flash08
Contributor
Contributor

vicfg-cfgbackup.pl и --passthroughauth

Добрый день всем!

Получалось ли у кого-нибудь использовать passtrough authentication на Windows-машине совместно со скриптом vicfg-cfgbackup.pl из vSphere CLI 4.1? Ну очень не хочется при написании скрипта резервного копирования в открытом виде указывать логины-пароли.

При указании командной строки вида vicfg-cfgbackup.pl --server имя_хоста_ESXi --passthroughauth --save d:\имя_хоста_ESXi.tgz выдает следующую ошибку:

Error connecting to server at 'https://имя_хоста_ESXi/sdk/webService':
SOAP Fault:
-----------
Fault string: Cannot complete login due to an incorrect user name or password.
Fault detail: InvalidLoginFault

Если не указывать опцию --passthroughauth, указывая имя и пароль текущего пользователя (из домена Windows) вручную или опциями --username,--password, то бэкап отрабатывает нормально. Текущий пользователь имеет права администратора хоста ESXi.

0 Kudos
4 Replies
templier
Enthusiast
Enthusiast

Работают ли с параметром --passthroughauth другие команды?

Например, vicfg-vswitch -l --servername "..." --passthroughauth

Имеется ли обратная запись в DNS для сервера ESXi?

Что пишут в

/var/log/messages

/var/log/vmware/hostd.log

http://vmind.ru
0 Kudos
flash08
Contributor
Contributor

Работают ли с параметром --passthroughauth другие команды?

Например, vicfg-vswitch -l --servername "..." --passthroughauth

Вот в таком виде vicfg-vswitch.pl -l --vihost "имя_ ESXi_хоста" --server "имя_vcenter_сервера" --passthroughauth - работает

А vicfg-cfgbackup говорит "Unknown option: vihost" при попытке указать в качестве сервера vCenter.

Имеется ли обратная запись в DNS для сервера ESXi?

Да

Что пишут в /var/log/messages

Jul 12 11:24:57 Hostd: [2011-07-12 11:24:57.351 4CA84B90 verbose 'Proxysvc Req00062'] New proxy client SSL(TCP(local=10.6.хх.ххх:3981, peer=10.6.yy.yyy:443))
Jul 12 11:24:57 Hostd: [2011-07-12 11:24:57.481 4CA43B90 verbose 'Proxysvc Req00063'] New proxy client SSL(TCP(local=10.6.хх.ххх:3983, peer=10.6.yy.yyy:443))
Jul 12 11:24:57 Hostd: [2011-07-12 11:24:57.499 4CA02B90 verbose 'GSSAPI'] Service name: (host/vhostYYY.mydomain.local@)
Jul 12 11:24:57 Hostd: [2011-07-12 11:24:57.499 4CA02B90 error 'GSSAPI'] gss_accept_sec_context failed: (0x00090000, 0x00000000)
Jul 12 11:24:57 Hostd: [2011-07-12 11:24:57.499 4CA02B90 error 'GSSAPI'] Supported mechanisms: ({ 1 2 840 113554 1 2 2 }
Jul 12 11:24:57 Hostd: [2011-07-12 11:24:57.500 4CA02B90 info 'Vmomi'] Activation [N5Vmomi10ActivationE:0xcf7a440] : Invoke done [loginBySSPI] on [vim.SessionManager:ha-sessionmgr]
Jul 12 11:24:57 Hostd: [2011-07-12 11:24:57.500 4CA02B90 verbose 'Vmomi'] Arg base64Token:
Jul 12 11:24:57 Hostd: "TlRMTVNTUAABAAAAt7II4ggACAAtAAAABQAFACgAAAAFASgKAAAAD09HTkVWR09aTkFLTlQ="
Jul 12 11:24:57 Hostd: [2011-07-12 11:24:57.500 4CA02B90 verbose 'Vmomi'] Arg locale:
Jul 12 11:24:57 Hostd: (null)
Jul 12 11:24:57 Hostd: [2011-07-12 11:24:57.500 4CA02B90 info 'Vmomi'] Throw vim.fault.InvalidLogin
Jul 12 11:24:57 Hostd: [2011-07-12 11:24:57.500 4CA02B90 info 'Vmomi'] Result:
Jul 12 11:24:57 Hostd: (vim.fault.InvalidLogin) {
Jul 12 11:24:57 Hostd:    dynamicType = <unset>,
Jul 12 11:24:57 Hostd:    faultCause = (vmodl.MethodFault) null,
Jul 12 11:24:57 Hostd:    msg = "",
Jul 12 11:24:57 Hostd: }

/var/log/vmware/hostd.log

в общем-то то же самое

[2011-07-12 11:28:10.496 4CA43B90 verbose 'Proxysvc Req00064'] New proxy client SSL(TCP(local=10.6.хх.ххх:4017, peer=10.6.yy.yyy:443))
[2011-07-12 11:28:10.625 4CA84B90 verbose 'Proxysvc Req00065'] New proxy client SSL(TCP(local=10.6.хх.ххх:4019, peer=10.6.yy.yyy:443))
[2011-07-12 11:28:10.644 4CA43B90 verbose 'GSSAPI'] Service name: (host/vhostYYY.mydomain.local@)
[2011-07-12 11:28:10.644 4CA43B90 error 'GSSAPI'] gss_accept_sec_context failed: (0x00090000, 0x00000000)
[2011-07-12 11:28:10.644 4CA43B90 error 'GSSAPI'] Supported mechanisms: ({ 1 2 840 113554 1 2 2 }, { 1 3 5 1 5 2 }, { 1 2 840 48018 1 2 2 }, { 1 3 6 1 5 5 2 })
[2011-07-12 11:28:10.645 4CA43B90 info 'App'] AdapterServer caught exception: 4c86eb38
[2011-07-12 11:28:10.645 4CA43B90 info 'Vmomi'] Activation [N5Vmomi10ActivationE:0x4cb95ea0] : Invoke done [loginBySSPI] on [vim.SessionManager:ha-sessionmgr]
[2011-07-12 11:28:10.645 4CA43B90 verbose 'Vmomi'] Arg base64Token:
"TlRMTVNTUAABAAAAt7II4ggACAAtAAAABQAFACgAAAAFASgKAAAAD09HTkVWR09aTkFLTlQ="
[2011-07-12 11:28:10.645 4CA43B90 verbose 'Vmomi'] Arg locale:
(null)
[2011-07-12 11:28:10.645 4CA43B90 info 'Vmomi'] Throw vim.fault.InvalidLogin
[2011-07-12 11:28:10.645 4CA43B90 info 'Vmomi'] Result:
(vim.fault.InvalidLogin) {
   dynamicType = <unset>,
   faultCause = (vmodl.MethodFault) null,
   msg = "",
}

0 Kudos
templier
Enthusiast
Enthusiast

Время на хосте/машине/контроллере домена не отличается больше чем на 5 минут?

Проверьте журнал безопасности на контроллере домена. Если сообщений не будет, исправьте политику аудита событий логона (чтобы отслеживать успешные и неуспешные попытки).

Также можно проверить версию RCLI, наличие последнего SP на Windows-системе, включен/отключен брандмауэр на ней же.

Опция --vihost нужна для указания хоста, к которому вы подключаетесь через vCenter.

То есть, в поле --server указывается имя vCenter, в поле --vihost - имя хоста ESXi. Как вариант, попробуйте сделать скрипт через vCenter

vicfg-cfgbackup  --server "FQDN_vCenter" --vihost "FQDN_ESXi"

http://vmind.ru
0 Kudos
flash08
Contributor
Contributor

Время на хосте/машине/контроллере домена не отличается больше чем на 5 минут?

Нет,  не отличается (не считая того, что ESXi by design пишет в логах время  UTC, но в консоли на странице Time Configuration время правильное)

Опция --vihost нужна для указания хоста, к которому вы подключаетесь через vCenter.

То   есть, в поле --server указывается имя vCenter, в поле --vihost - имя   хоста ESXi. Как вариант, попробуйте сделать скрипт через vCenter

vicfg-cfgbackup  --server "FQDN_vCenter" --vihost "FQDN_ESXi"

Это я знаю, но скрипт vicfg-backup.pl видимо не в курсе: "Unknown option: vihost"

Проверьте журнал безопасности на контроллере домена. Если сообщений  не будет, исправьте политику аудита событий логона (чтобы отслеживать  успешные и неуспешные попытки).

Имеется одно загадочное сообщение

Type:    Audit Failure
Source:    Microsoft-Windows-Security-Auditing
Event ID:    4662
Event Time:    13.07.2011 10:05:56
User:    n/a
Computer:    dc1.mydomain.local
Description:
An operation was performed on an object.
Subject :
    Security ID:        S-1-5-21-427690923-1610626529-903097961-11899
    Account Name:        VHOSTyyy$
    Account Domain:        MYDOMAIN
    Logon ID:        0x302e4992
Object:
    Object Server:        DS
    Object Type:        %{bf967a86-0de6-11d0-a285-00aa003049e2}
    Object Name:        %{7b4ad31d-997d-4590-978c-1a05977e4e9e}
    Handle ID:        0x0
Operation:
    Operation Type:        Object Access
    Accesses:        %%7688
               
    Access Mask:        0x100
    Properties:        ---
        {771727b1-31b8-4cdf-ae62-4fe39fadf89e}
            {aa4e1a6d-550d-4e05-8c35-4afcb917a9fe}
            {612cb747-c0e8-4f92-9221-fdd5f15b550d}
    {bf967a86-0de6-11d0-a285-00aa003049e2}
Additional Information:
    Parameter 1:        -
    Parameter 2:     

Также можно проверить версию RCLI, наличие последнего SP на Windows-системе, включен/отключен брандмауэр на ней же.

Версии всего последние, файрвол выключен.

0 Kudos