sorcerer12101
Enthusiast
Enthusiast

Fallo al validar contraseña después de actualizar vCenter a version 5.1

Buenos días,

Tengo un problema bastante extraño ahora mismo y os cuento a ver si alguien me puede echar un cable.

Estamos en proceso de actualizar toda la infraestructura desde vSphere 4.1 a la versión 5.1. Empiezo por el vCenter y todo el proceso se realiza con normalidad con el único apunte que en la instalación del vCenter SSO no detecta automáticamente el dominio para agregar la Identity Source y he tenido que añadirla a posteriori manualmente. Por lo demás el vCenter SSO, el Inventory Service, el Web Client y el vCenter se instalan y configuro sin problemas.

Una vez instalado todo accedo al vCenter SSO y configuro el Identity Source con los datos de mis DC y dominio y se agrega correctamente resultando satisfactoria la prueba de conexión. Una vez hecho accedo al vCenter y agrego todos los grupos y usuarios de dominio que tenían acceso en la 4.1. Y aqui surge el problema. Al intentar logarme en el vCenter con estos usuarios de dominio no puedo obteniendo siempre un error de usuario y contraseña. Los usuarios los reconoce porque no me dá error de no tener permisos de login y las contraseñas son correctas porque al mismo tiempo me logo en servidores windows sin mayor problema. Obviamente sin usuarios de dominio no me vale y ya no puedo continuar y por tanto he tenido que hacer una marcha atrás y volver a la versión 4.1.

La sensación es que el problema es la validación de la contraseña por parte de lo DC pero no se me ocurre por donde puede estar el problema, el dominio windows está funcionando correctamente y la instalación del vCenter, del vCenter SSO y la configuración del Identity Source es también aparentemente correcta.

¿Alguna idea?¿Alguien ha tenido un problema similar después de actualizar a la versión 5.1?

Gracias de antemano,

Un saludo,

David Perez Ferrer - VCP4 / VCP5 Si encuentras que esta o cualquier otra respuesta fue de utilidad, por favor da el voto. Gracias. If you find this or any other answer useful, please consider awarding points. Thank you.
0 Kudos
5 Replies
leonhardtla
Expert
Expert

Hola,

has probado en entrar en vSphere Webclient como vsphere.local\administrator con la contraseña SSO, apartado Configuration --> Single Sign-On --> Configuration --> Identity Soruces y añadir los usuario/grupos del dominio aqui?

te adjunto una imagen:

sso.PNG

Un saludo.

----- Leandro Ariel Leonhardt: Virtualized System Architect at GrupoSothis.com. VSAN vExpert 2016, vExpert 2017/16/15/14/13, VMware Certified Instructor, VCAP5-DCA, VCP6/5-DCV, VCA-DCV, Nutanix NPP/NSEN & Nutanix Technology Champions (NTC). | Founder of BlogVMware Blog: https://www.blogvmware.com & Nutanix Course http://vExpert.me/Z0 Si encuentras que esta o cualquier otra respuesta fue de utilidad, por favor da el voto. Gracias. If you find this or any other answer useful, please consider awarding points. Thank you.
0 Kudos
Borja_Mari
Virtuoso
Virtuoso

Hola,

sin conocer exactamente el error que te da, es mas complicado poder ayudarte Smiley Happy

Te aconsejo que compruebes en este orden los siguientes KB de vmware:

http://kb.vmware.com/selfservice/microsites/search.do?cmd=displayKC&docType=kc&externalId=2035758&sl...

http://kb.vmware.com/selfservice/microsites/search.do?cmd=displayKC&docType=kc&externalId=2044150&sl...

http://kb.vmware.com/selfservice/microsites/search.do?cmd=displayKC&docType=kc&externalId=2036529&sl...

Adicionalmente a consultar esos KB, te recomiendo (como hago siempre) que consultes el best practices de la actualización a la versión 5.1 del vcenter:

VMware KB: Upgrading to vCenter Server 5.1 best practices

En concreto, la parte de los usuarios (puedes buscar por la cadena "user" en el KB)

Espero que lo que te paso sea de ayuda :smileygrin:

Un saludo,

Pablo

------------------------------------------------------------------------------------------------- PLEASE CONSIDER AWARDING any HELPFUL or CORRECT reply. Thanks!! Por favor CONSIDERA PREMIAR cualquier respuesta ÚTIL o CORRECTA . ¡¡Muchas gracias!! VCP3, VCP4, VCP5-DCV (VCP550), vExpert 2010, 2014 BLOG: http://communities.vmware.com/blogs/VirtuallyAnITNoob
0 Kudos
sorcerer12101
Enthusiast
Enthusiast

Hola,

Gracias por vuestras respuestas. Adjunto un pantallazo del error, simulado ya que tuve que ejecutar la marcha atrás...Error-vCenterSSO.JPG

La actualización que hice en la granja que tenemos para test funcionó sin mayores problemas...

Una vez terminada la instalación y como bien sabréis el único usuario que tiene permisos es el Administrador local (use una instaláción Basic del SSO). Para añadir a los usuarios hice login con él y añadí sin problemas todos los grupos y usuarios del dominio que deben tener permisos, no se me ocurrió hacerlo directamente desde el SSO. Como Identity Source añadí el dominio completo por lo que cualquier usuario del dominio es posible añadirlo como usuario con acceso al vCenter. El test de prueba del Identity Source es satisfactorio sin mayores problemas. He estado viendo que los permisos se pueden añadir efectivamente en el SSO con el webclient accediendo con un usuario con permisos en el vCenter seleccionando el vCenter y la pestaña Manage pero veo y creo que si los añadí a través del vsphere client ya deben aparecer en el SSO sin problemas ya que el login es permitido.

Por otra parte los KB comentados ya los he estado revisando y.. o ya he realizado/intentado lo que se dice o no se ajusta a mi problema y no aplica, en los dos últimos hace referencia solo al web client y mi problema es con los dos con el Client y con el Web Client, no hay manera de que valide las contraseñas de los usuarios de dominio.

He usado el software de la versión Update 1b, el Identity Source para el dominio completo funciona correcto, el DNS está correcto. Da la sensación que el problema está entre el vCenter y el SSO a la hora de usar el Identity Source o entre el SSO y el AD con algún problema extraño que además impide que el AD se detecte automáticamente en la instalación del SSO y luego haya que añadirlo manualmente..

Gracias,

Un saludo,

David Perez Ferrer - VCP4 / VCP5 Si encuentras que esta o cualquier otra respuesta fue de utilidad, por favor da el voto. Gracias. If you find this or any other answer useful, please consider awarding points. Thank you.
0 Kudos
DanielOprea
Hot Shot
Hot Shot

Buenas,

Si el upgrade se ha realizado correctamente y los servicios del VC como del SSO arrancan perfectamente, entonces el fallo es de la configuración del SSO.

Debes entran en el SSO con el usuario administrador "admin@System-Domain" que pusiste o con el que te viene por defecto:

https://localhost:9443/vsphere-client

Después debes entrar en Administración:

1.JPG

Añadir el dominio:

2.JPG

3.JPG

Editar las politicas del SSO para quitarle la caducidad de la password del user del SSO:

4.JPG

5.JPG

Si lo dejas en "NaN" le quitas la caducidad, si le quieres poner caducidad, puedes elegir el tiempo también:

6.JPG

La politica del bloqueo de las cuentas:

7.JPG

Y despues debes entrar en SSO Users y añadir el usuario/grupo administrador del SSO y VC:

8.JPG

9.JPG

10.JPG

Despues entras en el vSphere Client con el user del sso y das permisos a todos los usuarios/grupos que quieres que acceda al VC:

15.JPG

16.JPG11.JPG

12.JPG

Espero haberte sido de ayuda este mini procedimiento.

PLEASE CONSIDER AWARDING any HELPFUL or CORRECT answer. Thanks!!

Por favor CONSIDERA PREMIAR cualquier respuesta ÚTIL o CORRECTA. ¡¡Muchas gracias!!

Blog: http://danieloprea.blogspot.com.es/

PLEASE CONSIDER AWARDING any HELPFUL or CORRECT answer. Thanks!! Por favor CONSIDERA PREMIAR cualquier respuesta ÚTIL o CORRECTA. ¡¡Muchas gracias!! Blogs: http://danieloprea.blogspot.com.es/ https://communities.vmware.com/blogs/doprea
0 Kudos
sorcerer12101
Enthusiast
Enthusiast

Hola a todos,

Gracias por todas vuestras respuestas. Llevo una temporada muy liado y por tanto sin meterme por las Comunities para poder actualizar. Al final me funcionó y conseguí tener todo operativo.

Realmente después de mucho mirar ninguno de los kbs que encontré y comentados aquí ni ninguna otra información me sirvieron para solucionar el problema.

Las únicas cosas que llegue a probar y que creo que son interesantes tener en cuenta a quien le pase algo parecido son asegurarse de tener el protocolo Netbios habilitado en la red y en todos los servidores involucrados por un lado y por otro en el SSO tener establecido el dominio como dominio por defecto y en primer lugar para asegurar que no nos lo pide en el momento de realizar el logon desde el cliente.

En cualquier caso y sin más modificaciones ni pruebas en mi segundo intento de actualización y a pesar de que tampoco me reconoció el dominio automáticamente, todo funcionó bien y ya pude progresar con la actualización. Las dos cosas probadas creo que son necesarias pero no me ha quedado la certeza de si ayudaron en la solución o si simplemente en la primera ocasión no funcionó porque no quiso y en la segunda se portó bien y todo funcionó a la primera.

Un saludo,

David Perez Ferrer - VCP4 / VCP5 Si encuentras que esta o cualquier otra respuesta fue de utilidad, por favor da el voto. Gracias. If you find this or any other answer useful, please consider awarding points. Thank you.
0 Kudos