Joindre l'hyperviseur VMware ESXi 6.7 à un domaine Active Directory - VMware - Tutoriels

Par défaut, vous pouvez créer des comptes d'utilisateurs locaux et des rôles sur votre hyperviseur VMware ESXi pour accorder des autorisations à ceux-ci sur divers objets (hôte, machines virtuelles, ...) de celui-ci.
Néanmoins, si vous êtes dans un environnement Microsoft, vous avez très probablement une infrastructure Active Directory dans le réseau de votre entreprise avec des utilisateurs et des groupes déjà créés.
Plutôt que de gérer également des comptes d'utilisateurs locaux sur votre hyperviseur VMware ESXi, vous pourrez lier celui-ci à votre infrastructure Active Directory et ainsi accorder des autorisations à divers utilisateurs et/ou groupes Active Directory.

1. Avantages de la jonction de votre hyperviseur VMware ESXi à un Active Directory

Joindre un hyperviseur VMware ESXi à une infrastructure Active Directory vous permettra de :

vous connecter à votre hyperviseur VMware ESXi avec un compte déjà présent sur votre domaine Active Directory
gérer la configuration et la sécurité de vos hyperviseurs en les plaçant notamment dans des unités d'organisation (OU). Bien que les options compatibles soient évidemment plus limitées que sous Windows ou Windows Server.
utiliser l'authentification Active Directory lorsque vous utilisez la réplication entre différents serveurs VMware ESXi.
En effet, vous pourrez vous connecter sur plusieurs serveurs VMware ESXi avec le même compte Active Directory.
gérer les autorisations pour les utilisateurs et/ou groupes créés dans votre infrastructure Active Directory.
L'ajout d'autorisations peut donc être beaucoup plus rapide, étant donné qu'il suffira d'ajouter directement le groupe dans les autorisations de VMware ESXi, plutôt que d'ajouter chaque utilisateur un par un.

2. Installer un contrôleur de domaine Active Directory

Pour commencer, vous aurez besoin d'un contrôleur de domaine Active Directory.
Pour cela, référez-vous à notre tutoriel : WS 2016 - AD DS - Créer un contrôleur de domaine Active Directory (nouveau domaine AD).

Dans notre cas, nous avons un contrôleur de domaine (DC) dont le nom NETBIOS est "ad" et le domaine Active Directory est "informatiweb.lan".

3. Créer la zone DNS inversée

Avec les produits VMware, il est recommandé de créer également la zone de recherche inversée sur votre serveur DNS.
Par exemple, avec "VMware vCenter Server Appliance" (VCSA), si son installeur n'est pas en mesure de connaitre le nom DNS (FQDN) associé depuis son adresse IP, l'installation échouera.
Source : Exigences de DNS pour le dispositif vCenter Server Appliance et Platform Services Controller.

Si votre serveur DNS a été installé automatiquement grâce à l'installation du rôle "Services AD DS", cette zone n'existe pas par défaut.
Vous devrez donc la créer.
Pour cela, référez-vous à notre procédure : Créer une zone de recherche inversée (adresse IP -> domaine).

Pour les étapes concernant la réplication de cette zone DNS inversée via l'Active Directory, vous pouvez laisser les options sélectionnées par défaut (si vous ne savez pas quelle option sélectionner).

Une fois la zone de recherche inversée créée, voici ce que vous aurez.

Pour que tous les pointeurs (PTR) de la zone de recherche inversée soient créés pour les enregistrements DNS de votre zone de recherche directe, faites un double clic sur chacun d'entre eux.

Notez que vous ne pouvez créer des pointeurs (PTR) que pour les enregistrements DNS de type "A" (IPv4) et "AAAA" (IPv6).

Cochez la case "Mettre à jour l'enregistrement de pointeur (PTR) associé" et cliquez sur OK.

Si la case est déjà cochée, décochez cette case, cliquez sur "Appliquer", puis cochez à nouveau cette case et cliquez sur OK.

Maintenant, le pointeur (PTR) associé a été créé dans la zone de recherche inversée.

Maintenant, les pointeurs correspondants aux enregistrements de type "A" ou "AAAA" de la zone de recherche directe ont été créés dans la zone de recherche inversée.

4. Synchroniser la date et l'heure de l'hyperviseur grâce au protocole NTP

Pour éviter les problèmes d'authentification, il est fortement recommandé de synchroniser l'heure de votre ou vos hyperviseurs avec le serveur NTP présent dans votre infrastructure Active Directory.
Lorsque vous installez les services de domaine Active Directory (AD DS), un serveur de temps est automatiquement installé sur votre contrôleur de domaine.

Pour configurer la synchronisation de la date et de l'heure de votre hyperviseur VMware ESXi avec votre serveur NTP, allez dans "Hôte -> Gérer -> Système -> Date et heure" et cliquez sur "Modifier les paramètres".

Sélectionnez "Utiliser le protocole NTP (activer le client NTP)", sélectionnez "Démarrer et arrêter avec l'hôte" et indiquez l'adresse IP du contrôleur de domaine de votre infrastructure Active Directory, puis cliquez sur Enregistrer.

Important : si vous possédez plusieurs contrôleurs de domaine dans votre infrastructure Active Directory, assurez-vous d'indiquer l'adresse IP du contrôleur de domaine possédant le rôle FSMO "Emulateur PDC (Emulateur de contrôleur de domaine principal)".

Une fois l'adresse IP du serveur NTP ajoutée, vous la verrez apparaitre à la ligne "Serveurs NTP".
Néanmoins, comme vous pouvez le voir, le service NTP est actuellement arrêté.

Pour que votre hyperviseur VMware ESXi synchronise automatiquement son horloge depuis votre serveur NTP, vous devrez démarrer le service "ntpd" (Démon NTP) depuis l'onglet "Services".

Le message "Le service ntpd a été démarré" apparait.

Maintenant, si vous retournez dans l'onglet "Système -> Date et heure", vous verrez que le service NTP est en cours d'exécution.

5. Configuration réseau de l'hyperviseur VMware ESXi

Pour que votre hyperviseur VMware ESXi puisse trouver le domaine Active Directory que vous souhaitez rejoindre, vous devez modifier la configuration DNS de celui-ci.
Pour cela, allez dans : Mise en réseau -> Piles TCP/IP.

Ensuite, sélectionnez la "Pile TCP/IP par défaut" et cliquez sur "Modifier les paramètres".

Par défaut, le nom d'hôte de votre hyperviseur est "localhost" et un seul serveur DNS est probablement configuré.

Pour rejoindre un domaine Active Directory, modifiez les informations suivantes :

Nom d'hôte : indiquez "esxi" par exemple. Il s'agit du nom sous lequel votre hyperviseur apparaitra à différents endroits (interface web de l'hyperviseur, compte d'ordinateur sur l'AD, en tant que sous-domaine dans la barre d'adresse, ...).
Nom de domaine : le nom du domaine que vous rejoindrez un peu plus loin dans ce tutoriel.
Serveur DNS principal : adresse IP de votre serveur DNS (en général, il se trouve sur le même serveur que votre contrôleur de domaine) pour que votre hyperviseur puisse connaitre l'adresse IP correspondant au nom de domaine que vous souhaitez rejoindre.
Serveur DNS secondaire : l'adresse IP de votre routeur (par exemple) pour résoudre les noms de domaine externes (présents sur Internet).
Domaines de recherche : indique dans quel domaine les noms courts seront recherchés. Autrement dit, si votre hyperviseur tente de résoudre le nom court "esxi", il sera en mesure de trouver l'adresse IP correspondante en résolvant automatiquement le nom de domaine (DNS) complet correspondant (esxi.informatiweb.lan).

Ensuite, cliquez sur : Enregistrer.

Le message "La configuration de Pile TCP/IP par défaut a été mise à jour" apparait.

Si vous allez dans le menu "Hôte", vous verrez que votre hyperviseur s'appelle maintenant "esxi.informatiweb.lan".

Notez que si vous actualisez la page, ce nom apparaitra aussi dans le nom de l'onglet.