Sie melden sich mithilfe von vSphere Web Client bei einer vCenter Server-Komponente an. Sie verwenden Ihren Benutzernamen und Ihr Kennwort von Active Directory. Authentifizierung schlägt fehl.

Problem

Sie fügen eine Active Directory-Identitätsquelle zu vCenter Single Sign-On hinzu, aber die Benutzer können sich nicht bei vCenter anmelden.

Benutzer verwenden ihren Benutzernamen und ihr Kennwort, um sich bei der Standarddomäne anzumelden. Für alle anderen Domänen müssen Benutzer den Domänennamen angeben (user@domain oder DOMÄNE\Benutzer).

Wenn Sie die vCenter Server Appliance verwenden, liegen möglicherweise andere Probleme vor.

Ergebnisse

Sie können die standardmäßige Identitätsquelle für alle vCenter Single Sign On-Bereitstellungen ändern. Benutzer können sich nach dieser Änderung nur mit dem Benutzernamen und Kennwort bei der standardmäßigen Identitätsquelle anmelden.

Wenn Sie die vCenter Server Appliance verwenden und das Ändern der standardmäßigen Identitätsquelle das Problem nicht behebt, führen Sie die folgenden zusätzlichen Schritte zur Fehlerbehebung durch:

  1. Synchronisieren Sie die Uhren zwischen der vCenter Server Appliance und den Active Directory-Domänencontrollern.

  2. Stellen Sie sicher, dass jeder Domänencontroller über einen Pointer Record (PTR) im DNS-Dienst der Active Directory-Domäne verfügt und dass die PTR-Informationen mit dem DNS-Namen des Controllers übereinstimmen. Wenn Sie die vCenter Server Appliance verwenden, können Sie die folgenden Befehle ausführen, um die Aufgabe durchzuführen:

    1. Führen Sie den folgenden Befehl aus, um die Domänencontroller aufzulisten:

      # dig SRV _ldap._tcp.my-ad.com

      Die relevanten Adressen befinden sich, wie im folgenden Beispiel, im Antwort-Bereich:

      ;; ANSWER SECTION:
      _ldap._tcp.my-ad.com. (...) my-controller.my-ad.com
      ...

    2. Stellen Sie die Forward- und Reverse-Auflösung für jeden Domänencontroller fest, indem Sie den folgenden Befehl ausführen:

      # dig my-controller.my-ad.com

      Die relevanten Adressen befinden sich, wie im folgenden Beispiel, im Antwort-Bereich:

      ;; ANSWER SECTION:
      my-controller.my-ad.com (...) IN A controller IP address
      ...

      # dig -x <controller IP address>

      Die relevanten Adressen befinden sich, wie im folgenden Beispiel, im Antwort-Bereich:

      ;; ANSWER SECTION:
      IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com
      ...

  3. Wenn das Problem dadurch nicht gelöst wird, entfernen Sie die vCenter Server Appliance von der Active Directory-Domäne und treten Sie anschließend der Domäne wieder bei.

  4. Starten Sie vCenter Single Sign On neu.