Sie melden sich bei einer vCenter Server-Komponente über den vSphere Client oder den vSphere Web Client an. Sie verwenden Ihren Benutzernamen und Ihr Kennwort von Active Directory. Authentifizierung schlägt fehl.

Problem

Sie fügen eine Active Directory-Identitätsquelle zu vCenter Single Sign On hinzu, aber die Benutzer können sich nicht bei vCenter Server anmelden.

Ursache

Benutzer verwenden ihren Benutzernamen und ihr Kennwort, um sich bei der Standarddomäne anzumelden. Für alle anderen Domänen müssen Benutzer den Domänennamen angeben (user@domain oder DOMÄNE\Benutzer).

Wenn Sie die vCenter Server Appliance verwenden, liegen möglicherweise andere Probleme vor.

Lösung

Sie können die standardmäßige Identitätsquelle für alle vCenter Single Sign On-Bereitstellungen ändern. Benutzer können sich nach dieser Änderung nur mit dem Benutzernamen und Kennwort bei der Standard-Identitätsquelle anmelden.

Informationen zur Konfiguration der Identitätsquelle für integrierte Windows-Authentifizierung mit einer untergeordneten Domäne in der Active Directory-Gesamtstruktur finden Sie im VMware-Knowledgebase-Artikel unter http://kb.vmware.com/kb/2070433. Standardmäßig verwendet die integrierte Windows-Authentifizierung die Rootdomäne Ihrer Active Directory-Gesamtstruktur.

Wenn Sie die vCenter Server Appliance verwenden und eine Änderung der standardmäßigen Identitätsquelle das Problem nicht behebt, führen Sie die folgenden zusätzlichen Schritte zur Fehlerbehebung durch:
  1. Synchronisieren Sie die Uhren zwischen der vCenter Server Appliance und den Active Directory-Domänencontrollern.
  2. Stellen Sie sicher, dass jeder Domänencontroller über einen Pointer Record (PTR) im DNS-Dienst der Active Directory-Domäne verfügt.

    Stellen Sie sicher, dass die PTR-Informationen mit dem DNS-Namen des Controllers übereinstimmen. Wenn Sie die vCenter Server Appliance verwenden, führen Sie die folgenden Befehle aus, um die Aufgabe durchzuführen:
    1. Führen Sie den folgenden Befehl aus, um die Domänencontroller aufzulisten:
      # dig SRV _ldap._tcp.my-ad.com
      Die relevanten Adressen befinden sich, wie im folgenden Beispiel, im Antwort-Bereich:
      ;; ANSWER SECTION:
      _ldap._tcp.my-ad.com. (...) my-controller.my-ad.com
      ...
    2. Stellen Sie die Forward- und Reverse-Auflösung für jeden Domänencontroller fest, indem Sie den folgenden Befehl ausführen:
      # dig my-controller.my-ad.com
      Die relevanten Adressen befinden sich, wie im folgenden Beispiel, im Antwort-Bereich:
      ;; ANSWER SECTION:
      my-controller.my-ad.com (...) IN A IP-Adresse des Controllers
      ...
      # dig -x <controller IP address>
      Die relevanten Adressen befinden sich, wie im folgenden Beispiel, im Antwort-Bereich:
      ;; ANSWER SECTION:
      IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com
      ...
  3. Wenn das Problem dadurch nicht gelöst wird, entfernen Sie die vCenter Server Appliance aus der Active Directory-Domäne und treten anschließend der Domäne wieder bei. Informationen finden Sie in der Dokumentation vCenter Server Appliance-Konfiguration.
  4. Schließen Sie alle mit der vCenter Server Appliance verbundenen Browsersitzungen und starten Sie alle Dienste neu.
    /bin/service-control --restart --all