vCenter und Active Directory Betriebsmodus

Wer ein vCenter mit Active-Directory Integration betreibt, sollte den Active Directory Functional Level (Betriebsmodus) im Blick haben. Es ist sehr wichtig, hier eine enge Abstimmung mit dem Domain-Administratoren Team zu haben. Nicht alle vCenter Versionen harmonieren mit allen ADS-Betriebsmodi. Besonders der Betriebsmodus ‘Server 2016’ ist hier heikel, da er aktuell nur von vCenter 6.7 mit Update 1 unterstützt wird.

Was ist der Domänen Betriebsmodus?

Active Directoy Betriebsmodi bestimmen die Fähigkeiten einer Domäne, oder eines Forests. Je höher der Level, desto mehr Funktionen sind verfügbar. Der Betriebsmodus bestimmt ebenso darüber, welche Betriebsysteme Domänencontroller einer Domäne mindestens haben müssen. Eine Domäne im Betriebsmodus ‘Windows Server 2012’ impliziert, dass keine Domänencontroller mit älteren Betriebsystemen vorhanden sein können (wie z.B. Server 2008 R2).

Betriebsmodi haben keinen Einfluss darauf, welche Workstations oder Memberserver einer Domäne beitreten können.

Es ist sinnvoll, den Betriebsmodus auf den höchsten Level einzustellen, den alle Domänencontroller einer Domäne oder eines Forests unterstützen. Auf diese Weise können möglichst viele ADS Funktionen genutzt werden.

„vCenter und Active Directory Betriebsmodus“ weiterlesen

VCSA richtig mit Active Directory verbinden

Die Anbindung der vCenter Server Appliance (VCSA) wurde mit den Versionen immer weiter verbessert und vereinfacht. Musste man in Versionen 5.x noch etwas umständlich mit Destinguished Names (DN) hantieren, so ist seit Version 6.5 der Beitritt stark vereinfacht.

Ich schildere hier den Vorgang anhand einer VCSA 6.7, die dem ADS beitritt. Der Vorgang unterscheidet sich geringfügig zwischen HTML5 Client und Web-Client (Flashclient).

Voraussetzungen

  • der Hostname muss ein FQDN sein und darf keine IP Adresse sein.
  • Login in den Cient mit einem Mitglied der Systemconfiguration Admins. administrator@vsphere.local gehört dazu.

Für die Anbindung der VCSA an ADS verwendet man normalerweise folgenden Workflow:

  • VCSA tritt ADS bei
  • Reboot der VCSA
  • Indentitätsquelle hinzufügen

„VCSA richtig mit Active Directory verbinden“ weiterlesen

ADS Sicherheitsgruppe kopieren

Die Anforderung ist simpel. Alle Nutzer der Sicherheitsgruppe A (mygroup_a) sollen in eine neue Sicherheitsgruppe B (mynewgroup_b) kopiert werden. Eine Möglichkeit Sicherheitsgruppen zu duplizieren, gibt es in der Active Directory GUI leider nicht. Die Benutzer händisch in eine neue Gruppe einpflegen ist mühsam und fehleranfällig. Zum Glück gibt es jedoch Powershell.

ADS Sicherheitsgruppe kopieren

Dazu öffnet man auf dem Domänencontroller eine Powershell als Administrator.

Get-ADGroupMember "mygroup_a" | ForEach-Object {Add-ADGroupMember -Identity "mynewgroup_b" -Members $_}

Der Befehl liest alle Elemente der Gruppe mygroup_a aus. Eine Schleifenanweisung fügt jedes der gefundenen Elemente der Gruppe mynewgroup_b hinzu.

Ich liebe One-liner. 🙂

ADS: Schema Erweiterung 2012 R2

Der Support für Windows Server 2003 endet zum 14. Juli 2015 und noch immer finden sich zahlreiche 2003 Server-Systeme im produktiven Umfeld. Eine Migration auf die Plattform Server 2008 R2 wird meist zugunsten von Server 2012 R2 übersprungen.

Ich schildere hier das Upgrade durch hinzufügen eines weiteren Domänencontrollers 2012 R2 zur bestehenden Domäne auf Basis von Server 2003 R2 mit der ADS Schema Erweiterung auf Server 2012 R2.

Voraussetzungen

  • Domänen Funktionsmodus (domain functional level) muss mindestens “Server 2003” sein. Dazu das Tool “Active Directory Domänen und Vertrauensstellungen” öffnen und das Kontextmenü auf dem Domänennamen öffnen. Gleichermassen im Tool Active Directory Benutzer und Computer” Kontextmenü auf den Forest.
  • Neuer Windows Server 2012 R2 mit fester IP als Memberserver in der bestehenden Domäne.
  • Alle bestenden Domänencontroller müssen sauber replizieren. Es existieren keine Tombstones. Das Ereignislog ist sauber.
  • Microsoft SP1 Support Tools sind auf den 2003 Servern installiert.

„ADS: Schema Erweiterung 2012 R2“ weiterlesen