Kurztipp: Konfigurationsdebugging von Active Directory-Authentifizierung der vCSA 5.5

Falls sich die Active Directory-Authentifizierung der VMware vCenter Server Appliance (vCSA) 5.5 patrout nicht konfigurieren lassen will, hilft ein Blick in die folgende Protokolldatei: /var/log/vmware/vpx/vpxd_cfg.log

Idealerweise wird auf diese Datei ein tail -f angewendet, bevor das Speichern der Active Directory-Einstellungen initiiert wird. So können Fehlermeldungen in Echtzeit mitgelesen werden.

Ich hatte in meiner Testumgebung folgende Konfigurationsdaten hinterlegt und konnte mir die Fehlerursache nicht erklären:

• Active Directory enabled
• Domain: D2.LOCALDOMAIN.LOC
• Administrator user: D1\admin-cstan
• Administrator password: ...

Der administrative Benutzer lag hier in einer anderen Domäne, weswegen ich die zu verwendende Domäne vorangestellt habe - entsprechende Berechtigungsstrukturen im Active Directory sind vorhanden.

Ein Blick ins Log verriet die Ursache:

1YYYY-MM-DD HH:MM:SS 15505: [15502]BEGIN execution of: /usr/sbin/vpxd_servicecfg 'ad' 'write' 'D1admin-cstan' CENSORED 'd2.localdomain.loc'
2YYYY-MM-DD HH:MM:SS 15505: Testing domain (d2.localdomain.loc)
3YYYY-MM-DD HH:MM:SS 15505: Enabling active directory: 'd2.localdomain.loc' 'd1admin-cstan'
4The username 'd1admin-cstan@d2.localdomain.loc' is invalid because it contains a backslash. Please use UPN syntax (user@domain.com) if you wish to use a username from a different domain.

Das Format war schlichtweg falsch, statt D1\admin-cstan wäre admin-cstan@d1 korrekt gewesen. Nach der Anpassung des Benutzernamens funktionierte die Konfiguration einwandfrei. 🙂

Schön wäre es natürlich, wenn man diese Fehlermeldungen direkt in der Web-Oberfläche sieht. Hier erhält man derzeit nämlich nur den Hinweis, dass die Konfiguration nicht möglich ist. 😉