表示されたメッセージでKBを検索すると見事にヒットしました。
# どうもvCenter Server 5.1特有の問題のようです。
vCenter Server へのログインまたは Single Sign-On が Active Directory ドメインのすべてのユーザーについてエラーで失敗する
http://kb.vmware.com/kb/2100430
KBには、Active Directoryのいずれかのサービスがダウンしている時に発生するとの記載があり、サービス稼働状況を確認してみましたが、特に問題はありませんでした。
対処方法として、正常に機能していないアイデンティティソースを削除するとの記載もあったので、こちらも試そうとしたところ、、最初の手順で躓きました。。
SSO 管理者として vSphere Web Client にログインします。
これは、デフォルトでは admin@system-Domain です。
・・・ん? admin@system-Domain?
たしかにWindows版のvCenter Serverを構築した時にはインストーラでパスワードを設定した記憶があるのですが、今回はVirtual Appliance版で構成していたこともあり、パスワードが分からずログイン出来ません。。
# 覚えていないだけかもしれませんが。。
色々調べたところ、Virtual Appliance版には「root@localos」というアカウントが存在し、こちらで同様にvSphere Web Clientにログイン出来るようです。
# ドキュメントにしっかり書いてありました。。
VMware vCenter 仮想アプライアンスの vCenter Single Sign On モードの構成
http://pubs.vmware.com/vsphere-51/index.jsp#com.vmware.vsphere.vcenterhost.doc/GUID-689AC3F1-6654-4EE2-A146-663BD157FDC2.html
【抜粋】
このユーザーは Single Sign On 管理者ユーザーです (通常、Windows で実行される Single Sign On インスタンスの場合は admin@System-Domain、別の vCenter Server アプライアンスで実行される Single Sign On インスタンスの場合は root@localos)。
「root@localos」アカウントでログインしてみたところ、無時にログイン出来ました。
vSphere Web Cientにログイン出来たので、後はKBの対処法に沿ってアイデンティティソースを修正すればエラーを解消出来そうです。
# 少し長くなってしまいましたので、、実際の対処法にご興味のある方は続きをどうぞ。
vSphere Web Clientにログイン後、[管理]-[サインオンおよび検出]-[構成]-[アイデンティティソース]の順にアクセスし、問題となっているアイデンティティソースを選択して、編集ボタン(鉛筆マーク)をクリックします。
"アイデンティティソースの編集"画面が表示されますので、[接続をテスト]ボタンをクリックします。
もちろん、エラーになってしまいます。
結論から言いますと、今回ログイン出来なかった原因は、LDAP with SSL用ドメインコントローラ証明書の有効期限が切れていたことが原因だったようです。
ドメインコントローラ証明書の更新も、アイデンティティソースの編集より可能でしたので、対処手順をご紹介しておきます。
ドメインコントローラ証明書の更新
アイデンティティソースの編集画面にて、"プライマリサーバURL"もしくは"セカンダリサーバURL"いずれかの項目を修正すると、下に[証明書の選択]ボタンが現れます。
[証明書の選択]ボタンをクリックすると、"開く"画面が表示されますので、ドメインコントローラよりエクスポートした証明書を選択し、[開く]ボタンをクリックします。
証明書がvCenter Single Sign On キーストアに追加されます。
今回はドメインコントローラが2台あるので、同様の手順で証明書を2通追加しました。
本対処の関する詳細や証明書のエクスポート手順については以下のKBが参考になりました。
LDAP with SSL (LDAPS) を使用して vCenter Single Sign-On 5.1 ID ソースを構成する
http://kb.vmware.com/kb/2080552
[接続をテスト]ボタンをクリックし、正しく接続出来ることを確認します。
一度ログアウトし、再度ドメインドメインアカウントでログインします。
問題なくログイン出来ました!
今回は証明書の有効期限切れが原因でしたが、冒頭のKBにも掲載されている通り、Active Directoryのサービスがダウンしている場合にも発生するようなので、ご参考までに。
あと、今回は関係ありませんでしが、色々調べている最中に「admin@system-Domain」アカウントのパスワードをリセットする方法もありましたので、参考情報として掲載しておきます。
vCenter Single Sign On (SSO) における有効期限の切れたパスワードの再設定
http://kb.vmware.com/kb/2080274
vCenter Single Sign On(SSO)管理者パスワードのロック解除とリセット
http://kb.vmware.com/kb/2080824
vCenter Single Sign-On (SSO) のコマンド ライン オプションについて
http://kb.vmware.com/kb/2100407
0 件のコメント:
コメントを投稿