Erstes Login bei vSpare Server Logindaten fehlen

[R1100]

Hallo Zusammen,

das Problem vorab: Die Getting Started Page lässt sich nicht über die Domain und Passwort anmelden.

das sind meine erste Gehversuche mit den VMWare Server und Co.
Eingekauft habe ich vSphere Essentials. Der ESXi ist installiert und ich konnte einige VMs von der Workstation Pro exportieren und importieren. Die VMs laufen und ich kann damit arbeiten. Der produktive Teil ist damit erledigt und lief zu meiner Überraschung völlig Stressfrei.

Anschließend habe ich habe ich VMware vCenter Server 7.0U3a über die GUI installiert. Die Installation lief problemfrei. Beim Setup habe eine Domain angegeben server.meinefirma.de (meinefirma den echten Namen verwendet) Dazu auch das Passwort welches ich mir sicher notiert habe. Während der Installation habe ich zwei URLs bekommen:
https://10.100.30.14:5480 Hier kann ich mich mit dem User root und dessen Passwort welches für den ESXi verwende, anmelden.
https://10.100.30.14:443 Hier geht es auf die Getting Started Page. Diese hier verlangt eine Domain und ein Passwort. Beides haben ich angegeben. Wie gesagt, die neu angelegte Domain aus dem Setup server.meinefirma.de. Das funkt leider nicht, auch nicht root und dessen Passwort.

Hat jemand eine Idee? Ansonsten habe ich noch keine User angelegt und sonst irgend ein Blödsinn gemacht.

Gruß Kostas

[irix]

Die VCSA nun bitte löschen und neuinstallieren. Du darfst alles machen nur nicht deine Domain nehmen. Ich schreibe später was dazu da unterwegs.

[irix]

Der default Benutzer am vCenter lautet Administrator@vsphere.local oder wie deine SSO domäne heißt. Wenn du dein AD als Namen genommen hast dann bitte Neuinstallation.

[R1100]

Perfekt, es hat funktioniert.

ich muss administrator@server.meinefirma.de und das root Passwort vom ESXi verwenden.

Bei der Installation von VMware vCenter Server 7.0U3a musste ich eine Domain festlegen und ein Passwort hinterlegen. Hierfür habe ich ein andere verwendet. Wird vermutlich wo anders benötigt.

Zu deiner Sorge ob ich die Domain meines DC verwendet habe, nein. Der DC wird noch aufgebaut und bekommt einen anderen Namen anstelle von server.meinefirma.de wird die Domain des DC intern.meinefirma.de benannt.

Ich habe ein wildcard SSL Zertifikat für die Webseite *.meinefirma.de. Dieses Zertifikat soll auch dem den ESXi, den DC, Exchange und sonstige Server verwendet werden. Ob das alles so funktioniert wird sich zeigen.
Meine ersten Versuche das Zertifikat in den ESXi zu importieren hat natürlich nicht funktioniert. Ich habe im Forum einige Berichte gelesen dass in dem PEM File die Zertifikat Dateien in einer bestimmten Reihenfolge kopiert werden müssen, habe ich jedoch nicht ausprobiert. Ich muss mich da noch etwas befassen damit. Ich mache das alles nebenbei und muss auch produktiv arbeiten.

Besten Dank und einen schönen Tag.
Gruß Kostas

[irix]

1. Die VCSA supportet kein Wildcard (*) Zertifikat und das hat noch nicht mal was mit dem Sicherheitsproblem beim Einsatz der * Zerts zutun.
2. Ich kann jedem nur anraten die bei der Installation anzugebende SSO Domain auf "vsphere.local" auszustellen und nichts anderes zu nehmen. Eine vSphere VCSA installiert IMMER einen eigenen Verzeichnisdienst mit da dieser intern verwendet wird(kann spaeter auch nicht umbenannt werden)
3. Sollte die gewaehlte SSO Domain Namensbestandteile einer im weiteren verlauf anzubindenen Identifikationsquelle (Dem vorhandenen Windows AD z.b) enthalten dann schlaegt das dann fehl bzw. wird nicht funktionieren


Sowohl im VAMI (der "root") als auch der SSO Admin haben per Default ein Ablaufdatum aktiviert und das solltest du ausschalten.

Gruss
Joerg

[R1100]

Hallo Jörg,

oh je, ich dachte ich verwende eine Domain für die man auch ein Zertifikat über eine Zertifizierungsstelle bekommen kann. Für ".local" kann keine Zertifizierungsstelle eines erzeugen. Vermutlich habe ich das komplett missverstanden. Ist es so dass man eine eigene Zertifizierungsstelle einrichten muss um selbst ein Zertifikat zu erzeugen?

Eigentlich dachte ich, ich habe eine Verwaltungsportal für den ESXi eingerichtet. Nach dem Anmeldung sagt er dass die Lizenz abgelaufen ist und ich sehe auch keine VMs die ich dem ESXi eingerichtet wurden. Der ESXi ist übrigens auf 10.100.30.13 am laufen und das Verwaltungsportal auf 10.200.30.14. Da alles noch recht frisch ist, kann ich auch alles wieder platt machen, ist nur Arbeit und schaden tut mir das auch nicht vom Lerneffekt her.
Gruß Kostas

[irix]

Stop!

Der gewuenschte FQDN hat nichts mit der SSO Domain zu tun. Wenn deine VCSA heissen soll vcsa.meinefirma.de dann kannst du das bei der Installation so angeben und unter bestimmen Voraussetzungen spaeter sogar noch aendern.

Die SSO Domain heist dann trotzem vsphere.local oder foo.bar aber auf keinen Fall wie eine der zu einem spaeteren Zeitpunkt einzubindenden Installationsquellen.


Eine VCSA bringt eine eigene CA mit. Die RootCA und das VCSA Zert kannst du herunterladen da unten rechts auf der Startseite und in deinem Zertifikatsspeicher importieren und dann gibts auch keine Warnmeldungen im Browser mehr. Man kann auch eine Zwischen CA irgendwie draus machen wenn man eine eigene RootCA hat.

Nur wer aktuell keine Probleme hat oder viel Langeweile der tauscht zum Spass die Zerts eine VCSA/ESXi aus.

Gruss
Joerg

[irix]

Verwaltungsportal für den ESXi eingerichtet. Nach dem Anmeldung sagt er dass die Lizenz abgelaufen ist und ich sehe auch keine VMs die ich dem ESXi eingerichtet wurden. Der ESXi ist übrigens auf 10.100.30.13 am laufen und das Verwaltungsportal auf 10.200.30.14. Da alles noch recht frisch ist, kann ich auch alles wieder platt machen, ist nur Arbeit und schaden tut mir das auch nicht vom Lerneffekt her.
Gruß Kostas

Die Meldung richtig lesen.... er sagt nicht das sie abgelaufen ist sondern das sie ablaeuft weil aktuell nach der Installation ist die VCSA im Eval Mode welcher 60 Tage laeuft.
Nach der Installation kommt die Konfiguration und da ist ein kleiner Teil seine Lizenzen zu hinterlegen und den Assets zuzuweisen.

Nun hab ich ein DejaVu. Sagten wir nicht neulich schon das ein vCenter nicht wissen kann welche ESXi Hosts es managen soll und es nicht zwingend ist das die VCSA auf einem ihr bekannten ESXi laeuft?

Ergo erstelle ein DataCenter Objekt und dort kannst du dann Hosts hinzufuegen und dann kannst du das vCenter verwenden um deine/deinen ESXi Host zu verwalten.

Gruss
Joerg

[R1100]

Jörg, du bis zu schnell für mich.
Ich bin noch auf der Suche wo ich das Zertifikat downloaden kann.
Du schreibst, auf der Startseite. Ich habe drei
-der ESXi Server auf dem ich auch die VM am laufen habe. Da sehe ich nix. Unter Verwaltung/Zertifikate kann ich das Zertifikat importieren.
-cSphere Client auch alles durchgeschaut, finde nix.
-vCenter Server-Verwaltung aus alles durchgeklickt, auch nix.

----
Bezüglich SSO: in der vCenter Server-Verwaltung steht bei Sigle Sign-On Domäne: die Domain die ich eingetragen habe bei der Installation "server.meinefirma.de" Wenn ich dich jetzt richtig verstanden habe, ist das ok.

----
DataCenter Objekt angelegt, den ESXi ausgewählt und schon sehe ich mein DataStore und dessen VMs.
Die Lizenz hat er auch importiert.
Der Kandidat hat 100 Punkte.

[irix]

Die Startseite ist https://vcsa:443 da wo oben Links der blaue Anmelde Button ist findet man runten Rechts ein paar Links und einer davon ist RootCA Zerts. Da es die CA des VCSA ist scheidet der ESXi schon mal aus und du hast nur noch 2

Zum SSO... nein finde "server.meinefirma.de" nicht OK da komisch und nicht Standard.

Da es volle 100 Punkte sind... er hat die Lizenz des ESXi importiert. Das aendert nichts an der Warnung von vorher weil die bezog sich auf das vCenter Asset und das must du immer noch hinzufuegen und zuweisen da vCenter einen anderen Key hat als dein ESXi. In deiner Lizenzmail sind 2 Keys gelistet.

Gruss
Joerg

[R1100]

Bingo,

jetzt habe ich zwei Lizenzen
1x vSphere 7 Essentials (Zustand: zugewiesen)
1x vCenter Server 7 Essentials (Zustand: nicht zugewiesen) Ich soll ein Assert zuweisen...
[Edit] Asset zugewiesen. Jetzt sind beide zugewiesen!.


-----------------
Dir gefällt meine schöner Domainname nicht, na gut dann versuche ich ihn zu ändern in vcsa.meinefirma.de?
im vSphere Client/Single Sign-On /Indentitätsquellen kann ich die Domain auswählen aber nicht bearbeiten. Muss ich vorher auf "Als Standard festlegen" darunter gibt es einen weiteren Eintrag Lokales Betriebssystem(Standard)

----------------
Das Zip File mit den Zertifikaten habe ich jetzt auch heruntergeladen. Das Label war zu groß und zu deutlich. Deshalb habe ich es übersehen.
Der ESXi ist nun beleidigt und meint, die Zertifikate werden nun von vcsa verwaltet.
Unter vSpere Client/Zertifikatverwaltung gibt es einen Punkt Root-Zertifikat hinzufügen. Das ausgewählte Zertifikat aus dem Zip akzeptiert er nicht. Sicherlich muss ich es an einer anderen Stelle importieren oder?
Danach habe ich im Windows Explorer rechtsklick auf das Zertifikat /Zertifikat Installieren geklickt da ich vermutet habe es unter Windows installieren zu müssen. Browser neu geöffnet und bringt wieder die Meldung.

[Edit-2] HALT>>> Zertifikat muss über den Explorer installiert werden. jedoch NICHT die Option verwenden "Zertifikatspeicher automatisch wählen" sondern Durchsuchen und "Vertrauenswürdige Stammzertifizierungsstelle" auswählen dann funkt es.

[irix]

Kein "Assert" sondern Asset.... die Schaltflaeche im vSphere Client heist doch auch so.

Nein ich glaube wir reden immer noch an einander vorbei bzw. du weist nicht was mit FQHN, SSO Domain oder AD Domain gemeint ist weil ich stoere mich nicht an vcsa.meinefirma.de als FQHN fuer die VCSA, sondern an der SSO Domain "server.meinefirma.de" weil das ware dann schon ein Subdomain. Die SSO Domain sollte meinefirma.de sein. (Sofern du ausschliessen kannst das du nie einen gleichnamigen weiteren andere Verzeichnisdienst anbinden willst.) Aber irgendwie hab ich es nun schon 4x geschrieben. Das meinefirma.de wuerde aber Kollidieren mit deinem geplanten Windows AD "intern.meinefirma.de".

Die VCSA kann mehrere Identifikationsquellen einbinden. Per Default sind 2 schon da und das ist localOS und die SSO domain(vsphere.local) und dann kommen noch LDAP basierte optional dazu wie es ein Windows AD sein kann.
Dort koennen natuerlich gleichlautende Usernamen drin sein wie z.B "Administrator" Solange du dich anmelden wuerdest mit domain\user oder auch user@domain dann kann er es auseinanderhalten und weis in welcher Quelle er nachfragen muss. Wenn du aber nur "administrator" zum anmelden verwendest dann braucht er eine der Quelle welche als "Default" markiert ist und da wuerde er nachgucken.

Beispiel:

Code: Alles auswählen

administrator@localos
administrator@vsphere.local
administrator@meinefirma.local

Das RootCA Package sollst du in den Zertspeicher deinen Browsers importeren(Firefox hat seinen eigenen) und Google/Edge verwenden den vom WindowsOS. Da es Unterschiedliche gibt muss man auch den passenden waehlen.

[R1100]

Hallo Jörg,

ich nehme deine Hinweise sehe ernst. Wie kann ich bitte herausfinden ob die SSO falsch gesetzt habe?
Ist es zu finden unter vSphere Client/Konfiguration/Identitätsquellen/Domäne? Wenn ja, hier steht server.meinefirma.de

Gruß Kostas

[irix]

Hallo Jörg,

ich nehme deine Hinweise sehe ernst. Wie kann ich bitte herausfinden ob die SSO falsch gesetzt habe?

Die kann man nicht falsch setzen. Evtl. kann man nicht alles erreichen mit einer gewaehlten Bezeichnung und deshalb mein Rat einfach den Standard zu nehmen welcher garantiert mit nichts kollidiert.
Aber es darf jeder seine Meinung haben bzw. es anders machen.

Ist es zu finden unter vSphere Client/Konfiguration/Identitätsquellen/Domäne? Wenn ja, hier steht server.meinefirma.de

Ja, das ist deine SSO Domain.

Gruss
Joerg

[R1100]

Hallo Jörg,

In diesem Bericht https://4sysops.com/archives/how-to-change-vcenter-server-single-sign-on-sso-domain/ ist beschrieben wie man die SSO ändern kann.
Hat bei mir leider nicht funktioniert.
Über PUTTY habe ich eingegeben:

Code: Alles auswählen

cmsso-util domain-repoint -m pre-check --src-emb-admin Administrator --replication-partner-fqdn server.meinefirma.de --replication-partner-admin Administrator --dest-domain-name vsphere.local


Ich bekomme die Fehlermeldung: Replication partner must be embedded vCenter Server node.
Failed to determine deployment type for the Node : server.meinefirma.de. Please verify.

Vermutlich passt das nicht zu meiner Installation.
Ist das überhaupt der richtige Weg? Wenn ja, hast du eine Idee was ich eingeben müsste?

Gruß Kostas