Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Appl.: Probleme mit Domänenintegration
Appl.: Probleme mit Domänenintegration
Hallo
ich brauche zwei neue Vcenter für eine zwei klene Umgebungen ( Essent und Essent Plus Kit).
Da wäre die Appliance ideal weil einfach zu aktualisieren und sie braucht keine Windows Updates und Lizenz usw.
Naja, seit 2 Tagen schaffe ich es jedoch nicht die Domänenintegration zum laufen zu bekommen.
Die Domäne taucht nicht in der Liste (Add Permissions auf).
Meiner Domäne geht es gut.
Das Computerkonto im AD wird auch erstellt, und im Webinterface ist die netzwerkkonfiguration korrekt und die Domäne richtig eingetragen.
Die Appliance wurde schon mehrfach neu ausgerollt, und ist auf dem aktuellsten Stand.
in /var/log/vmware/vpx/sso_cfg.log steht:
initializing registration provider
Getting SSL certificates for https://VCenter...
General Failure
Return code is: Operationfailed
die Domäne und Netbios (discovered domain) name ist korrekt.
ebenso der gefundene PDC und secondary DC.
Vielleicht hatte jemand das gleiche Problem oder einen Tip.
Danke
ich brauche zwei neue Vcenter für eine zwei klene Umgebungen ( Essent und Essent Plus Kit).
Da wäre die Appliance ideal weil einfach zu aktualisieren und sie braucht keine Windows Updates und Lizenz usw.
Naja, seit 2 Tagen schaffe ich es jedoch nicht die Domänenintegration zum laufen zu bekommen.
Die Domäne taucht nicht in der Liste (Add Permissions auf).
Meiner Domäne geht es gut.
Das Computerkonto im AD wird auch erstellt, und im Webinterface ist die netzwerkkonfiguration korrekt und die Domäne richtig eingetragen.
Die Appliance wurde schon mehrfach neu ausgerollt, und ist auf dem aktuellsten Stand.
in /var/log/vmware/vpx/sso_cfg.log steht:
initializing registration provider
Getting SSL certificates for https://VCenter...
General Failure
Return code is: Operationfailed
die Domäne und Netbios (discovered domain) name ist korrekt.
ebenso der gefundene PDC und secondary DC.
Vielleicht hatte jemand das gleiche Problem oder einen Tip.
Danke
In der Readme heist es bei 5.1.0b:
Die Zeit ist gestellt, und neu gestartet schon oft.
SSO ist auf "Embedded".
schade
Active Directory is not discovered as an identity source if the vCenter Server Appliance is joined to an Active Directory domain before vCenter Single Sign On is started
This might occur when the vCenter Server Appliance is joined to an Active Directory domain as part of its initial configuration through the Web interface configuration wizard. After the configuration, the related vCenter Server and vCenter Single Sign On services might work, but Active Directory is not discovered as an identity source.
Workaround: Do one of the following.
Restart the vCenter Server Appliance.
Restart vCenter Single Sign On, followed by the vSphere Web Client service.
Die Zeit ist gestellt, und neu gestartet schon oft.
SSO ist auf "Embedded".
schade
-
- King of the Hill
- Beiträge: 13561
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Könnte dein Problem damit zu tun haben, daß M$ vor einiger Zeit die Mindestschlüsselstärke erhöht hat und dem vCenter ein zu kleiner Schlüssel angeboten wird?
Ein zu kurzer Schlüssel könnte auch unbeabsichtigt vorliegen, wenn das Zertifikat schon langjährig im Einsatz und die SW immer mitgewachsen ist.
Ein zu kurzer Schlüssel könnte auch unbeabsichtigt vorliegen, wenn das Zertifikat schon langjährig im Einsatz und die SW immer mitgewachsen ist.
mmh, ich habe in der Domäne unsignierte LDAP Abfragen deaktivert per GPO:
Dann hängt es vielleicht damit zusammen.
Zertifikate die zu lang oder kurz sein könnten habe ich da aber nie hinterlegen müssen.
Jetzt habe ich zwar einen Verdacht aber weiss nicht wie ich die Appliance dazu bewegen soll das sie damit klar kommt wie sonst auch jede Windows Kiste
Domänencontroller: Signaturanforderung für LDAP Server: erforderlich
Dann hängt es vielleicht damit zusammen.
Zertifikate die zu lang oder kurz sein könnten habe ich da aber nie hinterlegen müssen.
Jetzt habe ich zwar einen Verdacht aber weiss nicht wie ich die Appliance dazu bewegen soll das sie damit klar kommt wie sonst auch jede Windows Kiste
das könnte es sein:
http://kb.vmware.com/selfservice/micros ... Id=2035934
Jetzt muss ich nur noch das Zertifikat finden, selbst habe ich keines auf meinen DCs hinterlegt.
http://kb.vmware.com/selfservice/micros ... Id=2035934
Jetzt muss ich nur noch das Zertifikat finden, selbst habe ich keines auf meinen DCs hinterlegt.
wenn ich bei SSo auf external umstelle und beim "URL" Feld "ldaps://" eingebe kam auch einmal der Footprint.
Aber jetzt kommt nur noch "
Can't connect to server"
Ich konnte es nicht abspeichern als es einmal angezeigt wurde weil ich noch vpx beenden musste. jetzt nach neustarts nur noch "Can+t connect to server"
Aber jetzt kommt nur noch "
Can't connect to server"
Ich konnte es nicht abspeichern als es einmal angezeigt wurde weil ich noch vpx beenden musste. jetzt nach neustarts nur noch "Can+t connect to server"
-
- King of the Hill
- Beiträge: 13561
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Ich meine im KB-Eintrag gelesen zu haben, daß nach dem Umstellen auf LDAPS darunter eine Möglichkeit zur Zertifikatsauswahl erscheint. Solange dort keine Auswahl vorgenommen wurde, dürfte im Grunde die sichere Einstellung noch nicht scharfgeschaltet sein. Falls doch, müßte eigentlich eher ein Zertifikats- als ein Verbindungsfehler auftreten.
Kannst du den Fehler reproduzieren? Falls ja, dürftest du in meinen Augen einen Bug gefunden haben.
Kannst du den Fehler reproduzieren? Falls ja, dürftest du in meinen Augen einen Bug gefunden haben.
-
- King of the Hill
- Beiträge: 12944
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
tester78 hat geschrieben:..
Bei VCenter unter Windows ist es ja optional.
Aber bei der Appliance notwendig.
Nein, auch bei der Windows Version ist SSO obligatorisch. Es wird auch nicht nur vom vCenter sondern in Zukunft von allen anderen VMware und 3rd. Party Produkten angesprochen werden.
Gleiches gilt dafuer das alle sich in den vSphere Web Client integrieren muessen.
Gruss
Joerg
-
- King of the Hill
- Beiträge: 13561
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Über die Auswahl kannst du nichts hochladen. Aber es hindert dich doch nichts daran, das Zertifikat zuerst extern per ssh-Zugang hochzuladen und dann im zweiten Schritt die Umstellung auf "ldaps" vorzunehmen. Entweder überschreibst du dann das bereits vorhandene oder kopierst es unter anderem Namen ins selbe Verzeichnis. Die Appliance wird dann sicherlich noch den obligatorischen Reboot benötigen, damit auch der letzte Dienst die geänderten Einstellungen übernimmt.
ne hatter nicht
http://s14.directupload.net/file/d/3116 ... l4_jpg.htm
http://s14.directupload.net/file/d/3116 ... l4_jpg.htm
Hallo,
ich kaper mal dieses Thema hier, da ich auch ein Problem mit der Integration eines vCenter in ein AD habe
Umgebung:
DC01 mit Windows Server 2012 und Domain-Level 2012
vCenter Server 5.1.0
ESXi-Host 4.1 (ESXi 5.x.x nicht kompatibel)
Ohne Integration in die Domäne kann ich das vCenter normal über den Client von einem anderen Rechner aufrufen. Nachdem ich den den Rechner mit dem vCenter ins AD aufgenommen habe, (Computerkonto wird ordentlich erstellt, DNS-Einträge angepasst) kann ich das vCenter nicht mehr aufrufen, nur noch wenn ich mich per RDP direkt auf dem VC einwähle. Entferne ich den VC wieder aus dem AD, dann ist wieder ein normaler Zugriff von außerhalb möglich
ich kaper mal dieses Thema hier, da ich auch ein Problem mit der Integration eines vCenter in ein AD habe
Umgebung:
DC01 mit Windows Server 2012 und Domain-Level 2012
vCenter Server 5.1.0
ESXi-Host 4.1 (ESXi 5.x.x nicht kompatibel)
Ohne Integration in die Domäne kann ich das vCenter normal über den Client von einem anderen Rechner aufrufen. Nachdem ich den den Rechner mit dem vCenter ins AD aufgenommen habe, (Computerkonto wird ordentlich erstellt, DNS-Einträge angepasst) kann ich das vCenter nicht mehr aufrufen, nur noch wenn ich mich per RDP direkt auf dem VC einwähle. Entferne ich den VC wieder aus dem AD, dann ist wieder ein normaler Zugriff von außerhalb möglich
-
- Experte
- Beiträge: 1006
- Registriert: 30.10.2004, 12:41
Die Windows Authentifizierung bei 5.1 funktioniert komplett anders als bei Vorgängerversionen. Dafür ist jetzt Single Sign On zuständig.
vCenter 5.1.0GA, 5.1.0a, 5.1.0b, 5.1.0U1 oder 5.1.0U1a ?
Die haben alle andere 'special effects' was SSO betrifft.
Was als nächste Frage aufwirft - wie ist SSO konfiguriert ?
Wird bei der Anmeldung angegeben ob der Account aus AD oder ein lokaler Account vom vCenter Server bzw SSO Server ist ?
vCenter 5.1.0GA, 5.1.0a, 5.1.0b, 5.1.0U1 oder 5.1.0U1a ?
Die haben alle andere 'special effects' was SSO betrifft.
Was als nächste Frage aufwirft - wie ist SSO konfiguriert ?
Wird bei der Anmeldung angegeben ob der Account aus AD oder ein lokaler Account vom vCenter Server bzw SSO Server ist ?
irix hat geschrieben:Wenn du einen Windows Server ins AD mit aufnimmst hat er ein 3. Firewallprofil welches dann aktiv ist und es fehlen die Ausnahmen fuer den ein oder anderen vSphere Service. Ergo stelle alle Freigaben auf "All" um und dann schauen wir weiter.
Gruss
Joerg
Danke für den HInweis mit der Firewall. Daran lag es. Habe jetzt Zugriff auf das VC.
Allerdings wird in der Rechteverwaltung die Domain nicht angezeigt, dort habe ich weiterhin nur die Auswahl zwischen [Server] und [System-Domain]. Kann dort aber keine Nutzer aus dem AD auswählen
-
- King of the Hill
- Beiträge: 12944
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Cykes hat geschrieben:irix hat geschrieben:Wenn du einen Windows Server ins AD mit aufnimmst hat er ein 3. Firewallprofil welches dann aktiv ist und es fehlen die Ausnahmen fuer den ein oder anderen vSphere Service. Ergo stelle alle Freigaben auf "All" um und dann schauen wir weiter.
Gruss
Joerg
Danke für den HInweis mit der Firewall. Daran lag es. Habe jetzt Zugriff auf das VC.
Und das an Tagen wo ich schlechte Laune hatte...
Allerdings wird in der Rechteverwaltung die Domain nicht angezeigt, dort habe ich weiterhin nur die Auswahl zwischen [Server] und [System-Domain]. Kann dort aber keine Nutzer aus dem AD auswählen
Du must dein AD erst noch als Identitiaetsquelle hinzufuegen in dem du dich als admin@system-domain am vSphere WebClient anmeldest. Nicht immer kann der SSO dein AD erkennen bei der Installation bzw. wenn der Server noch garnich im AD war kann er das eh nicht.
Gruss
Joerg
Ich habe mich jetzt mit dem admin@ beim WebvClient angemeldet und habe dann der Gruppe __Administratos_ in den SSO-Einstellungen den vCenter-Server als Quelle angegeben und dann den Admin-Account hinzugefügt. Nach der Anmeldung mit dem Admin-Acount aus der Domäne wurde die komplette Struktur des VCs abgebildet, allerdings kann ich weiterhin keine Nutzer aus dem AD auswählen bzw. Berechtigungen setzen
Zurück zu „vCenter / VMware VirtualCenter“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 11 Gäste