即時監控 虛擬機 雲端 AI VMware Aria Operations

Aria Operations集中監控維運 提升預測分析自動化管理

落實先進IT預防科學 VMware跨雲環境全掌握

2024-10-14
在VMware vSphere虛擬化平台架構中需要有更積極的作為才能更有效率地監管數以百計甚至於數以千計的虛擬機器,當發生重大事故時再來找解決方案,恐為時已晚。因此,本文將實戰講解一套在IT預防科學中必備的解決方案「VMware Aria Operations」。

如今已是以虛擬化平台架構為主的雲世代,許多應用系統與服務分散於不同的虛擬機器中運行,除了要完成基本的IT災難預防工作外,還必須善用AI技術做到運行預測分析、自動化負載平衡、資源自動回收與調整大小,才能夠真正落實IT預防科學。

在VMware vSphere運行環境中如何真正做到IT預防科學呢?是HA、DRS還是FT?答案以上皆是,但仍不夠積極。

當需要維護的虛擬機器超過350台以上時,建議立即評估導入VMware Aria Operations,以便能夠善用集中式監管的警示功能,以及各項前瞻性預測分析,降低從主機、叢集、虛擬機器、儲存、應用系統與服務運行過程中的各項風險,讓vSphere維運下的IT預防科學做好做滿。

VMware Aria Operations是vRealize Operations的進化版,支援私有雲、混合雲和多雲環境的集中式監管。從VMware Aria Operations 8.10版本開始所新增與改善的功能,包括新增支援vSAN ESA、新增SPBM API支援、雲端Proxy增強功能、支援在管理頁面中搜尋、進階工作負載放置、警示增強功能、存取控制增強功能、在虛擬機器中新增RDM磁碟的內容、自動化中心改善設計、以規則為基礎的應用程式探索、以服務為基礎的應用程式探索。

其中對於vSAN ESA的支援是一項重要的關鍵功能新增,它讓VMware Aria Operations管理網站的介面中添加了以下的改變:

‧支援新增的物件:vSAN儲存集區與vSAN ESA磁碟

‧摘要頁面新增:在新增的物件中引入2個全新的摘要頁面

‧儀表板新增:2個全新的儀表板和5個更新的儀表板

‧新增度量與內容:在vSAN叢集層新增6個度量和1個內容,在vSAN儲存集區層新增12個度量和1個內容,在vSAN ESA磁碟層新增21個度量和7個內容。

接著,示範如何在現行的VMware vSphere架構中完成VMware Aria Operations的部署與關鍵配置說明,讓vCenter Server、叢集、ESXi主機、虛擬機器以及vSAN,正式納入VMware Aria Operations集中監管範圍中。

部署OVF範本

首先,到VMware Customer Connect網站註冊下載VMware Aria Operations最新評估版本,過程中除了可以取得該軟體(.ova)的下載外,還會收到一組評估專用金鑰的Email通知。

接下來,以系統管理員帳號登入vSphere Client網站,然後在選定的主機或叢集的「動作」選單中點選【部署OVF範本】選項。

在「選取OVF範本」頁面中,選擇輸入URL或上傳檔案的方式,來載入VMware Aria Operations的ova檔案。必須注意的是所下載的ova檔案,其檔案名稱可能仍是以舊版的vRealize Operations Manager Appliance命名,不過沒關係這並不會影響部署,按下〔下一頁〕按鈕繼續。

在「選取名稱和資料夾」頁面中,自訂虛擬機器的顯示名稱以及位置,並按下〔下一頁〕按鈕。如圖1所示,在「選取計算資源」頁面中,若所選取的叢集已有啟用DRS功能,可以讓系統自動調配適合的ESXi主機,否則需要自行選擇ESXi主機。當「相容性」中顯示出「相容性檢查成功」的訊息時,就表示沒有問題。另外,還可以自行決定是否要勾選「自動開啟已部署虛擬機器的電源」設定,設定完成後按下〔下一頁〕按鈕。

圖1  選取計算資源。

在「檢閱詳細資料」頁面中,可以分別查看到VMware Aria Operations的版本資訊、下載大小,以及不同佈建方式所需要的磁碟大小,按下〔下一頁〕按鈕繼續。在「授權合約」頁面內容中,若確認沒有問題便按下〔下一頁〕按鈕。

如圖2所示,在「組態」頁面中,根據實際要監管的規模大小來選擇適合的組態,目前有小型、中型、大型、Witness、超小型、超大型可以選擇。其中預設的「小型」組態,可以監管的虛擬機器數量是350至5,000台,而對於所部署的每一台vApp則需要有4個vCPU以及16GB的記憶體。

圖2  選擇組態。

若需要監管的虛擬機器數量低於350台,則可以改選為「超小型」組態。相對地,如果高於5,000台以上,則必須選擇「中型」以上的組態。必須注意的是,僅有小型組態以上的規模才有支援VMware Aria Operations叢集HA的架構部署。關於VMware Aria Operations不同版本的組態支援,可以參閱官網說明(https://knowledge.broadcom.com/external/article?legacyId=2093783)。

在「選取儲存區」頁面中,則挑選虛擬磁碟格式與虛擬機器儲存區原則。在測試階段中,建議選取「精簡佈建」並挑選適合的資料存放區(Datastore),否則會被固定大小的存放區占用掉大量的可用空間。

若是在正式的運作環境中,則採用「完整佈建積極式歸零」或是「完整佈建消極式歸零」,兩者的差別在於,後者針對未使用的Block空間不會預先進行Zeroed的處理,因此前者對於虛擬機器的運作性能肯定會是最好的。確認在「相容性」中顯示「相容性檢查成功」訊息後,按下〔下一頁〕按鈕。

接著,在「選取網路」頁面中選擇現行適用的網路連線,它必須能夠連接目前網路中的vCenter Server。如圖3所示,在「自訂範本」頁面中先選擇時區,以台灣來說就是選取「Asia/Taipei」,接著必須手動設定一組尚未使用的靜態IPv4位址以及網路遮罩、預設閘道位址、DNS位址。至於在IPv6的配置部分,若沒有使用到這個類型的網路連線,在「IPv6 Type」欄位中選擇「Disabled」即可。按下〔下一頁〕按鈕後,在「即將完成」頁面中,確認上述的所有設定,若正確無誤就按下〔完成〕按鈕開始進行部署。

圖3  自訂範本。

成功完成部署後,便可以開啟VMware Aria Operations虛擬機器的電源。如圖4所示,在它的伺服端主控台頁面中,將可以看到網站主控台的連線網址,而這個URL的IP位址便是在部署配置中所做的設定。

圖4  VMware Aria Operations伺服端Console。

關於OVF範本的部署,不一定非得透過vSphere Client來部署,也可以選擇使用VMware OVF Tool命令工具來進行,不過它並沒有隨附在vCenter Server或ESXi的安裝中。可以到以下官網來下載最新的版本,它提供了可安裝執行在32位元與64位元的Windows與Linux作業系統中,當然也提供可執行於Mac OS的版本。

‧最新VMware OVF Tool官方下載網址: https://developer.broadcom.com/tools/open-virtualization-format-ovf-tool/4.5.0

完成下載與安裝VMware OVF Tool後,以Windows的版本為例,在命令提示字元視窗中,切換至「C:\Program Files\VMware\VMware OVF Tool」路徑下,接著可參考以下的命令範例,其中vcsa01.lab02.com即是vCenter Server的FQDN,而192.168.7.252則是目標ESXi主機的位址,至於-ds參數是用來指定虛擬機器的資料存放區,而-dm參數則是指定虛擬硬碟的格式:

ovftool -ds=datastore02 -dm=thin --allowExtraConfig -n=vRealize- Operations-Manager-Appliance- 8.16.1.23365475.ova vi://Administrator @lab02.com:password@vcsa01.lab02. com/?ip=192.168.7.252

透過上述VMware OVF Tool命令參數所成功部署後的VMware Aria Operations虛擬機器,即是使用了預設「小型」架構的組態,以及DHCP的方式來取得相關IP位址配置。

初始設定

完成VMware Aria Operations的基本部署後,接下來必須依據虛擬機器Console中所顯示的URL,並開啟網頁瀏覽器進行連線,來完成系統初始化設定。連線之後會開啟如圖5所示的頁面,在此有「快速安裝」、「新安裝」、「展開現有的安裝」可以選擇,本例點選「新安裝」。

圖5  VMware Aria Operations初始設定。

在「設定管理員帳戶認證」頁面中,必須為預設的VMware Aria Operations網站管理員admin設定一組密碼,輸入的長度必須至少8個字元、不能含有admin帳戶名稱,且必須包含有大寫與小寫英文字母、數字以及非英數字元。設定完畢,按下〔下一步〕按鈕。

如圖6所示,在「選擇憑證」頁面中,選擇使用預設憑證或是安裝自訂的憑證。若是選擇自訂的憑證檔案,必須滿足以下四大準則要求才能正常使用,在此以「使用預設憑證」為例:

圖6  選擇憑證。

‧檔案應採用PEM編碼格式

‧應有一個分頁憑證對伺服器驗證有效

‧應包括鏈結中的所有CA憑證

‧伺服器憑證的私密金鑰包括在內,且長度至少為2,048位元。

如圖7所示,在「部署設定」頁面中,必須輸入此叢集主節點(Node)的名稱,以及指定所要連線的NTP伺服器位址。未來如果有繼續加入其他新的VMware Aria Operations節點至此叢集時,必須設定相同的NTP伺服器位址,例如tock.stdtime.gov.tw,按下〔下一步〕按鈕完成設定。

圖7  部署設定。

在「設定可用性」頁面中,便是提供給即將部署兩個以上節點的架構來使用,在此所提供的可用性模式分別有「高可用性」與「連續可用性」,前者可防止單一節點的故障,而後者則可以在結合見證主機的部署之下,防止多個節點故障時所導致資料遺失的風險。選擇完畢,按下〔下一步〕按鈕。

在「節點」頁面中,由於目前僅部署單一節點,並且也沒有使用可用性模式的配置,因此可以直接略過,按下〔下一步〕按鈕。在「即將完成」頁面中,可以查看到在目前部署的流程中已經完成初始設定。接下來,必須繼續完成啟動叢集,最後按下〔完成〕按鈕。

啟動VMware Aria Operations

在前面的介紹中,已經完成VMware Aria Operations的基本安裝與初始設定。接下來,將會開啟「系統狀態」頁面,如圖8所示,在此可以看到目前叢集狀態顯示「未開始」,主要原因是下方的叢集節點不在執行中。建議先啟用此節點的「SSH狀態」,再按下〔啟動VMware Aria Operations〕按鈕,這樣一來,往後便可透過SSH Client開啟遠端的命令管理模式。

圖8  檢視系統狀態。

執行之後將會開啟「確認第一次應用程式啟動」訊息頁面,其內容主要是提醒未來如果要在此叢集中添加更多節點,只需要在新節點的初始化選項設定中選擇「展開現有安裝」,即可加入此節點至現行的叢集中。

在啟動VMware Aria Operations叢集節點的過程中,有可能會發生啟動失敗的錯誤。至於導致失敗的原因,通常是與此虛擬機器所在的主機資源不足有關,如圖9所示便可以發現一旦主機摘要頁面中出現「主機記憶體使用」的警示,將可能直接導致叢集節點啟動失敗,此時只要先將該主機正常停機並添加更多記憶體,再嘗試啟動此叢集節點即可成功。

圖9  查看啟動失敗的原因。

在成功啟動叢集節點後,當再次回到登入頁面時,如圖10所示便會發現多了一個來源使用者類型的欄位,而該欄位預設便是使用「本機使用者」,未來若有進一步整合其他驗證來源,也將可以在此欄位進行挑選。

圖10  登入VMware Aria Operations管理網站。

請注意!當登入後使用者工作階段處於非作用中的30分鐘後,該工作階段將會逾時而被強制登出,此時使用者必須重新登入VMware Aria Operations網站。

當完成叢集節點的啟動並且再次登入網站後,只要再完成如圖11所示的產品授權相關設定,即可正式開始使用VMware Aria Operations。過程中只要依序完成接受EULA、輸入產品授權金鑰、顧客經驗改進計畫即可。

圖11  產品授權相關設定。

密碼、喜好設定與警示通知

過去筆者曾經介紹過許多監管系統,包括vSphere Client以及各種第三方的解決方案,這一類的系統只要在完成基本的安裝後,便須要優先完成密碼異動、喜好設定、警示通知等三項重要配置,以確保系統的使用安全與操作習慣。接著,才能正式開始使用各項功能,像是用戶權限管理、資料來源的連接、儀表板的配置、效能的監視、排程報告的設定、自動化處理流程的設定等等。

針對VMware Aria Operations監管系統,同樣也不例外,只要點選網站頁面右上方的人頭圖示,即可進一步點選「變更系統管理員密碼」來開啟「管理員設定」頁面。如圖12所示,在此只要依序完成目前的密碼、新密碼以及重新輸入密碼的設定,即可按下〔儲存〕按鈕。

圖12  變更系統管理員密碼。

在「變更系統管理員密碼」選項之下其實還有一個「密碼復原設定」,如圖13所示,此設定可以用來預防忘記密碼的窘境,因為只要預先設定好電子郵件、SMTP伺服器、連接埠、寄件者電子郵件、使用者名稱、密碼等資訊,並且透過〔測試〕按鈕執行檢查,即可在未來忘記密碼的時候,透過Email來重置登入密碼。

圖13  密碼復原設定。

接下來是每一位管理員在登入網站後,都可以自行定義的一項操作介面設定。先點選網站頁面右上方的人頭圖示,再點選「喜好設定」,即可開啟如圖14所示的頁面。在此可以自訂想要使用的色彩配置、介面語言、字型等設定。以筆者個人的喜好而言較喜歡使用「暗」的色彩配置,主要是因為在長時間的操作下眼睛較不會感到疲勞。至於介面語言的部分,可以考慮強制使用「正體字」,如此一來,即便使用了英文版本的作業系統與網頁瀏覽器,仍然可以自動使用繁體中文的VMware Aria Operations操作介面。

圖14  喜好設定。

在VMware Aria Operations管理網站的「疑難排解」選單中,有一個「警示」頁面可以查看到目前所有最新的各類警示通知,而對於這些警示訊息中所描述的問題一旦獲得解決,該警示便會自動從「警示」清單中消失。

只是警示發生的當下,管理者往往不在VMware Aria Operations管理網站上,因此容易延誤搶救警示問題的時間。為了避免再次發生遺漏重要警示的情境,建議開啟如圖15所示的「設定」→「警示」頁面,然後點選「輸出設定」選項,準備設定Email通知配置。

圖15  警示設定。

緊接著,在「輸出設定」頁面中按下〔新增〕按鈕,開啟「建立新的輸出執行個體」頁面。如圖16所示,在此先從「外掛程式類型」下拉選單中選取【標準電子郵件外掛程式】,再依序設定執行個體名稱、是否使用安全連線、是否需要驗證、SMTP主機、SMTP連接埠、安全連線類型、寄件者電子郵件地址、寄件者名稱、認證類型、收件者電子郵件地址。

圖16  建立新的輸出執行個體。

值得注意的是,在上述的各項欄位設定中,如果在所指定的SMTP主機配置中,已經直接設定允許VMware Aria Operations可轉發郵件(Mail Relay),那麼「使用安全連線」和「需要驗證」選項便無須勾選,而認證類型也可以選擇「無認證」即可,最後按下〔儲存〕按鈕。

完成上述有關於「標準電子郵件外掛程式」的輸出設定後,別忘了立即按下〔測試〕按鈕,確認所輸入的收件者電子郵件地址能夠正確收到一封如圖17所示的測試郵件,這樣一來便可以確保往後的各警示通知都能夠透過Email的方式及時接收。

圖17  Email通知測試。

關於VMware Aria Operations的輸出設定,不僅支援「標準電子郵件外掛程式」,針對不同IT管理需求的整合應用,還額外支援記錄檔、REST通知、網路共用、SNMP設陷、Webhook通知、Slack以及ServiceNow通知等外掛程式(Plugin)。

以Webhook通知的方式來說,如果目前的企業網路中有員工入口網站或是即時通訊的IM系統,便可以結合通知機器人的機制,將不同的訊息類型自動發送給相對的IT人員,例如當總公司的ESXi主機或虛擬機器出現警示時,藉由Webhook通知的整合,便只會讓總公司的相關IT人員接收到IM系統的警示通知。

新增雲端帳戶

所謂雲端帳戶的整合,便是設定要讓VMware Aria Operations監管的來源系統。在剛完成叢集節點的啟動並完成首次登入時,便可以在「首頁」中看到系統已提示「未設定任何帳戶」的訊息,此時只要點選「新增雲端帳戶」,便會開啟「帳戶類型」頁面,如圖18所示,目前支援的來源系統分別有vCenter、VMware Cloud on AWS、NSX、Microsoft Azure、Oracle Cloud VMware Solution、Ping。其中vCenter便是接下來所要實戰講解的部分,它同時也是所有企業IT選擇導入VMware Aria Operations系統的主要監管目標。

圖18  帳戶類型選擇。

如圖19所示,在「新增帳戶」頁面中,先完成輸入「名稱」與「說明」,由於名稱是用來管理大量來源系統時的識別名稱,因此若網路架構中有多台獨立的vCenter Server與各自獨立的SSO網域,便需要在此新增各自的連線帳戶,並且名稱最好是以SSO網域的命名來輸入,以便在管理的過程中可以快速識別。

圖19  新增帳戶。

緊接著,在此頁面下方的「vCenter」區域中,先輸入vCenter Server的連線位址,建議最好是輸入FQDN格式而不是IP位址,除了有利於未來管理上的快速識別外,萬一vCenter Server變更了IP位址,也不會造成VMware Aria Operations無法連線監管。

在「認證」欄位部分,由於這裡並沒有事先建立好認證設定,因此可以在這個欄位中直接點選〔+〕圖示來開啟「管理認證」頁面。如圖20所示,先輸入一個易於識別的「認證名稱」,再完成輸入SSO網域管理員使用者名稱與密碼,最後按下〔確定〕按鈕。

圖20  管理認證。

回到「與vCenter連線」頁面後,會發現剛剛新增的認證設定,已經自動在「認證」欄位中被選取了,未來凡是有認證設定需要配置,皆可以重複選取所建立的認證設定。按下〔新增〕按鈕,此時可能會出現如圖21所示的「檢閱並接受憑證」訊息提示,按下〔接受〕按鈕,表示信任vCenter Server的網站憑證。

圖21  檢閱並接受憑證。

儘管vSAN可以直接在vSphere Client網站進行管理,但對於VMware Aria Operations網站而言,卻可以決定是否要納入此vCenter連線管理的範圍中。如圖22所示,在將vSAN組態設定為「已啟用」後,可以決定是否要進一步啟用「使用其他認證」和「啟用SMART資料收集」。完成設定後,建議先按下〔驗證連線〕按鈕,確認通過連線的驗證後再按下〔儲存〕按鈕。

圖22  vSAN組態。

為了讓VMware Aria Operations從vSphere虛擬機器的探索過程中,收集到更完整的虛擬機器資訊,建議在「服務探索」頁面中,如圖23所示,一併啟用服務探索的設定,並將其中的「啟用應用程式探索」功能勾選,如此一來,未來便可以根據所要監控的服務來檢視基本度量,以及從服務探索儀表板來監控這些服務的運行狀態。最後,按下〔儲存〕按鈕。

圖23  服務探索。

目前服務探索基本支援的客體作業系統,Windows方面包括Windows 7、Windows Server 2008以及Windows Server 2008 R2以上版本。在Linux部分則分別有Photon、RHEL、CentOS、SUSE Linux Enterprise Server、OEL以及Ubuntu,以上這一些Linux作業系統都必須採用核心版本2.6.25或更新版本。

除了需要上述客體作業系統的支援外,虛擬機器本身所安裝的VMware Tools也必須是11.1以上版本、虛擬機器硬體9以上版本,至於vCenter Server與ESXi主機皆必須是7.0以上版本。

完成vCenter雲端帳戶的連接設定後,接著可以從儀表板的頁面中陸續查看到vCenter Server、ESXi主機、叢集、虛擬機器、儲存區相關的可持續性、可用性、效能以及容量等資訊。如圖24所示,則是針對vSAN叢集的個別詳細資訊檢視。

圖24  vSAN叢集監視摘要。

在此範例中,首先可以得知此叢集採用未加密的ESA儲存架構,並且已啟用延伸叢集的功能。接著,可以檢視其採用的空間效率以及目前ESXi主機、虛擬機器、儲存集區以及ESA磁碟的數量。

在「作用中警示」區域中,可以得知「嚴重」、「急迫」、「警告」以及「資訊」四個類別的警示數量。其中「嚴重」與「急迫」警示務必優先處理,因為這類的事件通常與資源不足、主機斷線、服務停止有關,進而可能直接影響像是vSAN叢集高可用性的正常運行。

接著,查看「剩餘時間」和「剩餘容量」資訊,剩餘時間是根據vSAN儲存區使用量的趨勢所計算而來,一旦出現紅色警示務必立即處理,否則可能導致後續相關的虛擬機器無法正常啟動,或是已啟用的檔案共用服務無法正常被存取等問題。至於處理的方法,除了可以擴增更多的實體儲存空間外,也可以從刪除不必要的虛擬機器、快照等方式來進行。

在「使用量」的資訊部分,可以得知可能影響儲存運行效能幾項數據,包括IOPS總計、輸送量總計、最大ESA磁碟IOPS等等。在「爭用」部分,則會查看到與vSAN網路、磁碟延遲以及儲存區錯誤相關的統計數據。除了前面所介紹的「摘要」頁面的資訊外,還可以分別在警示、度量、容量、符合性、記錄、詳細資料、環境以及報告頁面中,查看更多與此vSAN叢集整體運行的詳細資訊。

解決忘記admin帳戶密碼問題

在現今以雲架構的IT環境中,由於所需要管理的應用系統與服務相當多,因此若沒有做好SSO認證的整合,不僅一般用戶容易發生忘記密碼的問題,就連IT管理員本身也同樣會發生相同的窘境。

在剛完成VMware Aria Operations部署的初期,若沒有馬上建立第二組備用的管理員帳戶,那麼當發生忘記系統預設的admin帳戶密碼時,該怎麼辦呢?這時候可別慌張,因為只要按照以下步驟就可以立即重置密碼。首先登入vSphere Client網站並找到VMware Aria Operations虛擬機器節點,然後從「摘要」頁面中點選開啟「啟動REMOTE CONSOLE」或「啟動WEB主控台」,如圖25所示。

圖25  VMware Aria Operations虛擬機器。

接著,進入到虛擬機器的Guest OS操作介面中,開啟如圖26所示的命令提示登入頁面。在此以root帳號進行登入,由於此系統預設管理員帳號是第一次登入,因此系統會要求完成密碼設定。

圖26  root帳號首次登入。

緊接著,強烈建議如圖27所示依序輸入以下命令參數,啟用SSH服務功能,並立即完成啟動,如此一來,往後對於任何有關於VMware Aria Operations的命令操作需求,便可以改為經由SSH Client來遠端完成操作:

圖27  檢查並啟用sshd服務。

systemctl is-enabled sshd systemctl enable sshd systemctl start sshd

接下來,嘗試改以SSH Client來連線登入VMware Aria Operations系統,成功登入後,如圖28所示執行以下命令參數,即可完成admin密碼的重新設定:

圖28  重置admin帳戶密碼。

$VMWARE_PYTHON_BIN $VCOPS_ BASE/../vmware-vcopssuite/ utilities/sliceConfiguration/bin/ vcopsSetAdminPassword.py --reset

為了避免上述的窘境再度發生,最好的預防措施就是在admin帳戶首次登入時,立即建立好第二組備用的管理員帳戶,不過仍必須特別留意在密碼原則中的有效期間設定(預設=90天),否則可能會造成所有在同一時間裡建立的管理員帳戶皆因密碼過期問題而無法登入。

開啟「管理」→「存取控制」頁面,如圖29所示,可以發現目前僅有一個系統預設的admin管理員帳戶,按下〔新增〕按鈕繼續。

圖29  存取控制。

在「建立使用者帳戶」頁面中,先完成輸入使用者名稱、密碼以及確認密碼,其中密碼預設的強度要求分別有長度下限是8個字元、歷程記錄計數是3次、必須包含數字、不得與使用者名稱一致、必須包含至少一個大寫字母和一個小寫字母、必須包含特殊字元。

緊接著,決定是否勾選「下次登入需要變更密碼」選項。一般而言,如果此新帳戶是要給另一位IT管理員來使用,那麼通常就會勾選此設定。未來如果此IT管理員留職停薪或調離職務,則可以在此勾選「停用此使用者」設定。而「名字」和「姓氏」欄位,建議輸入中文姓名以利於識別。在「電子郵件地址」欄位中務必正確輸入,這樣後續的維運過程中便可以接收到由系統所發送的各類通知,例如重大警示通知、報告等等。

最後,記得一定要設定「指派角色和範圍」,否則無法登入系統以及查看詳細目錄。如圖30所示,在此選定的「管理員」角色以及「所有物件」範圍,這表示後續此帳號的登入將可以監管所有物件的運行與配置,如果只想要賦予該名管理員僅能唯讀檢視,而無法修改任何配置,那麼可以改指派「ReadOnly」角色。至於「指派使用者群組」,可以選擇性設定,最後按下〔儲存〕按鈕。

圖30  指派角色和範圍。

為了確保所有管理員帳戶的使用安全,建議進一步開啟「使用者存取」設定頁面。先分別決定帳戶鎖定、密碼強度、密碼變更三大原則的啟用與否。一旦確認皆已啟用後,便可以開始繼續完成細部的參數設定,例如設定帳戶鎖定前登入失敗的次數、自動解除鎖定的時間、密碼長度與複雜度、密碼到期間隔天數等等。必須注意的是,這三大原則的配置若有進行修改,都必須個別進行儲存。

<本文作者:顧武雄,Microsoft MVP 2004-2016、MCITP與MCTS認證專家、台灣微軟Technet、TechDays、Webcast、MVA特約資深顧問講師、VMware vExpert 2016-217、IBM Unified Communications/Notes/Domino/Connections Certified。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!