Das Problem: Was wir versuchen zu tun
Beim Versuch, sich mit dem VMware vSphere-Client bei vCenter anzumelden, wird der folgende Fehler angezeigt, wenn sowohl Windows Sessions-Anmeldeinformationen als auch manuell angegebene Anmeldeinformationen ( DOMAIN\Username
) verwendet werden:
Der vSphere-Client konnte keine Verbindung zu "vCenter" herstellen. Der Server "vCenter" brauchte zu lange, um zu antworten. (Der Befehl ist abgelaufen, da der Remote-Server zu lange braucht, um zu antworten.)
Das viclient-#-0000.log
hat folgendes:
[viclient:Critical:M:12] 2014-03-04 15:49:59.008 Connection State[vCenter]: Disconnected
[viclient:SoapMsg :M:12] 2014-03-04 15:49:59.009 Attempting graceful shutdown of service ...
[viclient:SoapMsg :M:12] 2014-03-04 15:49:59.010 Pending Invocation Count: 0
[viclient:SoapMsg :M:12] 2014-03-04 15:49:59.011 Graceful shutdown of service: Success
[ :Error :M:12] 2014-03-04 15:49:59.018 Error occured during login
VirtualInfrastructure.Exceptions.LoginError: The server 'vCenter' took too long to respond. (The command has timed out as the remote server is taking too long to respond.)
at VirtualInfrastructure.LoginMain.Process(BackgroundWorker worker, DoWorkEventArgs e)
at VirtualInfrastructure.LoginWorkerImpl.Worker_DoWork(Object sender, DoWorkEventArgs e)
Beim Betrachten der vSphere SSO-Protokolle wurden keine aktuellen Aktivitäten festgestellt, mit Ausnahme ssoAdminServer.log
derjenigen, die nach meiner Lektüre darauf hinweisen, dass die Suche nach Identitätsquellen erfolgreich war:
name = kcelliott,
domain = ad.state.gov
inherited from com.vmware.vim.binding.sso.PrincipalId@2fa38f3c
[2014-03-04 16:58:36,301 INFO opID=10C1719C-00000005-54 pool-13-thread-10 com.vmware.vim.sso.admin.vlsi.PrincipalDiscoveryServiceImpl] Vmodl method 'PrincipalDiscoveryService.findPersonUser' invoked by [ User {Name: vCenterServer_2013.12.19_140038, Domain: System-Domain} with role RegularUser] [caller:/10.5.216.251] Find person user {Name: kcelliott, Domain: ad.state.gov}
[2014-03-04 16:58:36,310 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command com.rsa.admin.SearchIdentitySourcesCommand was executed successfully
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command {'com.rsa.admin.LookupIdentitySourceCommand', 'com.rsa.admin.LookupIdentitySourceCommand', 'com.rsa.admin.LookupIdentitySourceCommand', 'com.rsa.admin.LookupIdentitySourceCommand', 'com.rsa.admin.LookupIdentitySourceCommand'} was executed successfully
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DomainManagementImpl] Got external domain: ad1.state.us
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DomainManagementImpl] Got external domain: ad2.local
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DomainManagementImpl] Got external domain: ad3.local
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DomainManagementImpl] Got external domain: ad.state.gov
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DomainManagementImpl] Got external domain: ad4.alaska.local
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.impl.KeepAlive] Pinging domain ad5.local
[2014-03-04 16:58:36,322 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command com.rsa.admin.SearchIdentitySourcesCommand was executed successfully
[2014-03-04 17:00:06,215 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command com.rsa.admin.SearchPrincipalsCommand was executed successfully
[2014-03-04 17:00:06,215 WARN opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command 'com.rsa.admin.SearchPrincipalsCommand' executed for 89892 millis
[2014-03-04 17:00:06,215 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.impl.KeepAlive] Ping result: null
[2014-03-04 17:00:06,215 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.impl.KeepAlive] Pinging domain ad5.local
[2014-03-04 17:00:06,221 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command com.rsa.admin.SearchIdentitySourcesCommand was executed successfully
Die versuchten Lösungen: Wie wir versucht haben, das Problem zu beheben
Dies scheint mit den Informationen in VMware KB 2038918 und VMware KB 2037408 übereinzustimmen . Ich habe versucht, dem Auflösungspfad in VMware KB 2038918 zu folgen, indem ich über das SSO-Administratorkonto ( admin@system-domain
) eine Verbindung zu vSphere Web Client hergestellt und den Basis-DN so angepasst habe, dass Gruppen enger als die Basis der Domäne sind, falls beim Ausführen von Gruppen Zeitüberschreitungsprobleme auftreten Aufzählung. Das Problem wurde dadurch nicht behoben, ich konnte jedoch die Verbindung erfolgreich testen. Der Webclient scheint jedoch nur zu crawlen. Beispielsweise dauerte das Öffnen des Dialogfensters "Identitätsquelle bearbeiten" über drei Minuten.
VMware KB 2037408 ist nicht scheint in unserem Fall anzuwenden , wie die Authentifizierung fehlschlägt , ob wir Windows - Sitzung Anmeldeinformationen verwenden , oder wenn ich manuell meinen Active Directory - Anmeldeinformationen liefern.
Ich habe sowohl den VMware vCenter-Dienst als auch die fehlerhafte Lösung des Problems, des gesamten vCenter-Servers, neu gestartet. Dies hat das Problem nicht behoben.
Die Umwelt: Unser Zeug, geheiligt sei sein Bruch
Die Authentifizierung schlägt sowohl für vSphere Client als auch für vSphere Web Client von meiner Workstation und lokal vom vCenter Server aus fehl. Die Authentifizierung schlägt für mehrere Benutzer fehl. Ich habe überprüft, dass alle Benutzer, die versuchen, sich zu authentifizieren, Mitglieder der Gruppe der vCenter-Administratoren sind (über die Mitgliedschaft in den lokalen Administratoren auf dem Windows-Server, auf dem vCenter installiert ist).
Ich kann den LDAPS-Port der Domänencontroller, die als Identifizierungsquellen verwendet werden, erfolgreich anpingen und verbinden.
Der Host-Server hat keinen übermäßigen Ressourcenverbrauch.
Wir haben keine Änderungen an unserer vSphere-Installation vorgenommen, aber wir verwalten oder haben keinen Einblick in unsere Verzeichnisdienste (obwohl ich mir nicht vorstellen kann, was sich dort geändert hat, das vCenter SSO beschädigen würde).
Wir verwenden vSphere 5.1.0 Build 1063329. Ich verwende Firefox 27 mit Adobe Flash 12.0.0.70 mit dem vSphere Web Client. Das Host-Betriebssystem für vCenter ist Windows Server 2008 R2 SP1 und MS SQL 2012 SP1.
Antworten:
Es stellt sich heraus, dass bei der Installation von vCenter SSO automatisch jede Active Directory-Domäne erkannt wurde, die dies konnte. Viele unserer Abteilungen führen und verwalten ihre eigenen Active Directory-Domänen, anstatt unsere von uns verwendete zentrale Enterprise Active Directory-Domäne zu verwenden. Dies bedeutete, dass wir ein halbes Dutzend große Active Directory-Domänen in den Identity Sources (
Administration > Sign-On and Discovery > Configuration
) des SSO hatten .Durch Entfernen der unnötigen Identitätsquellen wurde das Problem behoben.
quelle