Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
VMware Inventory Service nicht authentifiziert
-
- Profi
- Beiträge: 778
- Registriert: 17.10.2007, 14:01
- Wohnort: Meppen
VMware Inventory Service nicht authentifiziert
Hallo beisammen,
ich habe heute einmal versucht die Weboberfläche von VMWare seit der umstellung auf 2008 Server in betrieb zu nehmen.
Dabei habe ich jedpoch folgendes Problem.
Wenn ich mich mit dem User "administrator@vsphere.local" anmelde, funktioniert alles gut. Melde ich mich jetzt mit einem Domänenbenutzer an, erhalte ich folgende meldung: "Der Client ist nicht beim VMware Inventory Service authentifiziert - <url>"
Ich habe bereits überprüft, dass der Inventorie Dienst gestartet ist.
ich habe heute einmal versucht die Weboberfläche von VMWare seit der umstellung auf 2008 Server in betrieb zu nehmen.
Dabei habe ich jedpoch folgendes Problem.
Wenn ich mich mit dem User "administrator@vsphere.local" anmelde, funktioniert alles gut. Melde ich mich jetzt mit einem Domänenbenutzer an, erhalte ich folgende meldung: "Der Client ist nicht beim VMware Inventory Service authentifiziert - <url>"
Ich habe bereits überprüft, dass der Inventorie Dienst gestartet ist.
-
- King of the Hill
- Beiträge: 13631
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Die VMware-Meldung besagt doch eindeutig, daß dein Domänenbenutzer beim Inventory-Dienst noch nicht authentifiziert ist. Wenn der Dienst nicht gestartet wäre, bekommst du auch eine andere Fehlermeldung.
Vor vSphere5.5.0a ist bei Gruppennamen die Groß- und Kleinschreibung zu beachten. Wenn zwischen dem Active Directory-Gruppennamen und dem Gruppennamen in der vCenter Server-Liste der Berechtigungen eine Inkonsistenz bei der Groß-/Kleinschreibung vorliegt, können die Benutzer dieser Gruppe sich bei Inventory Service nicht über SSO anmelden.
Welche vSphere-Version läuft bei dir?
Vor vSphere5.5.0a ist bei Gruppennamen die Groß- und Kleinschreibung zu beachten. Wenn zwischen dem Active Directory-Gruppennamen und dem Gruppennamen in der vCenter Server-Liste der Berechtigungen eine Inkonsistenz bei der Groß-/Kleinschreibung vorliegt, können die Benutzer dieser Gruppe sich bei Inventory Service nicht über SSO anmelden.
Welche vSphere-Version läuft bei dir?
-
- Member
- Beiträge: 359
- Registriert: 28.11.2011, 09:46
-
- Profi
- Beiträge: 778
- Registriert: 17.10.2007, 14:01
- Wohnort: Meppen
Es läuft vShpare 5.5.
Eine Identitätsquelle für jede Domäne ist vorhanden! Trotzdem kann sich kein Domänenmitglied über den Webclient anmelden. Über vSphere geht es!
PS: Das vCenter ist ein Windows
Edit1:
Ich habe eine Vermutung, das es mit DNS zusammenhängt.
Wenn ich den FQDN der Fehlermeldung, das der Inventoryservice nicht erreichbar ist, über Telnet oder im Browser probiere, klappt dies nicht. SObald ich den FQDN durch die IP ersetze, meldet sich eine Webseite mit BadRequest.
Kann es an der Namensauflösung liegen?
Eine Identitätsquelle für jede Domäne ist vorhanden! Trotzdem kann sich kein Domänenmitglied über den Webclient anmelden. Über vSphere geht es!
PS: Das vCenter ist ein Windows
Edit1:
Ich habe eine Vermutung, das es mit DNS zusammenhängt.
Wenn ich den FQDN der Fehlermeldung, das der Inventoryservice nicht erreichbar ist, über Telnet oder im Browser probiere, klappt dies nicht. SObald ich den FQDN durch die IP ersetze, meldet sich eine Webseite mit BadRequest.
Kann es an der Namensauflösung liegen?
-
- Profi
- Beiträge: 778
- Registriert: 17.10.2007, 14:01
- Wohnort: Meppen
Ich glaube ich bin dem Fehler auf die Spur gekommen, weiß aber nicht genau wie ich ihn beheben kann.
Ich habe mich einmal versucht übder vSphere wie folgt anzumelden "domain\benutzer".
Selbst dies geht nicht, angeblich ist der Benutzername oder das Passwort falsch. Das dies nicht geht, ist mir nicht aufgefallen, da immer die Funktion "Windows-Sitzungsanmeldedaten verwenden" genutzt wird.
Woran kanne s liegen, das die eingabe nicht klappt?
Edit1:
Der Server hat 2 Identitätsquellen, einmal über den Server 2008 (Domäne des Servers) und eine weitere SSO.
Über die erste Quelle (2008) klappt auch das Anmelden über "domain\benutzer" über die zweite SSO Quelle nicht!
Ich habe mich einmal versucht übder vSphere wie folgt anzumelden "domain\benutzer".
Selbst dies geht nicht, angeblich ist der Benutzername oder das Passwort falsch. Das dies nicht geht, ist mir nicht aufgefallen, da immer die Funktion "Windows-Sitzungsanmeldedaten verwenden" genutzt wird.
Woran kanne s liegen, das die eingabe nicht klappt?
Edit1:
Der Server hat 2 Identitätsquellen, einmal über den Server 2008 (Domäne des Servers) und eine weitere SSO.
Über die erste Quelle (2008) klappt auch das Anmelden über "domain\benutzer" über die zweite SSO Quelle nicht!
-
- Profi
- Beiträge: 778
- Registriert: 17.10.2007, 14:01
- Wohnort: Meppen
Okay, nochmal von vorne, mittlerweile hat sich am Testaufbau auch was geändert.
Ich habe 3 Identitätsquellen: vsphere.local, domäne1, domäne2
Domäne1 ist die Domäne des vCenters (Windows 2008) und besitzt einen Trust in Domäne2.
Domäne 2 ist eine hinzugefügte SSO Quelle, da ich zwar in Windows Nutzer von Domäne 1 und 2 sehe, ohne die SSO Quelle allerdings in vSphere nur Nutzer der Domäne 1.
Wenn ich mich versuche über vSphere anzumelden geht dies über den Haken: "Windows-Sitzungsanmeldung verwenden" mit allen Domänen. Gebe ich jedoch dein namen händisch ein, habe ich folgendes Muster.
domäne1/Benutzer --> Funktioniert
domäne2/Benutzer --> Passwort oder Nutzername falsch
lokale --> Funktioniert
Über den Webservice erhalte ich das selbe Bild.
Ich habe 3 Identitätsquellen: vsphere.local, domäne1, domäne2
Domäne1 ist die Domäne des vCenters (Windows 2008) und besitzt einen Trust in Domäne2.
Domäne 2 ist eine hinzugefügte SSO Quelle, da ich zwar in Windows Nutzer von Domäne 1 und 2 sehe, ohne die SSO Quelle allerdings in vSphere nur Nutzer der Domäne 1.
Wenn ich mich versuche über vSphere anzumelden geht dies über den Haken: "Windows-Sitzungsanmeldung verwenden" mit allen Domänen. Gebe ich jedoch dein namen händisch ein, habe ich folgendes Muster.
domäne1/Benutzer --> Funktioniert
domäne2/Benutzer --> Passwort oder Nutzername falsch
lokale --> Funktioniert
Über den Webservice erhalte ich das selbe Bild.
-
- Member
- Beiträge: 100
- Registriert: 07.11.2011, 15:18
- Wohnort: Salzburg
Welchen Authentication Type verwendest du?
Wir hatten da zu Beginn mal ein ähnliches Problem. Denn standardmäßig verwendet der SSO den Type "Reuse Session". Bei uns wars dann so, dass es manchmal funktionierte, machmal nicht. Dann gab es Probleme mit dem Inventory Service, welcher auch nur sporadisch mal funktionieren wollte. Merkt man sobald die Objektsuche im vshere-Client verwendet wird. Noch so ein Phänomen war, dass die Passthrough Authentication nicht funktionieren wollte. Weder im Webclient noch im C# Client.
Stellt man den Authentication Type auf "Password" und gibt einen Domain user und Passwort an (bei uns ein eigener Serviceuser für alles was vmware braucht) funktioniert alles wunderbar.
Willst du dich auch ohne Domainprefix mit einem Domainuser anmelden muss deine Domain2 als Default Domain ganz oben stehen in der Liste unter deinen Identitätsquellen.
Wir hatten da zu Beginn mal ein ähnliches Problem. Denn standardmäßig verwendet der SSO den Type "Reuse Session". Bei uns wars dann so, dass es manchmal funktionierte, machmal nicht. Dann gab es Probleme mit dem Inventory Service, welcher auch nur sporadisch mal funktionieren wollte. Merkt man sobald die Objektsuche im vshere-Client verwendet wird. Noch so ein Phänomen war, dass die Passthrough Authentication nicht funktionieren wollte. Weder im Webclient noch im C# Client.
Stellt man den Authentication Type auf "Password" und gibt einen Domain user und Passwort an (bei uns ein eigener Serviceuser für alles was vmware braucht) funktioniert alles wunderbar.
Willst du dich auch ohne Domainprefix mit einem Domainuser anmelden muss deine Domain2 als Default Domain ganz oben stehen in der Liste unter deinen Identitätsquellen.
-
- Profi
- Beiträge: 778
- Registriert: 17.10.2007, 14:01
- Wohnort: Meppen
-
- Member
- Beiträge: 100
- Registriert: 07.11.2011, 15:18
- Wohnort: Salzburg
-
- Profi
- Beiträge: 778
- Registriert: 17.10.2007, 14:01
- Wohnort: Meppen
Das komische ist ja, wenn ich "Windows-Sitzungsanmeldedaten verwende" anhake, kann ich mich ja Verbinden.
Meine Basiseinstellung ist: DC=yyyy,DC=xxxxx,DC=net
Diese nutze ich für Gruppen und nutzer. Ich habe leider keinen Einblick in das AD, somit kann ich nicht sagen ob dies 100%tig richtig ist. Dennoch ist es die einzige Einstellung, die VMWare beim verbindungstest als richtig ausgibt. Weiterhin sehe ich alle Nutzer, wenn Berechtigungen vergeben möchte.
Meine Basiseinstellung ist: DC=yyyy,DC=xxxxx,DC=net
Diese nutze ich für Gruppen und nutzer. Ich habe leider keinen Einblick in das AD, somit kann ich nicht sagen ob dies 100%tig richtig ist. Dennoch ist es die einzige Einstellung, die VMWare beim verbindungstest als richtig ausgibt. Weiterhin sehe ich alle Nutzer, wenn Berechtigungen vergeben möchte.
-
- Profi
- Beiträge: 778
- Registriert: 17.10.2007, 14:01
- Wohnort: Meppen
Ich habe nochmal versucht die Ausgangssituation zu vereinfachen und habe alle Benutzer und die Identitätsquelle der Domäne1 entfernt (Funktionierende Domäne).
Nun ist nur noch Domäne 2 als mögliche Quelle + lokal. Nachdem ich alle Nutzer hinzugefügt habe, taucht der selbe Fehler wieder auf, obwohl es nur noch eine Domäne gibt.
Bin derzeit auf der Suche nach den Anforderungen an den lesenden Benutzer der SSO. Finde jedoch nichts dazu. Hat wer Informationen dazu?
Nun ist nur noch Domäne 2 als mögliche Quelle + lokal. Nachdem ich alle Nutzer hinzugefügt habe, taucht der selbe Fehler wieder auf, obwohl es nur noch eine Domäne gibt.
Bin derzeit auf der Suche nach den Anforderungen an den lesenden Benutzer der SSO. Finde jedoch nichts dazu. Hat wer Informationen dazu?
-
- Member
- Beiträge: 359
- Registriert: 28.11.2011, 09:46
Er hat die 5.5, weil im ersten Post heisst es u.a.Administrator@vphere.local. Ich kann die Probleme nicht nachvollziehen. Die VCSA ist flugs aufgesetzt, alles intern, incl. SSO. Man muss nur beachten, dass z.b. Teile der Berechtigungen nur der o.g. User einrichten kann. Berechtigungsprobleme gibt es auch, wenn der PC in Domäne 1 angemeldet ist und über Webclient eine Anmeldung mit Dmäne2\user erfolgt.
-
- Profi
- Beiträge: 778
- Registriert: 17.10.2007, 14:01
- Wohnort: Meppen
Hallo,
ja ich habe die 5.5 Version. Der Server ist frisch aufgesetzt, da wir vorher auf den Appliance gesetzt haben.
@weigeltchen:
Im einsatz befindet sich nicht die vCSA, sondern ein 2008 Server. Doch dieser war auch problemfrei, durch den Installier zu installieren.
Es macht eben nur eine von 2 SSO Quellen probleme.
@Dayworker:
Das komische ist, wir hatten keine Probleme mit der 5.1er Version mit SSO, obwohl es einfacher sein soll.
ja ich habe die 5.5 Version. Der Server ist frisch aufgesetzt, da wir vorher auf den Appliance gesetzt haben.
@weigeltchen:
Im einsatz befindet sich nicht die vCSA, sondern ein 2008 Server. Doch dieser war auch problemfrei, durch den Installier zu installieren.
Es macht eben nur eine von 2 SSO Quellen probleme.
@Dayworker:
Das komische ist, wir hatten keine Probleme mit der 5.1er Version mit SSO, obwohl es einfacher sein soll.
-
- Profi
- Beiträge: 778
- Registriert: 17.10.2007, 14:01
- Wohnort: Meppen
Ich habe vielleicht einen Ansatzpunkt gefunden, warum die Authentifizierung an nmur einer Domäne nicht möglich ist.
http://kb.vmware.com/selfservice/micros ... Id=2037546
Hat sich bisher bereits jemand von euch mit so einem Problem befasst?
http://kb.vmware.com/selfservice/micros ... Id=2037546
Hat sich bisher bereits jemand von euch mit so einem Problem befasst?
Zurück zu „vCenter / VMware VirtualCenter“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast