Appl.: Probleme mit Domänenintegration

[tester78]

Hallo

ich brauche zwei neue Vcenter für eine zwei klene Umgebungen ( Essent und Essent Plus Kit).

Da wäre die Appliance ideal weil einfach zu aktualisieren und sie braucht keine Windows Updates und Lizenz usw.

Naja, seit 2 Tagen schaffe ich es jedoch nicht die Domänenintegration zum laufen zu bekommen.
Die Domäne taucht nicht in der Liste (Add Permissions auf).
Meiner Domäne geht es gut.
Das Computerkonto im AD wird auch erstellt, und im Webinterface ist die netzwerkkonfiguration korrekt und die Domäne richtig eingetragen.

Die Appliance wurde schon mehrfach neu ausgerollt, und ist auf dem aktuellsten Stand.

in /var/log/vmware/vpx/sso_cfg.log steht:

initializing registration provider
Getting SSL certificates for https://VCenter...

General Failure
Return code is: Operationfailed

die Domäne und Netbios (discovered domain) name ist korrekt.
ebenso der gefundene PDC und secondary DC.

Vielleicht hatte jemand das gleiche Problem oder einen Tip.

Danke

[tester78]

In der Readme heist es bei 5.1.0b:

Active Directory is not discovered as an identity source if the vCenter Server Appliance is joined to an Active Directory domain before vCenter Single Sign On is started
This might occur when the vCenter Server Appliance is joined to an Active Directory domain as part of its initial configuration through the Web interface configuration wizard. After the configuration, the related vCenter Server and vCenter Single Sign On services might work, but Active Directory is not discovered as an identity source.

Workaround: Do one of the following.

Restart the vCenter Server Appliance.
Restart vCenter Single Sign On, followed by the vSphere Web Client service.

Die Zeit ist gestellt, und neu gestartet schon oft.
SSO ist auf "Embedded".
schade

[Dayworker]

Könnte dein Problem damit zu tun haben, daß M$ vor einiger Zeit die Mindestschlüsselstärke erhöht hat und dem vCenter ein zu kleiner Schlüssel angeboten wird?
Ein zu kurzer Schlüssel könnte auch unbeabsichtigt vorliegen, wenn das Zertifikat schon langjährig im Einsatz und die SW immer mitgewachsen ist.

[tester78]

mmh, ich habe in der Domäne unsignierte LDAP Abfragen deaktivert per GPO:

Domänencontroller: Signaturanforderung für LDAP Server: erforderlich

Dann hängt es vielleicht damit zusammen.
Zertifikate die zu lang oder kurz sein könnten habe ich da aber nie hinterlegen müssen.

Jetzt habe ich zwar einen Verdacht aber weiss nicht wie ich die Appliance dazu bewegen soll das sie damit klar kommt wie sonst auch jede Windows Kiste

[tester78]

das könnte es sein:
http://kb.vmware.com/selfservice/micros ... Id=2035934

Jetzt muss ich nur noch das Zertifikat finden, selbst habe ich keines auf meinen DCs hinterlegt.

[Dayworker]

Wenn du keinen Ausweg dafür findest, kommst du wohl um neue Zertifikate nicht herum...

[tester78]

ok, das .cer habe ich gefunden mal schauen ob ich es hinbekommen.
Wobei ich von SSo keine Ahnung habe und es vielleicht gar nicht brauche.
Bei VCenter unter Windows ist es ja optional.
Aber bei der Appliance notwendig.

[tester78]

wenn ich bei SSo auf external umstelle und beim "URL" Feld "ldaps://" eingebe kam auch einmal der Footprint.

Aber jetzt kommt nur noch "
Can't connect to server"

Ich konnte es nicht abspeichern als es einmal angezeigt wurde weil ich noch vpx beenden musste. jetzt nach neustarts nur noch "Can+t connect to server"

[Dayworker]

Ich meine im KB-Eintrag gelesen zu haben, daß nach dem Umstellen auf LDAPS darunter eine Möglichkeit zur Zertifikatsauswahl erscheint. Solange dort keine Auswahl vorgenommen wurde, dürfte im Grunde die sichere Einstellung noch nicht scharfgeschaltet sein. Falls doch, müßte eigentlich eher ein Zertifikats- als ein Verbindungsfehler auftreten.
Kannst du den Fehler reproduzieren? Falls ja, dürftest du in meinen Augen einen Bug gefunden haben.

[irix]

..
Bei VCenter unter Windows ist es ja optional.
Aber bei der Appliance notwendig.

Nein, auch bei der Windows Version ist SSO obligatorisch. Es wird auch nicht nur vom vCenter sondern in Zukunft von allen anderen VMware und 3rd. Party Produkten angesprochen werden.

Gleiches gilt dafuer das alle sich in den vSphere Web Client integrieren muessen.

Gruss
Joerg

[tester78]

Ja, das steht dort aber es ergibt sich keinerlei Möglichkeit etwas hochzuladen.
Naja, war gan interessant, dann ist die Windows Version halt doch beser für mich.
Kann ich wenigstens SQL nutzen und habe die db gesichert.

[Dayworker]

Über die Auswahl kannst du nichts hochladen. Aber es hindert dich doch nichts daran, das Zertifikat zuerst extern per ssh-Zugang hochzuladen und dann im zweiten Schritt die Umstellung auf "ldaps" vorzunehmen. Entweder überschreibst du dann das bereits vorhandene oder kopierst es unter anderem Namen ins selbe Verzeichnis. Die Appliance wird dann sicherlich noch den obligatorischen Reboot benötigen, damit auch der letzte Dienst die geänderten Einstellungen übernimmt.

[tester78]

Ja, ich finde ja kein vmware dokument wo beschrieben wird wo ich das zertifikat hochladen soll.

[Dayworker]

Na dann log dich doch einfach per "ssh" auf der Appliance ein und such danach. Ich weiß allerdings nicht, in welchem Format und somit unter welcher Dateiendung das Zertifikat zu suchen wäre. "crt" wäre jedoch mein Favorit.

[tester78]

ne hatter nicht
http://s14.directupload.net/file/d/3116 ... l4_jpg.htm

[tester78]

Das Feld zum hochladen kommt nur im web Client.
Im Web Client unter VCenter auf Windows konnte ich das Zertifikat hochladen und das problem ist gelöst.

[Cykes]

Hallo,

ich kaper mal dieses Thema hier, da ich auch ein Problem mit der Integration eines vCenter in ein AD habe

Umgebung:

DC01 mit Windows Server 2012 und Domain-Level 2012
vCenter Server 5.1.0
ESXi-Host 4.1 (ESXi 5.x.x nicht kompatibel)

Ohne Integration in die Domäne kann ich das vCenter normal über den Client von einem anderen Rechner aufrufen. Nachdem ich den den Rechner mit dem vCenter ins AD aufgenommen habe, (Computerkonto wird ordentlich erstellt, DNS-Einträge angepasst) kann ich das vCenter nicht mehr aufrufen, nur noch wenn ich mich per RDP direkt auf dem VC einwähle. Entferne ich den VC wieder aus dem AD, dann ist wieder ein normaler Zugriff von außerhalb möglich

[mbreidenbach]

Die Windows Authentifizierung bei 5.1 funktioniert komplett anders als bei Vorgängerversionen. Dafür ist jetzt Single Sign On zuständig.

vCenter 5.1.0GA, 5.1.0a, 5.1.0b, 5.1.0U1 oder 5.1.0U1a ?

Die haben alle andere 'special effects' was SSO betrifft.

Was als nächste Frage aufwirft - wie ist SSO konfiguriert ?

Wird bei der Anmeldung angegeben ob der Account aus AD oder ein lokaler Account vom vCenter Server bzw SSO Server ist ?

[irix]

Wenn du einen Windows Server ins AD mit aufnimmst hat er ein 3. Firewallprofil welches dann aktiv ist und es fehlen die Ausnahmen fuer den ein oder anderen vSphere Service. Ergo stelle alle Freigaben auf "All" um und dann schauen wir weiter.

Gruss
Joerg

[Cykes]

Wenn du einen Windows Server ins AD mit aufnimmst hat er ein 3. Firewallprofil welches dann aktiv ist und es fehlen die Ausnahmen fuer den ein oder anderen vSphere Service. Ergo stelle alle Freigaben auf "All" um und dann schauen wir weiter.

Gruss
Joerg

Danke für den HInweis mit der Firewall. Daran lag es. Habe jetzt Zugriff auf das VC.
Allerdings wird in der Rechteverwaltung die Domain nicht angezeigt, dort habe ich weiterhin nur die Auswahl zwischen [Server] und [System-Domain]. Kann dort aber keine Nutzer aus dem AD auswählen

[irix]

Wenn du einen Windows Server ins AD mit aufnimmst hat er ein 3. Firewallprofil welches dann aktiv ist und es fehlen die Ausnahmen fuer den ein oder anderen vSphere Service. Ergo stelle alle Freigaben auf "All" um und dann schauen wir weiter.

Gruss
Joerg

Danke für den HInweis mit der Firewall. Daran lag es. Habe jetzt Zugriff auf das VC.

Und das an Tagen wo ich schlechte Laune hatte...

Allerdings wird in der Rechteverwaltung die Domain nicht angezeigt, dort habe ich weiterhin nur die Auswahl zwischen [Server] und [System-Domain]. Kann dort aber keine Nutzer aus dem AD auswählen

Du must dein AD erst noch als Identitiaetsquelle hinzufuegen in dem du dich als admin@system-domain am vSphere WebClient anmeldest. Nicht immer kann der SSO dein AD erkennen bei der Installation bzw. wenn der Server noch garnich im AD war kann er das eh nicht.

Gruss
Joerg

[Cykes]

Ich habe mich jetzt mit dem admin@ beim WebvClient angemeldet und habe dann der Gruppe __Administratos_ in den SSO-Einstellungen den vCenter-Server als Quelle angegeben und dann den Admin-Account hinzugefügt. Nach der Anmeldung mit dem Admin-Acount aus der Domäne wurde die komplette Struktur des VCs abgebildet, allerdings kann ich weiterhin keine Nutzer aus dem AD auswählen bzw. Berechtigungen setzen

[irix]

Ich habe nicht geschrieben das du in irgendwelchen Gruppen Accounts zufuegen sollt. Zeig uns einen Screenshot der konfigurierten Identitaetsquelle und die Ausgabe der Testfunktion.

Gruss
Joerg

[Cykes]

Ich war im falschen Menü
Jetzt habe ich meine DCs eingebunden und siehe da... ich kann jetzt im VC-Client meine Domain auswählen und die Rechte für Nutzer seperat festlegen

Danke für deine Hilfe

[irix]

Kaum mach man es richtig und schon geht es[tm]

Gruss
Joerg