最近在搭建vSphere5.5虚拟化环境时遇到个问题,解决了2天都总算有的解决方案。说一下遇到的问题吧。以供学习者参考。
我遇到的问题就是 “域帐号无法登陆VCenter提示凭据无效“。
说一下环境:
windows server 2008 r2 x64安装的dc,dc上装的sql 2008 r2 enterprise x64.
vcenter部署在另一台 windows server 2008 R2 x64的机器上,vcenter版本是5.5.0-1750795,esxi也是对应最新的。
在VC加入域之后安装的vcenter,使用简单安装,安装完成,自动将域添加到sso的标识源(vcenter update 1a的新特性),我在web client 添加了域帐号的权限,可是这个帐号不能登陆到vc,在web登陆提示“无效的凭据”,在vsphere client 登陆提示帐号密码不正确。第一感觉就是SSO出现了问题,所以我生成了一下sso的日志。 在日志中看到一些问题。日志大概内容如下:
2014-06-06 21:13:35,166 INFO [IdentityManager] Authentication failed for user [test3@contoso] in tenant [vsphere.local] in [20] milliseconds
2014-06-06 21:14:36,384 INFO [ActiveDirectoryProvider] Failed to retrieve default UPN for principal test3@contoso
com.vmware.identity.idm.InvalidPrincipalException: Principal id test3@contoso.com does not exist
at com.vmware.identity.idm.server.provider.activedirectory.ActiveDirectoryProvider.findUserPrincipalIdByAcctAdapter(ActiveDirectoryProvider.java:2229)
at com.vmware.identity.idm.server.provider.activedirectory.ActiveDirectoryProvider.normalizeAliasInPrincipalWithTrusts(ActiveDirectoryProvider.java:228)
at com.vmware.identity.idm.server.provider.activedirectory.ActiveDirectoryProvider.authenticate(ActiveDirectoryProvider.java:246)
......
2014-06-06 21:14:36,447 ERROR [IdentityManager] Failed to authenticate principal [test3@contoso] for tenant [vsphere.local]
com.sun.jna.platform.win32.Win32Exception: 帐户名与安全标识间无任何映射完成。
at com.vmware.identity.interop.idm.WindowsIdmNativeAdapter.AuthenticateByPassword(WindowsIdmNativeAdapter.java:154)
at com.vmware.identity.idm.server.provider.activedirectory.ActiveDirectoryProvider.authenticate(ActiveDirectoryProvider.java:251)
at com.vmware.identity.idm.server.IdentityManager.authenticate(IdentityManager.java:2363)
......
2014-06-06 21:14:36,447 ERROR [ServerUtils] Exception 'com.vmware.identity.idm.IDMLoginException: 帐户名与安全标识间无任何映射完成。'
com.vmware.identity.idm.IDMLoginException: 帐户名与安全标识间无任何映射完成。
at com.vmware.identity.idm.server.IdentityManager.authenticate(IdentityManager.java:2431)
我只是截取了一些信息,看这个日志提示“账户名与安全标识间无任何映射”。
最后还发现个问题,在VC这个机器上如果用域帐号登陆,可以用 “已windows会话登陆“ vcenter,但是如果用帐号密码登陆还是同样的问题。在其它加入域的机器上用域帐号登陆之后在用 windwos会话登陆 就不行,帐号密码登陆也是一样的。
但是用vsphere 的 VCSA 导入版就可以。
更多日志我已上传到百度网盘,有兴趣可以下载下来分析一下。
SSO日志:https://pan.baidu.com/s/1kTmhLrx
web client日志:https://pan.baidu.com/s/1i3mRLwp
VCenter日志:https://pan.baidu.com/s/1pJ7Eqsb
在网上发了一些贴没有找到解决方案,在vmware的论坛也发帖了,没有结果。只能自己尝试解决了。好在试了一天总算有了解决的方案。
因为怕文章篇幅太长,具体解决方案在下篇文章中写。