Cette article provient d’une suite afin de migrer intégralement une plateforme
vCenter Windows 5.5 avec SSO Embeded
vers
VCSA 6.5 et PSC 6.5 externe
VMware: Migration vCenter SSO (External Windows) vers PSC 6.5
Pourquoi migrer vers un SSO externe ?
Les recommandations VMware des topologies vCenter ont évoluées, surtout si on souhaite interconnecter plusieurs vCenter au même domaine SSO.
Voir ce KB ci dessous:
Je vous invite aussi a regarder cette vidéo, afin de comprendre le process de migration (5.5 Windows => VCSA 6.5)
On attaque !!!
Dans ce post nous allons voir comment exporter un SSO Embeded au vCenter (VM Windows) vers une autre VM Windows ayant le rôle exclusif SSO.
CF : contrairement à moi n’indiquez par la version du SSO dans le DNS de votre machine, appelez votre machine SSO tout court
La procédure s’est basé sur le KB VMware : 2033620
Prérequis
1 – Update vCenter 5.5 Ux => U3
Avant tout, si vous êtes en vCenter 5.5 U1 ou U2, migrer en premier vers la dernière release de U3, car beaucoup de Bug pour migrer le SSO ont été corrigés
2 – Préparation du nouveau SSO
Installé une nouvelle VM Windows (2vCPU & 2Go RAM)
Intégrer votre machine dans votre domaine
Lancer l’installer vCenter 5.5 U3 et lancer l’installation du SSO uniquement (Je ne vais pas vous faire un Step by Step de cette Install il en existe tellement sur la toile)
Arrivé à cette fenêtre faite bien attention, et sélectionner la troisième option qui permet de rejoindre un domaine SSO existant en créant un nouveau site
3 – Préparation vCenter existant
Sous ce répertoire ci-dessous :
C:\Program Files\VMware\Infrastructure\VirtualCenter Server\ssoregtool
Vous avez un ZIP « SSO_SVCFG » a extraire dans le même répertoire
4 – Copie des binaires OpenSSL
Copier les fichiers OpenSSL du dossier :
C:\Program Files\VMware\Infrastructure\Inventory Service\bin
Dans le dossier précédemment extrait précédemment
C:\Program Files\VMware\Infrastructure\VirtualCenter Server\ssoregtool\sso_svccfg
5 – Compte locaux SSO à migrer
Tous vos comptes locaux qui sont lié a votre vCenter, devront être récupérés et recrés dans le second SSO pour qu’il soit toujours utilisable
Procédure:
À chaque étape déroulée avec succès de la procédure ci-dessous faite un Snapshot des VMs :
- VCenter
- Base de données vCenter (si externe)
- Nouveau SSO
Etape 1 : Enregistrement du compte inventory Service sur le nouveau SSO
Le SSO est compose de l’inventory Services et de la gestion d’authentification.
Donc dans vCenter sous :
Home => Administration => SSO => Utilisateurs et groupes => Onglet Utilisateurs d’application
Supprimer le user « InventoryService_XXXXXX »
En CMD aller dans le répertoire
CD C:\Program Files\VMware\Infrastructure\Inventory Service\scripts
is-change-sso.bat https://Nouveau_SSO55:7444/lookupservice/sdk "administrator@vSphere.local" "SSO_pw1@"
Résultat normalement de la commande
Relancer les services
net stop vimQueryService net start vimQueryService
Etape 2 : Enregistrement du vCenter sur le nouveau SSO
En CMD
Cd C:\Program Files\VMware\Infrastructure\VirtualCenter Server\ssoregtool\sso_svccfg
repoint.cmd configure-vc --lookup-server https://Nouveau_SSO:7444/lookupservice/sdk --user "administrator@vSphere.local" --password "Antid0te!"
Si vous obtenez cette erreur
Montez un peu plus haut dans les résultats de la commande c’est surement à cause d’un compte de service devant être désenregistré
De retour sur le WebClient de vCenter et comme pour le compte Inventory Services, supprimer le compte vCenterServer_XXXXXX
Et relancer la même commande
repoint.cmd configure-vc --lookup-server https://Nouveau_SSO:7444/lookupservice/sdk --user "administrator@vSphere.local" --password "Antid0te!"
Et vous devrez avoir quelque chose de plus positif
Redémarrer ensuite en premier le service vCenter puis Webservices de VMware
Etape 3 : ReEnregistrer vCenter vers l’Inventory Service
En CMD
Cd C:\Program Files\VMware\Infrastructure\VirtualCenter Server\isregtool
La commande source est :
register-is.bat vCenter_Server_URL Inventory_Service_URL Lookup_Service_URL
- vCenter_Server_URL is https://server.domain.com/sdk => vCenter_LAB
- Inventory_Service_URL is https://server.domain.com:10443/ => vCenter_LAB
- SSO_Lookup_Service_URL is https://server.domain.com:7444/lookupservice/sdk => Nouveau_SSO
Lancer la commande :
register-is.bat https://vcenter_actuel:443/sdk https://Nouveau_SSO:10443 https:// Nouveau_SSO:7444/lookupservice/sdk
Etape 4 : Enregistrer le Weclient avec le nouveau SSO
En CMD
Cd C:\Program Files\VMware\Infrastructure\vSphereWebClient\scripts
client-repoint.bat https://Nouveau_SSO:7444/lookupservice/sdk "administrator@vSphere.local" "SSO_pw1@"
Si vous êtes arrivé jusqu’ici Congrats, vous pouvez désinstaller le SSO du vCenter actuel et voilà vous pouvez vous loguer sur votre vCenter avec un SSO externe.
Hello,
Très bon post, mais je te conseille d’utiliser le script référencé ici qui facilite les opérations à realiser.
https://haveyoutriedreinstalling.com/2016/09/12/automating-vcenter-server-5-5-repoint-to-a-new-sso-5-5/
Merci, pour mon cas le script n’avait pas marche, mais en effet essayez le script sur une plateforme de test voir si les taches peuvent etre automatises.