Ce que l’on apprécie dans Horizon View c’est la simplicité de mise en oeuvre (nous ferons prochainement un billet dessus), par contre certains détails comme par exemple cacher un domaine en 5x, 6.0x et 7x (sur la fenêtre d’authentification du client View ou de la console View ) passe par la case ligne de commande uniquement (pourquoi ne pas continuer à faire simple pour un simple paramétrage ….) . La commande permettant de cacher un ou plusieurs domaine(s) est “vdmadmin”, c’est un peu la commande couteau suisse sous Horizon View au passage.
Dans le cas présent le but est de ne présenter qu’un seul domain lors de l’affichage des fenêtres d’ authentification
Ouvrez une console sur un des Connection Server et entrer la commande ci-dessous :
Toujours dans la série des “problèmes” de permission sous Horizon View 7.10, cette fois-ci c’est via PowerCli qu’on nous a remonté l’erreur ci-dessous.
Access denied, user must have Direct interaction privilege
Afin de permettre les connections via PowerCli à Horizon View, il faut rajouter l’utilisateur (le mieux étant le groupe de l’utilisateur) dans le rôle “Local Administrators (Read only) dans la console Horizon View (dans notre exemple la console Flash).
Récemment un de nos collègues admin nous a remonté un problème d’accès sur les consoles Flash (Horizon View 7.10). Le message d’erreur “Votre compte n’est pas autorisé à fonctionner via cette console” (“Your account is not allowed to operate through this console”) s’affichait systématiquement lors des tentatives de login via la console Flash, en HTML5 cela passait sans problème.
Sur le Connection Server où l’authentification a eu lieu nous avons constater dans le journal d’events (Application) l’event ID 104 : ADMIN_LOGIN_FAIL
User login attempt has failed to authenticate to View Administrator with username and password Attributes: UserName=username12 ForwardedClientIpAddress= Node=——– ClientIpAddress=—– Severity=AUDIT_FAIL Time=Thu Aug 20 14:50:37 CEST 2020 Module=Admin Source=com.vmware.vdi.admin.ui.LoginBean Acknowledged=true The specified resource type cannot be found in the image file
Après plusieurs recherches infructueuses (au niveau des groupes AD notamment) nous avons fait des tests au niveau des permissions et avons réalisé qu’en rajoutant le groupe (ou le compte) de notre collègue admin dans le rôle “Inventory Administrators (Read only)” cela permettait de corriger le problème.
Une fois le groupe rajouté l’accès à la console Flash était de nouveau possible
Sur plusieurs Vcenter 6.5/6.7 nous avons rencontré l’erreur “Host hardware system board status” sur des ESXi 6.5/6.7 (UCS-240-M4). En regardant côté CIMC (Cisco Integrated Management Controller) on n’a rien constaté au premier abord (pas d’alerte hardware ou autre). En navigant dans la CIMC dans l’onglet SEL (System Event Log) nous avons constaté que ce dernier était full, en faisant un clear log cela nous a permis de corriger l’alarme “Host hardware system board status”.
Il est aussi possible de faire un clear du SEL via SSH et REST API
En SSH : Se connecter en SSH sur le serveur puis entrer les commandes ci-dessous :
show sel (si vous souhaitez au préalable visualiser le pourcentage d’occupation des log)
scope sel
clear (le screeenshoot ci-dessous montre le résultat de la commande show après un clear
Apparut avec la version 7.2, le “timingProfiler” permet d’afficher au sein de l’outil “Help Desk” le temps de chargement d’un profil avec certains détails comme les temps pour l’Authentification, Brokering, protocol connection, GPO Load, Logon Script, Profil Load et l’intéractive.
C’est toujours pratique ce type info pour les collègues du support
Pour activer le “timingProfiler” il faut passer la commande ci-dessous sur tous les Connection Server afin d’avoir accès à la section “Logon Segments” dans le HelpDesk
vdmadmin -I -timingProfiler -enable
Il est dommage que cela ne soit pas activé pas défaut lors de l’installation d’un Connection Server standalone (ou replica). Ci-dessous la définition de certains des items remontés dans le “Logon Segments” (en 7.10).
Si vous souhaitez avoir plus de détails sur le logon de vos users, c’est possible via Logon Monitor (qui est inclus dans l’agent View depuis la version 7.1, au passage on parlait déjà de Logon Monitor en août 2016 dans le billet “Logon-monitor-cest-gratuit-foncez” 🙂 .
Comme vous le savez Horizon view repose sur une base ADAM repliquée entre les divers Connections Servers, c’est bien… c’est beau tant que ça se réplique bien, le jour où vous rencontrez des problèmes de réplication alors il sera grand temps de vous souvenir de votre expérience AD. De notre côte sur une infra 7.3 avec 3 connections Servers nous avons rencontré les event id 2091 et 2092.
Ownership of the following FSMO role is set to a server which is deleted or does not exist.
Operations which require contacting a FSMO operation master will fail until this condition is corrected.
FSMO Role: CN=Partitions,CN=Configuration,CN={F82E0D4A-16B0-44B1-91B7-5F5A08BD619A} FSMO Server DN: CN=NTDS Settings\0ADEL:8f620d83-00d8-4b15-87fc-97430126a71e,CN=Server01$VMwareVDMDS\0ADEL:b5ebd2b8-1345-48ab-bb4c-554090afca20,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={F82E0D4A-16B0-44B1-91B7-5F5A08BD619A}
This server is the owner of the following FSMO role, but does not consider it valid. For the partition which contains the FSMO, this server has not replicated successfully with any of its partners since this server has been restarted. Replication errors are preventing validation of this role.
Operations which require contacting a FSMO operation master will fail until this condition is corrected.
Afin de pouvoir forcer un schema master, nos amis de VMware nous ont pondu la KB2083758 qui va nous permettre de configurer un nouveau Shema Master (attention l’étape 8 n’est pas obligratoire, nous l’avons rajoutée car dans notre cas il fallait forcer le “naming master”).
To open the command prompt:
Click Start.
Right-click Command Promptand then click Run as administrator.
In the command prompt, run this command: dsmgmt
In the dsmgmt command prompt, run this command: roles
In the fsmo maintenance command prompt, run this command: connections
In the server connections command prompt, run this command: connect to servercomputername:portnumber where computername:portnumber is the computer name and communications port number of the AD LDS instance that you want to use as the new schema master.
In the server connections command prompt, run this command: quit
In the fsmo maintenance command prompt, run this command: seize schema master
(Etape rajoutée) In the fsmo maintenance command prompt, run this command: seize naming master
Type exit and press Enter
Une fois les commandes passées nous avons bien un nouveau schema master et plus d’erreurs dans les events log de nos Connection Server
Suite à la migration d’un environnement Horizon view 7.3 vers 7.10, on nous a remonté une erreur de connexion à la console d’administration HTML5 avec les navigateurs Chrome (79.0.3945.117 – Build officiel – 32 bits ) et Firefox (72.0.1 – 32 bits).
Le problème se produit uniquement avec Chrome et Firefox… qui a dit que Internet Explorer était un mauvais navigateur 🙂 .
Ce problème de connection peut-être résolu en modificant le fichier “locked.properties” (dans le cadre d’un problème d’affichage HTML5 via le navigateur Edge et en passant par des F5 nous avions deja eu l’occasion de jouer avec le fichier “locked.properties”). Revennons à nos moutons, la KB2144768 chez VMware nous donne la liste des actions à réaliser afin résoudre ce problème de connexion.
Créer le fichier C:\Program Files\VMware\VMware View\Server\sslgateway\conf\ locked.properties
Ajouter la ligne : checkOrigin=false
Redémarrer le service « Composant VMware Horizon View Security Gateway” (wstunnel)
Voila ça c’est fait (il nous reste encore quelques bugs qui feront l’objet d’autres posts 🙂 )
Sur un vCenter 6.5 Version 6.5.0.10000 Build 5973321 nous avons rencontré l’erreur ci-dessous dans l’onglet “Update manager – Attacher une ligne de base”
interface com.vmware.vim.binding.integrity.VcIntegrity is not visible from class loader
Mais comme on est pressé et que VMware fait bien les choses la KB 60640 répond pile-poil à notre problème
La lecture du titre de ce post vous laisse dubitatif avouez le 🙂 .
Dernièrement nous avons dù identifier physiquemebt un disque (au sein d’un disque group) qui rencontrait de grosses latences (entre 15000 ms et 45000 ms), un remplacement rapide s’imposait donc.
Le problème est que nous avons pu identifier le disque au sein du disque groupe via son naa, mais comment l’identifier physiquement sur l’ESXi (serveur CISCO UCS-C240-M4SX) ? Dans UCS Central aucune alarme ne remontait côté disque (normal il n’y a pas de problème hardware vous nous direz) et en ESXCLI on ne remonte pas d’informations de type PID permettant de faire le lien entre le naa. et le disque dans UCS. Dans le Vcenter, sur l’ESXi dans l’onglet “Configure” – “Storage-Storage Device” vous avez un bouton qui permet (logiquement) d’allumer la led d’un disque selectionné (le fameux “turn on ou turn off disk locator”), mais dans notre cas cela ne fonctionnait pas.
On a beau cliquez ça reste vert 🙁 .
En googlelant nous sommes tombés sur la commande ci-dessous qui permet d’allumer (ou clignoter) la led d’un disque.
esxcli storage core device set -d naa.50000397885347bd -l=locator -L=600
Après avoir trouver une âme charitable dans le Datacenter, le collègue a pu nous donner la position du disque dans le serveur en vue de son prochain remplacement.
Dans un Vcenter 6.5.0 (build 5318154) au sein d’un cluster vSAN (version : 6.6) nous avons remarqué la présence d’un objet orphelin dans l’onglet “Resyncing Components”.
L’objet avait été supprimé il y a quelque temps, mais visiblement vSAN ne l’entend pas de cette oreille 🙂
Nous avons constaté que le vSAN Health était en jaune en GUI et via la commande ci-dessous.
esxcli vsan health list
Ok on est en yellow, next ?
Le problème en l’état, c’est que nous ne connaissons pas l’objet récalcitrant, afin de le retrouver nous avons lancé la commande ci-dessous.
esxcli vsan debug resync list
Voila notre objet est désormais identifié.
Afin de supprimer un objet récalcitrant il existe une commande qui permet de supprimer des objets, cependant cette commande est à utiliser avec parcimonie 😉 .