Si me una a esxi a un dominio de Active Directory, ¿cómo elige a qué DC debe autenticarse?

Estoy familiarizado con vSphere y grandes instalaciones, y en absoluto familiarizado con los productos gratuitos.

Topología y configuration

Tenemos algunas sucursales que usan ESXi y tienen un residente de DC en ellas, como un host virtualizado. Este es el único DC local al que pueden acceder.

Para hacer las cosas más complejas, estas oficinas remotas son los "radios" en una configuration de hub y spoke. Ningún habló nunca puede hablar con otro habló (a través de la falta de routing) y cada uno habla tiene un RODC.

Pregunta

Para facilitar la administración, estoy considerando agregar estos hosts a nuestro dominio, pero no estoy seguro de si perderé la capacidad de "administración local" o lo que sucederá cuando la DC no esté disponible.

Dicho esto, veo una input para configurar un dominio de AD. No está claro cómo se seleccionará el DC, o cómo funciona la tolerancia a fallos, si es que en esxi.

Estoy buscando a alguien más inteligente que yo para ayudarme a pensar a través de las implicaciones de conectar esxi a AD en los siguientes escenarios:

  • ESXI está alojando una máquina virtual que es un DC y se cuelga (1/100 DC no)
  • ESXI no puede tener acceso a los serveres en el concentrador (99/100 DC no)
  • Acceso normal, donde los radios son inalcanzables (80/100 inaccesible, puede parecer fallido)

Creo que estos escenarios son interesantes porque es totalmente posible que ESXI obtendrá una list de cada NS para ADDomain.com, que es igual a cada controller de dominio que aloja LDAP.

* Nota: Supongo que ESXI está utilizando LDAP .. pero no estoy seguro

Línea de background

¿Debo conectar esxi en un habló al dominio en esta configuration?

¿Perderé el acceso local si no hay DC disponible?

ESXi (al igual que cualquier otro sistema) siempre permitirá la authentication local (es decir, el usuario root local y cualquier count de usuario local que haya creado) cuando otros methods de authentication no estén disponibles; si tiene cnetworkingenciales locales, siempre podrá iniciar session en un server ESXi, incluso si vCenter, AD o cualquier otra cosa que no esté disponible.

Documentación:

http://pubs.vmware.com/vsphere-51/index.jsp#com.vmware.vsphere.security.doc/GUID-D7AEC653-EBC8-4573-B990-D8E58742F8ED.html

Mi experiencia con la integración de ESXi AD (de hecho, Likewise) es que puede ser escamosa. Probablemente esté bien para topologías pequeñas y simples, pero puede caer con topologías más complejas y distribuidas. En todos los casos para mí, una computadora de vainilla puede join o autenticarse con AD perfectamente usando la misma connection o segmento de networking cuando ESXi está exhibiendo problemas.

Su mejor opción es habilitar el logging de los componentes de Likewise, de lo contrario no se va a ninguna parte cuando hay un problema. Y usted no puede hacer esto a través de la interfaz de usuario, get la CLI.

Habilitación del logging para agentes Likewise en ESXi / ESX (1026554)
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1026554

En cuanto al "cómo" es que debe estar haciendo exactamente lo que hace un cliente de Windows, y siga el process de DC Locator. Sospecho que no lo es, o se está desviando de alguna manera.

Proceso de location del controller de dominio
http://technet.microsoft.com/en-us/library/cc978011.aspx

Notas sobre ESX (i) AD Integración:

Lo que he descubierto (en ESXi 5.0) es cuando se une al host ESXi al dominio (GUI) el process a través de Likewise Agent (en host) enumera los dominios de confianza y los controlleres de dominio en el momento de la unión y rellena un file en / etc / likewise / krb5-affinity.conf con cada niño / dominio y DC asociado.

El process parece enumerar sólo el dominio en ese único punto en el time. Examinar el file me mostró que los DC enumerados nunca fueron actualizados automáticamente porque había muchos viejos IPs de la CC que fueron clausurados o substituidos y todavía en esa list.