【VMware vCenter】使用cmsso-util命令进行链接、删除、修改多个vCenter Server(VCSA)的SSO域。

VMware vCenter Server 支持新安装的时候选择将vCenter SSO域加入到另外一个现有的SSO域中，同时也支持使用cmsso-util命令将现有的两个或多个vCenter SSO域进行链接，或者将已经进行链接的多个vCenter的进行拆开加入到其他的SSO域，还可以将vCenter现在的SSO域重新修改为其他的SSO域。

下面记录测试过程：

一、环境准备

vCenter（VCSA）	名称	管理员	SSO域	角色	说明
vcsa.lab.com	vcsa	Administrator	vsphere.local	复制合作伙伴（partner）	现有环境中的vcsa
vcsa-1.lab.com	vcsa-1	Administrator	vsphere.local	原始域（source）	新安装环境的vcsa-1
vcsa-2.lab.com	vcsa-2	Administrator	vsphere.local	原始域（source）	新安装环境的vcsa-2
vcsa-3.lab.com	vcsa-3	Administrator	vsphere.mzj	复制合作伙伴（partner）	其他域环境的vcsa-3

注：由于Windows vCenter已经不被VMware所支持，所以使用了基于Linux的VCSA，Version 6.7 U3环境。

二、测试内容

（1）将vcsa作为复制合作伙伴partner，vcsa-1和vcsa-2作为原始域source，链接到vcsa的sso域vsphere.local当中；

注意事项：

1、一般在链接域时，指定一个sso域作为中心（比如我环境中的vcsa），其他的sso域进行链接的时候都把这个域指定为复制合作伙伴partner；

2、可以先将vcsa-1加入到vcsa的sso域，然后再将vcsa-2加入到vcsa的sso域当中，也可以两者同时使用命令加入vcsa域当中；

3、不建议将vcsa-1加入到vcsa的sso域后，把vcsa-1作为复制合作伙伴partner，然后将vcsa-2加入到vcsa-1的sso域当中；

4、链接过程中，所有vcsa节点需要保持联机状态。

（2）在vcsa复制合作伙伴partner上面，将vcsa-1和vcsa-2从sso域vsphere.local当中删除掉；

注意事项：

1、从sso域vsphere.local中删除的过程是不可逆的，一旦删除，无法再重新链接到vsphere.local域，若要重新加入域中，必须执行重新安装或重新部署；

2、在vcsa复制合作伙伴使用cmsso-util unregister命令删除vcsa-1和vcsa-2之前，vcsa-1和vcsa-2应该处于关机状态，否则vcsa-1和vcsa-2无法正常运行。

（3）将vcsa-1从sso域vsphere.local删除以后，修改sso域为vsphere.mzj，并重新链接到为vcsa-3复制合作伙伴partner的sso域vsphere.mzj当中；

（4）将vcsa-2从sso域vsphere.local删除以后，直接重新链接到为vcsa-3复制合作伙伴partner的sso域vsphere.mzj当中。

三、测试过程

【测试一】将vcsa作为复制合作伙伴partner，vcsa-1和vcsa-2作为原始域source，链接到vcsa的sso域vsphere.local当中。

注意：请进行以下操作之前，一定要对vCenter做好备份、做好备份、做好备份！！！

1、以root账户ssh登录到vcsa-1和vcsa-2的shell控制台；

2、在vcsa-1上执行cmsso-util domain-repoint命令进行预检查；

cmsso-util domain-repoint -m pre-check --src-emb-admin Administrator --replication-partner-fqdn vcsa.lab.com --replication-partner-admin administrator --dest-domain-name vsphere.local

3、等待检查完毕，若与partner域检查出现冲突，可以到/storage/domain-data/目录下查看冲突内容；

注：关于冲突类型的说明详细请查看《vCenter Server 安装和设置 》官方文档中“了解标记和授权冲突”章节。

4、在vcsa-1上执行cmsso-util domain-repoint命令进行链接到vcsa；

cmsso-util domain-repoint -m execute --src-emb-admin Administrator --replication-partner-fqdn vcsa.lab.com --replication-partner-admin administrator --dest-domain-name vsphere.local

5、根据实际环境不同，整个链接过程时间不一样，大概过了十分钟左右，vcsa-1链接到vcsa完成；

6、按上面同样的操作完成vcsa-2的链接过程，其实也可以跟vcsa-1同时进行链接过程；

cmsso-util domain-repoint -m pre-check --src-emb-admin Administrator --replication-partner-fqdn vcsa.lab.com --replication-partner-admin administrator --dest-domain-name vsphere.local

cmsso-util domain-repoint -m execute --src-emb-admin Administrator --replication-partner-fqdn vcsa.lab.com --replication-partner-admin administrator --dest-domain-name vsphere.local

7、登录到vcsa-1的vsphere client管理界面，在vcsa-1上已经可以看到vcsa；

注：我这里是vcsa-1和vcsa-2同时进行链接的，所以这里可以同时看到vcsa和vcsa-2两个vCenter。此时你登陆到vcsa-2上面也同样能看到vcsa-1和vcsa。

8、若登录到vcsa的vsphere client管理界面，如果没有看到vcsa-1或者vcsa-2，请使用以下命令重新启动vCenter服务，或者直接重启vCenter电源。

service-control --stop --all
service-control --start --all

注意：因为我这里为了不浪费时间，所以将vcsa-1和vcsa-2同时进行链接过程了，这样两边的服务都会重新启动。如果先进行了vcsa-1的链接，则需要重新启动vcsa的服务或者重启vcsa的电源；然后再进行vcsa-2的链接，则可能需要同时重新启动vcsa-1和vcsa的服务或者电源。

【测试二】在vcsa复制合作伙伴partner上面，将vcsa-1和vcsa-2从sso域vsphere.local当中删除掉。

注意：请进行以下操作之前，一定要对vCenter做好备份、做好备份、做好备份！！！

1、以root账户ssh登录到vcsa的shell控制台；

2、若先将vcsa-1从vsphere.local域中删掉，则先将vcsa-1关机；

3、在vcsa上执行cmsso-util unregister命令将vcsa-1从vsphere.local域中删除；

cmsso-util unregister --node-pnid vcsa-1.lab.com --username administrator@vsphere.local
或者
cmsso-util unregister --node-pnid vcsa-1.lab.com --username administrator@vsphere.local --passwd sso管理员密码

注：--username和--passwd为vcsa自己域管理员和密码。

4、根据实际环境不同，大概等待十分左右，看到如下图所示表示删除成功；

5、登录到vcsa的vsphere client管理界面，可以看到已经没有vcsa-1了；

6、登录到vcsa-2的vsphere client管理界面，也已经看不到vcsa-1了；

7、按上面同样的操作执行以下命令完成vcsa-2的删除过程，删除之前需要将vcsa-2进行关机；

cmsso-util unregister --node-pnid vcsa-2.lab.com --username administrator@vsphere.local
或者
cmsso-util unregister --node-pnid vcsa-2.lab.com --username administrator@vsphere.local --passwd sso管理员密码

8、登录到vcsa的vsphere client管理界面，已经看到没有vcsa-2了。

注意：vcsa-1和vcsa-2从sso域vsphere.local删除后（注意不是分离），无法再重新加入vsphere.local域，不过此时还可以通过vsphere.local域进行登录，也还能看到之前链接的vCenter，因为在vcsa进行unregister时，我们将vcsa-1和vcsa-2给关机了，若不关机，在执行删除时，会把vcsa-1和vcsa-2给剔除vsphere.local域，这样vCenter就无法正常运行了，此时我们重新进行domain-repoint，修改或者链接到其他sso域即可删除之前链接的信息。

【测试三】将vcsa-1从sso域vsphere.local删除以后，修改sso域为vsphere.mzj，并重新链接到为vcsa-3复制合作伙伴partner的sso域vsphere.mzj当中。

注意：请进行以下操作之前，一定要对vCenter做好备份、做好备份、做好备份！！！

1、由于之前进行unregister操作，vcsa-1已经进行关机，需要将vcsa-1进行开机，并确保服务运行正常；

注：vcsa-1开机后，登录到vsphere client管理界面还能看到vcsa和vcsa-2的链接，因为在vcsa执行unregister之前vcsa-1已经关机，并且还保留了vcsa和vcsa-2的链接信息。

2、以root账户ssh登录到vcsa-1的shell控制台；

3、在vcsa-1上执行cmsso-util domain-repoint命令将sso域修改vsphere.mzj域；

cmsso-util domain-repoint -m execute --src-emb-admin Administrator --dest-domain-name vsphere.mzj

4、等待大概十分钟左右，repoint完成；

5、登录到vcsa-1的vsphere client管理界面，此时需要使用vsphere.mzj域进行登录了；

6、登录到vcsa-1的vami后台管理界面，可以看到sso域已经变成vsphere.mzj了；

7、vcsa-1已经修改sso域为vsphere.mzj，现在在vcsa-1上执行cmsso-util domain-repoint命令链接到为vcsa-3复制合作伙伴partner的sso域vsphere.mzj当中；

cmsso-util domain-repoint -m execute --src-emb-admin Administrator --replication-partner-fqdn vcsa-3.lab.com --replication-partner-admin administrator --dest-domain-name vsphere.mzj

7、等待大概10-20分钟左右，repoint完成；

8、登录到vcsa-1的vsphere client管理界面，可以看到已经链接vcsa-3了；

9、若登录vcsa-3的vsphere client管理界面如果看不到vcsa-1，则需要使用以下命令重新启动vcsa-3的服务或者重新启动电源。

service-control --stop --all
service-control --start --all 

【测试四】将vcsa-2从sso域vsphere.local删除以后，直接重新链接到为vcsa-3复制合作伙伴partner的sso域vsphere.mzj当中。

注意：请进行以下操作之前，一定要对vCenter做好备份、做好备份、做好备份！！！

1、由于之前进行unregister操作，vcsa-2已经进行关机，需要将vcsa-2进行开机，并确保服务运行正常；

注：vcsa-2开机后，登录到vsphere client管理界面还能看到vcsa链接，因为vcsa对vcsa-2执行unregister之前，vcsa-2已经关机了，还保留了vcsa的链接信息；看不到vcsa-1的链接是因为之前vcsa对vcsa-1执行unregister之后通知了vcsa-2，并且删除了vcsa-1的链接信息。

2、以root账户ssh登录到vcsa-2的shell控制台；

3、在vcsa-2上执行cmsso-util domain-repoint命令直接链接到为vcsa-3复制合作伙伴partner的sso域vsphere.mzj当中；

cmsso-util domain-repoint -m execute --src-emb-admin Administrator --replication-partner-fqdn vcsa-3.lab.com --replication-partner-admin administrator --dest-domain-name vsphere.mzj

4、等待大概10-20分钟左右，repoint完成；

5、登录vcsa-2的vsphere client管理界面，此时要使用vsphere.mzj域登录了，可以同时看到链接的vcsa-3和vcsa-1；

6、登录vcsa-3的vsphere client管理界面，可以同时看到链接的vcsa-1和vcsa-2。

注：若登录vcsa-3的vsphere client管理界面看不到vcsa-1或者vcsa-2，或者登录vcsa-1的vsphere client管理界面看不到vcsa-2，则需要重新启动vcsa-3或者vcsa-1的服务或者电源。其实在链接过程中，vcsa-1和vcsa-2也可以同时进行。

四、域重新指向命令的语法

使用以下命令将vCenter Server重新指向另一个vCenter Server节点：

cmsso-util domain-repoint -m execute --src-emb-admin Administrator --replication-partner-fqdn FQDN_of_destination_node --replication-partner-admin destination_node_PSC_Admin_user_name --dest-domain-name destination_PSC_domain

cmsso-util domain-repoint 命令参数：

参数	描述
-m, --mode	mode 可以是 pre-check 或 execute。pre-check 参数在预检查模式下运行命令。execute 参数在执行模式下运行命令。
-spa, --src-psc-admin	源 vCenter Server 的 SSO 管理员用户名。不要附加@domain。
-dpf, --dest-psc-fqdn	要重新指向的 vCenter Server 的 FQDN。
-dpa, --dest-psc-admin	目标 vCenter Server 的 SSO 管理员用户名。不要附加@domain。
-ddn, --dest-domain-name	目标 vCenter Server 的 SSO 域名。
-dpr, --dest-psc-rhttps	（可选）目标 vCenter Server 的 HTTPS 端口。如果未设置，将使用默认端口 443。
-dvf, --dest-vc-fqdn	指向目标 vCenter Server 的 vCenter Server 的 FQDN。将使用vCenter Server 在预检查模式下检查组件数据冲突。如果未提供，则会跳过冲突检查，并为导入过程中发现的任何冲突应用默认解决方法 (COPY)。 注：仅当目标域没有 vCenter Server 时，此参数才是可选的。如果目标域中存在 vCenter Server，则此参数是必需的。
-sea, --src-emb-admin	具有嵌入式 vCenter Server 部署的 vCenter Server 的管理员。请勿将 @domain 附加到管理员 ID。
-rpf, --replication-partner-fqdn	（可选）vCenter Server 复制到的复制合作伙伴节点的 FQDN。
-rpr, --replication-partner-rhttps	（可选）复制节点的 HTTPS 端口。如果未设置，默认值为443。
-rpa, --replication-partner-admin	（可选）复制合作伙伴 vCenter Server 的 SSO 管理员用户名。
-dvr, --dest-vc-rhttps	（可选）指向目标 vCenter Server 的 vCenter Server 的 HTTPS端口。如果未设置，将使用默认端口 443。
--ignore-snapshot	（可选）忽略快照警告。
--no-check-certs	（可选）忽略证书验证。
--debug	（可选）检索命令执行详细信息。
-h, --help	（可选）显示 cmsso-util domain-repoint 命令的帮助消息。

*注：表格内容来自《vCenter Server 的安装和配置》官方文档。

以上为本文档全部内容，若有错误之处，欢迎指出评论，感谢你的观看！