Se inicia sesión en un componente de vCenter Server desde vSphere Client. Se utiliza el nombre de usuario y la contraseña de Active Directory. Se produce un error en la autenticación.

Problema

Se agrega el origen de identidad de Active Directory a vCenter Single Sign-On, pero los usuarios no pueden iniciar sesión en vCenter Server.

Causa

Los usuarios utilizan su nombre de usuario y contraseña para iniciar sesión en el dominio predeterminado. Para los demás dominios, los usuarios deben incluir el nombre de dominio (usuario@dominio o DOMINIO\usuario).

Solución

En todas las implementaciones de vCenter Single Sign-On, se puede cambiar el origen de identidad predeterminado. Después de ese cambio, los usuarios pueden iniciar sesión en el origen de identidad predeterminado únicamente con el nombre de usuario y la contraseña.

Para configurar un origen de identidad para Autenticación integrada de Windows con un dominio secundario dentro del bosque de Active Directory, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/2070433. De forma predeterminada, la autenticación integrada de Windows utiliza el dominio raíz del bosque de Active Directory.

Si cambiar el origen de identidad predeterminado no soluciona el problema, siga estos pasos adicionales de solución de problemas.
  1. Sincronice los relojes entre vCenter Server y las controladoras de dominio de Active Directory.
  2. Compruebe que cada controlador de dominio tenga un registro de puntero (pointer record, PTR) en el servicio DNS del dominio de Active Directory.

    Compruebe que la información del registro PTR para el controlador de dominio coincida con el nombre DNS del controlador. Al utilizar vCenter Server, ejecute los siguientes comandos para realizar la tarea:
    1. Para enumerar los controladores de dominio, ejecute el siguiente comando:
      # dig SRV _ldap._tcp.my-ad.com
      Las direcciones relevantes aparecen en la sección de respuestas, como en el ejemplo siguiente:
      ;; ANSWER SECTION:
      _ldap._tcp.my-ad.com. (...) my-controller.my-ad.com
      ...
    2. Para cada controladora de dominio, compruebe la resolución de nombres en las direcciones IP (conocida como forward) y la resolución inversa mediante el comando siguiente:
      # dig my-controller.my-ad.com
      Las direcciones relevantes aparecen en la sección de respuestas, como en el ejemplo siguiente:
      ;; ANSWER SECTION:
      my-controller.my-ad.com (...) IN A controller IP address
      ...
      # dig -x <controller IP address>
      Las direcciones relevantes aparecen en la sección de respuestas, como en el ejemplo siguiente:
      ;; ANSWER SECTION:
      IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com
      ...
  3. Si esto no soluciona el problema, quite vCenter Server del dominio de Active Directory y vuelva a asociar el dominio. Consulte la documentación de Configuración de vCenter Server.
  4. Cierre todas las sesiones del explorador que estén conectadas a vCenter Server y reinicie los servicios.
    /bin/service-control --restart --all