Kategorie: ESXI

ESXI 6.5 (Free) mit öffentlichen Zertifikat ausstatten

Da der ESXI nun mit einem Webinterface ausgestattet ist, welches mittlerweile gut unter OSX funktioniert, möchte ich gerne komfortabler und sicherer auf das Webinterface zugreifen.

Dazu möchte ich gerne den Server mit einem gültigen öffentlichen 3 Jahres Zertifikat von Comodo ausstatten, welches ich auf meinem Exchange Server verwende. Dieses habe ich für ca. 15€ für insgesamt 3 Jahre über https://www.ssls.com bezogen.

Das ganze gestaltete sich jedoch schwieriger als ich dachte und ich war froh darüber, das ich Support vom VMWare-Forum bekommen hatte – hier besonderen Dank an ~thc, irix und mbreidenbach.

Vorbereitend benutzte ich einen Windowsrechner, wo ich OpenSSL 32 Bit installierte und mir dort einen Key und ein CSR erstellte, welches ich zertifizieren ließ und anschließend auf dem ESXI Host an die entsprechende Stelle brachte.

Dazu ging ich wie folgt auf dem Windowsrechner vor:

  • In das Verzeichnis C:\OpenSSL\bin wechseln
  • Die openssl.cfg weg sichern und den Inhalt ersetzen wie hier (Rot durch eigene Werte ersetzen):
[ req ]
default_bits = 2048
default_keyfile = rui.key
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = DNS:esxi, IP:192.168.99.1, DNS:esxi.leibling.de

[ req_distinguished_name ]
countryName = DE
stateOrProvinceName = Northrhine-Westfalia
localityName = Koeln
0.organizationName = Familie Leibling
organizationalUnitName = EDV
commonName = esxi.leibling.de
  • Den folgenden Befehl starten: openssl req -nodes -new -newkey rsa:4096 -sha512 -keyout rui.key -out rui.csr -config openssl.cfg
  • Die rui.key benötigen wir später, aus dem rui.csr erstellen wir beim Zertifizieren einen Zertifikatsantrag.
  • Wenig später sollte das fertige Zertifikat per Email zugesendet werden.
  • Die Zipdatei Entpacken wir und wechseln auf der Befehlszeile in das Verzeichnis und geben dort folgenden Befehl ein (alles in einer Zeile, sollte euer Browser hier mehrere Zeilen erstellen, bitte diese zusammenführen): cat esxi_domain_de.crt COMODORSADomainValidationSecureServerCA.crt
    COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > combined.crt
  • Bei mir war nun das Problem, das dieses Zertifikat im PKCS7-Format war und nicht wie benötigt im pem-Format (konnte man in der ersten Zeile erkennen wenn man die Datei in einem Texteditor öffnete) – die Lösung hier sollte sein, das man die combined.crt in das Verzeichnis C:\OpenSSL\bin kopiert und den folgenden Befehl eingibt – sollte die Datei schon im pem-Format gewesen sein, muss sie nur noch in rui.crt umbenannt werden. Der Befehl für die Konvertierung lautet: openssl pkcs7 -in combined.crt -print_certs -out rui.crt
  • Nun schalten Sie auf dem ESXI SSH ein und erstellen Sie in einem Datastore einen Ordner ZERTIFIKATE. Laden Sie nun die Datei rui.crt und rui.key in den Ordner.
  • Gehen Sie mit SSH auf den ESXI (z.B. unter Windows mit Putty oder unter OSX direkt im Terminal mit ssh ipadresse -lroot und verbinden sich zum ESXI.
  • Gehen Sie in das Verzeichnis /etc/vmware/ssl und benennen Sie die Datei rui.crt und key.key um (z.B. mv rui.crt rui.crt.save und mv rui.key rui.key.save).
  • Kopieren sie nun die neuen Dateien an den Ort (cp /vmfs/Volumes/datastorename/ZERTIFIKATE/rui.* ./ – beachten Sie bitte, das Linux Groß- und Kleinschreibung unterscheidet).
  • Starten Sie den Webdienst neu (/etc/init.d/rhttpproxy restart).

Achtung: Sollten Sie eine Fehlermeldung erhalten, welche anzeigt das die Seite nicht geöffnet werden kann – sollten Sie unbedingt wieder die neuen Dateien umbenennen in z.B. rui.crt.new bzw. rui.key.new und die gesicherten *.save Dateien wieder zurück nennen und starten Sie den Dienst neu.

Ich hatte dies im ersten Durchgang nicht so getan und musste dummerweise den gesamten ESXI auf Werkseinstellungen zurücksetzen – zwar bleiben die VM’s dabei erhalten, jedoch war einer der Datastore der unter ESXI 6.0 erstellt war nicht mehr im Zugriff (diesen konnte ich auch nicht mit der Webgui wieder bekannt machen, sondern musste auf den VMWare Client zurückgreifen) und alle andern Informationen wie Netze, Autostartkonfigurationen, Lizenzen usw. waren weg. Zusätzlich waren keine VMs mehr registriert.

Übrigen läßt sich mit einem iPad wunderbar die Webgui bedienen – inklusive der VMs 😉 :

Links:


Veeam: Recovered / Replica VM startet nur noch im AD Recovery Modus (safe Mode / AD Repair Mode)

Bei einigen virtuellen Maschinen, welche mit Veeam Wiederhergestellt und gestartet bzw. Replikate welche gestartet wurden, kann es sein das diese nur im abgesicherten Active Directory Reparatur Modus starten.

Dies kann wie folgt behoben werden:

  • Anmelden mit .\administrator (bzw. einem Benutzer, der AD Reparaturrechte hat)
  • CMD mit Adminrechte ausführen
  • Folgendes eingeben:

bcdedit /set safeboot dsrepair
bcdedit /deletevalue safeboot
shutdown -t 01 -r

Danach startet der Server wieder normal.

 

Weitere Infos: https://www.veeam.com/kb1277



vSphere Client auf DC installieren

Kategorie: Allgemein , ESXI , Server , Support

Laut MS Empfehlungen soll auf keinem DC Zusatzsoftware installiert werden, deswegen hat VMWare das Setup so angepasst, das während der Installation geprüft wird ob auf einem DC installiert werden soll.

Wird auf einem DC installiert, bricht das Setup ab mit der Meldung das nicht auf einen DC installiert werden kann.

Jedoch kann man dies umgehen, in dem man das Setup mit einem Parameter startet:

vmware-viclient-all-5.5.xxxxxxxx.exe /VSKIP_OS_CHECKS="1"

ESXI: Nicht mehr reagierende VM Stop

Mit SSH zu dem ESXI verbinden.

Den Einschaltstatus abfragen:

vim-cmd vmsvc/getallvms
vim-cmd vmsvc/power.getstate VMID

VM Versuchen sauber herunterzufahren:

vim-cmd vmsvc/power.off VMID

Versuche über Prozesse zu beenden:

ps | grep vmx

Versuchen zu beenden mit ESXCLI:

esxcli vm process list
esxcli vm process kill --type=[soft,hard,force] --world-id=<WorldNumber>

Versuchen zu beenden mit ESXTOP:

Enter “esxtop”, then press “c” for the CPU resource screen and shift + V to display VMs only.
Press “f” to change the display fields and press “c” in order to show the LWID (Leader World Id) and press ENTER.
Now when you have the  LWID column there, you can see the VM which interests you by the LWID number.

Wenn alle diese Wege nicht klappen, dann bleibt nur noch der Neustart :(.

 

Weitere infos:

http://www.vladan.fr/esxi-5-unresponsive-vm-h/

http://ryanmangansitblog.com/2013/05/24/powering-off-a-vmware-virtual-machine-in-esxi-shell/

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1014165


HP Controller in ESXI konfigurieren ohne Downtime

Wenn ein HP Server mit dem ESXI ISO (z.B. 5.5. U2) installiert wurde, dann sind auch die HP Offlinebundle installiert.

In diesem enthalten ist ein Werkzeug mit dem man die HP Controller wie z.B. HP Startarray P410i verwalten kann. Sollte dies nicht funktionieren, bitte schauen ob der Controller auch eine BBU hat – laut einem HP Supporter wäre dies eine Vorraussetzung.

Vorraussetzung ist, das auf dem ESXI SSH aktiviert ist (ESXI vSphere Client > ESXI auswählen links > rechts auf dem Register Konfiguration > Sicherheitsprofil > rechts Sicherheitsprofil Eigenschaften > SSH aktivieren.

Dann mit einem Client wie z.B. Putty per SSH verbinden und mit Rootrechten wie folgt vorgehen:

Controllerdetails anzeigen lassen:

/opt/hp/hpssacli/bin/hpssacli ctrl all show config

Slot

Dort sehen Sie dann in welchen Slot die Karte steckt.

Dann mit einem Rescan die neue Platte einlesen lassen:

/opt/hp/hpssacli/bin/hpssacli rescan

In meinem Fall wurde hier eine 2 TB Platte gefunden (in Bay 5), welche nicht zugeordnet ist.

disk

Diese soll bei mir ohne Raid eingerichtet werden:

/opt/hp/hpssacli/bin/hpssacli ctrl slot=3 create type=ld drives=1I:1:5 raid=0

bay

Danach die Platte im ESXI einrichten. Dazu im vSphere Client rechts den Host auswählen > Registerreiter Konfiguration > Speicher > Speicher hinzufügen … > Asisstenten ausführen.

Sollte kann der folgende Fehler auftreten:

Aufruf von "HostDatastoreSystem.QueryVmfsDatastoreCreateOptions" für Objekt "ha-datastoresystem" auf ESXi "192.168.x.x" ist fehlgeschlagen.

Bitte dann dieser Anleitung folgen: ESXI Fehler beim Platte einrichten

Fertig.

 

Weitere Befehle:

Show configuration
/opt/hp/hpssacli/bin/hpssacli ctrl all show config

Controller status
/opt/hp/hpssacli/bin/hpssacli ctrl all show status

Show detailed controller information
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 show detail

Rescan for New Devices
/opt/hp/hpssacli/bin/hpssacli rescan

Physical disk status
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 pd all show status

Show detailed physical disk information
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 pd all show detail

Logical disk status
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 ld all show status

View Detailed Logical Drive Status
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 ld 2 show

Create New RAID 0 Logical Drive
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 create type=ld drives=1I:1:2 raid=0

Create New RAID 1 Logical Drive
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 create type=ld drives=1I:1:1,1I:1:2 raid=1

Create New RAID 5 Logical Drive
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 create type=ld drives=1I:1:1,1I:1:2,2I:1:6,2I:1:7,2I:1:8 raid=5

Delete Logical Drive
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 ld 2 delete (bzw. … forced)

Add New Physical Drive to Logical Volume
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 ld 2 add drives=2I:1:6,2I:1:7

Add Spare Disks
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 array all add spares=2I:1:6,2I:1:7

Enable Cache
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 modify dwc=enable

Disable Cache
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 modify dwc=disable

Erase Physical Drive
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 pd 2I:1:6 modify erase

Turn on Blink Physical Disk LED
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 ld 2 modify led=on

Turn off Blink Physical Disk LED
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 ld 2 modify led=off

Modify smart array cache read and write ratio (cacheratio=readratio/writeratio)
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 modify cacheratio=100/0

Disable smart array cache for certain Logical Volume
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 logicaldrive 1 modify arrayaccelerator=disable

Enable smart array cache for certain Logical Volume
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 logicaldrive 1 modify arrayaccelerator=enable

Enable SSD Smart Path
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 array a modify ssdsmartpath=enable

Disable SSD Smart Path
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 array a modify ssdsmartpath=disable

Quelle: https://kallesplayground.wordpress.com/useful-stuff/hp-smart-array-cli-commands-under-esxi/


ESXI Fehler beim Platte einrichten

Als ich eine weitere Platte im ESXI einrichten wollte, bekam ich die Meldung „…“HostDatastoreSystem.QueryVmfsDatastoreCreateOptions” for object “ha-datastoresystem”…“ und konnte den Assistenten nicht zu Ende erstellen.

Problem war, laut Recherche das die Platte wohl ein GPT Layout hatte (was ziemlich sicher ist, das es die Platte aus einem Macbook war).

Also erst den Vsphere Client aufgemacht und dann Server > Konfiguration > Speicher > Tab „Geräte“ ausgewählt und dann die gefundene Platte mit rechte Maustaste auf „Bezeichner in die Zwischenablage“ kopiert (ist der Wert unter „ID“).

Danach schnell auf dem ESXI die SSH Shell aktiviert und eingeloggt.

Dann fdisk /dev/disks/<Bezeichner> und danach jedesmal „d“ und „Enter“ bis „No partition is defined yet!“ kommt und dann mit „w“ speichern.

Dann im vSphere Client wieder alles einlesen und die Platte problemlos einrichten :).

Weitere Infos:

https://blog.friedlandreas.net/2013/09/aufruf-von-hostdatastoresystem-queryvmfsdatastorecreateoptions-fuer-objekt-ha-datastoresystem-auf-esxi-xxx-xxx-xxx-xxx-ist-fehlgeschlagen/

http://www.stankowic-development.net/?p=5585

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2007328


OVA-Datei lässt sich nicht in ESXI importieren

Sollte eine OVA Datei nicht direkt importiert werden können in ESXI (z.B. weil nicht unterstützte Hardware verwendet wird), kann man diese entpacken.

Dies sind TAR-komprimierte Dateien und lassen sich z.B. mit Windar entpacken und anschließend kann man eine eigene VM erstellen und die hochgeladenen Festplattendatei verwenden.

Sollte es immer noch nicht gehen, muss man die Konfigurationsdatei anpassen (diesen Fall hatte ich bei der OpenVAS 7 VM).

Dazu dann die OVA Datei wie oben angegeben mit z.B. Winrar entpacken.

Die OVF Datei editieren (z.B. mit Notepad++).

Denn folgenden Eintrag ersetzen:

<vssd:VirtualSystemType>virtualbox-2.2, vmx-07, vmx-08, vmx-09, vmx-10</vssd:VirtualSystemType>

Gegen:

<vssd:VirtualSystemType>vmx-07</vssd:VirtualSystemType>

Danach noch den nicht unterstützten SATA Controller-eintrag tauschen von:

<Item>
 <rasd:Address>0</rasd:Address>
 <rasd:Caption>sataController0</rasd:Caption>
 <rasd:Description>SATA Controller</rasd:Description>
 <rasd:ElementName>sataController0</rasd:ElementName>
 <rasd:InstanceID>5</rasd:InstanceID>
 <rasd:ResourceSubType>AHCI</rasd:ResourceSubType>
 <rasd:ResourceType>20</rasd:ResourceType>
 </Item>

nach:

<Item>
 <rasd:Address>0</rasd:Address>
 <rasd:Caption>SCSIController</rasd:Caption>
 <rasd:Description>SCSI Controller</rasd:Description>
 <rasd:ElementName>SCSIController</rasd:ElementName>
 <rasd:InstanceID>5</rasd:InstanceID>
 <rasd:ResourceSubType>lsilogic</rasd:ResourceSubType>
 <rasd:ResourceType>6</rasd:ResourceType>
 </Item>

Leider wurde danach beim Import nicht die Netzwerkkarte erkannt (Ungültiger Typ 10 bei Zeile 67). Ich habe den gesamten Item Bereich dann rausgelöscht und ohne Netzwerkkarte importiert. Danach natürlich nicht starten und eine Karte vom Typ Intel E1000 wieder hinzufügen.

 

Weitere Quellen:

http://www.itsecurenet.com/virtualbox-ova-to-vsphere-ovf/

http://blogs.vmware.com/vapp/2009/11/virtual-hardware-in-ovf-part-1.html


Vsphere (VCSA) AD integrieren (SSO)

Wenn die VCSA Appliance ans AD angebunden wird, kann man sich am Vsphere Client mit der Windows Integrierten Anmeldung direkt aufrufen.

Dazu wie folgt vorgehen:

An der VCSA anmelden (https://ip:5480) mit root und dem Passwort.

Unter Vcenter > Authentification ans AD anbinden:

ad-auth

VCSA Appliance neustarten.

An der Webgui (https://ip:9443) als Administrator (administrator@vsphere.local, am besten direkt ändern – in der Webgui auf den Namen oben klicken und Kennwort ändern auswählen) anmelden und unter Verwaltung > Singe Sign on die Verbindung zum AD herstellen:

sso

Dann unter Verwaltung > Single Sign on > Benutzer und Gruppen > Tab: Gruppen > Administrator aus wählen und unten dann die Gruppe Domain-admins hinzufügen über die Plus Taste:

dom-admins

Danach unter Home > Hosts und Cluster > Host rechte Maustaste auf Einstellungen > im Tab Verwaltung > auf Berechtigungen > die entsprechende Gruppe mit der entsprechenden Berechtigung hinzufügen über die Plus Taste:

host

Die Einstellungen sehen dann wie folgt aus:

1

2

3

Wenn nun noch der Host richtig im DNS angelegt ist und ein Zertifikat angelegt wurde, kann man ganz einfach sich mit seinem AD Account ohne Fehler- oder Hinweismeldungen direkt anmelden mit den Hostnamen.

Mit entsprechenden NAT Forwardern auch direkt übers Internet selber.

 

Weitere Informationen: http://wahlnetwork.com/2013/09/09/using-active-directory-integrated-windows-authentication-sso-5-5/

Artikel Herunterladen: VCSA ans AD anbinden (SSO)