O problema: o que estamos tentando fazer
Ao tentar efetuar login no vCenter usando o VMware vSphere Client, somos recebidos com o seguinte erro ao usar as credenciais das Sessões do Windows ou as credenciais fornecidas manualmente ( DOMAIN\Username
):
The vSphere Client could not connect to "vCenter" The server "vCenter"
took to long to respond. (The command has timed out as the remote
server is taking too long to respond.)
Oviclient-#-0000.log
temoseguinte:
[viclient:Critical:M:12]2014-03-0415:49:59.008ConnectionState[vCenter]:Disconnected[viclient:SoapMsg:M:12]2014-03-0415:49:59.009Attemptinggracefulshutdownofservice...[viclient:SoapMsg:M:12]2014-03-0415:49:59.010PendingInvocationCount:0[viclient:SoapMsg:M:12]2014-03-0415:49:59.011Gracefulshutdownofservice:Success[:Error:M:12]2014-03-0415:49:59.018ErroroccuredduringloginVirtualInfrastructure.Exceptions.LoginError:Theserver'vCenter'tooktoolongtorespond.(Thecommandhastimedoutastheremoteserveristakingtoolongtorespond.)atVirtualInfrastructure.LoginMain.Process(BackgroundWorkerworker,DoWorkEventArgse)atVirtualInfrastructure.LoginWorkerImpl.Worker_DoWork(Objectsender,DoWorkEventArgse)
Olhandoparaos Logs SSO do vSphere não revela nenhuma atividade recente, com exceção do ssoAdminServer.log
, que, por minha leitura, indica que a pesquisa de fontes de identidade foi bem-sucedida:
name = kcelliott,
domain = ad.state.gov
inherited from com.vmware.vim.binding.sso.PrincipalId@2fa38f3c
[2014-03-04 16:58:36,301 INFO opID=10C1719C-00000005-54 pool-13-thread-10 com.vmware.vim.sso.admin.vlsi.PrincipalDiscoveryServiceImpl] Vmodl method 'PrincipalDiscoveryService.findPersonUser' invoked by [ User {Name: vCenterServer_2013.12.19_140038, Domain: System-Domain} with role RegularUser] [caller:/10.5.216.251] Find person user {Name: kcelliott, Domain: ad.state.gov}
[2014-03-04 16:58:36,310 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command com.rsa.admin.SearchIdentitySourcesCommand was executed successfully
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command {'com.rsa.admin.LookupIdentitySourceCommand', 'com.rsa.admin.LookupIdentitySourceCommand', 'com.rsa.admin.LookupIdentitySourceCommand', 'com.rsa.admin.LookupIdentitySourceCommand', 'com.rsa.admin.LookupIdentitySourceCommand'} was executed successfully
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DomainManagementImpl] Got external domain: ad1.state.us
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DomainManagementImpl] Got external domain: ad2.local
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DomainManagementImpl] Got external domain: ad3.local
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DomainManagementImpl] Got external domain: ad.state.gov
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DomainManagementImpl] Got external domain: ad4.alaska.local
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.impl.KeepAlive] Pinging domain ad5.local
[2014-03-04 16:58:36,322 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command com.rsa.admin.SearchIdentitySourcesCommand was executed successfully
[2014-03-04 17:00:06,215 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command com.rsa.admin.SearchPrincipalsCommand was executed successfully
[2014-03-04 17:00:06,215 WARN opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command 'com.rsa.admin.SearchPrincipalsCommand' executed for 89892 millis
[2014-03-04 17:00:06,215 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.impl.KeepAlive] Ping result: null
[2014-03-04 17:00:06,215 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.impl.KeepAlive] Pinging domain ad5.local
[2014-03-04 17:00:06,221 DEBUG opID= DomainKeepAliveThread com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command com.rsa.admin.SearchIdentitySourcesCommand was executed successfully
As soluções tentadas: como tentamos corrigi-lo
Isso parece consistente com as informações em VMware KB 2038918 e VMware KB 2037408 . Tentei seguir o caminho de resolução em VMware KB 2038918 conectando-se ao vSphere Web Client usando a conta Administrador do SSO ( admin@system-domain
) e ajustando o DN base para que os grupos fiquem mais restritos em vez da base do domínio, caso tenhamos problemas de tempo limite ao fazer a enumeração do grupo. Isso não resolveu o problema, mas eu consegui testar o Connection. O cliente Web parece apenas rastrear, por exemplo, demorou três minutos para abrir a janela de diálogo "Editar fonte de identidade".
VMware KB 2037408 não parece se aplicar em nosso caso, pois a autenticação falha, independentemente de usarmos credenciais de sessão do Windows ou se eu fornecer manualmente minhas credenciais do Active Directory.
Eu reiniciei o serviço VMware vCenter e a falha na resolução do problema, todo o servidor vCenter. Isso não resolveu o problema.
O Meio Ambiente: Nossas Coisas, Santificadas por Sua Quebra
A autenticação falha para o vSphere Client e o vSphere Web Client da minha estação de trabalho e localmente do servidor vCenter. A autenticação falha para vários usuários. Verifiquei que todos os usuários que tentam autenticar são membros do grupo Administradores do vCenter (por meio da associação aos administradores locais no servidor Windows em que o vCenter está instalado).
Eu posso pingar com sucesso e conectar a porta LDAPS dos controladores de domínio usados como fontes de identificação.
O servidor host não tem nenhum consumo indevido de recursos.
Não fizemos nenhuma alteração em nossa instalação do vSphere, mas não gerenciamos ou temos qualquer visibilidade em nossos serviços de diretório (embora eu não consiga imaginar o que mudou lá que interromperia o SSO do vCenter).
Estamos usando o vSphere 5.1.0 Build 1063329. Estou usando o Firefox 27 com o Adobe Flash 12.0.0.70 com o vSphere Web Client. O sistema operacional do host para o vCenter é o Windows Server 2008 R2 SP1 e o MS SQL 2012 SP1.