vSphere5 – ESXi Host SSL Fingerprint

Im vCenter sah ich einen der ESXi Hosts im Status “disconnected”, jedoch alle VMs dieses Hosts waren erreichbar. Der Grund war schnell gefunden. Ich hatte vergessen, die 64 Tage Demolizenz auf die echte Lizenz umzustellen.

Administration > vCenter Settings > Licensing

HA Fehler

Nach der Umstellung versuchte ich den Host neu zu verbinden und erhielt diese Fehlermeldung.

vSphere HA Cannot be configured on this host because its SSL thumbprint has not been verified.

Etwas mit den SSL Einstellungen des Hosts schien nicht in Ordnung zu sein.

Bei allen Hosts in der Liste muss der Haken “Verified” gesetzt sein. Danach den Host trennen (nicht entfernen!) und wieder verbinden.

Die Echtheit des Fingerprints kann direkt überprüft werden, indem man ihn mit dem SSL Fingerprint am DCUI (ESX Konsole) vergleicht.

vSphere 5.1

Ab vCenter Version 5.1 gibt es keine SSL Settings mehr in den vCenter Einstellungen.

Links

the Hyperadvisor – vSphere HA cannot be configured on the host because of its SSL

vmware KB 2006210

vSphere 5.1 Single Sign On Starthilfe

Single Sign-On ist eine der tiefgreifendsten Neuerungen an vSphere 5.1, die für den Anwender zunächst nicht sichtbar ist. Für den Upgrade Prozess bietet dieses Feature allerdings einige Hürden und Fallstricke. Man sollte sich daher vor dem Upgrade intensiv mit dieser Funktion auseinander setzen und den Upgrade Guide gründlich lesen.

Webclient login

Der Erste Aufruf sollte vom vCenter direkt erfolgen

https://vcenter.mydomain.com:9443

Port 9443 ist der Defaultport. Wenn jedoch auf dem vCenter Server auch ein Veeam Enterprise Manager installiert ist, muß bei der Installation des Webclients ein anderer Port gewählt werden, da dieser ebenfalls 9443 verwendet.

Der erste Login erfolgt mit dem bei der Installation erstellten User admin@System-Domain und dem dabei definierten Password.

Erste Aufgabe sollte die Konfiguration der Identitätsquellen sein. Man erreicht sie unter

Verwaltung > Anmeldung und Erkennung > Konfiguration > Identitätsquellen

Sollte bei der Installation die Active Directory Domäne nicht richtig gefunden worden sein (das kommt häufig vor), so muss man sie hier manuell eintragen. Durch Klick auf das grüne Plus öffnet sich ein Assistent. Für die Konfigurationsparameter bietet sich das Dokumenationscenter an (Klick auf das “?”).

Wo ist mein vCenter ?

Unter Verwaltung sieht man kein vCenter. Die Auswahlbox für vCenter ist leer. Warum?

RTFM !

Die Frage trieb mich fast in die Verzweiflung. Ich hatte zuvor den Upgrade-Guide gründlich gelesen, aber die Antwort fand ich erst im vSphere 5.1 Documentation-Center. Die Lösung ist einfach: Weil der User admin@System-Domain keine Rechte auf vCenter hat. Douh! Darauf hätte ich selbst kommen können.

Umgekehrt kann ich mich als Domänenbenutzer (vCenter Administrator) am Webclient anmelden und sehe dort das vCenter, aber kann SSO nicht konfigurieren. Warum? Weil ich keine Rechte auf den SSO Server habe. Diese hat zunächst nur der Defaultuser admin@System-Domain.

Mach mich zum SSO Admin

Um einem Domänen Benutzerkonto Rechte auf den SSO Server zu geben, muß man sich zunächst mit dem Defaultuser admin@System-Domain anmelden.

Verwaltung > Zugriff > SSO Benutzer und Gruppen > Gruppen

Dort die Gruppe Administrators markieren und auf das Icon “Prinzipale hinzufügen” klicken (blaue Person mit dem Plus).

Als Identitätsquelle die Active-Directory Domäne wählen und im Suchfeld den Namen eines Domänen-Benutzers oder einer Gruppe eingeben und auf “Suchen” klicken. In diesem Fall habe ich die Gruppe der vSphere – Admins (Domäne) hinzugefügt. Nach Logout und anschließendem Login als vSphere-Admin kann der Domänenbenutzer auch Den SSO Server administrieren.

 Links