Akopylov
Commander
Commander

clone vm error

vcenter 5.0u1, esxi 5.0 (721882).

Пытаюсь клонировать машину (win 2008 r2 eng), такая ошибка:

The guest OS has reported an error during quiescing. The error code was: 4 The error message was: Quiesce aborted.

Версия тулзов 625272 (несмотря на билд esxi пишет что running (current) до более новой версии не обновляются). Стороннего ПО нет вообще (нет шансов что мешает левый vss провайдер), снпшот снимается нормально (и с quiesce guest fs тоже как ни странно), после ошибки на вм слетает время на 17. с чемто там, такого ни на dc, ни на esxi нет, и при edit settings выходит 1.png.

0 Kudos
14 Replies
Sladky
Virtuoso
Virtuoso

Причину не знаю, но я бы для начала всё зааргрейдил бы до последней весии.

VCP5
0 Kudos
Akopylov
Commander
Commander

Да, вроде бы должны тулзы быть билда одного с esxi, однако новее они не становятся после удаления /установки. И состояние их в vsphere client отображается как current, а не out of date.

0 Kudos
Sladky
Virtuoso
Virtuoso

Пардон, не ясно выразился. Заапгрейдил бы я саму вСферу, а уж потом и тулзы.

VCP5
Akopylov
Commander
Commander

ситуевина такая: машина, которую пвтаюсь клонировать - предназначена под CA root для выдачи сертификатов для vmware (собираюсь переходить на 5.1 и в пререквестах view строгое требование по поводу ssl сертификатов), не вижу смысла по быстрому апгрэйдиться до 5.0u2 например, а потом на 5.1, темболее мне очень будет нужен storage vmotion, который в std в 5.1 прилагается. Вобщем не беда, склонировал в офлайне, а вот по поводу сертификатов печаль - не работал никогда с УЦ и ssl сертификатами и читал что выдача их для vmware структуры слегка нетривиальна, создана тема отдельная http://communities.vmware.com/thread/436196?tstart=0, если есть годный ман (от поднятия роли рут и субординат на 2х машинах до выдачи самих сертификатов для vmware, ведь как уже сказал не знаю с чем есть УЦ) - прошу Вас туда и поделиться опытом Smiley Happy.

0 Kudos
GSergey
Expert
Expert

установка и настройка двухуровневой схемы CA

замену сертифкатов делал по этому ману

Однако, поднятие rootCA на VM не совсем совсем верное решение. Велика вероятность компрометации. Если только скопировать VM c rootca на флешку, спрятать в сейф и написать годную процедуру по извлечению, включению, переизданию и т.п.

Akopylov
Commander
Commander

это просто ад какой-то, сертификат для каждого приложения, для веб клиентов и прочей фигни в структуре из 100+ машин :smileyangry:. + это займет много времени, которого у меня не будет, и это только vsphere, нужно делать это еще и для view, который теперь без сертификатов вообще не работает судя по отзывам. Я правильно понял что для работы update managera нужно его базу выносить на отдельную машину, и желательно базу vcenter тоже?

Если честно вообще не понимаю суть всей этой беготни с сертификатами и компрометированием УЦ, разграничить доступ к vsphere сервисам по ip адресам, или макам, эти сертификаты не секьюрность а геморрой, мне это нужно просто чтобы view+vcenter работали. К тому же что будет с root CA если убрать его на 3 месяца в офлайн, а потом включить, он же из домена выпадет, здесь http://www.wline.ws/post34-.html судя по имени ca root он входит в домен?

Это нереально, моя контора не работает только в вск, мне за 1 день нужно перевести vcenter, 2 view cs, 1 view security gateway, 4 esxi на 5.1, сгенерировать сертификаты для всего что только можно (чего я никогда не делал) как-то их раздать (чего я тоже никогда не делал), сертификаты для view раскидать на все тонкие клиенты. Мне нужно 60 часов в сутках. vmware все правильно сделали.

0 Kudos
GSergey
Expert
Expert

Kopylov Anatoliy wrote:

это просто ад какой-то, сертификат для каждого приложения, для веб клиентов и прочей фигни в структуре из 100+ машин :smileyangry:.

не все так страшно. автоэнрол Вам в помощь. Да и сертификаты нужно выдавать не для каждого приложения или фигни, а по типам назначения. в 95 процентов случаев требуется "client authentication".

Kopylov Anatoliy wrote:

Я правильно понял что для работы update managera нужно его базу выносить на отдельную машину, и желательно базу vcenter тоже?

я бы сказал обязательно. хотя все зависит от размеров и назначения Вашей инфраструктуры.

Kopylov Anatoliy wrote:

. К тому же что будет с root CA если убрать его на 3 месяца в офлайн, а потом включить, он же из домена выпадет, здесь

root CA не должен быть в домене.

0 Kudos
Akopylov
Commander
Commander

отпустило чуть-чуть и дошли руки до CA, помогите пожалуйста с таким моментом:

при настройке RootCA по приведенному Вами мануалу есть заполнение AIA, так вот там такое:

  1. Затем на вкладке в выпадающем списке выбираем значение Authority Information Access.
  2. В поле ниже удаляем две записи начинающиеся на http:// и file://
  3. Далее в этом же поле добавляем две записи вида:

Но при добавлении AIA в variables нет ни <CRLNameSuffix>, ни <DeldaCRLAllowed> (они есть при добавлении crl cdp), только <CaName>, по другому мануалу вообще 3.png добавляют выделенную строку, я правильно понимаю это адрес по которому клиенты будут искать серт корневого центра, и если указать неверно, цепочка доверия не будет построена?

p.s. как на скрине - уже пробовал, в итоге при install CA cert на sub CA ошибка построения цепи доверия.

0 Kudos
GSergey
Expert
Expert

если разговор про subca:

уберите галочку "Include in the AIA extension ...."

особого смысла для http нет.

но если всетаки хочется, то прописывайте так:

http://subca/certdata/<ServerDNSName>_<CaName><CertificateName>.crt

где subca и certdata - меняете на ваши значения. этого будет достаточно

если про rootca:

то оставляйте все поля для CDP и AIA пустыми.

0 Kudos
GSergey
Expert
Expert

логика достаточно простая:

root у вас в офлайне, если Вы думаете о возможной компрометации удостоверенных им издающих CA, тогда Вам надо указать online ресурс куда Вы будете это выкладывать в ручном режиме.

0 Kudos
Akopylov
Commander
Commander

Active Directory Certificate Services did not start: Could not load or verify the current CA certificate.  ROOTCA-CA A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487).

Все точь-в-точь по гайду делаю. В 4.png указаны пути, RootCA уже ставил роль, точно по такому же сценарию, но указывал Distinguished Name Suffix (в этот раз - нет), пути в extensions были заданы не так (как в скрине, который прилагал до этого). SubCA еще не установлен.

0 Kudos
GSergey
Expert
Expert

добавьте на rootca сертификат rootca для rootca в хранилище корневых доверенных

0 Kudos
Akopylov
Commander
Commander

В ходе установки сертификата subca (cгенерированного на rootca) вышло сообщение и том, что траста какого-то нет, установить цепь?, тык окей, сертификат установен, сервис запустился. Далее по гайду для сотрудника, отвечающего за выдачу сертификатов, необходимо выписать сертификат Enrollment Agent, и действия такие http://subca/certsrv, Request a certificate, Advanced certificate request, Create and submit a request to this CA, но в 2008 r2 к сожалению получаю 1.png, видимо с web лица нельзя создавать запросы, не могу понять как сгенерировать запрос, и нужен ли этот сертификат Enrollment Agent для выдачи сертификатов для vmware.

0 Kudos
GSergey
Expert
Expert

Запросы Вы должны создавать на источнике. Subca не генерирует запросы на сертификат. Он подписывает офлайновые или онлайн запросы.

0 Kudos