vCenter Server için dış kimlik kaynağı ayarlama

  • Makale

Azure VMware Çözümü'da VMware vCenter Server'ın Cloud Yönetici adlı yerleşik bir yerel kullanıcı hesabı vardır ve bu hesap Cloud Yönetici rolüne atanmıştır. Windows Server Active Directory'de kullanıcıları ve grupları özel bulutunuz için Bulut Yönetici rolüyle yapılandırabilirsiniz. Genel olarak, Bulut Yönetici rolü özel bulutunuzda iş yükleri oluşturur ve yönetir. Ancak Azure VMware Çözümü'da Cloud Yönetici rolü, diğer VMware bulut çözümlerinden ve şirket içi dağıtımlardan farklı vCenter Server ayrıcalıklarına sahiptir.

Önemli

Yerel Bulut Yönetici kullanıcı hesabı, özel bulutunuzda "kesme camı" senaryoları için acil durum erişim hesabı olarak kullanılmalıdır. Günlük yönetim etkinlikleri veya diğer hizmetlerle tümleştirme için kullanılması amaçlanmamıştır.

  • Bir vCenter Server ve ESXi şirket içi dağıtımında, yöneticinin vCenter Server administrator@vsphere.local hesabına ve ESXi kök hesabına erişimi vardır. Yönetici daha fazla Windows Server Active Directory kullanıcısına ve grubuna da atanabilir.

  • Azure VMware Çözümü dağıtımında, yöneticinin Yönetici istrator kullanıcı hesabına veya ESXi kök hesabına erişimi yoktur. Ancak yönetici, vCenter Server'da Windows Server Active Directory kullanıcılarını atayabilir ve Cloud Yönetici rolünü gruplandırabilir. Cloud Yönetici rolünün vCenter Server'a şirket içi Basit Dizin Erişim Protokolü (LDAP) veya Güvenli LDAP (LDAPS) sunucusu gibi bir kimlik kaynağı ekleme izinleri yoktur. Ancak, Kimlik kaynağı eklemek ve kullanıcılara ve gruplara Bulut Yönetici rolünü atamak için Çalıştır komutlarını kullanabilirsiniz.

Özel buluttaki bir kullanıcı hesabı, Microsoft'un desteklediği ve yönettiği belirli yönetim bileşenlerine erişemez veya yönetemez. Örnekler arasında kümeler, konaklar, veri depoları ve dağıtılmış sanal anahtarlar yer alır.

Not

Azure VMware Çözümü'de vsphere.local çoklu oturum açma (SSO) etki alanı, platform işlemlerini desteklemek için yönetilen bir kaynak olarak sağlanır. Bunu, özel bulutunuzla varsayılan olarak sağlananlar dışında yerel grupları ve kullanıcıları oluşturmak veya yönetmek için kullanamazsınız.

Kullanıcıların kimliğini doğrulamak için vCenter Server'ı dış Basit Dizin Erişim Protokolü (LDAP) dizin hizmetini kullanacak şekilde ayarlayabilirsiniz. Bir kullanıcı, üçüncü taraf LDAP sunucusundan Windows Server Active Directory hesabı kimlik bilgilerini veya kimlik bilgilerini kullanarak oturum açabilir. Ardından, vCenter Server kullanıcıları için rol tabanlı erişim sağlamak için hesaba şirket içi ortamda olduğu gibi bir vCenter Server rolü atanabilir.

LDAP Windows Server Active Directory sunucusuna vCenter Server bağlantısını gösteren ekran görüntüsü.

Bu makalede şunları öğreneceksiniz:

  • LDAPS kimlik doğrulaması için bir sertifikayı dışarı aktarın. (İsteğe bağlı)
  • LDAPS sertifikasını blob depolamaya yükleyin ve paylaşılan erişim imzası (SAS) URL'si oluşturun. (İsteğe bağlı)
  • NSX DNS'yi Windows Server Active Directory etki alanınıza çözüm için yapılandırın.
  • LDAPS (güvenli) veya LDAP (güvenli olmayan) kullanarak Windows Server Active Directory ekleyin.
  • Cloud Yönetici grubuna mevcut bir Windows Server Active Directory grubu ekleyin.
  • vCenter Server SSO ile tümleştirilmiş tüm mevcut dış kimlik kaynaklarını listeleyin.
  • Windows Server Active Directory kimliklerine ek vCenter Server rolleri atayın.
  • Cloud Yönetici rolünden bir Windows Server Active Directory grubu kaldırın.
  • Mevcut tüm dış kimlik kaynaklarını kaldırın.

Not

  • LDAPS kimlik doğrulaması için sertifikayı dışarı aktarma ve LDAPS sertifikasını blob depolamaya yükleme ve SAS URL'si oluşturma adımları isteğe bağlıdır. SSLCertificatesSasUrl Parametre sağlanmazsa, sertifika veya SecondaryUrl parametreleri aracılığıyla etki alanı denetleyicisinden PrimaryUrl otomatik olarak indirilir. Sertifikayı el ile dışarı aktarmak ve karşıya yüklemek için parametresini SSLCertificatesSasUrl sağlayabilir ve isteğe bağlı adımları tamamlayabilirsiniz.

  • Komutları makalede açıklanan sırayla birer birer çalıştırın.

Önkoşullar

  • Windows Server Active Directory ağınızın Azure VMware Çözümü özel bulutunuza bağlı olduğundan emin olun.

  • LDAPS ile Windows Server Active Directory kimlik doğrulaması için:

    1. Yönetici istrator izinleriyle Windows Server Active Directory etki alanı denetleyicisine erişim elde edin.

    2. Geçerli bir sertifika kullanarak Windows Server Active Directory etki alanı denetleyicilerinizde LDAPS'yi etkinleştirin. Sertifikayı bir Active Directory Sertifika Hizmetleri Sertifika Yetkilisi'nden (CA) veya üçüncü taraf ya da genel CA'dan alabilirsiniz.

    3. Geçerli bir sertifika almak için Güvenli LDAP için sertifika oluşturma bölümünde yer alan adımları tamamlayın. Sertifikanın listelenen gereksinimleri karşıladığından emin olun.

      Not

      Üretim ortamlarında otomatik olarak imzalanan sertifikaları kullanmaktan kaçının.

    4. İsteğe bağlı: Parametresini SSLCertificatesSasUrl sağlamazsanız, sertifika veya parametreleri aracılığıyla PrimaryUrlSecondaryUrl etki alanı denetleyicisinden otomatik olarak indirilir. Alternatif olarak, LDAPS kimlik doğrulaması için sertifikayı el ile dışarı aktarabilir ve blob depolama olarak bir Azure Depolama hesabına yükleyebilirsiniz. Ardından SAS kullanarak Azure Depolama kaynaklarına erişim izni verin.

  • Şirket içi Windows Server Active Directory'nize Azure VMware Çözümü için DNS çözümlemesini yapılandırın. Azure portalında bir DNS ileticisi ayarlayın. Daha fazla bilgi için bkz. Azure VMware Çözümü için DNS ileticisi yapılandırma.

Not

LDAPS ve sertifika verme hakkında daha fazla bilgi için güvenlik ekibinize veya kimlik yönetimi ekibinize başvurun.

LDAPS kimlik doğrulaması sertifikasını dışarı aktarma (İsteğe bağlı)

İlk olarak, LDAPS için kullanılan sertifikanın geçerli olduğunu doğrulayın. Sertifikanız yoksa devam etmeden önce LDAPS için sertifika oluşturma adımlarını tamamlayın.

Sertifikanın geçerli olduğunu doğrulamak için:

  1. Yönetici istrator izinlerini kullanarak LDAPS'nin etkin olduğu bir etki alanı denetleyicisinde oturum açın.

  2. Çalıştır aracını açın, mmc yazın ve Tamam'ı seçin.

  3. Dosya>Ek Bileşeni Ekle/Kaldır'ı seçin.

  4. Ek bileşenler listesinde Sertifikalar'ı ve ardından Ekle'yi seçin.

  5. Sertifikalar ek bileşeni bölmesinde Bilgisayar hesabı'nı ve ardından İleri'yi seçin.

  6. Yerel bilgisayar'ı seçili tutun, Son'u ve ardından Tamam'ı seçin.

  7. Sertifikalar (Yerel Bilgisayar) yönetim konsolunda Kişisel klasörünü genişletin ve yüklü sertifikaları görüntülemek için Sertifikalar klasörünü seçin.

    Yönetim konsolundaki sertifikaların listesini gösteren ekran görüntüsü.

  8. LDAPS sertifikasına çift tıklayın. Geçerli ve Geçerli sertifika tarihinin geçerli olduğundan ve sertifikanın sertifikaya karşılık gelen özel bir anahtarı olduğundan emin olun.

    LDAPS sertifikasının özelliklerini gösteren ekran görüntüsü.

  9. Aynı iletişim kutusunda Sertifika Yolu sekmesini seçin ve Sertifika yolu değerinin geçerli olduğunu doğrulayın. Kök CA'nın sertifika zincirini ve isteğe bağlı ara sertifikaları içermelidir. Sertifika durumunun Tamam olup olmadığını denetleyin.

    Sertifika Yolu sekmesinde sertifika zincirini gösteren ekran görüntüsü.

  10. Tamam'ı seçin.

Sertifikayı dışarı aktarmak için:

  1. Sertifikalar konsolunda LDAPS sertifikasına sağ tıklayın ve Tüm Görevleri>Dışarı Aktar'ı seçin. Sertifika Dışarı Aktarma Sihirbazı açılır. İleri'yi seçin.
  2. Özel Anahtarı Dışarı Aktar bölümünde Hayır, özel anahtarı dışarı aktarma'yı ve ardından İleri'yi seçin.
  3. Dosya Biçimini Dışarı Aktar bölümünde Base-64 ile kodlanmış X.509() öğesini seçin. CER) ve ardından İleri'yi seçin.
  4. Dışarı Aktaracak Dosya bölümünde Gözat'ı seçin. Sertifikayı dışarı aktarmak için bir klasör konumu seçin ve bir ad girin. Ardından Kaydet'i seçin.

Not

LDAPS kullanmak üzere birden fazla etki alanı denetleyicisi ayarlandıysa, karşılık gelen sertifikalarını dışarı aktarmak için her ek etki alanı denetleyicisi için dışarı aktarma yordamını yineleyin. Çalıştır aracında yalnızca iki LDAPS sunucusuna başvurabileceğinizi New-LDAPSIdentitySource unutmayın. Sertifika gibi .avsdemo.netbir joker karakter sertifikasıysa, sertifikayı etki alanı denetleyicilerinden yalnızca birinden dışarı aktarın.

LDAPS sertifikasını blob depolamaya yükleme ve SAS URL'si oluşturma (İsteğe bağlı)

Ardından, bir Azure Depolama hesabına blob depolama olarak dışarı aktardığınız sertifika dosyasını (.cer biçimde) karşıya yükleyin. Ardından SAS kullanarak Azure Depolama kaynaklarına erişim izni verin.

Birden çok sertifikaya ihtiyacınız varsa, her birini tek tek karşıya yükleyin ve her sertifika için bir SAS URL'si oluşturun.

Önemli

Tüm SAS URL dizelerini kopyalamayı unutmayın. Siz sayfadan ayrıldıktan sonra dizelere erişilemez.

İpucu

Sertifikaları birleştirmek için alternatif bir yöntem, VMware bilgi bankası makalesinde açıklandığı gibi tüm sertifika zincirlerini tek bir dosyada depolamayı içerir. Ardından, tüm sertifikaları içeren dosya için tek bir SAS URL'si oluşturun.

Windows Server Active Directory etki alanı çözümlemesi için NSX-T DNS'i ayarlama

Bir DNS bölgesi oluşturun ve dns hizmetine ekleyin. Azure portalında DNS ileticisi yapılandırma bölümünde yer alan adımları tamamlayın.

Bu adımları tamamladıktan sonra DNS hizmetinizin DNS bölgenizi içerdiğini doğrulayın.

Gerekli DNS bölgesini içeren DNS hizmetini gösteren ekran görüntüsü.

Azure VMware Çözümü özel bulutunuz artık şirket içi Windows Server Active Directory etki alanı adınızı düzgün bir şekilde çözümlemelidir.

SSL aracılığıyla LDAP kullanarak Windows Server Active Directory ekleme

SSO ile kullanılacak dış kimlik kaynağı olarak SSL ile LDAP üzerinden Windows Server Active Directory'yi vCenter Server'a eklemek için New-LDAPSIdentitySource cmdlet'ini çalıştırın.

  1. Azure VMware Çözümü özel bulutunuza gidin ve Paketleri>Yeni-LDAPSIdentitySource Çalıştır komutunu>seçin.

  2. Gerekli değerleri sağlayın veya varsayılan değerleri değiştirin ve çalıştır'ı seçin.

    Veri Akışı Adı Açıklama
    GroupName Dış kimlik kaynağındaki Cloud Yönetici erişimi veren grup. Örneğin, avs-admins.
    SSLCertificatesSasUrl Windows Server Active Directory kaynağında kimlik doğrulaması için sertifikaları içeren SAS dizelerinin yolu. Birden çok sertifikayı virgülle ayırın. Örneğin pathtocert1,pathtocert2.
    Kimlik bilgisi Windows Server Active Directory kaynağıyla kimlik doğrulaması için etki alanı kullanıcı adı ve parolası (Cloud Yönetici değil). <username@avslab.local> Biçimini kullanın.
    BaseDNGroups Grupların aranacak konumu. Örneğin, CN=group1, DC=avsldap,DC=local. LDAP kimlik doğrulaması için temel DN gereklidir.
    BaseDNUsers Geçerli kullanıcıları aramak için konum. Örneğin, CN=users,DC=avsldap,DC=local. LDAP kimlik doğrulaması için temel DN gereklidir.
    PrimaryUrl Dış kimlik kaynağının birincil URL'si. Örneğin, ldaps://yourserver.avslab.local:636.
    İkincilURL Birincil başarısız olursa ikincil geri dönüş URL'si. Örneğin, ldaps://yourbackupldapserver.avslab.local:636.
    DomainAlias Windows Server Active Directory kimlik kaynakları için etki alanının NetBIOS adı. Windows Server Active Directory etki alanının NetBIOS adını genellikle avsldap\ biçiminde kimlik kaynağının diğer adı olarak ekleyin.
    Etkialanıadı Etki alanının tam etki alanı adı (FQDN). Örneğin, avslab.local.
    Ad Dış kimlik kaynağı için bir ad. Örneğin, avslab.local.
    En fazla Cmdlet çıkışının bekletme süresi. Varsayılan değer 60 gündür.
    Yürütme için ad belirtin Alfasayısal bir ad. Örneğin, addexternalIdentity.
    Zaman aşımı Cmdlet'in çalışması tamamlanmazsa çıkış dönemi.

  3. İlerleme durumunu izlemek ve başarıyla tamamlanmasını onaylamak için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini işaretleyin.

LDAP kullanarak Windows Server Active Directory ekleme

Not

SSL kullanarak LDAP üzerinden Windows Server Active Directory eklemek için yöntemini kullanmanızı öneririz.

VCenter Server'a SSO ile kullanılacak dış kimlik kaynağı olarak LDAP üzerinden Windows Server Active Directory eklemek için New-LDAPIdentitySource cmdlet'ini çalıştırın.

  1. Çalıştır komutu>Packages>New-LDAPIdentitySource'u seçin.

  2. Gerekli değerleri sağlayın veya varsayılan değerleri değiştirin ve çalıştır'ı seçin.

    Veri Akışı Adı Açıklama
    Adı Dış kimlik kaynağı için bir ad. Örneğin, avslab.local. Bu ad vCenter Server'da görünür.
    Etkialanıadı Etki alanının FQDN'sini. Örneğin, avslab.local.
    DomainAlias Windows Server Active Directory kimlik kaynakları için etki alanının NetBIOS adı. Windows Server Active Directory etki alanının NetBIOS adını genellikle *avsldap* biçiminde kimlik kaynağının diğer adı olarak ekleyin.
    PrimaryUrl Dış kimlik kaynağının birincil URL'si. Örneğin, ldap://yourserver.avslab.local:389.
    İkincilURL Birincil hata varsa ikincil geri dönüş URL'si.
    BaseDNUsers Geçerli kullanıcıları aramak için konum. Örneğin, CN=users,DC=avslab,DC=local. LDAP kimlik doğrulaması için temel DN gereklidir.
    BaseDNGroups Grupların aranacak konumu. Örneğin, CN=group1, DC=avslab,DC=local. LDAP kimlik doğrulaması için temel DN gereklidir.
    Kimlik bilgisi Windows Server Active Directory kaynağıyla kimlik doğrulaması için etki alanı kullanıcı adı ve parolası (Cloud Yönetici değil). Kullanıcının biçiminde olması <username@avslab.local> gerekir.
    GroupName Dış kimlik kaynağınızdaki Cloud Yönetici erişimi veren grup. Örneğin, avs-admins.
    En fazla Cmdlet çıkışı için bekletme süresi. Varsayılan değer 60 gündür.
    Yürütme için ad belirtin Alfasayısal bir ad. Örneğin, addexternalIdentity.
    Zaman aşımı Cmdlet'in çalışması tamamlanmazsa çıkış dönemi.

  3. İlerleme durumunu izlemek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini işaretleyin.

Bulut Yönetici grubuna mevcut bir Windows Server Active Directory grubu ekleme

Önemli

İç içe gruplar desteklenmez. İç içe grup kullanmak erişim kaybına neden olabilir.

Bulut Yönetici grubundaki kullanıcılar, vCenter Server SSO'da tanımlanan Bulut Yönetici (<cloudadmin@vsphere.local>) rolüne eşit kullanıcı haklarına sahiptir. Cloud Yönetici grubuna mevcut bir Windows Server Active Directory grubunu eklemek için Add-GroupToCloud Yönetici s cmdlet'ini çalıştırın.

  1. Add-GroupToCloud Yönetici s komut>paketlerini>çalıştır'ı seçin.

  2. Gerekli değerleri girin veya seçin ve ardından Çalıştır'ı seçin.

    Veri Akışı Adı Açıklama
    GroupName Eklenecek grubun adı. Örneğin, Vc Yönetici Group.
    En fazla Cmdlet çıkışının bekletme süresi. Varsayılan değer 60 gündür.
    Yürütme için ad belirtin Alfasayısal bir ad. Örneğin, addADgroup.
    Zaman aşımı Cmdlet'in çalışması tamamlanmazsa çıkış dönemi.

  3. İlerleme durumunu görmek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini denetleyin.

Dış kimlik kaynaklarını listeleme

vCenter Server SSO ile zaten tümleştirilmiş olan tüm dış kimlik kaynaklarını listelemek için Get-ExternalIdentitySources cmdlet'ini çalıştırın.

  1. Azure Portal’ında oturum açın.

    Not

    ABD Için Azure Kamu portalına erişmeniz gerekiyorsa adresine gidin <https://portal.azure.us/>.

  2. Çalıştır komutu>Paketleri>Get-ExternalIdentitySources'u seçin.

    Azure portalında kullanılabilir paketler içeren Çalıştır komut menüsünü gösteren ekran görüntüsü.

  3. Gerekli değerleri girin veya seçin ve ardından Çalıştır'ı seçin.

    Çalıştır komut menüsündeki Get-ExternalIdentitySources cmdlet'ini gösteren ekran görüntüsü.

    Veri Akışı Adı Açıklama
    En fazla Cmdlet çıkışının bekletme süresi. Varsayılan değer 60 gündür.
    Yürütme için ad belirtin Alfasayısal bir ad. Örneğin getExternalIdentity.
    Zaman aşımı Cmdlet'in çalışması tamamlanmazsa çıkış dönemi.

  4. İlerleme durumunu görmek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini işaretleyin.

    Azure portalında Yürütme Durumunu Çalıştır bölmesini gösteren ekran görüntüsü.

Windows Server Active Directory kimliklerine daha fazla vCenter Server rolü atama

LDAP veya LDAPS üzerinden bir dış kimlik ekledikten sonra, kuruluşunuzun güvenlik denetimlerini temel alarak Windows Server Active Directory güvenlik gruplarına vCenter Server rolleri atayabilirsiniz.

  1. vCenter Server'da Bulut olarak oturum açın Yönetici envanterden bir öğe seçin, Eylemler menüsünü ve ardından İzin Ekle'yi seçin.

    vCenter Server'da İzin Ekle seçeneğiyle Eylemler menüsünü gösteren ekran görüntüsü.

  2. İzin Ekle iletişim kutusunda:

    1. Etki alanı: Daha önce eklenen Windows Server Active Directory örneğini seçin.
    2. Kullanıcı/Grup: Kullanıcı veya grup adını girin, arayın ve seçin.
    3. Rol: Atanacak rolü seçin.
    4. Alt öğelere yay: İsteğe bağlı olarak, izinleri alt kaynaklara yaymak için onay kutusunu seçin.

    vCenter Server'da İzin Ekle iletişim kutusunu gösteren ekran görüntüsü.

  3. İzinler sekmesini seçin ve izin atamasının eklendiğini doğrulayın.

    İzin ataması ekledikten sonra vCenter Server'da İzinler sekmesini gösteren ekran görüntüsü.

Kullanıcılar artık Windows Server Active Directory kimlik bilgilerini kullanarak vCenter Server'da oturum açabilir.

Windows Server Active Directory grubunu Bulut Yönetici rolünden kaldırma

Belirli bir Windows Server Active Directory grubunu Bulut Yönetici rolünden kaldırmak için Remove-GroupFromCloud Yönetici s cmdlet'ini çalıştırın.

  1. Paketler>Remove-GroupFromCloud Yönetici s komutunu>çalıştır'ı seçin.

  2. Gerekli değerleri girin veya seçin ve ardından Çalıştır'ı seçin.

    Veri Akışı Adı Açıklama
    GroupName Kaldırılacak grubun adı. Örneğin, Vc Yönetici Group.
    En fazla Cmdlet çıkışının bekletme süresi. Varsayılan değer 60 gündür.
    Yürütme için ad belirtin Alfasayısal bir ad. Örneğin removeADgroup.
    Zaman aşımı Cmdlet'in çalışması tamamlanmazsa çıkış dönemi.

  3. İlerleme durumunu görmek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini işaretleyin.

Mevcut tüm dış kimlik kaynaklarını kaldırma

Var olan tüm dış kimlik kaynaklarını aynı anda kaldırmak için Remove-ExternalIdentitySources cmdlet'ini çalıştırın.

  1. Paketleri>Kaldır-ExternalIdentitySources komutunu çalıştır'ı>seçin.

  2. Gerekli değerleri girin veya seçin ve ardından Çalıştır'ı seçin:

    Veri Akışı Adı Açıklama
    En fazla Cmdlet çıkışının bekletme süresi. Varsayılan değer 60 gündür.
    Yürütme için ad belirtin Alfasayısal bir ad. Örneğin, remove_externalIdentity.
    Zaman aşımı Cmdlet'in çalışması tamamlanmazsa çıkış dönemi.

  3. İlerleme durumunu görmek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini işaretleyin.

Mevcut bir dış kimlik kaynak hesabının kullanıcı adını veya parolasını döndürme

  1. Etki alanı denetleyicisindeki Windows Server Active Directory kaynağıyla kimlik doğrulaması için kullanılan hesabın parolasını döndürün.

  2. Çalıştır komutu>Paketleri>Update-IdentitySourceCredential'ı seçin.

  3. Gerekli değerleri girin veya seçin ve ardından Çalıştır'ı seçin.

    Veri Akışı Adı Açıklama
    Kimlik bilgisi Windows Server Active Directory kaynağıyla (Cloud Yönetici değil) kimlik doğrulaması için kullanılan etki alanı kullanıcı adı ve parolası. Kullanıcının biçiminde olması <username@avslab.local> gerekir.
    Etkialanıadı Etki alanının FQDN'sini. Örneğin, avslab.local.

  4. İlerleme durumunu görmek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini işaretleyin.

Uyarı

DomainName için bir değer sağlamazsanız, tüm dış kimlik kaynakları kaldırılır. Update-IdentitySourceCredential cmdlet'ini yalnızca etki alanı denetleyicisinde parola döndürüldükten sonra çalıştırın.

LDAPS kimlik kaynağı için mevcut sertifikaları yenileme

  1. Etki alanı denetleyicilerinizdeki mevcut sertifikaları yenileyin.

  2. İsteğe bağlı: Sertifikalar varsayılan etki alanı denetleyicilerinde depolanıyorsa, bu adım isteğe bağlıdır. SSLCertificatesSasUrl parametresini boş bırakın; yeni sertifikalar varsayılan etki alanı denetleyicilerinden indirilir ve vCenter'da otomatik olarak güncelleştirilir. Varsayılan yöntemi kullanmamayı seçerseniz, LDAPS kimlik doğrulaması sertifikasını dışarı aktarın ve LDAPS sertifikasını blob depolamaya yükleyin ve bir SAS URL'si oluşturun. Sonraki adım için SAS URL'sini kaydedin.

  3. Update-IdentitySourceCertificates Komut>Paketlerini>Çalıştır'ı seçin.

  4. Gerekli değerleri ve yeni SAS URL'sini (isteğe bağlı) sağlayın ve çalıştır'ı seçin.

    Alan Value
    Etkialanıadı* Etki alanının FQDN'sini, örneğin avslab.local.
    SSLCertificatesSasUrl (isteğe bağlı) Kimlik doğrulaması için Sertifikalar için SAS yolu URI'sinin virgülle ayrılmış listesi. Okuma izinlerinin eklendiğinden emin olun. Oluşturmak için sertifikaları herhangi bir depolama hesabı blob'una yerleştirin ve sertifikaya sağ tıklayıp SAS oluşturun. Bu alanın değeri bir kullanıcı tarafından sağlanmazsa, sertifikalar varsayılan etki alanı denetleyicilerinden indirilir.

  5. İlerleme durumunu görmek için Bildirimler'i veya Yürütme Durumunu Çalıştır bölmesini denetleyin.

İlgili içerik