1. 증상 :
웹 브라우저를 통해 vCenter Server에 로그인하면 다음 메시지가 표기됩니다.
상태 문구 : 사용자 이름과 암호가 필요합니다.
2. 원인 :
STS(Security Token Service) 인증서가 만료되었을 때 발생합니다. 이로 인해 내부 서비스 및 솔루션 사용자가 유효한 토큰을 획득할 수 없고 결과적으로 작동하지 않습니다.
3. 영향 / 위험 :
- 이 스크립트는 VMDIR의 데이터베이스와 상호 작용합니다. [방법1]
- 스크립트를 실행하기 전에 SSO 도메인의 모든 vCenter Serve 및 Platform Service Controller에 대해 동시에 오프라인 스냅샷을 생성합니다. [방법1]
- 문제가 발생한 vCenter가 등록된 연결서버에서 기존 사용자들 외에 신규 접속을 할 수 없습니다. [방법1, 2]
4. 문제 해결 방법 :
[방법1] vCenter Server Windows에서 인증서가 만료 되었을 때 방법
1) vCenter 버전을 확인합니다.
2) 아래 버전에 맞는 스크립트 파일을 다운로드합니다. (fixsts.ps1, vmware-identity-sso-config67u3g.jar)
https://kb.vmware.com/s/article/79263 (vCenter 6.7)
2) vCenter VM이 있는 ESXi 호스트에 로그인 합니다.
3) vCenter VM을 종료 및 오프라인 스냅샷을 생성합니다.(DB, 연결서버도 스냅샷 생성)
4) vCenter VM을 다시 실행합니다.
5) vCenter VM에 다운로드한 2개의 파일을 아래 경로로 옮깁니다. (fixsts.ps1, vmware-identity-sso-config67u3g.jar)
C:\temp
6) 관리자 권한으로 Powershell 세션을 엽니다.(시작 > 검색 > Powershell > 관리자 권한으로 실행)
7) 다음 경로로 이동합니다.
cd C:\temp
8) 다음 명령어를 실행합니다.
fixsts.ps1
9) vCenter VM을 재부팅 합니다.
10) vCenter 서비스 정상 여부를 확인 합니다.
11) 정상으로 안돌아올 경우 [방법2]을 사용합니다.
[방법2] vSphere Certificate Manager를 사용하여 SSL 인증서 교체하는 방법
1) 다음 경로로 이동합니다.
- vCenter Server Windows :
C:\Program Files\VMware\vCenter Server\vmcad
- vCenter Server Appliance :
cd /usr/lib/vmware-vmca/bin
2) certificate-manager 파일을 실행합니다.
Option value는 8번으로 입력
- Windows vCenter Server
-vCenter Server Appliance
3) 여러 옵션 값 중 IP, FQDN을 제외한 나머지는 Default로 진행합니다.
4) Service Reset은 자동으로 진행되며, 85%부터 오래 걸립니다.
5) vCenter 서비스 정상 여부를 확인합니다.
※ 추가 확인 사항
Horizon Connection Server을 사용할 경우
- Horizon Connection Server 접속 후 설정 > 서버 > vCenter Server 선택 > 편집을 클릭하면 인증서 갱신 확인 문구가 보이면 확인을 눌러주는 작업이 필요합니다.
- 인벤토리 > 시스템 항목을 확인하면 에이전트나 IP, DNS 를 확인 못하는 VM이 많아지는데 대부분 데스크톱 재부팅으로 해결됩니다. (개별적으로 재부팅하면 더 좋다.)
댓글