Bonjour,
Vous vous êtes certainement tous frotté au nouveau service SSO du vCenter.
Outil utile pour la partie WEB (Inventory Service, certains plugins et le web client), mais également pour la partie authentification du vSphere Client, avec l’Active Directory.
Premier point ! FQDN ! tout ce que vous allez configurer devra avoir le nom complet du vCenter ou des serveurs hébergeant les services du vCenter. Au risque d’avoir de drôles d’effets sur votre vCenter. Votre résolution de nom devra être parfaite autant en forward qu’en reverse DNS.
Contrôlez que tous les ports d’accès, à vos serveurs DNS, soient ouverts. En effet, lors de l’installation du SSO, si un des deux serveurs DNS renseignées n’est pas accessible, il n’y aura pas d’intégration AD… du coup, si vous avez fait un upgrade, vous allez perdre tout possibilité de vous connecter à travers le vSphere Client, avec des comptes AD, par contre, vous pourrez toujours utiliser le compte Administrator Local.
Cela vous obligera de faire l’intégration manuellement.
Second point, juste après l’installation du Web Client, connectez-vous avec le compte admin (admin@system-domain) et rajoutez le domaine AD, comme compte référence de connexion et mettez-le en premier.
Troisième point, à faire attention, c’est de ne surtout pas perdre le mot de passe du compte admin@system-domain et de tout de suite rajouter des comptes ou groupes AD administrateurs dans le groupe _administrators_ pour la gestion du serveur SSO.
Quatrième point: désactivez le maximum Lifetime pour éviter de bloquer le compte admin@system-domain après une année.
Le vCenter a été découper en plusieurs services, qui peuvent être posés sur différentes VMs, afin de répartir la charge (pas très utile par nos contrées… mais sait-on jamais…)
Ces éléments sont, dans l’ordre d’installation :
- Le service SSO
- L’Inventory Service
- Le vCenter Service
- L’update Manger
- Le web client
Plus quelques autres, liés à AutoDeploy.
Revenons à notre SSO.
Premièrement, n’essayez pas de désactiver le SSO, c’est possible. Votre vCenter et les connexions, à l’aide du traditionnel vSphere Client, fonctionnent, mais ce cas de figure, n’est pas supporté par VMware.
N’oubliez pas que vSphere 5.x est censé être la dernière version, ayant le vSphere Client, donc habituez-vous à travailler avec le web client, de plus, certaines fonctionnalités sont configurables ou utilisables uniquement à travers le Web Client.
Il existe plusieurs possibilités d’installation du service SSO :
Simple : lorsque l’on veut utiliser le MSSQL Express, pour les LAB ou les infra de moins de 5 serveurs et 50 VMs.
Basic : pour une installation mais avec une DB externe.
Cluster : pour offrir de la Haute Disponibilité avec deux ou plusieurs SSO serveurs derrière un Load Balancer.
Pour la solution HA, il faudra évidemment que la DB du SSO, soit sur un cluster MS SQL, pour garantir une complète haute disponibilité.
MultiSite : si l’on a des vCenter décentralisés et que l’on voudrait utiliser le Linked mode, notamment pour SRM, il faut passer par ce type d’installation. Malheureusement, les configurations faites dans le premier SSO, ne sont pas répliquées automatiquement sur les autres sites, tout est manuel…
Il faut utiliser un outil CLI, se trouvant dans le répertoire d’installation du SSO sso-replication-cli
Exécutez repl_tool.cmd avec les paramètres suivants pour exporter le fichier d’état de réplication.
repl_tool.cmd export –f file –u admin_user_name [-p password ]
repl_tool.cmd export -fc:\ssobackup\ssoexport.dat -uadmin@System-Domain
et sur le second site:
repl_tool.cmd import –f file –u admin_user_name [-p password ]
Attention, il n’y a pas d’espace après le –f –u et -p
Je pense que l’on a meilleure temps d’avoir deux SSO, avec leur propre configuration et renseigner les deux vCenter, dans votre Web Client, pour avoir un point d’entrée et manager les deux vCenter… évidemment cela ne nous arrange pas lors de l’utilisation du vSphere client, mais SRM 5.1 offre une bien meilleure visibilité des objets du site distant, que par le passé.
Donc pour rajouter un autres vCenter et son SSO, dans votre Web Client, il suffit d’utiliser le script
C:\Program Files\VMware\Infrastructure\vSphereWebClient\scripts\client-repoint.bat https://vCenterFQDN:7444/lookupservice/sdk [login] [password]
Ainsi vous allez trouver l’inventaire de vos deux vCenter dans votre WebClient.
La dernière possibilité, est d’utiliser le vCenter HeartBeat, qui offre également du HA pour le service SSO.
Mais c’est une solution coûteuse et complexe à mettre en place.
En bref, ce service doit être bien géré et configuré à son installation, n’oubliez pas d’utiliser systématiquement le FQDN pour vous éviter de mauvaises surprises.
Voici un tableau, avec les différents cas de figures.
Avec l’update 1 de vSphere 5.1, il existe un problème avec les environnements Multi Domain, ainsi que des comptes intégrés dans un trop grand nombre de groupes AD. Il faut utiliser la version 5.1 U1a qui résout ce bug.
MàJ 03.07.2013: Suite à un upgrade de vCenter 4.1 vers 5.1 U1a, j’ai eu passablement de problèmes liés à des certificats périmés. Il est vivement conseillé de régénérer ces certificats, avant même d’installer un quelconque service. Au risque d’avoir certaines fonctionnalités non présentes, tel que l’Inventory Service.
Voici la KB à suivre pour régénérer vos certificats:
Bon upgrade !