VMware-Forum

Hallo beisammen,

ich habe heute einmal versucht die Weboberfläche von VMWare seit der umstellung auf 2008 Server in betrieb zu nehmen.

Dabei habe ich jedpoch folgendes Problem.
Wenn ich mich mit dem User "administrator@vsphere.local" anmelde, funktioniert alles gut. Melde ich mich jetzt mit einem Domänenbenutzer an, erhalte ich folgende meldung: "Der Client ist nicht beim VMware Inventory Service authentifiziert - <url>"

Ich habe bereits überprüft, dass der Inventorie Dienst gestartet ist.

Die VMware-Meldung besagt doch eindeutig, daß dein Domänenbenutzer beim Inventory-Dienst noch nicht authentifiziert ist. Wenn der Dienst nicht gestartet wäre, bekommst du auch eine andere Fehlermeldung.

Vor vSphere5.5.0a ist bei Gruppennamen die Groß- und Kleinschreibung zu beachten. Wenn zwischen dem Active Directory-Gruppennamen und dem Gruppennamen in der vCenter Server-Liste der Berechtigungen eine Inkonsistenz bei der Groß-/Kleinschreibung vorliegt, können die Benutzer dieser Gruppe sich bei Inventory Service nicht über SSO anmelden.
Welche vSphere-Version läuft bei dir?

Das vCenter als Windows-Rechner oder als VCSA?

Kann es sein das du dein AD noch nicht als Identifikationsquelle dem SSO bekannt gemacht hast?

Der vSphere WebClient ist aktuell das einzige Produkt welches den InventoryService verwendet.

Gruss
Joerg

Es läuft vShpare 5.5.
Eine Identitätsquelle für jede Domäne ist vorhanden! Trotzdem kann sich kein Domänenmitglied über den Webclient anmelden. Über vSphere geht es!

PS: Das vCenter ist ein Windows

Edit1:
Ich habe eine Vermutung, das es mit DNS zusammenhängt.
Wenn ich den FQDN der Fehlermeldung, das der Inventoryservice nicht erreichbar ist, über Telnet oder im Browser probiere, klappt dies nicht. SObald ich den FQDN durch die IP ersetze, meldet sich eine Webseite mit BadRequest.

Kann es an der Namensauflösung liegen?

Ich glaube ich bin dem Fehler auf die Spur gekommen, weiß aber nicht genau wie ich ihn beheben kann.

Ich habe mich einmal versucht übder vSphere wie folgt anzumelden "domain\benutzer".
Selbst dies geht nicht, angeblich ist der Benutzername oder das Passwort falsch. Das dies nicht geht, ist mir nicht aufgefallen, da immer die Funktion "Windows-Sitzungsanmeldedaten verwenden" genutzt wird.

Woran kanne s liegen, das die eingabe nicht klappt?

Edit1:
Der Server hat 2 Identitätsquellen, einmal über den Server 2008 (Domäne des Servers) und eine weitere SSO.
Über die erste Quelle (2008) klappt auch das Anmelden über "domain\benutzer" über die zweite SSO Quelle nicht!

Benenne bitte mal konkret die Gruppe un den Benutzer den du verwendest. Sind die Gruppen/ Benutzer evtl. verschachtelt? Schau dir mal KB2059528 an.

Okay, nochmal von vorne, mittlerweile hat sich am Testaufbau auch was geändert.

Ich habe 3 Identitätsquellen: vsphere.local, domäne1, domäne2



Domäne1 ist die Domäne des vCenters (Windows 2008) und besitzt einen Trust in Domäne2.
Domäne 2 ist eine hinzugefügte SSO Quelle, da ich zwar in Windows Nutzer von Domäne 1 und 2 sehe, ohne die SSO Quelle allerdings in vSphere nur Nutzer der Domäne 1.

Wenn ich mich versuche über vSphere anzumelden geht dies über den Haken: "Windows-Sitzungsanmeldung verwenden" mit allen Domänen. Gebe ich jedoch dein namen händisch ein, habe ich folgendes Muster.
domäne1/Benutzer --> Funktioniert
domäne2/Benutzer --> Passwort oder Nutzername falsch
lokale --> Funktioniert

Über den Webservice erhalte ich das selbe Bild.

Welchen Authentication Type verwendest du?
Wir hatten da zu Beginn mal ein ähnliches Problem. Denn standardmäßig verwendet der SSO den Type "Reuse Session". Bei uns wars dann so, dass es manchmal funktionierte, machmal nicht. Dann gab es Probleme mit dem Inventory Service, welcher auch nur sporadisch mal funktionieren wollte. Merkt man sobald die Objektsuche im vshere-Client verwendet wird. Noch so ein Phänomen war, dass die Passthrough Authentication nicht funktionieren wollte. Weder im Webclient noch im C# Client.

Stellt man den Authentication Type auf "Password" und gibt einen Domain user und Passwort an (bei uns ein eigener Serviceuser für alles was vmware braucht) funktioniert alles wunderbar.

Willst du dich auch ohne Domainprefix mit einem Domainuser anmelden muss deine Domain2 als Default Domain ganz oben stehen in der Liste unter deinen Identitätsquellen.

Ich habe nun einmal beide Identitätsquellen gelöscht und verwende für jede Domäne nun einen Benutzer mit Kennwort. Hoffe das was gemeint?!

Allerdings bekomme ich den selben Fehler!

Jo genau das meinte ich.

Hmm...
Dann könntes eventuell noch an den BaseDN-Einstellungen liegen. Wie hast du die gesetzt? Was auch gerne passiert ist, man schränkt auf eine bestimmte OU ein und versucht sich dann mit einem User anzumelden welcher sich außerhalb dieser OU-Struktur befindet.

Das komische ist ja, wenn ich "Windows-Sitzungsanmeldedaten verwende" anhake, kann ich mich ja Verbinden.

Meine Basiseinstellung ist: DC=yyyy,DC=xxxxx,DC=net
Diese nutze ich für Gruppen und nutzer. Ich habe leider keinen Einblick in das AD, somit kann ich nicht sagen ob dies 100%tig richtig ist. Dennoch ist es die einzige Einstellung, die VMWare beim verbindungstest als richtig ausgibt. Weiterhin sehe ich alle Nutzer, wenn Berechtigungen vergeben möchte.

Ich habe nochmal versucht die Ausgangssituation zu vereinfachen und habe alle Benutzer und die Identitätsquelle der Domäne1 entfernt (Funktionierende Domäne).

Nun ist nur noch Domäne 2 als mögliche Quelle + lokal. Nachdem ich alle Nutzer hinzugefügt habe, taucht der selbe Fehler wieder auf, obwohl es nur noch eine Domäne gibt.

Bin derzeit auf der Suche nach den Anforderungen an den lesenden Benutzer der SSO. Finde jedoch nichts dazu. Hat wer Informationen dazu?

Es würde vermutlich ungemein weiterhelfen, wenn du uns deine vSphere-Version mitteilen würdest. Gerade im Bereich SSO hat VMware bei 5.5 einiges verändert und SSO soll jetzt auch einfacher einzurichten sein.

Er hat die 5.5, weil im ersten Post heisst es u.a.Administrator@vphere.local. Ich kann die Probleme nicht nachvollziehen. Die VCSA ist flugs aufgesetzt, alles intern, incl. SSO. Man muss nur beachten, dass z.b. Teile der Berechtigungen nur der o.g. User einrichten kann. Berechtigungsprobleme gibt es auch, wenn der PC in Domäne 1 angemeldet ist und über Webclient eine Anmeldung mit Dmäne2\user erfolgt.

Hallo,

ja ich habe die 5.5 Version. Der Server ist frisch aufgesetzt, da wir vorher auf den Appliance gesetzt haben.

@weigeltchen:
Im einsatz befindet sich nicht die vCSA, sondern ein 2008 Server. Doch dieser war auch problemfrei, durch den Installier zu installieren.
Es macht eben nur eine von 2 SSO Quellen probleme.

@Dayworker:
Das komische ist, wir hatten keine Probleme mit der 5.1er Version mit SSO, obwohl es einfacher sein soll.

Ich habe vielleicht einen Ansatzpunkt gefunden, warum die Authentifizierung an nmur einer Domäne nicht möglich ist.

http://kb.vmware.com/selfservice/micros ... Id=2037546

Hat sich bisher bereits jemand von euch mit so einem Problem befasst?