4
VMware vcenter appliance AD join schlägt fehl Fehler 42502
Ich brauch mal eure Hilfe:
für ein paar Experimente mit einer 30 Tages-Testversion vom Horizonview auf ESX 6.7 muß ich zunächst einen vCenter Server aufsetzen.
Die vcenter Appliance hab ich noch problemlos installieren können, ich hab exclusiv dafür einen Host.
Die Appliance startet... ich will dem AD beitreten und kriege diese Fehlermeldung:
Idm client exception: Error trying to join AD, error code [42502], user [administrator@16ad.local], domain [16ad.local], orgUnit
Das Netz ist korrekt konfiguriert, eine parallel zur Appliance installierte Windows 10 VM kann der Domäne beitreten.
Mein AD ist 2012 R2 level
Versionen:
ESX 6.7 Enterprise CU3 aber keine Patches danach, und der dazugehörige vCenter Server
Dann googelte ich nach dem Fehler...
1.) Zeit nicht synchron. OK da hatten die Leute recht, die CMOS Batterie war leer und der Host lief im Jahr 2013
1.a) ESX 6.7 CU3 Autostart ist defekt, grrrrr
2.) die blöde Appliance bringt sich nach der Datumsänderung um, da sie bei der Installatoin ein selfsigned Zertifikat ausstellt mit 2 Jahren Gültigkeit. Keiner der Dienste funktioniert mehr, nicht mal die Verwaltungsseite, und die SSH Shell wollte ich nicht anfassen... die Neuinstallation mit aktuellem Datum ist einfacher.
3.) auf den beiden Hosts die Mainboarduhren synchronisiert (es gibt keinen externen NTP Server da gekapseltes Lab)
4.) Appliance neu installiert... und wieder der blöde Fehler beim Domain join.
Das Ereignisprotokoll des Domain controllers zeigt keinerlei Einträge im EReignisprotokoll, der Fehler entsteht also alleine in der Appliance.
off topic
Lessons lerned von dem Zertifikatsdisaster ist daß ich bei lets encrypt mal vorbeischauen werde...
on topic
Nach dieser Anleitung hier sollte der domain join
https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.vcsa.do ...
Hier meinte noch einer, falscher DNS Server angegeben. Sowas kommt vor, wenn ein Lab per DHCP läuft und der vom Internetrouter schneller antwortet wie der DHCP im Domaincontroller.
https://communities.vmware.com/t5/vCenter-Server-Discussions/Idm-client- ...
Aber bei mir ist alles händisch konfiguriert, der Hostname der Appliance (photon-machine) hat einen A-Namen Eintrag in meinem DNS erhalten und der DNS Server ist auch die IP Addresse des DC.
Was könnte das noch sein?
für ein paar Experimente mit einer 30 Tages-Testversion vom Horizonview auf ESX 6.7 muß ich zunächst einen vCenter Server aufsetzen.
Die vcenter Appliance hab ich noch problemlos installieren können, ich hab exclusiv dafür einen Host.
Die Appliance startet... ich will dem AD beitreten und kriege diese Fehlermeldung:
Idm client exception: Error trying to join AD, error code [42502], user [administrator@16ad.local], domain [16ad.local], orgUnit
Das Netz ist korrekt konfiguriert, eine parallel zur Appliance installierte Windows 10 VM kann der Domäne beitreten.
Mein AD ist 2012 R2 level
Versionen:
ESX 6.7 Enterprise CU3 aber keine Patches danach, und der dazugehörige vCenter Server
Dann googelte ich nach dem Fehler...
1.) Zeit nicht synchron. OK da hatten die Leute recht, die CMOS Batterie war leer und der Host lief im Jahr 2013
1.a) ESX 6.7 CU3 Autostart ist defekt, grrrrr
2.) die blöde Appliance bringt sich nach der Datumsänderung um, da sie bei der Installatoin ein selfsigned Zertifikat ausstellt mit 2 Jahren Gültigkeit. Keiner der Dienste funktioniert mehr, nicht mal die Verwaltungsseite, und die SSH Shell wollte ich nicht anfassen... die Neuinstallation mit aktuellem Datum ist einfacher.
3.) auf den beiden Hosts die Mainboarduhren synchronisiert (es gibt keinen externen NTP Server da gekapseltes Lab)
4.) Appliance neu installiert... und wieder der blöde Fehler beim Domain join.
Das Ereignisprotokoll des Domain controllers zeigt keinerlei Einträge im EReignisprotokoll, der Fehler entsteht also alleine in der Appliance.
off topic
Lessons lerned von dem Zertifikatsdisaster ist daß ich bei lets encrypt mal vorbeischauen werde...
on topic
Nach dieser Anleitung hier sollte der domain join
https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.vcsa.do ...
Hier meinte noch einer, falscher DNS Server angegeben. Sowas kommt vor, wenn ein Lab per DHCP läuft und der vom Internetrouter schneller antwortet wie der DHCP im Domaincontroller.
https://communities.vmware.com/t5/vCenter-Server-Discussions/Idm-client- ...
Aber bei mir ist alles händisch konfiguriert, der Hostname der Appliance (photon-machine) hat einen A-Namen Eintrag in meinem DNS erhalten und der DNS Server ist auch die IP Addresse des DC.
Was könnte das noch sein?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 665331
Url: https://administrator.de/contentid/665331
Printed on: April 19, 2024 at 19:04 o'clock
4 Comments
Latest comment
Moin,
hast du den Join mal, wie hier beschrieben via CLI versucht?
Zum Zertifikatsproblem mit dem zunächst falschen Datum.
Auch hier kann man per CLI die Zertifikate neu erzeugen - ohne alles neu zu installieren.
https://kb.vmware.com/s/article/2112283
Gruß
em-pie
hast du den Join mal, wie hier beschrieben via CLI versucht?
Zum Zertifikatsproblem mit dem zunächst falschen Datum.
Auch hier kann man per CLI die Zertifikate neu erzeugen - ohne alles neu zu installieren.
https://kb.vmware.com/s/article/2112283
Gruß
em-pie
moin,
vielen Dank für den Tipp, immerhin hat die Kommandozeile mir was gesagt, was die GUI nicht getan hat - Hostname entspricht nicht den Vorgaben. Und wenn er das nicht tut, dann funktioniert auch der AD Join per CLI nicht.
Der Hostname muß mit FQDN eingetragen sein. Man kann ihn auch ohne FQDN eintragen, aber dann schlägt der AD join fehl mit einer nichtssagenden Fehlermeldung. Und die Appliance kann sich nicht selbst im DNS eintragen, aber das hatte ich vorher schon im DNS erledigt. Interessanterweise wird einem das Ändern des Hostnamens verweigert wenn er per DNS nicht auflösbar ist, waurm zum Henker wird das nicht bei Erstvergabe während der Installatoin geprüft?
Nun ja ist ja auch nur 6.7 CU3, und da ist so viel unfertig... wehe eine VM hat ein Windows 10 mit aktuellstem Stand, das in den Standby Modus geht... das blockiert alle Tasks. Sogar das Runterfahren bzw neu starten des Hosts. Oder Hardwarefehler an Festplatten, die in so einer Art Rauf/Runterfahrschleife sind... blockiert den Host ebenso, in beiden Fällen reagiert nicht mal der SSH Zugang oder der Konsolenzugang zum Host. Dann die tlw fehlerhafte Erkennung von iSCSI Targets, schlechte USB3 Passhtrough Performance mit 20 MB/Sekunde (mit unterschiedlicher Hardware), der Umgang mit der Grid K2 u.s.w.
vielen Dank für den Tipp, immerhin hat die Kommandozeile mir was gesagt, was die GUI nicht getan hat - Hostname entspricht nicht den Vorgaben. Und wenn er das nicht tut, dann funktioniert auch der AD Join per CLI nicht.
Der Hostname muß mit FQDN eingetragen sein. Man kann ihn auch ohne FQDN eintragen, aber dann schlägt der AD join fehl mit einer nichtssagenden Fehlermeldung. Und die Appliance kann sich nicht selbst im DNS eintragen, aber das hatte ich vorher schon im DNS erledigt. Interessanterweise wird einem das Ändern des Hostnamens verweigert wenn er per DNS nicht auflösbar ist, waurm zum Henker wird das nicht bei Erstvergabe während der Installatoin geprüft?
Nun ja ist ja auch nur 6.7 CU3, und da ist so viel unfertig... wehe eine VM hat ein Windows 10 mit aktuellstem Stand, das in den Standby Modus geht... das blockiert alle Tasks. Sogar das Runterfahren bzw neu starten des Hosts. Oder Hardwarefehler an Festplatten, die in so einer Art Rauf/Runterfahrschleife sind... blockiert den Host ebenso, in beiden Fällen reagiert nicht mal der SSH Zugang oder der Konsolenzugang zum Host. Dann die tlw fehlerhafte Erkennung von iSCSI Targets, schlechte USB3 Passhtrough Performance mit 20 MB/Sekunde (mit unterschiedlicher Hardware), der Umgang mit der Grid K2 u.s.w.
Na dann ist dein Problem ja nu gelöst, richtig?
Zu deinen ESXi 6.7U3 - Win10 - etc-Problemen kann ich nichts sagen.
Wir bisher den Sprung ESXi 5.0 -> 5.5 -> 6.5 -> 7.0 gemacht...
Da lief alles soweit.
Zu deinen ESXi 6.7U3 - Win10 - etc-Problemen kann ich nichts sagen.
Wir bisher den Sprung ESXi 5.0 -> 5.5 -> 6.5 -> 7.0 gemacht...
Da lief alles soweit.
Problem gelöst, nun kann ich neue Baustellen aufmachen. Der AD Join war nötig, weil der Citrix delivery controller beim Erstellen einer neuen Site nicht mit dem VMware MCS eines Vcenter zusammenarbeitet, wenn das VCenter keinen AD Join gemacht hat. So kommt eins zu anderen. Da gibts dann auch eine seltsame Fehlermeldung.
Edit Site erstellen mit VMware MCS geht im Xenapp 2012 nicht - Citirix hat einen zu alten Lizenzserver auf das Iso gepackt, und die Site Erstellung kackt nach 10 Minuten ab weil keine Lizenz zur Verfügung steht. Die lernen das auch nicht mehr in diesem Leben.
Edit Site erstellen mit VMware MCS geht im Xenapp 2012 nicht - Citirix hat einen zu alten Lizenzserver auf das Iso gepackt, und die Site Erstellung kackt nach 10 Minuten ab weil keine Lizenz zur Verfügung steht. Die lernen das auch nicht mehr in diesem Leben.
