А vcenter single sign on service error occurred active directory - Исправление ошибок и поиск оптимальных решений проблем

Недавно столкнулся с ситуацией, что перестал работать VCenter (в моём случае версия 6.5 – VCSA, но подобное может быть с любой версией не зависимо от платформы).

При попытке зайти как под доменной учёткой, так и под локальным админом – не проходила проверка подлинности – постоянно писало – сперва, что неправильные имя пользователя или пароль, а затем и вовсе, что требуется ввести имя пользователя и пароль, хотя они само собой были введены.

После попытки перезагрузить сервер или все службы командами service-control —stop —all и service-control —start —all добрая половина служб не запускалась, при этом на главной странице vcenter – выскакивала ошибка 503

При переходе по адресу vcenter/ui – появлялась ошибка

[400] An error occurred while sending an authentication request to the vCenter Single Sign-On server. An error occurred when processing the metadata during vCenter Single Sign-on setup – null.

В моём случае проблема оказалась в протухшем STS сертификате. Далее я пишу для своего случая, именно для VCSA, если у вас vCenter на винде, то читайте KBшки, ссылки на которые указаны, там есть описания, что делать для виндовых случаев.

Чтобы посмотреть срок действия STS сертификатов нужно скачать скрипт из KB VMWare. На всякий случай скопировал его.

Скачать можно при помощи wget, ну или закинуть на сервере через WinSCP, ну или просто скопировать текст скрипта и вставить в файл на сервере.

Запускается он командой:

python checksts.py

После выполнения будут отображены действительные и просроченные STS сертификаты. Если найдется просроченный сертификат, то внизу будет подсказка на какую KB стоит посмотреть.

В этой KB имеется скрипт, на всякий случай – копия, для обновления просроченных STS сертификатов, конечно как водится, перед запуском чего-бы то ни было – рекомендуется сделать бэкапы, снапшоты и т.д и т.п. Также обратите внимание, что если у вас в одном SSO домене находится несколько vCenter серверов – то запускать скрипт нужно только на одном.

В общем качаем скрипт, делаем его исполняемым и запускаем:

chmod +x fixsts.sh
./fixsts.sh

Если всё пройдет без ошибок – можно пробовать перезапустить все службы:

service-control --stop --all
service-control --start --all

Если окажется, что есть еще какие-нибудь протухшие сертификаты, то службы всё равно могут не стартануть. Найти все просроченные сертификаты поможет команда:

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); 
do echo STORE $i; 
/usr/lib/vmware-vmafd/bin/vecs-cli entry list --store $i --text | 
egrep "Alias|Not After"; done

Соответственно нужно будет такие сертификаты обновить и снова попробовать перезапустить все службы. Либо, можно пойти простым и топорным путём, и перевыпустить вообще все сертификаты:

/usr/lib/vmware-vmca/bin/certificate-manager

Тут нужно будет выбрать 8й пункт, и далее следовать инструкциям на экране. Но используйте эту команду на свой страх и риск, если используются сторонние сервисы/плагины/кастомизированные шаблоны то это дело скорее всего нужно будет перенастраивать.

После описанных выше действий у меня vCenter починился, и работает нормально. Вообще какое-то странное решение у VMWare с этим ультраважным сертификатом. Возникает вопрос – почему нельзя было сделать, что б он автоматически перевыпускался, когда походит к концу срок его действия?

Источник

check
Best Answer

pure capsaicin

VMware Expert

check
361
Best Answers
thumb_up
999
Helpful Votes

But your screenshot shows you using only the NetBIOS name and this is why it is not working.

The error is also advising you what to do

«Verify that the server URL is correct and is in FQDN format»

Was this post helpful?
thumb_up
thumb_down

View Best Answer in replies below

10 Replies

pure capsaicin

VMware Expert
- check
  361
  Best Answers
- thumb_up
  999
  Helpful Votes
I never understand why people do this in workstation, but your DNS FQDN needs to be correct and you need to be able to resolve the DNS name of the VCSA server.

https://servername.domain.com Opens a new window not simply https://servername/ Opens a new window this doesn’t work with SSO

Both your forward and reverse DNS must exist for this VCSA and your VCSA must be able to see it in DNS using the DNS servers you configured.

It is by design this does not work with only the NetBIOS name.

Was this post helpful?
thumb_up
thumb_down
both forward and reverse lookups are resolving fine for the vCenter FQDN..

Was this post helpful?
thumb_up
thumb_down
pure capsaicin

VMware Expert
- check
  361
  Best Answers
- thumb_up
  999
  Helpful Votes
But your screenshot shows you using only the NetBIOS name and this is why it is not working.

The error is also advising you what to do

«Verify that the server URL is correct and is in FQDN format»

Was this post helpful?
thumb_up
thumb_down
The screenshot happened to have been taken after the webclient.properties file was changed to see if it accepts w-vcsa-sddc.

Whether I use https://servername.domain.com Opens a new window or https://servername/ Opens a new window the result is the same as in the screenshot.

Was this post helpful?
thumb_up
thumb_down
pure capsaicin

VMware Expert
- check
  361
  Best Answers
- thumb_up
  999
  Helpful Votes
I can’t say I’ve ever named a VCSA with hyphens, your issue could be related to this if it works with an IP.

Since this is clearly a lab, you could try again without hyphens

Was this post helpful?
thumb_up
thumb_down
Thanks I’ll try it out and update accordingly..

Was this post helpful?
thumb_up
thumb_down
So I got this working, by using FQDN in initial VMware Workstation setup window instead of using IP unlike vCenter 6.7 which works fine even if IP address is used.

Thanks..

Was this post helpful?
thumb_up
thumb_down
pure capsaicin

VMware Expert
- check
  361
  Best Answers
- thumb_up
  999
  Helpful Votes
So you did as both myself and the error suggested, yet you get the credit?

Was this post helpful?
thumb_up
thumb_down
My apologies I got excessively happy of the problem being resolved while forgetting the help provided..

Thanks again Rod-IT 😀

Was this post helpful?
thumb_up
thumb_down
pure capsaicin

VMware Expert
- check
  361
  Best Answers
- thumb_up
  999
  Helpful Votes
FYI, I was not interested so much in the points or the BA, just noting it as people will only help if they get credit for doing so.

Glad to see it’s sorted though

1 found this helpful
thumb_up
thumb_down

Источник

After installing VMware vCenter Server Appliance (VCSA) 6.5, we only have a «vSphere.local» single sign-on (SSO) domain where we can create users and groups. But wouldn’t it be better if you could integrate your existing Microsoft Active Directory (AD) environment with your organizational structure of groups and users? You don’t have to start over creating these just for VMware. We just need to link the AD environment to the VMware SSO.

Author
Recent Posts

Vladan Seget is an independent consultant, professional blogger, vExpert 2009-2021, VCAP-DCA/DCD and MCSA. He has been working for over 20 years as a system engineer.

We also have to grant some permissions to the enterprise AD administrator, otherwise, he or she will not be able to manage the environment.

I assume that you have already fired up the vSphere web client and logged in using the administrator@vsphere.local account and password we set up in our previous post. Once done, click the System Configuration button on the main screen. You’ll end up in the System Configuration section. Click the Nodes section on the left.

vCenter Server configuration Select nodes

All nodes will appear below. As we have only a single node (we’re not using vCenter’s linked mode), select the node > Manage tab > Active Directory > Join button.

Join vCenter to Active Directory

Enter the necessary details. As you can see, a message says you have to reboot the node manually.

Reboot after joining vCenter to Active Directory

After the reboot, you’ll have to wait a few minutes until all services are up and the vSphere web client initializes itself.

Log back in, and from the main screen, click the Home button and Administration. Under Single Sign-On, select the Configuration menu, the Identity Source tab and then click the green + sign to Add identity source.

vSphere 6.5 Select an identity source type

Four options appear. We’ll stick with Active Directory (Integrated Windows Authentication).

On the next page, the domain should already display with the Use machine account radio button pre-selected.

Add an identity source to vSphere single sign on

Click the Next button and then Finish. You should see the Identity Sources tab populated with your Active Directory.

Windows AD added as an identity source

As mentioned at the beginning, we’ll need to grant a few permissions for the domain administrator (or any other account) to manage the vSphere environment.

On the same page, move one level up to the Access control section and select Global Permissions.

Click Add a new user and then select the user from the Active Directory.

Select a user from your domain to assign global permissions

Next, validate by clicking the OK button.

This is just first part of the procedure. We still have to add the domain administrator to some vSphere.local groups. We’ll do that in a second.

Select Users and Groups > Groups tab > Administrators. Add the domain admin account to the local administrators group.

Add the domain administrator to a local administrators group

Click the Add button and validate with the OK button. Repeat the procedure for ComponentManager.Administrators, LicenseService.Administrators, CAAdmins, SystemConfiguration.Administrators, SystemConfiguration.BashShellAdministrators and Users.

You should now be able to log in as a domain admin. And if you’re already logged in as a domain admin on your system, you can simply check the box to Use Windows session authentication.

You can then see in the top right corner that you have logged in as domain admin.

Subscribe to 4sysops newsletter!

Logged in as domain Administrator

Источник

Ну детский же баг … как можно было не проверить такой банальный момент….
Я думал они переписали и вылизали свой ССО до блеска

У меня нет ответа 🙂
Кроме того, подозреваю, что остался еще и баг с привязкой групп в vCenter: привязка группы к роли осуществляется по имени, а не по SID группы.
Но проверять боюсь 🙂
Мне хватило суток развлечений при обновлении vCenter 4.1->5.1

А я сейчас промучался с обновлением 5.1 до 5.5.. Обновление SSO вечно падало с разными ошибками.. много чего перекурил из манов, переделал… убил не мало времени, но завелось.. обновил потом WebClient, Inventory, дошло до самого vCenter сервера..и тут сюрприз! MSI-битый, сверил md5 ISO-образа с тем, что на сайте — ну, да, конечно, не совпадает 🙂 Времени сегодня скачивать уже нет, пришлось все откатывать назад 🙂

Вывод — чекайте чек-суммы сразу! 🙂

Круто.

To NoOne: у меня SSO вылетает с ошибкой 1603 (это msi -ная ошибка).
Не нашел ни одного нормального солюшена.
Не подскажете — где копать?

To philzy: да-да, была такая. Много чего накрутил, но в итоге помогло что-ьл из нижеследующего (может одно, а может всё вместе):
1. Переименовал папку Program FilesVMwareCIS, создал новую пустую.
2. Потом попробовал установить, он что-то создал там в папке, но с той же ошибкой отвалился.
3. С диска с дистрибутивом (под рукой его нет, поэтому по памяти пишу) из папки SSO, где-то там в redist лежал python, установил его вручную.
4. При начале установки он писал что-то про FQDN/ip и там был прописан IP-адрес. В реестре в HLKMVMware(SSO чего-то там) был параметр FQDNip, вот в него прописал FQDN вместо как раз IP.

После этого установка пошла на ура.. до описанной проблемы в моем верхнем посту:)

Вот по этому я не парюсь и с 4u1 использую vCenter Server Appliance.
Пока хватает встроенной БД, но в любой момент можно поднять Oracle DB =)

Самое главное — никаких траблов с обновлением. Пара кликов, взаимный копипаст ключей обновления — и бац, у меня новый vCenter 5.5 бесшовно заменил старый…

To Mr.Aloof:
Мысыль хорошая!
А как с 5.1 под Windows мигрировать на VCSA?
А как быть с Vmware View Horizon 5.2?
Вручную понятно.

To NoOne: Спасибо!!!

После применения пункта 2. — установился SSO, но только под локальным админом. Доменный админ — вываливалось в разных местах с криком о нехватке прав.
править надо в реестре вот тут — HKEY_LOCAL_MACHINESOFTWAREVMware, Inc.VMware InfrastructureSSOServer ключ FqdnIp прописывать FQDN. Оно через него ходит за сертификатами.
python я поставил п.3, точнее он молча что-то сделал и затих (думаю, что это не повлияло).

Блин, из какого же говна и веток собран этот релиз!!!
Лучи тестирования команде Vmware!!!

Вообще говоря, печально. Уменьшение сроков выпуска релизов не идет VMware на пользу.

Парни, я 2 раза делел миграци. 4.0 —> 4.1 и 4.1 —> 5.1
Все с полпинка, без сучка и задоринки …. но я вам верю и на 5.5 пока не полезу 🙂
А вмваря да …. портится 🙁

To it2350:
По-моему, любая фича, обычно имеет смысл.
А тут, скорее всего, новое SSO имеет разные типы запросов к локальной системе авторизации и к LDAP и смешивать их не может.

2Sasha: вы, скорее всего, делали миграцию не на первый релиз продукта 🙂
К примеру при обновлении до первого релиза 5.1 у кучи народа были похожие проблемы и с MSI, и со старыми сертификатами vCenter, и с сертификатами для хостов в базе vCenter. В следующем релизе 5.1a это было исправлено.
Ну и 4.1 был более «готовый» к внедрению, что ли. И менее отличающийся. Что в 5.1, что в 5.5 VMware пытается изобрести велосипед.
Я, если честно, так и не понял, чем был плох Linked Mode и работа через Active Directory. Неужели только заморочкой с требованием иметь единый лес?

to Philzy: Для Vmware View Horizon 5.2 пока все-еще нужен win-server. Но работы ведутся 😉
Миграция с MS SQL на OracleDB или вcтроенную PostgreSQL возможна выгрузкой в SQL — схемы практически одинаковы.
Разница только в таблицах:
• VPX_SCHEMA_HASH — не переносить
• VPX_SEQUENCE — не переносить
• VPX_EVENT — можно конвертнуть, если нужно
• VPX_EVENT_ARG — можно конвертнуть, если нужно

Но официального мануала нет, все на свой страх и риск. Если не более 20 хостов — скорее всего будет руками проще. Хотя если понимать SQL то за день вполне реально разобраться/потестить и на следующий день мигрировать.

Саша, у тебя все равно Update Manager на винде 😉
Или ты без него живешь?

to Андрей: Конечно без него. А нафиг он? Я его даже когда на vCenter на винде не использовал — какой то он затейливый слишком =)
Простейший скрипт в цикле ночью обходящий хосты с командами esxcli и отчетом в файл успешно решает эту проблему.

Например, я кластер из десятка хостов обновляю через эту штуку за один проход по визарду.
Делись скриптом 🙂

Если кому интересно, нормально обновил сегодня до 5.5 vCenter (SSO, WebClient, Inventory, сам vCenter), + VUM 5.5 + один из хостов до 5.5, сейчас виртуалки обратно ползут на него 🙂

Вроде большо косяков кроме описанных выше не наблюдал.

vCenter Server upgrade to 5.5 may fail
When upgrading from vSphere 5.1 to 5.5, the vCenter Single Sign-On upgrade may fail. This issue affects some vCenter Server 5.1 systems running with default certificates that are upgrading to vCenter Server 5.5 under certain specific conditions. To resolve this issue, before upgrading, review
KB 2060511

У меня обновление прошло как по маслу, но оказалось, что SSO 5.5 не работает с single-label domain name (не спрашивайте откуда и почему так сделно) — имеющийся домен удалился, а новый не добавляется с сообщением, что в имени должна быть точка.

Кстати, в 5.5 для VCSA расширено ограничение на встроенную базу — теперь он составляет 100 хостов и 3000 виртуалок =)
Так же снято ограничение памяти на ESXi free.

Кстати, в 5.5 для VCSA расширено ограничение на встроенную базу – теперь он составляет 100 хостов и 3000 виртуалок =)
Так же снято ограничение памяти на ESXi free.
интригуете )
и как сабж себя зарекомендовал? как у него с апдейтами? выходят паралельно с виндовой версией?

Да, выходят примерно параллельно, накатываться умеют сами (но мне спокойней самому кнопку install жать 😉 )
Зарекомендовал за 4 года хорошо, без капризов =)
Для небольшой инфраструктуры вполне пригоден.

Нет, ну, если так говорить, то в работе виндового vCenter-а особых проблем тоже нет. С обновлениями иногда можно повозиться, но они не раз в месяц выходят 🙂

Согласен =)
Просто смотрю со стороны как люди мучаются с SSO и траблами при обновлении виндовой версии. Вот и решил напомнить что есть VCSA и в нем я не сталкивался с проблемами в апдейтах…

Так же снято ограничение памяти на ESXi free.
Но толстый клиент в 5.5 не умеет управлять 10-й версие VM, так что большинство фичей останутся недоступны.

А откуда информация, что не умеет?

Когда жмешь кнопку «Upgrade Virtual Hardware»:

This operation will cause the virtual hardware that your guest operating system runs on to change. It is an irreversible operation that will make your virtual machine incompatible with earlier versions of VMware software products. It is strongly recommended that you make a backup copy of your disks before proceeding.

1 virtual machine(s) will be upgraded to version 10 or higher. If you upgrade the virtual hardware to this level, use the vSphere Web Client for managing these VMs.

Are you sure you want to upgrade your configuration?

Пока еще ни на одной не попробовал, чтобы узнать, что они под этим понимают.

Дык даже сам клиент честно сообщает что все новые функции доступны только чз веб-интерфейс 😉
Далее, если попробовать зайти в свойства vmx-10, то клиент вас посылает в web.

Далее, если попробовать зайти в свойства vmx-10, то клиент вас посылает в web.
блеать …. и как теперь рулить ВМ если юзается фри версия без вЦентра ??

Упс :))

Эта дилемма пока не имеет решения =(
VMware лажанулись с этим — щас наверное думают что с этим делать.
Ждем официальных комментариев.

Думаю, комментарии будут вида: «ОЛОЛО у нищебродов батхрёт!!!1»
Кстати, толстый клиент хотя бы не даёт обновить ВМ до версии 10? 🙂

Вся соль в том что дает 🙂
я вот обновил на одном хосте до 5.5 и vmx-10 и только сегодня узнал про сию фичу ))))

Кстати, толстый клиент хотя бы не даёт обновить ВМ до версии 10? 🙂

Тогда будет невозможно обновить машину с самим vCenter 😉

Лайфхак: редактировать машины 10-й версии можно из Workstation.

Интересно что можно? :-))))
Ладно бы дали ссылку как руками в текстовом редакторе править конфиг виртуалки для использования фишек vmx-10.

Пардон, имел ввиду увеличесние vHW до 9 не через кнопку Upgrade Virtual Hardware.

Чуть ли не в каждом пункте упоминают Single Sign-On 🙂
Неужто все баги пофиксили?

Что-то никак VMware не могут справиться с этим велосипедом =)

Так когда 5.5 станет доступен к установке???
You do not have permission to login to the server.
Наблюдаю этот бред больше месяца. Решения кроме создать AD так и не сделано. У меня STANDALONE сервер.

Добрый день, Виктор.
В смысле «станет доступен к установке»?

В смысле без AD на Vsphere больше не зайти. У администратора сервера нет прав на SOO. Во всех рекомендациях только добавление доменных групп.

Без AD к сожалению SOO теперь не позволяет входить локальному администратору на сервер локальной группы.

Разобрались.
Требовалось обязательно administrator@vsphere.local и пароль придуманный при установке SSO, а не пароль администратора сервера.

Гугл рулит 🙂
Оказывается, у SSO в vSphere 5.5 сменился логин администратора. Был admin@system-domain, стал administrator@vsphere.local
Круть :)))

Хозяйке на заметку:

Кстати, можно использовать и встроенные в хосте учетные записи и создать свой домен и своих пользователей, там механизм неплохой придуман.
Но, реализован сыровато.

Если не указать DNS-сервера для VCSA, то половина настроек не будет работать (просто не покажутся в интерфейсе).
А регенерация сертификатов работает один раз, потом нужно подключать «педальный привод» — класть файлик. http://www.virtuallyghetto.com/2013/04/automating-ssl-certificate-regeneration.html
И учтите, что в файлик должен называться через нижнее подчеркивание, а не дефис. Это такие милы, детские грабли.
Я был уверен, что мне хватит файла hosts и регенерация работает постоянно.

спасибо за инфу помогло освежить в памяти это

Источник

Configuring a vCenter PSC Single sign-on Active directory Integrated windows authentication

January 14, 2018 02:16PM

In my one of the earlier article I shown ADDING AND CONFIGURING VMWARE VSPHERE VCENTER SSO ACTIVE DIRECTORY AS LDAP SERVER, That was one of the security best practices, Here I am going to perform the same task but will use Active directory integrated windows authentication way instead. For this few more steps need to configured on vCenter server. First step is vCenter server need to join into Active directory. Login onto vCenter server, click home icon button.

1. Under Administration, click System Configuration icon.
2. Click vCenter server in the Navigator.
3. On the right side, choose Manage tab.
4. In the Settings from list select Active Directory.
5. Click Join button.
6. Type Domain name, User name and password (user must have permissions to join computers in AD). After pressing ok, reboot the vCenter node manually to apply these changes.

Once server is restarted, check domain shows active directory name successfully.
Deploy install VCSA (vCenter server appliance 6.5) on VMWare Workstation

Next start configuring vSphere PSC SSO. these steps are as same as joining computer into domain.
1. Click home button on the top.
2. Choose Administration to open advanced PSC (Platform services controller) settings.
3. In the navigator, click configuration.
4. On the right hand side, click the Identity sources,
5. Click + plus button to open Add identity Source wizard.
6. On the Identity source wizard, keep default in Select identity source type and keep checked ‘Active Directory (Integrated Windows Authentication)’ option.

Next steps are self explanatory, Provide Active directory domain name (Keep checked use machine account — The above configured account — join vCenter server into domain). On Ready to complete, validate settings and click Finish.

Active directory domain can be seen added in identity Sources, Make it default by clicking world icon with right side arrow.

Here I am configuring extra steps and adding Active directory domain user in administrators group on SSO.
1. Click Users and Groups in the Navigator pane.
2. In the Groups tab, select Administrators group.
3. Click Add Group members button, This opens Add Principals wizard.
4. In the Add Principals Wizard, type user or Group name,
5. Click Add button, this will shown on users text box.1
6. Click Ok.
7. In the Group Members you will see, user is added in the list, now this user can perform administrative task on SSO.

Next permissions can be assigned on Roles and Global permissions, or vCenter object and entities.

How does this help me to improve forensic insights with Audit-Quality Recording enhanced Logging, Collect logs about user activities so that IT teams can understand who did what, when, and where in the incident of a security threat or irregularity. Check task and event information to view complete information. As below screenshot I can clearly check and audit exactly what changes has been done by whom. This is very good from troubleshooting issues perspective. To see the demo, I have logged in with AD user. and performed some task, which I can monitor in Tasks and Events.

Userful Articles
VMWARE SECURITY BEST PRACTICES: POWERCLI ENABLE OR DISABLE ESXI SSH
vSphere ESXi security best practices: Time configuration — (NTP) Network Time Protocol
Configure syslog on VMware ESXi hosts: VMware best practices

Go Back

Источник