Sie melden sich bei einer vCenter Server-Komponente über den vSphere Web Client an. Sie verwenden Ihren Benutzernamen und Ihr Kennwort von Active Directory. Authentifizierung schlägt fehl.

Problem

Sie fügen eine Active Directory-Identitätsquelle zu vCenter Single Sign On hinzu, aber die Benutzer können sich nicht bei vCenter Server anmelden.

Benutzer verwenden ihren Benutzernamen und ihr Kennwort, um sich bei der Standarddomäne anzumelden. Für alle anderen Domänen müssen Benutzer den Domänennamen angeben (user@domain oder DOMÄNE\Benutzer).

Wenn Sie die vCenter Server Appliance verwenden, liegen möglicherweise andere Probleme vor.

Ergebnisse

Sie können die standardmäßige Identitätsquelle für alle vCenter Single Sign On-Bereitstellungen ändern. Benutzer können sich nach dieser Änderung nur mit dem Benutzernamen und Kennwort bei der standardmäßigen Identitätsquelle anmelden.

Informationen zur Konfiguration Ihrer Identitätsquelle für die integrierte Windows-Authentifizierung mit einer untergeordneten Domäne in Ihrer Active Directory-Gesamtstruktur finden Sie im VMware-Knowledgebase-Artikel 2070433. Standardmäßig verwendet die integrierte Windows-Authentifizierung die Rootdomäne Ihrer Active Directory-Gesamtstruktur.

Wenn Sie die vCenter Server Appliance verwenden und eine Änderung der standardmäßigen Identitätsquelle das Problem nicht behebt, führen Sie die folgenden zusätzlichen Schritte zur Fehlerbehebung durch:

  1. Synchronisieren Sie die Uhren zwischen der vCenter Server Appliance und den Active Directory-Domänencontrollern.

  2. Stellen Sie sicher, dass jeder Domänencontroller über einen Pointer Record (PTR) im DNS-Dienst der Active Directory-Domäne verfügt und dass die PTR-Informationen mit dem DNS-Namen des Controllers übereinstimmen. Wenn Sie die vCenter Server Appliance verwenden, können Sie die folgenden Befehle ausführen, um die Aufgabe durchzuführen:

    1. Führen Sie den folgenden Befehl aus, um die Domänencontroller aufzulisten:

      # dig SRV _ldap._tcp.my-ad.com

      Die relevanten Adressen befinden sich, wie im folgenden Beispiel, im Antwort-Bereich:

      ;; ANSWER SECTION:
      _ldap._tcp.my-ad.com. (...) my-controller.my-ad.com
      ...

    2. Stellen Sie die Forward- und Reverse-Auflösung für jeden Domänencontroller fest, indem Sie den folgenden Befehl ausführen:

      # dig my-controller.my-ad.com

      Die relevanten Adressen befinden sich, wie im folgenden Beispiel, im Antwort-Bereich:

      ;; ANSWER SECTION:
      my-controller.my-ad.com (...) IN A controller IP address
      ...

      # dig -x <controller IP address>

      Die relevanten Adressen befinden sich, wie im folgenden Beispiel, im Antwort-Bereich:

      ;; ANSWER SECTION:
      IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com
      ...

  3. Wenn das Problem dadurch nicht gelöst wird, entfernen Sie die vCenter Server Appliance aus der Active Directory-Domäne und treten anschließend der Domäne wieder bei. Informationen finden Sie in der Dokumentation vCenter Server Appliance-Konfiguration.

  4. Schließen Sie alle mit der vCenter Server Appliance verbundenen Browsersitzungen und starten Sie alle Dienste neu.

    /bin/service-control --restart --all