Se inicia sesión en un componente de vCenter Server desde vSphere Web Client. Se utiliza el nombre de usuario y la contraseña de Active Directory. Se produce un error en la autenticación.

Problema

Se agrega el origen de identidad de Active Directory a vCenter Single Sign-On, pero los usuarios no pueden iniciar sesión en vCenter Server.

Los usuarios utilizan su nombre de usuario y contraseña para iniciar sesión en el dominio predeterminado. Para los demás dominios, los usuarios deben incluir el nombre de dominio (usuario@dominio o DOMINIO\usuario).

Si está utilizando vCenter Server Appliance, es posible que se produzcan otros problemas.

Resultados

En todas las implementaciones de vCenter Single Sign-On,se puede cambiar el origen de identidad predeterminado. Después de ese cambio, los usuarios pueden iniciar sesión en el origen de identidad predeterminado únicamente con el nombre de usuario y la contraseña.

Para configurar un origen de identidad para Autenticación de Windows integrada con un dominio secundario dentro del bosque de Active Directory, consulte el artículo 2070433 de la base de conocimientos de VMware. De forma predeterminada, la autenticación integrada de Windows utiliza el dominio raíz del bosque de Active Directory.

Si utiliza vCenter Server Appliance y el cambio del origen de identidad predeterminado no soluciona el problema, siga estos pasos adicionales de solución de problemas.

  1. Sincronice los relojes entre vCenter Server Appliance y las controladoras de dominio de Active Directory.

  2. Compruebe que cada controladora de dominio tenga un registro de marcador (PTR) en el servicio DNS del dominio de Active Directory y que la información de registro de PTR coincida con el nombre DNS de la controladora. Al utilizar vCenter Server Appliance, puede ejecutar los siguientes comandos para realizar la tarea:

    1. Para enumerar las controladoras de dominio, ejecute el comando siguiente:

      # dig SRV _ldap._tcp.my-ad.com

      Las direcciones relevantes aparecen en la sección de respuestas, como en el ejemplo siguiente:

      ;; ANSWER SECTION:
      _ldap._tcp.my-ad.com. (...) my-controller.my-ad.com
      ...

    2. Para cada controladora de dominio, compruebe la resolución de nombres en las direcciones IP (conocida como forward) y la resolución inversa mediante el comando siguiente:

      # dig my-controller.my-ad.com

      Las direcciones relevantes aparecen en la sección de respuestas, como en el ejemplo siguiente:

      ;; ANSWER SECTION:
      my-controller.my-ad.com (...) IN A controller IP address
      ...

      # dig -x <controller IP address>

      Las direcciones relevantes aparecen en la sección de respuestas, como en el ejemplo siguiente:

      ;; ANSWER SECTION:
      IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com
      ...

  3. Si esto no soluciona el problema, quite vCenter Server Appliance del dominio de Active Directory y vuelva a asociar el dominio. Consulte la documentación de Configuración de vCenter Server Appliance.

  4. Cierre todas las sesiones del explorador que estén conectadas a vCenter Server Appliance y reinicie los servicios.

    /bin/service-control --restart --all