您从 vSphere Web Client 登录 vCenter Server 组件。使用您的 Active Directory 用户名和密码。身份验证失败。

问题

您将 Active Directory 标志源添加到 vCenter Single Sign-On,但用户无法登录 vCenter。

用户使用他们的用户名和密码登录到默认域。对于所有其他域,用户必须包含域名(user@domain 或 DOMAIN\user)。

如果使用的是 vCenter Server Appliance,则可能存在其他问题。

结果

对于所有 vCenter Single Sign-On 部署,您可以更改默认标识源。执行此更改后,用户只能使用用户名和密码来登录默认标识源。

如果使用的是 vCenter Server Appliance,且更改默认标识源并未解决此问题,则执行以下额外的故障排除步骤。

  1. 同步 vCenter Server Appliance 和 Active Directory 域控制器之间的时钟。

  2. 验证每个域控制器在 Active Directory 域 DNS 服务中是否均有指针记录 (PTR),并验证 PTR 记录信息与控制器的 DNS 名称是否匹配。使用 vCenter Server Appliance 时,可以运行以下命令来执行此任务:

    1. 要列出域控制器,请运行以下命令:

      # dig SRV _ldap._tcp.my-ad.com

      相关地址位于回答部分,如以下示例中所示:

      ;; ANSWER SECTION:
      _ldap._tcp.my-ad.com. (...) my-controller.my-ad.com
      ...

    2. 对于每个域控制器,请运行以下命令验证正向和反向解析:

      # dig my-controller.my-ad.com

      相关地址位于回答部分,如以下示例中所示:

      ;; ANSWER SECTION:
      my-controller.my-ad.com (...) IN A controller IP address
      ...

      # dig -x <controller IP address>

      相关地址位于回答部分,如以下示例中所示:

      ;; ANSWER SECTION:
      IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com
      ...

  3. 如果执行上述步骤未能解决问题,请从 Active Directory 域中删除 vCenter Server Appliance,然后重新加入域。

  4. 重新启动 vCenter Single Sign-On。