Beim Provisionieren von vCenter Server 6.5 bin ich neulich auf einen Fehler gestoßen, den ich in den Versionen 6.5c und 6.5d nachstellen konnte. Bei der Installation über den grafischen vCSA UI-Installer erschien in der zweiten Phase immer folgende Fehlermeldung:

1Unable to connect to vCenter Single Sign-On: Failed to connect to SSO; uri:https://st-vcsa03.stankowic.loc/sso-adminserver/sdk/vsphere.local

Beim Analysieren der fehlerhaften Appliance bin ich in den Systemprotokollen auf folgende Zeilen gestoßen:

1vmware-stsd[1762]: has address 127.0.0.1. Request for http://localhost:7080/afd failed after 10 seconds. Status: /usr/bin/curl status. Response: 000. Host: localhost has address 127.0.0.1. Request for http://localhost:7080/afd failed after 10 seconds. Status: /usr/bin/curl status. Response: 000. ...

Augenscheinlich kann der VMware Identity Management-Dienst, welcher für SSO essentiell ist, nicht gestartet werden - in Folge dessen bricht die Installation ab. Ich konnte den Effekt auf mehreren ESXi-Hosts und virtualisierten Umgebungen nachstellen - ein lokales Problem konnte ich also ausschließen. Im VMware-Forum bin ich auf einen interessanten Post gestoßen, der genau dieses Phänomen beschreibt. Dort wird auch ein Workaround genannt, der auch für mich das Problem löste.

Workaround

Die vCSA-Installation besteht aus zwei Phasen - während in der ersten Phase die OVA-Vorlage provisioniert wird, werden in der zweiten Phase die jeweiligen Dienste automatisch konfiguriert. Treten Fehler in der zweiten Phase auf, ist die Appliance beschädigt und muss erneut provisioniert werden. Es kann an dieser Stelle nicht schaden, einen Snapshot zu erstellen.

Der Assistent der zweiten Phase muss vollständig ausgefüllt werden. Bevor jedoch die abschließende Sicherheitsabfrage bestätigt wird, muss die Kommandozeile der Appliance geöffnet werden - entweder per VM-Konsole oder per SSH (welches erst über die VM-Konsole aktiviert werden muss). Die folgenden Kommandos müssen abgesetzt werden:

1\> shell
2# echo "::1 localhost.localdom localhost" >> /etc/hosts

Die lokale Hosts-Auflösung wird somit um einen IPv6-Eintrag erweitert. Er scheint, als würden manche SSO-Komponenten intern auch in IPv4-only Konfigurationen über IPv6 kommunizieren:

1# netstat -tulpen|grep idm
2tcp6 0 0 :::36922 :::* LISTEN 0 17387 1603/vmware-sts-idm
3tcp6 0 0 127.0.0.1:12721 :::* LISTEN 0 18267 1603/vmware-sts-idm

Ohne diesen Eintrag kann localhost nicht in eine IPv6-Adresse konvertiert werden und somit bricht die Installation ab. Der Eintrag sollte auch nach der Installation nicht entfernt werden - wird er entfernt, kann SSO nicht gestartet werden und vCenter Server ist nicht einsatzbereit.