Category Archives: vCenter

Cách thêm nhiều Domain Multi-tenant đăng nhập 1 lần trên vCenter


image

image

 

image

image

Bên cạnh các máy chủ AD có cấu hình kết nối thông qua giao thức LDAP, chúng ta vẫn có thể cấu hình thêm 1 kiểu kết nối AD – Active Directory (Integrated Windows Authentication)

image

 

Sau khi đã phân quyền các users/ group thuộc các Domain AD đó thành công.

Mỗi user có quyền thuộc các AD khác nhau đều có thể truy cập vào cùng vCenter với các kiểu đăng nhập sau:  kiểu tên miền\user name  hoặc  username@tên miền

image

 

hoặc domain khác:

image

Chúc các bạn thành công !

Bài Labs: triển khai mô hình HA và SSO cho PSC với vCenter site A (Hà nội) và vCenter Site B (HCMC)


Những phiên bản vSphere 5.5 trở về trước chung ta chưa bao giờ xử lý cấu hình và tiết kiểm được chi phí license của vCenter với các ESXi Host của từng hệ thống DC hay còn gọi là từng chi nhánh “site”.

Trong phiên bản từ vSPhere 6.0 trở lên, chúng ta hoàn toàn có thể giải quyết các vướng mắc và tiết kiệm chi phí license khi dựng 1 hệ thống vCenter có nhiều chi nhánh DC ở nhiều hơn 1 site.

Ở đây tôi xin giới thiệu cơ bản về mô hình cấu hình vSphere 6 với 2 site A( đặt tại Hà nội)  và Site B (đặt tại HCMC) thông qua mô hình cấu hình Hệ thống Quản trị trung gian “External PSC”:

Trong đó PSC là Platform Service Controller chỉ có từ vSphere 6.x. Mô hình này tôi dựng toàn bộ là các máy chủ VM Appliance để giảm chi phí license cài trên Windows OS server và MS SQL Server.

Tận dụng tối đa license Open GLN của VMware xây dựng trên Linux SuSe Enterprise Server 11 x64.

image

Một số yêu cầu quan trọng phải chuẩn bị trước:

1. Luôn phải có tới thiểu 1 DNS server để cấu hình các bản ghi A (Host) để forward và PTR để reverse lookup zones.

2. Trong 1 Site A tối thiểu sẽ có 2 máy ảo VM để deployed, 1 là máy  ảo PSC và 1 cái khác là  vCenter nằm trên cùng node.

3. Tất cả 2 máy VM trên đều phải là IPv4 địa chỉ IP tĩnh và có thông tin tên máy theo dạng FQDN (có định danh tên host + tên domain khớp với DNS Server đã khải ở trên bản ghi A, PTR) 

I. Triển khai Platform Services Controller – PSC tại Site A:

Bước 1.

image

Bước 2.

image

Bước 3.

image

*Ghi chú*  Nếu bạn có một domain hiện có trong AD hoạt động ví dụ: xyz.vn.  Bạn đừng nên  sử dụng tên miền này cho vCenter vì miền đó sẽ làm SSO và sẽ khiến bạn nhầm lẫn giữa SSO của vCenter với AD user của bạn khi quản lý thêm hoặc phân quyền người dùng dưới tên miền xyz.com trong vCenter  Administrators.

Bước 4.

image

Bước 5.

image

Bước 6.

image

Bước 7.

image

Bước 8.

image

Bước 9.

image

Bước 10.

image

II. Cài và cấu hình vCenter Appliance tại Site A  (VCVA – Site A):

Bước 1.

image

Bước 2.

image

Bước 3.

image

Bước 4.

image

Bước 5.

image

Bước 6.

image

Bước 7.

image

Bước 8.

image

Bước 9.

image

Bước 10.

image

Bước 11.

image

Bước 12.

image

Bước 13.

image

Bước 14.

image

 

III. Cài đặt và cấu hình vCenter Appliance site B (chi nhánh) chỉ có vCenter và kết nối qua mạng WAN/Internet tới Site A thông qua PSC

Các bước chuẩn bị trước khi cài vCenter tại site B (HCMC):
– Đây là cách cấu hình mở rộng cho phép kết nối PSC từ vCenter 6.x, đây cũng là kiểu cấu hình cho phép nhiều vCenter Servers có thể kết nối tới 1 PSC.
  1. Các vCenter không nằm trên cùng hệ thống với PSC sẽ phải có cấu hình DNS Server (có bản ghi A, PTR của máy chủ vCenter trước khi cài vCenter).
  2. Phải đảm bảo là quản trị site B của HCMC phải biết thông tin chính xác về địa chỉ IP, tên máy chủ và FQDN của PSC tại Hà nội, user admin SSO, mật khẩu và mở NAT cổng 443 của PSC .
  3. Hệ thống mô hình này cũng cho phép có nhiều PSC hơn 1 máy tại HCMC giống với ở Hà nội.
  4. Giải pháp trên cũng hỗ trợ cho vCenter Windows Server.

ví dụ mô hình nhiều vCenter cùng kết nối tới 1 PSC

image

Bước 1.

image

Bước 2.

image

Bước 3.

image

Bước 4.

image

Bước 5.

image

Bước 6.

image

Bước 7

image

Như vậy là chúng ta đã cài đặt xong mô hình mở rộng PSC cho phép kết nối và SSO giữa 2 site A (hà nội) và site B (HCMC).

Chúc các bạn thành công !

Cách nâng cấp vCenter từ version 6.0 lên 6.2


 

Bước 1. Download bộ cài ISO của VCVA 6  update 2 từ đường link: https://my.vmware.com/group/vmware/patch#search 

image_thumb51

Bước 2. Snapshot lại 1 bản của VCVA hoặc dùng Veeam Backup full máy chủ vcenter appliance 6

Bước 3. Mở PuTTy để kết nối tới SSH, Bash Shell của VCVA

image_thumb30

Lưu ý: để dùng được các lệnh VCVA thì không áp dụng Shell Bash, nếu bạn đã mở WINSCP và cấu hình lệnh cho PuTTy dạng Shell /Bash thì cần thoát chế độ đó bằng lệnh:

chsh -s /bin/appliancesh root

PuTTy sẽ trở về dạng Command:

PuTTy_Command

Bước 4. Dùng vSphere Client hoặc Web Sphere client truy cập VCVA và mount CD/DVD file ISO phiên bản nâng cấp.

Bước 5. Dùng PuTTy mở VCVA và gõ lệnh

software-packages install –iso –acceptEulas

image_thumb39

Lưu ý: 

- vCenter Appliance có hạn chế thời gian được phép mở lệnh BASH qua port SSH 22.

- Dùng WINSCP cần phải cấu hình PuTTy mở port SSH 22.

image_thumb33

Không mở trực tiếp bằng SFTP sẽ bị báo lỗi:

image_thumb60

– Nếu muốn mở SFTP qua cổng SSH 22 phải dùng PuTTy mở trước.

– Nếu mở PuTTy gõ lệnh ở bước 4.

image_thumb57

Bước 6. Dùng lệnh Reboot để khởi động lại vCenter sau khi nâng cấp.

shutdown reboot -r updating

image_thumb45

Bước 7. Kiểm tra lại vCenter đã nâng cấp phiên bản

vCenter Appliance build 3562874

 

Chúc các bạn thành công !

 

Cách dùng VEEAM Backup v9 sao lưu vCenter Appliance từ ESXi Host cũ và khôi phục sang ESXi Host khác


 

Sau đây tôi giới thiệu 1 bài Labs thực hành về phương pháp sao lưu/ khôi phục hệ thống VMware vSphere vCenter Server Appliance 6 thông qua công cụ Back/Restore chuyên nghiệp – số 1 Thế giới VEEAM Backup Free version 9.

– Cách dùng VEEAM Backup Free v9 backup vCenter Appliance 6 từ 1 ESXi Host cũ và khôi phục sang 1 ESXi Host khác

(Trường hợp: do không có Share Storage/SAN chung cho các ESXi Host, chỉ có 1 máy ảo VM có hệ điều hành Opensource/MS Server như: Openfiler/FreeNAS hoặc WIndows Server 2012 làm Software NFS)

Các bước chuẩn bị cho hệ thống VEEAM Backup:

Bước 1. Cách cấu hình VEEAM Backup Free v9

  • Tải bản ISO cài đặt VEEAM Backup Free v9
  • Cài hệ thống VEEAM Backup Free v9 xin tham khảo:
  • Cấu hình VEEAM Backup Free v9 trên  3 mô hình chính:
    • Cài trên 1 VM windows 2012 R2
    • Cài trên 1 Hyper-V và có windows 2008 R2/ W2K12/W2K12R2.
    • Cài .Net framework 4.5, SQL Express2013 Sp1

Bước 2. Cách viết script cho VEEAM Backup trên PowerShell v2

 

– Nội dung file VEEAMBackup.ps1  script:

##################################################################

#                   User Defined Variables

##################################################################

# Names of VMs to backup separated by comma (Mandatory). For instance, $VMNames = “VM1”,”VM2”

$VMNames = “VCVA60”

# Name of vCenter or standalone host VMs to backup reside on (Mandatory)

$HostName = “10.10.11.80”

# Directory that VM backups should go to (Mandatory; for instance, C:\Backup)

$Directory = “E:\Backup_K2”

#Optionally, you can change compression level and desired retention, disable VMware quiescence, enable encryption or even notification settings:

# Desired compression level (Optional; Possible values: 0 – None, 4 – Dedupe-friendly, 5 – Optimal, 6 – High, 9 – Extreme)

$CompressionLevel = “5”

# Quiesce VM when taking snapshot (Optional; VMware Tools or Hyper-V Integration Components are required for this in the guest OS; Possible values: $True/$False)

$EnableQuiescence = $True

# Protect resulting backup with encryption key (Optional; $True/$False)

$EnableEncryption = $False

# Encryption Key (Optional; path to a secure string)

$EncryptionKey = “”

# Retention settings (Optional; by default, VeeamZIP files are not removed and kept in the specified location for an indefinite period of time.

# Possible values: Never, Tonight, TomorrowNight, In3days, In1Week, In2Weeks, In1Month)

$Retention = “Never”

#If you like to get an email report once the backup is completed, you should additionally fill out the following notification settings.

##################################################################

# Notification Settings

##################################################################

# Enable notification (Optional)

$EnableNotification = $True

# Email SMTP server

$SMTPServer = “”

# Email FROM

$EmailFrom = “”

# Email TO

$EmailTo = “”

# Email subject

$EmailSubject = “”
##################################################################
#                   Email formatting
##################################################################

$style = “<style>BODY{font-family: Arial; font-size: 10pt;}”
$style = $style + “TABLE{border: 1px solid black; border-collapse: collapse;}”
$style = $style + “TH{border: 1px solid black; background: #dddddd; padding: 5px; }”
$style = $style + “TD{border: 1px solid black; padding: 5px; }”
$style = $style + “</style>”

##################################################################
#                   End User Defined Variables
##################################################################

#################### DO NOT MODIFY PAST THIS LINE ################
Asnp VeeamPSSnapin

$Server = Get-VBRServer -name $HostName
$MesssagyBody = @()

foreach ($VMName in $VMNames)
{
  $VM = Find-VBRViEntity -Name $VMName -Server $Server
  If ($EnableEncryption)
  {
    $EncryptionKey = Add-VBREncryptionKey -Password (cat $EncryptionKey | ConvertTo-SecureString)
    $ZIPSession = Start-VBRZip -Entity $VM -Folder $Directory -Compression $CompressionLevel -DisableQuiesce:(!$EnableQuiescence) -AutoDelete $Retention -EncryptionKey $EncryptionKey
  }
  Else
  {
    $ZIPSession = Start-VBRZip -Entity $VM -Folder $Directory -Compression $CompressionLevel -DisableQuiesce:(!$EnableQuiescence) -AutoDelete $Retention
  }
  If ($EnableNotification)
  {
    $TaskSessions = $ZIPSession.GetTaskSessions().logger.getlog().updatedrecords
    $FailedSessions =  $TaskSessions | where {$_.status -eq “EWarning” -or $_.Status -eq “EFailed”}
  if ($FailedSessions -ne $Null)
  {
    $MesssagyBody = $MesssagyBody + ($ZIPSession | Select-Object @{n=”Name”;e={($_.name).Substring(0, $_.name.LastIndexOf(“(“))}} ,@{n=”Start Time”;e={$_.CreationTime}},@{n=”End Time”;e={$_.EndTime}},Result,@{n=”Details”;e={$FailedSessions.Title}})
  }
  Else
  {
    $MesssagyBody = $MesssagyBody + ($ZIPSession | Select-Object @{n=”Name”;e={($_.name).Substring(0, $_.name.LastIndexOf(“(“))}} ,@{n=”Start Time”;e={$_.CreationTime}},@{n=”End Time”;e={$_.EndTime}},Result,@{n=”Details”;e={($TaskSessions | sort creationtime -Descending | select -first 1).Title}})
  }
  }  
}
If ($EnableNotification)
{
$Message = New-Object System.Net.Mail.MailMessage $EmailFrom, $EmailTo
$Message.Subject = $EmailSubject
$Message.IsBodyHTML = $True
$message.Body = $MesssagyBody | ConvertTo-Html -head $style | Out-String
$SMTP = New-Object Net.Mail.SmtpClient($SMTPServer)
$SMTP.Send($Message)
}

Bước 3. Cấu hình PowerShell V2 cho phép chạy, read/write/executive trên máy chủ Windows chạy bản VEEAM Backup Free v9.

Lưu ý khi lần đầu cài Microsft PowerShell và chạy trên máy PC mới:

  • Gõ lệnh trên màn PowerShell / cmdlet / cmdDOS :

Get-PSSnapin

  • Gõ lệnh kiểm tra quyền chạy  WinRM kết nối tới  Office 365 (O365):

net start winrm
winrm get winrm/config/client/auth

  • Gõ lệnh cấu hình lại quyền chạy winrm (nếu kết quả báo: Basic=false):

winrm set winrm/config/client/auth @{Basic=”true”}

  • Một số trường hợp đặc biệt, máy PC của bạn đang join domain và  bị Global domain ngăn cản bằng các Policy domain hãy gõ lệnh sau để thiết lập quyền kết nối và điều khiển Office 365 bằng PowerShell:

Set-ExecutionPolicy RemoteSigned

Set-ExecutionPolicy Unrestricted

  • Nếu là bị  GPO hạn chế  quyền restricted policy hãy gõ lệnh sau:

Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy unrestricted -force

  • Thêm vào đó 4 dòng lệnh sau:

Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy unrestricted -force

Set-ExecutionPolicy -Scope MachinePolicy -ExecutionPolicy unrestricted -force

Set-ExecutionPolicy -Scope UserPolicy -ExecutionPolicy unrestricted -force

Set-ExecutionPolicy -Scope Process -ExecutionPolicy unrestricted -force

Tham khảo link:  https://thangletoan.wordpress.com/2013/08/08/su-dung-powershell-trong-office-365/ 

 

Bước 4. Cấu hình Task Schedule trên Windows > Administrator Tool cho phép chạy Script theo lịch trình thời gian (onTime, on daily, on weekly, on Monthly…)

image

image

image

image

Bước 5. Kiểm tra history kết quả backup của VEEAM Backup Free v9

image

 

Phần khôi phục lại máy chủ ảo VCVA  trên một ESXi Host khác, sau khi đã backup VEEAM v9 thành công.

Bước 1.

– Mở VEEAM Backup chọn Menu HOME > chọn nút Restore

image

Chọn thư mục và tìm tới file đã backup máy chủ ảo VCVA

image

Chọn bản đã backup gần nhất để restore

image

Chọn kiểu Restore Entire VM

image

image

Chọn vị trí ESXi Host khác để restore VM

image

Chọn từ Host mặc định cũ: 10.10.11.80  và chuyển sang Host khác: 10.10.11.70

image

Đã chọn sang Host khác.

image

Cuối cùng là phần Datastore để chứa máy chủ ảo VCVA cần khôi phục, bạn sẽ phải trỏ tới 1 trong các vùng lưu trữ như: DAS, SSD, Local storage, SAN, NAS, Share Storage mà có thể kết nối thông với ESXi Host vừa trỏ tới.

image

Lưu ý: vùng trống để chứa và vận hành máy chủ ảo VCVA có kích thước tối thiểu:

(114,3 Gb +  8Gb (swap file for memory ~ 8Gram/1 VM)

Bước 2. Kiểm tra kết quả khôi phục:

image

 

Bước 3. Kiểm tra máy chủ ảo VCVA:

– Bật máy ảo vCenter Server 6 sau khi đã khôi phuc thành công từ VEEAM Backup

image

– Mở console vCenter Appliance 6 và kiểm tra tình trạng chạy ổn định

image

– Mở IE/FF kiểm tra web vsphere client

image

 

Chúc các bạn thành công với việc bảo vệ máy chủ vCenter Server Appliance an toàn.

Làm thế nào có thể Reset được mật khẩu của user Root trong máy chủ vCenter Server Appliance 5.5


Sau gần 5 năm giảng dạy về công nghệ ảo hóa hạ tầng, Cloud, HPC và ảo hóa ứng dụng. Mình để ý thấy càng ngày học viên Việt nam càng hỏi những câu lợi hại, sâu sắc hơn trước.

Hãy xem xét làm thế nào để thiết lập lại mật khẩu Root bị quên trong khi dùng VMware vCenter Server Appliance (VCSA).

Lưu ý: VCSA là một máy chủ ảo đã sẵn sàng chạy với một hệ điều hành Linux SuSe 11 Enterprise x64, đã cài đặt và cấu hình vCenter Server cùng với các dịch vụ bổ sung như Admin SSO. 

Trong quá trìnhsử dụng có thể chúng ta đã quên mất mật khẩu của tài khoản Root, vì vậy chúng ta phải biết cách thiết lập lại mật khẩu root trong Linux Suse (tất nhiên là nó đang được vận hành, cấu hình xong suôi, và không thể đơn giản là cài lại vCenter Server Appliance khi đã đem vào vận hành được – các bạn rất hay quên hoặc không chú ý đến câu hỏi ”làm thế nào có thể backup/restore lại các cấu hình và dữ liệu trên vCenter Server Appliance ?” .

Cách reset mật khẩu của tài khoản Root cho máy chủ VCSA 5,5 làm như sau:

  1. Khởi động lại máy ảo VCSA từ vSphere Client
  2. Khi cửa sổ GRUB xuất hiện, hãy ấn phím “SPACEBAR” để làm chậm khởi động.

image

3. Nhấn phím “P” để hiển thị lại màn thiết lập khởi động

4. Nhập mật khẩu GRUB  (nó chính là mật khẩu đúng của Root.

–  Nếu là lần đầu tiên khởi động vCenter thì user Root sẽ có mật khẩu: vmware (do Virtual Appliance Management Interface – VAMI quản lý).

–  Nhưng nếu bạn đã thay mật khẩu và quên rồi thì đương nhiên bạn sẽ gõ mật khẩu sai ở đây, bạn có thể gõ mật khẩu: blabla…

image

Sau lần gõ lệnh thất bại này, bạn sẽ di chuyển con trở lên xuống bằng bàn phím để tạo thêm độ chễ và màn hình sẽ hiện hướng dẫn sau

image

5. Lúc này bạn sẽ bấm phím “e” để chuyển chế độ chọn hệ điều hành hoặc phân vùng chứa Boot CMD có trong ổ cứng của máy chủ VCSA 5.5

image

6. Sau khi bấm phím E, bạn sẽ chọn mục thứ 2 “Kernel /vmlinuz-3.0.80-0.7-default root=/dev/sda3 append” đây chính là phân vùng “Lõi” chứa boot khi khởi động VCSA

7. Sau khi di con trỏ chọn phân vùng “lõi” bạn ấn phím e để sửa lệnh boot.

image

8. Thêm dòng lệnh init = / bin / bash để các thông số khởi động lại theo Kernel.

9. Nhấn phím Enter, sau đó vào menu GRUB xuất hiện trở lại

image

10. Nhấn phím B để khởi động lại hệ thống VCSA.

11. Sau khi khởi động lại màn hình VCSA đen như sau

image

12. Ở màn hình Console Black windows, bạn sẽ phải thay mật khẩu của user Root bằng lệnh passwd root.

image

Lưu ý: sau lần thay password root này, bạn lại quên mật khẩu là khó có thuốc chữa đấy.

13. Sau khi thay mật khẩu của Root, bạn có thể đánh lệnh Reboot để khởi động lại VCSA 5.5

14. Vì mỗi một tài khoản Root luôn có chính xách “Policy” với thời hạn 90 ngày, bạn có thể thay đổi thời hạn trên trình duyệt web IE/FF mở https://ip-vcsa:5480/ và đăng nhập bằng user: root, mật khẩu vừa thay và chọn tab Admin để thay

image

 

Chúc các bạn luôn thành công !

Năm mới bớt quên quên nhớ nhớ nhưngx cái quan trọng trong hệ thống CNTT nhé.

Cách cấu hình đăng nhập 1 lần SSO giữa AD Server với vCenter 6.0 (Platform Service Controller– PSC)


 

Platform Service Controller– PSC là một thành phần dịch vụ mới trên vCenter 6.0 PSC có chứa tất cả các dịch vụ mà vCenter cần cho các chức năng của nó bao gồm Single Sign-On (SSO). Tôi xin mô tả làm thế nào để cấu hình xác thực AD trong vCenter Server 6.0.

Một số yêu cầu trước khi cấu hình SSO:

1. Chỉ dùng Web Sphere client để cấu hình SSO cho vCenter Server Appliance

2. Phải cấu hình NTP time để đồng bộ giữa ESXi Host 6 với NTP server local hoặc NTP Global thông qua internet.

3. Phải cấu hình các bản ghi A (host), PTR IP cho máy chủ vCenter 6.0 trên máy chủ AD – DNS Server trước khi cài vCenter Server Appliance 6 và tất nhiên là trước khi cấu hình SSO trên Web sphere client.

4. Lưu ý: vCenter Server Appliance 6.0 bắt buộc phải được cài và cấu hình trên ESXi host x64bit hoặc ESXi Host Nested x64 bit.

5. (Tùy chọn) cấu hình Join domain giữa ESXi Host 6 với AD Server thông qua Windows Authenticate (mục đích chính: kiểm tra khả năng cấu hình chính xác về mạng ảo lớp Management Nework layer).

 

Tham khảo link:

Phần 4: Triển khai đăng nhập 1 lần SSO giữa AD và VMware vCenter Appliance 5.5
Phần 5: Triển khai đăng nhập 1 lần SSO giữa AD-DS và VMware vCenter Appliance 5.5

Một số lưu ý tránh nhầm lẫn:

1. Hệ thống vCenter 5.x hoặc 6.x đều có 3 nhóm Domain quản lý các users với quyền và chức năng khác nhau:

1.1. Nhóm 1: localos (đây là nhóm users dùng quản lý HĐH của VMware, ngầm định có user: root)

– có chức năng chính dùng làm triển khai các tính năng cơ bản của ESXi hoặc vCenter, console, management network, bật /tắt ESXi Shell, SSH hoặc SSH Bash

không có quyền cấu hình SSO vcenter.

1.2.Nhóm 2: vCenter Single Sign-On users(đây là nhóm được tạo ra trong quá trình cài vCenter)

– có chức năng Administrators, quản trị tất cả nguồn tài nguyên và cấu hình vCenter SSO.

– vCenter 5.x nhóm 2 có domain name luôn là vsphere.local.

– vCenter 6.x nhóm 2 có domain name gợi ý là vsphere.local, các bạn có thể thay nó thành các tên miền của Doanh nghiệp, tổ chức, phòng ban, homelab (lưu ý: nó sẽ dùng làm từ ghép trong account để đăng nhập Web sphere client, ví dụ:  administrator@sso.vcenter)

– vCenter 6.x có thêm site name: bạn có thể nhập tên đơn vị hoặc vị trí địa lý đang hosting/vận hành hệ thống vcenter để phân biệt khi Doanh nghiệp của bạn có nhiều hệ thống vcenter khác nhau.

1.3.Nhóm 3: Users Authentication (đây là nhóm được tạo ra khi cấu hình join domain giữa vCenter với AD hoặc cấu hình kết nối LDAP/OpenLDAP với vCenter)

– có 3 phương pháp kết nối:

1.3.1.  Active Directory (Integrated Windows Authentication):

– Phương án này áp dụng từ AD server phiên bản Windows 2003 trở lên (chỉ áp dụng với hệ thống quản lý người dùng bằng WIndows Server có AD, DC).

1.3.2. Active Directory as an LDAP Server:

– Phương án này áp dụng cho AD server có mở dịch vụ, cổng LDAP TCP/IP 389 trên firewall.

1.3.3. OpenLDAP:

– Phương án này áp dụng cho các hệ thống có mở dịch vụ kết nối người dùng dạng open source, google, facebook…

 image

Các bước cấu hình SSO:

Bước 1. Mở Web Sphere client https://ip-vcenter :

Đăng nhập bằng Account: administrator@vsphere.local

image

Bước 2. Chọn menu Administration:

image

Chọn mục Configuration:

image

Bước 3. Mở tab Identity Sources:

image

Bấm vào dấu cộng màu xanh để khai báo kết nối hệ thống quản lý người dùng (LDAP)

Bước 4. chọn nguồn xác thực kiểu tích hợp Windows Authentication

Trường hợp đã join domain giữa máy chủ vCenter và AD chúng ta có thể nhận được tên domain name của AD server.

image

Trường hợp chưa join domain giữa máy chủ vCenter và AD chúng ta sẽ nhận cảnh báo lỗi:

image

Hãy bấm “Go to Active Directory Management”

image

Sau khi join domain thành công, bạn sẽ cần phải khởi động lại node > vCenter

image

Chọn System Configuration

image

Chọn Nodes> bấm chuột trái chọn tiếp tên máy chủ vCenter

image

Bấm mũi tên trỏ xuống ở mục Actions > Chọn menu bar” Reboot…

Chúng ta sẽ đợi trong vòng 5 – 10 phút cho tới khi vCenter khởi động trở lại. Ta tiếp tục quay lại bước 4 để cấu hình kết nối xác thực giữa vCenter và AD.

Bước 5. Quay lại phần Identity Sources bạn sẽ cần tạo thông tin liên quan tới cách kết nối giữa vCenter với AD để lấy được các users và groups từ active directory. Khi bạn kết nối kiểu Integrated Windows Authentication, thì các trusted domains phải có giá trị hoạt động. 

Bước 6. Chọn Active Directory và bấm vào “world with arrow” để chuyển trạng thái đăng nhập ngầm định là các tài khoản từ AD domain.

image

Bạn sẽ nhận được một cảnh báo cho bạn biết rằng “Điều này sẽ làm thay đổi tên miền mặc định hiện tại của bạn. Bạn có muốn tiếp tục? “. Điều này là không sao, vì bạn chỉ có thể có một tên miền mặc định.

 

Bước 7.Thêm user và phân quyền:

Để thay đổi cấu hình vCenter Server SSO với người dùng khác ngoài administrator@vsphere.local, bạn phải thêm chúng vào Nhóm LocalOS hoặc vSphere.local hoặc Nhóm thuộc Domain do bạn vừa cấu hình

image

Bước 8. Thêm các tài khoản lấy từ AD sang để phân quyền theo users/ group:

image

 

Cơ chế phân quyền:

Bước 1. Tạo User/ Group làm thành viên trong Nhóm 2: vCenter Single Sign-On users(đây là nhóm được tạo ra trong quá trình cài vCenter)

Bước 2. Tạo/sửa/clone quyền “Roles”

Bước 3. Điều chỉnh các hành động “privileges” trong quyền “Roles”

Bước 4. Xác định các Objects sẽ được gán quyền.

 image

 

Chúc các bạn thành công !

Lỗi không thể cấu hình enable EVC trên vCenter Appliance 6.0


Tình huống lỗi như sau:  Từ khi nâng cấp vCenter Server Appliance 5.5 lên VCVA 6.0, toàn bộ 3 máy chủ ESXi host có Chip Set Intel Core i7- E-2653 v3 giống hệt nhau

của hạ tầng tôi quản trị bị mất tính năng EVC, mặt dù làm theo đúng hướng dẫn của VMware hoặc của thầy dậy đều không tài nào bật được EVC.

image

Câu trả lời đơn giản:

Do VCVA 6 được nâng cấp nhưng các ESXi Host chưa được nâng cấp từ 5.5 lên ESXi 6.0

Cụ thể tính huống:

Theo như bạn viết, chúng tôi phân tích và cho rằng lí do VCVA 6 được nâng cấp nhưng các ESXi Host chưa được nâng cấp từ 5.5 lên ESXi 6.0

Như vậy sẽ dẫn tới các chỉ số CPUID trên các ESXi Host sẽ khác với chỉ số renew mới về CPUID có trên phiên bản VCVA 6 (thông thườn lỗi này là do bạn đã không nâng cấp từ VCVA 5.5 lên VCVA 6.0 mà do bạn cài mới vcenter VCVA do vậy bản version 6.0 không có thông số CPUID cũ, hệ thống tạo mới và CPUID này # với CPU ID có trong các máy ESXi 5.5)

Biện pháp đơn giản là , bạn nên upgrade nâng cấp từng ESXi Host từ 5.5 lên 6.0 sau đó vào lại phần Cluster của các Host và bật tính năng EVC lên.

image

 

image

 

Chúc bạn thành công !

Lỗi dựng hệ thống vCenter Server Appliance 64bit trên nền ESXi Host Nested 6.x


Sau khi cài xong vCenter, nhiều bạn gặp báo lỗi sau:

HT_enabled0

 

Đây là lỗi khi cài ESXi Host 6.0 Nested đã không cho phép kích hoạt chế độ chạy VT/HT

Như vậy các bạn cần phải truy cập vào web của vCenter:  https://x.x.x.x

Login bằng user domain AD SSO của các bạn:

Sau đó phải shutdown máy ảo ESXi của các bạn và edit setting lại cấu hình

ở mục CPU như hình dưới đây:

HT_enabled

Sau khi đánh dấu Hardware Virtualization

Cần phải tạo độ trễ cho boot BIOS để máy chủ ESXi có thể nhận VT:

HT_enabled1

Sau động tác sửa Edit setting, các bạn bấm ok để lưu thay đổi cấu hình và bắt đầu cho Power On máy chủ VM ESXi host 6.

Rồi dùng vsphere client điều khiển ESXi host 6 để bật máy chủ VM vCenter 6 đã deploy trên đó.

 

Chúc các bạn thành công !

Phần 6: Triển khai đăng nhập 1 lần SSO theo cơ chế Multi-site trên VMware vCenter Appliance 5.5


I. Mô hình tổ chức quản lý tên miền AD-DC:

Xuất phát từ quan điểm tổ chức tên miền nhiều cấp, nhiều vùng, nhiều phòng ban, thậm trí nhiều vùng / thị trường của Doanh nghiệp (tập đoàn, tổng công ty…)

các Doanh nghiệp sẽ tổ chức hệ thống quản trị tên miền theo nhiều máy chủ AD server.

Tham khảo link: https://letonphat.wordpress.com/2010/10/03/active-directory-windows-server-2008/

Trees:

– Trees là một nhóm các domain được tổ chức theo cấu trúc hình cây với mô hình parent-child ánh xạ từ thực tế tổ chức của doanh nghiệp, tổ chức. Một domain có 1 họăc nhiều child domain nhưng 1 child domain chỉ có 1 parent-domain mà thôi.

image

Forests:

– Forest là một thuật ngữ được đặt ra nhằm định nghĩa 1 mô hình tổ chức của AD, 1 forest gồm nhiều domain trees có quan hệ với nhau, các domain trees trong forest là độc lập với nhau về tổ chức, nghe ra có vẻ mâu thuẫn trong mối quan hệ nhưng ta sẽ dễ hiểu hơn khi mối quan hệ giữa các domain trees là quan hệ Trust 2 chiều như các partners với nhau.

– Một forest phải đảm bảo thoả các đặc tính sau:

· Toàn bộ domain trong forest phải có 1 schema chia sẻ chung

· Các domain trong forest phải có 1 global catalog chia sẻ chung

· Các domain trong forest phải có mối quan hệ trust 2 chiều với nhau

· Các tree trong 1 forest phải có cấu trúc tên(domain name) khác nhau

· Các domain trong forest hoạt động độc lập với nhau, tuy nhiên hoạt động của forest là hoạt động của toàn bộ hệ thống tổ chức doanh nghiệp.

image

 

II. Cơ chế hoạt động vật lý của AD cho vấn đề Multi-site / Multi Domain:

(Kerberos Authentication Process Over Forest Trusts)

image

Google translate dịch kinh khủng đọc không hiểu phiền các bạn bỏ qua, chỉ cần hiểu concept thôi.

  1. User1 đăng nhập vào Workstation1 bằng các thông tin từ các miền europe.corp.tailspintoys.com. Sau đó người dùng cố gắng truy cập vào một nguồn tài nguyên chia sẻ trên FileServer1 nằm trong forests usa.corp.wingtiptoys.com.
  2. Liên lạc Workstation1 Trung tâm phân phối khóa Kerberos (KDC) trên một bộ điều khiển miền trong phạm vi của nó (ChildDC1) và yêu cầu thẻ dịch vụ cho FileServer1 SPN.
  3. ChildDC1 không tìm thấy trong cơ sở dữ liệu SPN phạm vi của nó và truy vấn các tên miền global để xem nếu bất kỳ lĩnh vực trong tailspintoys.com chứa SPN này.Bởi vì một danh mục global được giới hạn ở forests riêng của nó, là SPN không được tìm thấy. Các tên miền global sau đó sẽ kiểm tra cơ sở dữ liệu của nó cho thông tin về bất kỳ tín thác forests được thành lập với forests của mình, và nếu tìm thấy, nó sẽ so sánh các hậu tố tên được liệt kê trong các đối tượng tin tưởng forests miền tin cậy (TDO) để các hậu tố của mục tiêu SPN tìm một trận đấu. Khi một hợp được tìm thấy, các tên miền global cung cấp một gợi ý định tuyến trỏ tới ChildDC1. Gợi ý giúp định tuyến yêu cầu chứng thực trực tiếp đối với các khu forests đích, và chỉ được sử dụng khi tất cả các kênh truyền thống xác thực (bộ điều khiển miền địa phương và sau đó tên miền toàn cầu) không để định vị một SPN.
  4. ChildDC1 gửi giấy giới thiệu cho miền cha của nó trở lại Workstation1.
  5. Liên lạc Workstation1 một bộ điều khiển miền trong ForestRootDC1 (domain cha của nó) được giới thiệu đến một bộ điều khiển miền (ForestRootDC2) trong tên miền gốc forests của forests wingtiptoys.com.
  6. Liên lạc Workstation1 ForestRootDC2 trong forests của wingtiptoys.com cho một token dịch vụ đáp ứng các dịch vụ yêu cầu.
  7. ForestRootDC2 liên hệ Global của nó để tìm ra SPN, và các Global tìm thấy một trận đấu cho SPN và gửi nó trở lại ForestRootDC2.
  8. ForestRootDC2 sau đó gửi giấy giới thiệu để usa.corp.wingtiptoys.com lại Workstation1.
  9. Liên lạc Workstation1 các KDC trên ChildDC2 và thương lượng vé cho User1 để đạt được quyền truy cập vào FileServer1.
  10. Khi Workstation1 có một vé dịch vụ, nó sẽ gửi thẻ dịch vụ để FileServer1, mà đọc thông tin bảo mật của User1 và xây dựng một access token cho phù hợp.

 

Cổng cần thiết cho Trusts

Công việc Cổng Outbound Cổng Inbound Từ-To

Thiết lập các quỹ trên cả hai bên từ rừng nội

LDAP (389 UDP và TCP)

Microsoft SMB (445 TCP)

Kerberos (88 UDP)

Endpoint độ phân giải – portmapper (135 TCP) cổng Net Logon cố định

N / A

Internal miền domain controller-External domain controller miền (tất cả các cổng)

Xác nhận sự tin tưởng từ các bộ điều khiển miền rừng bên trong đến các bộ điều khiển miền rừng bên ngoài (tin tưởng đi chỉ)

LDAP (389 UDP)

Microsoft SMB (445 TCP)

Endpoint độ phân giải – portmapper (135 TCP) cổng Net Logon cố định

N / A

Internal miền domain controller-External domain controller miền (tất cả các cổng)

Sử dụng Object chọn vào rừng bên ngoài để thêm các đối tượng đó đang ở trong một rừng các nhóm nội bộ và DACLs

N / A

LDAP (389 UDP và TCP)

Cổng Windows NT Server 4.0 dịch vụ thư mục cố định

Net Logon cổng cố định

Kerberos (88 UDP)

Endpoint độ phân giải portmapper (135 TCP)

PDC miền máy chủ nội bộ bên ngoài (Kerberos)

Miền domain controller-Internal External miền domain controller (Logon Net)

Thiết lập sự tin tưởng vào rừng bên ngoài từ rừng bên ngoài

N / A

LDAP (389 UDP và TCP)

Microsoft SMB (445 TCP)

Kerberos (88 UDP)

Miền domain controller-Internal External miền domain controller (tất cả các cổng)

Sử dụng Kerberos xác thực (client rừng bên rừng bên ngoài)

Kerberos (88 UDP)

N / A

Client-External bộ điều khiển miền domain nội bộ (tất cả các cổng)

Sử dụng xác thực NTLM (khách hàng nội bộ rừng để rừng bên ngoài)

N / A

Endpoint độ phân giải – portmapper (135 TCP) cổng Net Logon cố định

Miền domain controller-Internal External miền domain controller (tất cả các cổng)

Tham gia một tên miền từ một máy tính trong mạng nội bộ đến một miền ngoài

LDAP (389 UDP và TCP)

Microsoft SMB (445 TCP)

Kerberos (88 UDP)

Endpoint độ phân giải – portmapper (135 TCP) cổng Net Logon cố định

Cổng Windows NT Server 4.0 dịch vụ thư mục cố định

N / A

Client-External bộ điều khiển miền domain nội bộ (tất cả các cổng)

chú ýChú ý
Cổng 445 và có khả năng TCP port 139 là cần thiết cho khả năng tương thích ngược.

 

III. Cấu hình Domain Forests và Trusts:

Bước 1:

image

Bước 2: mở DNS Server và cấu hình

image

Bước 3: Cấu hình DNS Fordward

image

 

Bước 4: Tương tự trên con máy chủ AD2

image

Bước 5: Tiếp theo vẫn trên máy chủ AD2  mở Active Directory Domain and Trusts

image

Bước 6: Nhập tên miền của AD1 vào

image

Bước 7: Chọn Forest trust

image

Bước 8: Chọn Two-way

image

Bước 8: Chọn Both this domain and the specified domain

image

Bước 9: Nhập user name và mật khẩu domain admin của AD1

image

Bước 10: Chọn xác thực Forest-wide cho Outgoing

image

Bước 11: Chọn xác thực Forest-wide

image

image

image

image

image

image

Bước 12: Kiểm tra kết quả cấu hình Forest trust

image

 

Sau khi cấu hình cả 2 máy chủ phần AD Domain and trust:

image

 

V. Các bước thử nghiệm sử dụng Forest Domain Trusts trên RDP:

Để sử dụng được 1 dịch vụ như RDP mà khi đăng nhập bạn có thể dùng tài khoản từ AD1 hoặc AD2 đều truy xuất được hệ thống RDP/RDSH …

  1. Tạo một nhóm bảo mật mới trên DomainA (Domain với RDS)
  2. Thay đổi Nhóm Phạm vi  Group scope thành “Domain local”
  3. Thêm các thành viên từ DomainB đến nhóm kiểu bảo mật “Group type = Security” mới trong DomainA
  4. RDS Mở trên DomainA và thêm các nhóm bảo mật mới để Phân quyền truy cập RemoteApp.

image

Sau đó hãy thêm nhóm đó vào RDP configuration:

image

Bây giờ bạn có thể thử nghiệm đăng nhập từ tài khoản thuộc nhóm thành viên trên.

 

VI. Cấu hình SSO trên VMware vCenter Appliance:

Các bạn vẫn thực hiện các phương pháp SSO như phần 4,5:

Tham khảo link:

Phần 4: Triển khai đăng nhập 1 lần SSO giữa AD và VMware vCenter Appliance 5.5

Phần 5: Triển khai đăng nhập 1 lần SSO giữa AD-DS và VMware vCenter Appliance 5.5

 

Chúc các bạn thành công !

Phần 5: Triển khai đăng nhập 1 lần SSO giữa AD-DS và VMware vCenter Appliance 5.5


2. Phương án Active Directory as a LDAP Server:

Các phương pháp thể hiện trong bài viết này cho phép bạn quản lý người dùng và nhóm trong thư mục trung tâm của bạn. Điều này làm cho cả hai, vCenter Server 5.5 được cài đặt trên Windows Server và các dụng vCenter Server (VCSA).

  1. Mở vSphere Web Client (https: // <ĐỊA CHỈ IP hoặc tên máy chủ vCenter>: 9443 / vSphere-client)
  2. Đăng nhập như là administrator@vsphere.local
    Mật khẩu (VCSA): ngầm định ban đầu là  VMware
  3. Điều hướng đến Administration > Single Sign-On  > Configuration

image

4. Nhấn vào dấu + màu xanh lá cây để thêm một nguồn bản sắc
image

5. Hãy chọn loại nhận dạng Source: A) dựa trên Windows vCenter Server 5.5: Active Directory (Integrated Windows Authentication)

 B) vCenter Server Appliance 5.5 (VCSA):

image

6. Bấm OK

7. Quay lại phần Identity Sources bạn sẽ cần tạo thông tin liên quan tới cách kết nối giữa vCenter với AD để lấy được các users và groups từ active directory. Khi bạn kết nối kiểu Integrated Windows Authentication, thì các trusted domains phải có giá trị hoạt động. 

8. Chọn Active Directory và bấm vào “world with arrow” để chuyển trạng thái đăng nhập ngầm định là các tài khoản từ AD domain.

image

9. Bạn sẽ nhận được một cảnh báo cho bạn biết rằng “Điều này sẽ làm thay đổi tên miền mặc định hiện tại của bạn. Bạn có muốn tiếp tục? “. Điều này là không sao, vì bạn chỉ có thể có một tên miền mặc định.

Có vậy thôi, bây giờ bạn có thể thiết lập quyền truy cập và xác thực đối với hoạt động giữa AD với vCenter Server 5.5 gọi là SSO.

Để thay đổi cấu hình vCenter Server SSO với người dùng khác ngoài administrator@vsphere.local, bạn phải thêm chúng vào Nhóm LocalOS hoặc vSphere.local hoặc Nhóm thuộc Domain do bạn vừa cấu hình

image

 

10. Thêm các tài khoản lấy từ AD sang để phân quyền theo users/ group:

image

Tham khảo: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2058942 

 

Chúc các bạn thành công !

%d bloggers like this: