Active Directory Benutzer u. Gruppen in VirtualCenter 2.5 U3

[grub]

Hallo Zusammen

Ich versuche einem Active Directory Benutzer Berechtigungen auf einen Ressource Pool zu geben. Ich habe den Benutzer heute Morgen in der Domäne angelegt.

Wenn ich jetzt im VirtualCenter den Benutzer in der Domäne suche finde ich ihn nicht. Es werden viel zu wenige Benutzer und Gruppen angezeigt.
Das liegt wahrscheinlich daran, dass die Domäne mehrere tausend Objekte (User, Computer, Gruppen) umfasst.

Ich habe die folgenden Einstellungen unter "Administration" -> "VirtualCenter Management Server Configuration" -> "Active Directory" vorgenommen:
Active Directory Timeout: 180 seconds (höher gehts nicht)
Query Limit ist deaktiviert
Validation ist aktiv mit Validation Period von 10 Minuten.

Ich habe den VirtualCenter Server bereits neu gestartet (den Service sowie die VM).

Nun meine Fragen:
Hat jemand von euch schon einmal ein ähnliches Phänomen erlebt und wie habt ihr es gelöst?

Gibt es eine Möglichkeit dem VirtualCenter Server eine OU mitzugeben welche er durchsuchen muss?

Wo werden die Logs betreffend den LDAP Abfragen im VirtualCenter Server abgelegt?

Hat U4 verbesserungen in der AD Anbindung gebracht? Dann würde ich halt die neue Version installieren

[mangold]

ich kenne das nicht vom VC aber von diversen Java Programmen....ein Standard Domänen Controller liefert per Default maximal 1000 LDAP Datensätze zurück, man kann das auf dem DC ändern, das Problem ist aber nie mit dem VC aufgetreten. Verwendet VMware eigentlich reines LDAP oder doch ADSI (oder das heutige Äquivalent) zur Abfrage der Domäne?

Schau mal hier

http://support.microsoft.com/default.aspx?scid=kb;en-us;315071&sd=tech

[grub]

Vielen Dank für den Link.

Werds ausprobieren sobald ich das OK bekommen habe

[mangold]

vielleicht solltest du vorher raus bekommen, ob das wirklich die Ursache ist. Die Veränderung wie im Link beschrieben ist nicht wirklich dramatisch oder schwierig durchzuführen, aber letztlich fummelt man relativ blind (ich zumindest) am AD rum.

[kastlr]

Hallo,

bist du denn auf dem VC Server generell in der Lage, den User auszuwählen?
Um Ihm z.B. den Zugriff auf eine lokale Resource (z.B. einem Share) zu gewähren?

In unserer W2K3 Domäne haben wir knapp 20.000 User und wer weiss wie viele OU's und Computer.
Ich bin jetzt kein Domänen Admin, aber bisher habe ich noch keinerlei Problem damit gehabt.

Gruß
Ralf

[mangold]

ehrlich gesagt - und eingangs auch vermutet - glaube ich auch nicht, dass es daran liegt. Ich glaube das VC verwendet kein LDAP zum Abfragen der Domäne, sondern die Windows eigenen Mechanismen, und da gilt das mit den 1000 nicht.

[kastlr]

Hallo,

vielleicht liegts ja auch einfach an der Vorgehensweise.
Wenn ich einen User hinzufüge, suche ich mir den nicht aus der Liste sondern gebe ihn direkt an.
Dazu verwende ich die bekannten Daten wie Domain\Useraccount, das geht einfach viel schneller.
Daher kann ich gar nicht sagen, ob ich im Auswahlmenü alle vorhandenen User und Gruppen angezeigt bekomme.
Ich habe jedenfalls damit bisher noch nie Probleme gehabt.

Gruß
Ralf

[grub]

Hallo Zusammen

Vielen Dank für die Antworten. Ich habe die AD - Einstellungen noch nicht angepasst.

Wenn ich einen Benutzer oder eine Gruppe in der Form Domain\Account angebe funktioniert das hinzufügen ohne Probleme. Damit kann ich leben

Es ist trotzdem komisch warum bei der Domäne nur einen Bruchteil der Accounts ausgelesen wird. werden die Domänenen Anfragen auf dem VirtualCenter Server geloggt?