Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

Kein Login vom VCenter-Server nach Netz Wechsel möglich

Alles zum Thema vSphere 7.0, ESXi 7.0 und vCenter-Server bzw VCSA7.

Moderatoren: irix, continuum, Dayworker

Member
Beiträge: 56
Registriert: 18.10.2021, 09:33

Re: Kein Login vom VCenter-Server nach Netz Wechsel möglich

Beitragvon R1100 » 29.12.2021, 11:31

Hallo Jörg,

ich habe jetzt den ESXi eine feste IP verpasst 10.100.150.10. Weiter unten stand bei DNS die Gateway IP 10.100.150.1 und des feste Hostname localhost. Die Option habe ich geändert und daraus esxi.firma.de eingetragen und neu gestartet. Nach dem Neustart wie du schon angemerkt hat, hat er daraus esxi abgekürzt. Wenn ich über den Browser auf dem ESXi gehe, sehe ich allerdings esxi.firma.de.

Danach habe ich die VCSA VM gestartet über den Browser sehe ich dass immer noch nur ein Bruchteil der Dienste laufen. Also lösche ich die VM und installiere neu.

King of the Hill
Beiträge: 12732
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: Kein Login vom VCenter-Server nach Netz Wechsel möglich

Beitragvon irix » 29.12.2021, 12:03

Ok.
Denk dran dem ESXi zu sagen wo er die Zeit herholen soll bzw. jetzt nach dem Netzumzug eine FW Regeln evt. angepasst werden muss. Auch mal auf die Shell einloggen und pruefen ob DNS funktioniert.

Da dein ESXi noch glaubt zu einem vCenter zu gehoeren. Wenn du dich in den HostClient einlogst dann gibts da oben im Action Menu einen Eintrag zum vCenter verlassen.

Ja vCenter neu und diesmal richtig zu installieren ist bei dir die bessere Loesung.

Gruss
Joerg

Member
Beiträge: 56
Registriert: 18.10.2021, 09:33

Re: Kein Login vom VCenter-Server nach Netz Wechsel möglich

Beitragvon R1100 » 29.12.2021, 12:17

Hallo Jörg,

du hast sicherlich nicht umsonst mehrfach erwähnt dass DNS funktionieren muss. Ich habe ja noch keinen internen DNS Server. Als DNS ist derzeit das Gateway 10.100.150.1 eingetragen. In der Sophos ist die 10.100.150.1 mit dem WAN Port des Routers verbunden. Als Alternativ DNS ist 8.8.8.8 eingetragen. Das 10er Netz wird ja nicht nach außen geroutet. Wenn ich ein Ping auf 10.100.150.10 abgesetzt wird, das ist der ESXi, bekomme ich eine Antwort. Reverse Auflösung auf esxi oder esxi.firma.de funktioniert nicht. Muss ich mich vorher darum kümmern das reverse dns Auflösung funktioniert vor der Installation von VCSA?

[Edit] oder kann ich den VCSA auch mit der festen IP des esxi 10.100.150.10 installieren?

Guru
Beiträge: 2979
Registriert: 27.12.2004, 22:17

Re: Kein Login vom VCenter-Server nach Netz Wechsel möglich

Beitragvon rprengel » 29.12.2021, 17:47

R1100 hat geschrieben:Hallo Jörg,

du hast sicherlich nicht umsonst mehrfach erwähnt dass DNS funktionieren muss. Ich habe ja noch keinen internen DNS Server. Als DNS ist derzeit das Gateway 10.100.150.1 eingetragen. In der Sophos ist die 10.100.150.1 mit dem WAN Port des Routers verbunden. Als Alternativ DNS ist 8.8.8.8 eingetragen. Das 10er Netz wird ja nicht nach außen geroutet. Wenn ich ein Ping auf 10.100.150.10 abgesetzt wird, das ist der ESXi, bekomme ich eine Antwort. Reverse Auflösung auf esxi oder esxi.firma.de funktioniert nicht. Muss ich mich vorher darum kümmern das reverse dns Auflösung funktioniert vor der Installation von VCSA?

[Edit] oder kann ich den VCSA auch mit der festen IP des esxi 10.100.150.10 installieren?


Hallo,
funktionierendes DNS ist zwingend erforderlich.
Ein eigener einfacher DNS Server ist kein Hexenwerk und gehört zum Handwerk wenn man IT machen will.
Habe ich bei mir auf meiner Astaro Firewall mit laufen und Ruhe ist. Ansonsten gibt es für Windows diverse DNS Server sofern man keinen Server zu Hand hat oder man setzt sich ein kleines Centos / Debian auf und knallt da eine Zone rein.
Gruß

King of the Hill
Beiträge: 12732
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: Kein Login vom VCenter-Server nach Netz Wechsel möglich

Beitragvon irix » 29.12.2021, 17:54

Fuer Greenfield Deployements hab ich auf meinem Windows einen welchen ich dann einfach starten kann.

Kann aber das Problem nicht verstehen da ja ein ESX und Windows Umgebung da ist und da wird doch bestimmt ein DC sein welcher auch DNS bereitstellt oder? Selbst wenn er das nur fuer eine kurze zeit tut kann er doch fix die neue Zone angelegt werden.

Gruss
Joerg

Guru
Beiträge: 2979
Registriert: 27.12.2004, 22:17

Re: Kein Login vom VCenter-Server nach Netz Wechsel möglich

Beitragvon rprengel » 29.12.2021, 18:11

irix hat geschrieben:Fuer Greenfield Deployements hab ich auf meinem Windows einen welchen ich dann einfach starten kann.

Kann aber das Problem nicht verstehen da ja ein ESX und Windows Umgebung da ist und da wird doch bestimmt ein DC sein welcher auch DNS bereitstellt oder? Selbst wenn er das nur fuer eine kurze zeit tut kann er doch fix die neue Zone angelegt werden.

Gruss
Joerg


Yeap,
ich kenne den Effekt von unseren Umschülern die mal eben was machen wollen und das fest stellen wieviel Basiswissen ihnen fehlt.
Wenn man dann das eigentliche Projekt Tage oder Wochen nach hinten schieben muss um erst mal die Grundlagen zu erarbeiten kommt man schnell ich Versuchung nach Abkürzungen zu suchen.
Richtig übel wird es wenn diese Klimmzüge dann sogar funktionieren und einem dann erst später krachend auf die Füsse fallen.
Wobei man sagen muss das die Vsphere installation mittels Assistenten mittlerweile ja ganz gut funktioniert und nicht mehr wie früher mehr als kruse ist.
Ich selber scheitere gerade aber immer wieder an Tanzu. Da fehlen mir auch diverse basics.
Gruß

Member
Beiträge: 56
Registriert: 18.10.2021, 09:33

Re: Kein Login vom VCenter-Server nach Netz Wechsel möglich

Beitragvon R1100 » 30.12.2021, 11:55

irix hat geschrieben:Fuer Greenfield Deployements hab ich auf meinem Windows einen welchen ich dann einfach starten kann.

Kann aber das Problem nicht verstehen da ja ein ESX und Windows Umgebung da ist und da wird doch bestimmt ein DC sein welcher auch DNS bereitstellt oder? Selbst wenn er das nur fuer eine kurze zeit tut kann er doch fix die neue Zone angelegt werden.

Gruss
Joerg


Hallo Jörg,

die Kurzfassung: FirmaA hat DNS, FirmaB mit dem neuen Netz nicht. Die Sophos zeigt auf DNS der FirmaA. FirmaB darf den DNS der FirmaA nicht sehen weil sie getrennt werden soll.

In unserem Betrieb sind zwei Firmen mit jeweils zwei WAN(Internet Ports) und nutzen dieselbe Infrastruktur. Beide Firmen wurden bis jetzt als eine gesehen. Die zwei Fritz-Boxen sind in der Sophos XD 210 Firewall angeschlossen an Port1 und Port2. Es gibt zwei Blech-Server die alles Redundant und im Cluster abgebildet haben. Virtualisiert über HyperV. Es gibt also 2xADDS, 2xDNS (2oder1 habe ich nicht im Kopf)xDHCP, 2xTerminalServer usw. alles Windows2019 Server DataCenter. Die Maschinen sind getrennt mit VLANs. Die Server und Clients der FirmaB sind alle auf 10.200.50.0/24. Der DHCP Server hat im Netz 10.200.50.0/24 den richtigen Getaway übergeben und schon war alle sin Ordnung. Somit hatte Firma A+B jeweils Ihre eigene Internetverbindung.

Die zweite Firma soll in ein paar Monaten in ein anders Gebäude umziehen. Die IT soll leider vorher schon komplette getrennt werden.

Jetzt zum Problem des DNS: Die Config in der Sophos wurde von einer externen Firma damals so eingerichtet dass DNS1=10.200.90.6 und DNS2=10.200.90.7, DNS3=8.8.8.8 ist. DNS1+2 sind die internen Windows DNS Server der FirmaA. Das funktioniert auch wunderbar.

Die zweite Firma soll nun getrennt werden. In der Sophos kann ich keinen DNS4 eintragen. Ich könnte jetzt den Gateway der FirmaB in den DNS3 eintragen, doch das scheint mir nicht richtig zu sein. In der Sophos wurde ein neues Netz 10.100.0.0/24 angelegt. Dieses Netz darf die vorhandenen Server aus dem 10.200.0.0/24 Netz NICHT sehen und somit auch nicht die DNS Server der FirmaA. Genau das ist das Problem. Ich kenne die Sophos nicht so ins Detail, aber ich vermute dass die komplette Konfiguration geändert werden muss da in der Sophos durch die neue Anforderung unter Networking/DNS eben nicht die internen DNS Server eingetragen gehören sondern vermutlich der interne DNS der Sophos welcher von beiden Firmen gesehen werden darf.

Die externe Firma ist nicht mehr greifbar, die kann ich nicht fragen. Ich bemühe mich gerade um Schulungen für die Sophos doch das ist nicht einfach. Aus den Lerninhalten der angebotenen Schulungen ist der Umfang den ich benötige nicht beschrieben. Ich muss mit den Anbietern telefonieren doch die sind alle im Winterschlaf.

Den ESXi und den VCSA hatte ich ursprünglich im 10.200.50.0/24 Netz installiert. Das hat wunderbar funktioniert da zu dem Zeitpunkt natürlich DNS verfügbar war. Dann habe ich das neue Netz 10.100.0.0/24 aufgebaut und den ESXi mit einer festen IP auf 10.100.50.10 umgestellt. Der ESXi scheint damit auch kein Problem zu haben. Der VCSA ist allerdings beleidigt. Ich habe ihn auch heruntergefahren und umbenannt und versucht über die IP zu installieren ohne DNS. Phase1 hat sogar funktioniert. Den ESXi konnte er über dessen IP sehen. Doch bei Phase2 des Setups ist Ende.
Deine Aussage: ein funktionierender DSN ist zwingend erforderlich kann ich damit bestätigen.

Mit diesen Problemen habe ich nicht gerechtet und wusste auch nicht dass ein funktionierender DNS notwendig ist. Jetzt muss ich mich darum können herauszufinden wie ich die Sophos um konfiguriert bekomme damit ich den VCSA installiert bekommen.

Vielen lieben Dank an alle.

Guru
Beiträge: 2979
Registriert: 27.12.2004, 22:17

Re: Kein Login vom VCenter-Server nach Netz Wechsel möglich

Beitragvon rprengel » 31.12.2021, 13:45

R1100 hat geschrieben:
irix hat geschrieben:Fuer Greenfield Deployements hab ich auf meinem Windows einen welchen ich dann einfach starten kann.

Kann aber das Problem nicht verstehen da ja ein ESX und Windows Umgebung da ist und da wird doch bestimmt ein DC sein welcher auch DNS bereitstellt oder? Selbst wenn er das nur fuer eine kurze zeit tut kann er doch fix die neue Zone angelegt werden.

Gruss
Joerg


Hallo Jörg,

die Kurzfassung: FirmaA hat DNS, FirmaB mit dem neuen Netz nicht. Die Sophos zeigt auf DNS der FirmaA. FirmaB darf den DNS der FirmaA nicht sehen weil sie getrennt werden soll.

In unserem Betrieb sind zwei Firmen mit jeweils zwei WAN(Internet Ports) und nutzen dieselbe Infrastruktur. Beide Firmen wurden bis jetzt als eine gesehen. Die zwei Fritz-Boxen sind in der Sophos XD 210 Firewall angeschlossen an Port1 und Port2. Es gibt zwei Blech-Server die alles Redundant und im Cluster abgebildet haben. Virtualisiert über HyperV. Es gibt also 2xADDS, 2xDNS (2oder1 habe ich nicht im Kopf)xDHCP, 2xTerminalServer usw. alles Windows2019 Server DataCenter. Die Maschinen sind getrennt mit VLANs. Die Server und Clients der FirmaB sind alle auf 10.200.50.0/24. Der DHCP Server hat im Netz 10.200.50.0/24 den richtigen Getaway übergeben und schon war alle sin Ordnung. Somit hatte Firma A+B jeweils Ihre eigene Internetverbindung.

Die zweite Firma soll in ein paar Monaten in ein anders Gebäude umziehen. Die IT soll leider vorher schon komplette getrennt werden.

Jetzt zum Problem des DNS: Die Config in der Sophos wurde von einer externen Firma damals so eingerichtet dass DNS1=10.200.90.6 und DNS2=10.200.90.7, DNS3=8.8.8.8 ist. DNS1+2 sind die internen Windows DNS Server der FirmaA. Das funktioniert auch wunderbar.

Die zweite Firma soll nun getrennt werden. In der Sophos kann ich keinen DNS4 eintragen. Ich könnte jetzt den Gateway der FirmaB in den DNS3 eintragen, doch das scheint mir nicht richtig zu sein. In der Sophos wurde ein neues Netz 10.100.0.0/24 angelegt. Dieses Netz darf die vorhandenen Server aus dem 10.200.0.0/24 Netz NICHT sehen und somit auch nicht die DNS Server der FirmaA. Genau das ist das Problem. Ich kenne die Sophos nicht so ins Detail, aber ich vermute dass die komplette Konfiguration geändert werden muss da in der Sophos durch die neue Anforderung unter Networking/DNS eben nicht die internen DNS Server eingetragen gehören sondern vermutlich der interne DNS der Sophos welcher von beiden Firmen gesehen werden darf.

Die externe Firma ist nicht mehr greifbar, die kann ich nicht fragen. Ich bemühe mich gerade um Schulungen für die Sophos doch das ist nicht einfach. Aus den Lerninhalten der angebotenen Schulungen ist der Umfang den ich benötige nicht beschrieben. Ich muss mit den Anbietern telefonieren doch die sind alle im Winterschlaf.

Den ESXi und den VCSA hatte ich ursprünglich im 10.200.50.0/24 Netz installiert. Das hat wunderbar funktioniert da zu dem Zeitpunkt natürlich DNS verfügbar war. Dann habe ich das neue Netz 10.100.0.0/24 aufgebaut und den ESXi mit einer festen IP auf 10.100.50.10 umgestellt. Der ESXi scheint damit auch kein Problem zu haben. Der VCSA ist allerdings beleidigt. Ich habe ihn auch heruntergefahren und umbenannt und versucht über die IP zu installieren ohne DNS. Phase1 hat sogar funktioniert. Den ESXi konnte er über dessen IP sehen. Doch bei Phase2 des Setups ist Ende.
Deine Aussage: ein funktionierender DSN ist zwingend erforderlich kann ich damit bestätigen.

Mit diesen Problemen habe ich nicht gerechtet und wusste auch nicht dass ein funktionierender DNS notwendig ist. Jetzt muss ich mich darum können herauszufinden wie ich die Sophos um konfiguriert bekomme damit ich den VCSA installiert bekommen.

Vielen lieben Dank an alle.


Hallo,
falls es eine Sophos UTM (ehemals Astaro) ist so ist da DNS relativ einfach zu konfigurieren wenn man die Basics der UTM drauf hat.
Tip:
Man kann die UTM per iso als VM installieren und damit alles ausprobieren.
Lokale Vmware Workstation nutzen und sich eine handvoll VMs einrichten die dein Netz darstellen und dann testen.
Wenn aber die Basics nicht vorhanden sind besser die Finger weg lassen; das kann sonst übel enden.
Gruß

Member
Beiträge: 56
Registriert: 18.10.2021, 09:33

Re: Kein Login vom VCenter-Server nach Netz Wechsel möglich

Beitragvon R1100 » 06.01.2022, 11:20

Hallo Zusammen,

ein Teilerfolg habe ich erzielt. Meine erste Installation habe ich im bestehen Netz mit aktiver Domain erzeugt. Ich hatte dem ESXi und dem VCSA keine feste IP vergeben sondern automatisch beziehen über DHCP Server. Deshalb hat die Installation auch einwandfrei funktioniert. Dann habe ich ein neues Netz aufgesetzt welches auf die Domain nicht zugreifen kann. Die Sophos war so konfiguriert dass sie als DNS Server die DNS Server der Domain nutzt. Das haben wir nun getrennt. Das neue Netz hat also Zugriff auf den Sophos DHCP und DNS Server.

Mein Fehler war, ich habe angenommen, wenn ich dem ESXi eine fest IP verpassen und den DNS Server der Sophos übergebe, dass die Sophos automatisch einen DNS Eintrag incl. reverse lookup einrichtet. Doch genau das die gemeine Gemeinheit, genau das passiert nicht. Die Sophos macht den DNS Eintrag NUR über den DHCP Server. Bei einer festen IP muss man den DNS Eintrag für den ESXi und den VSCA in der Sophos manuell eintragen! Somit konnte ich den VCSA einwandfrei installieren und jetzt laufen auch alle Dienste.

Nach der Installation habe ich die Lizenz eintragen und ein Asset zugeordnet. Am ESXi habe ich auch gleich den NTP Server auf ptbtime1.ptb.de,ptbtime2.ptb.de,ptbtime3.ptb.de gesetzt. Alles scheint sauber zu laufen.

Tausend Dank an alle und besonders an Jörg und dieses großartige Forum.

King of the Hill
Beiträge: 12732
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Re: Kein Login vom VCenter-Server nach Netz Wechsel möglich

Beitragvon irix » 06.01.2022, 13:34

Ja so ist das mit Annahmen.

1. Kein DNS macht "automatisch" Eintraege. Das waere schon unvollstaendig da es Geraete gibt die selber kein DNS koennen/machen/brauchen und somit niemals mit dem DNS reden du aber dann andere Anwendungen/Systeme hast welche gerne die Identitaet bzw. einen Lookup machen wollen von dieser IP
2. Im Windows AD Umfeld kann man fuer jede Zone festlegen ob Aktualisierungen zugelassen sind bzw. es bestimmte Authorizierungen benoetigt.

Somit nicht Sophos FW spezifisch sondern es haette auch mit keiner anderen Loesung funktioniert weil es nicht so gemacht ist. Nicht ganz ein Layer8 Problem aber halt Dinge die man halt lernen bzw. wissen muss ;)

Gruss
Joerg


Zurück zu „vSphere 7.0“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast