Назад | Перейти на главную страницу

Клиент vSphere 5.1 U1 - «Время ожидания команды истекло, так как удаленный сервер слишком долго отвечает»

Проблема: что мы пытаемся сделать

При попытке войти в vCenter с помощью клиента VMware vSphere мы сталкиваемся со следующей ошибкой при использовании учетных данных сеансов Windows или учетных данных, введенных вручную (DOMAIN\Username):

Клиент vSphere не может подключиться к «vCenter». Сервер «vCenter» долго не отвечал. (Время ожидания команды истекло, поскольку удаленный сервер слишком долго отвечает.)



В viclient-#-0000.log имеет следующее:

[viclient:Critical:M:12] 2014-03-04 15:49:59.008  Connection State[vCenter]: Disconnected
[viclient:SoapMsg :M:12] 2014-03-04 15:49:59.009  Attempting graceful shutdown of service ...
[viclient:SoapMsg :M:12] 2014-03-04 15:49:59.010  Pending Invocation Count: 0
[viclient:SoapMsg :M:12] 2014-03-04 15:49:59.011  Graceful shutdown of service: Success
[        :Error   :M:12] 2014-03-04 15:49:59.018  Error occured during login
VirtualInfrastructure.Exceptions.LoginError: The server 'vCenter' took too long to respond. (The command has timed out as the remote server is taking too long to respond.)
   at VirtualInfrastructure.LoginMain.Process(BackgroundWorker worker, DoWorkEventArgs e)
   at VirtualInfrastructure.LoginWorkerImpl.Worker_DoWork(Object sender, DoWorkEventArgs e)

Глядя на Журналы единого входа vSphere не выявили какой-либо активности в последнее время, за исключением ssoAdminServer.log что, по моему мнению, указывает на то, что поиск источников идентичности был успешным:

name = kcelliott,
domain = ad.state.gov
inherited from com.vmware.vim.binding.sso.PrincipalId@2fa38f3c
[2014-03-04 16:58:36,301 INFO  opID=10C1719C-00000005-54 pool-13-thread-10  com.vmware.vim.sso.admin.vlsi.PrincipalDiscoveryServiceImpl] Vmodl method 'PrincipalDiscoveryService.findPersonUser' invoked by [ User {Name: vCenterServer_2013.12.19_140038, Domain: System-Domain} with role RegularUser] [caller:/10.5.216.251] Find person user {Name: kcelliott, Domain: ad.state.gov}
[2014-03-04 16:58:36,310 DEBUG opID= DomainKeepAliveThread  com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command com.rsa.admin.SearchIdentitySourcesCommand was executed successfully
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread  com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command {'com.rsa.admin.LookupIdentitySourceCommand', 'com.rsa.admin.LookupIdentitySourceCommand', 'com.rsa.admin.LookupIdentitySourceCommand', 'com.rsa.admin.LookupIdentitySourceCommand', 'com.rsa.admin.LookupIdentitySourceCommand'} was executed successfully
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread  com.vmware.vim.sso.admin.server.ims.impl.DomainManagementImpl] Got external domain: ad1.state.us
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread  com.vmware.vim.sso.admin.server.ims.impl.DomainManagementImpl] Got external domain: ad2.local
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread  com.vmware.vim.sso.admin.server.ims.impl.DomainManagementImpl] Got external domain: ad3.local
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread  com.vmware.vim.sso.admin.server.ims.impl.DomainManagementImpl] Got external domain: ad.state.gov
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread  com.vmware.vim.sso.admin.server.ims.impl.DomainManagementImpl] Got external domain: ad4.alaska.local
[2014-03-04 16:58:36,318 DEBUG opID= DomainKeepAliveThread  com.vmware.vim.sso.admin.server.impl.KeepAlive] Pinging domain ad5.local
[2014-03-04 16:58:36,322 DEBUG opID= DomainKeepAliveThread  com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command com.rsa.admin.SearchIdentitySourcesCommand was executed successfully
[2014-03-04 17:00:06,215 DEBUG opID= DomainKeepAliveThread  com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command com.rsa.admin.SearchPrincipalsCommand was executed successfully
[2014-03-04 17:00:06,215 WARN  opID= DomainKeepAliveThread  com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command 'com.rsa.admin.SearchPrincipalsCommand' executed for 89892 millis
[2014-03-04 17:00:06,215 DEBUG opID= DomainKeepAliveThread  com.vmware.vim.sso.admin.server.impl.KeepAlive] Ping result: null
[2014-03-04 17:00:06,215 DEBUG opID= DomainKeepAliveThread  com.vmware.vim.sso.admin.server.impl.KeepAlive] Pinging domain ad5.local
[2014-03-04 17:00:06,221 DEBUG opID= DomainKeepAliveThread  com.vmware.vim.sso.admin.server.ims.impl.DefaultCommandExecutor] Command com.rsa.admin.SearchIdentitySourcesCommand was executed successfully



Попытки решения: как мы пытались это исправить

Это похоже на информацию в VMware KB 2038918 и VMware KB 2037408. Я пробовал следовать по пути разрешения в VMware KB 2038918 подключившись к vSphere Web Client с помощью учетной записи администратора SSO (admin@system-domain) и настройте базовое DN для групп, чтобы они были более узкими, а не для базы домена, на случай, если мы столкнемся с проблемами тайм-аута при перечислении групп. Это не решило проблему, однако мне удалось успешно проверить соединение. Веб-клиент, кажется, просто сканирует, например, открытие диалогового окна «Редактировать источник идентификации» заняло более трех минут.

VMware KB 2037408 делает не похоже, применимо в нашем случае, поскольку аутентификация не выполняется, независимо от того, используем ли мы учетные данные сеанса Windows или если я вручную предоставляю свои учетные данные Active Directory.

Я перезапустил как службу VMware vCenter, так и не удалось решить проблему, весь сервер vCenter. Это не решило проблему.



Окружающая среда: наш материал, да здравствует его слом

Ошибка аутентификации как для клиента vSphere, так и для веб-клиента vSphere с моей рабочей станции и локально с сервера vCenter. Ошибка аутентификации для нескольких пользователей. Я подтвердил, что все пользователи, пытающиеся пройти аутентификацию, являются членами группы администраторов vCenter (через членство в группе локальных администраторов на сервере Windows, на котором установлен vCenter).

Я могу успешно пропинговать и подключить порт LDAPS контроллеров домена, используемых в качестве источников идентификации.

Хост-сервер не имеет чрезмерного потребления ресурсов.

Мы не вносили никаких изменений в нашу установку vSphere, но мы не управляем и не видим в наших службах каталогов (хотя я не могу представить, что там изменилось, что нарушило бы единый вход vCenter).

Мы используем vSphere 5.1.0 Build 1063329. Я использую Firefox 27 с Adobe Flash 12.0.0.70 с веб-клиентом vSphere. Операционная система хоста для vCenter - Windows Server 2008 R2 SP1 и MS SQL 2012 SP1.

Оказывается, когда мы установили SSO vCenter, он автоматически обнаружил каждый домен Active Directory, который мог. Многие из наших отделов запускают и управляют своими собственными доменами Active Directory вместо использования нашего центрального домена Enterprise Active Directory, который мы используем. Это означало, что у нас было полдюжины значительных доменов Active Directory в источниках идентификации SSO (Administration > Sign-On and Discovery > Configuration).

Удаление ненужных источников удостоверений решило проблему.