^Admins (è normale il simbolo “^”?)

    Stesso identico problema.
    Dove trovo i log? Cosi li metto da qualche parte per farteli leggere.
    Grazie 1000 per il supporto.

  • Giovanni “Jinko” Uccio

    /var/log/messages

    /var/log/vmware/hostd.log

Close
Entra in contatto con altri professionisti ICT, seguici su Facebook e Twitter: