Impossible de se connecter à l'aide de l'authentification de domaine Active Directory

Vous vous connectez à un composant vCenter Server depuis vSphere Client ou vSphere Web Client. Vous utilisez votre nom d'utilisateur et mot de passe Active Directory. L'authentification échoue.

Problème

Vous ajoutez une source d'identité Active Directory à vCenter Single Sign-On, mais les utilisateurs ne parviennent pas à se connecter à vCenter Server.

Cause

Les utilisateurs se connectent à leur domaine par défaut à l'aide de leur nom d'utilisateur et mot de passe. Pour tous les autres domaines, ils doivent inclure le nom de domaine (utilisateur@domaine ou DOMAINE\utilisateur).

Si vous utilisez vCenter Server Appliance d'autres problèmes peuvent se produire.

Solution

Pour tous les déploiements de vCenter Single Sign-On, vous pouvez modifier la source d'identité par défaut. Une fois la modification effectuée, les utilisateurs peuvent se connecter à la source d'identité par défaut à l'aide de leur nom d'utilisateur et mot de passe uniquement.

Pour configurer votre source d'identité d'authentification Windows intégrée avec un domaine enfant dans votre forêt Active Directory, consultez l'article de la base de connaissances VMware accessible à l'adresse http://kb.vmware.com/kb/2070433. Par défaut, l'authentification Windows intégrée utilise le domaine racine de votre forêt Active Directory.

Si vous utilisez vCenter Server Appliance et que la modification de la source d'identité par défaut ne résout pas le problème, effectuez l'une des interventions de dépannage supplémentaires suivantes.

Synchronisez les horloges entre vCenter Server Appliance et les contrôleurs de domaine Active Directory.
Vérifiez que chaque contrôleur de domaine dispose d'un enregistrement de pointeur (PTR) dans le service DNS du domaine Active Directory.
Vérifiez que les informations d'enregistrement PTR pour le contrôleur de domaine correspondent au nom DNS du contrôleur. Lors de l'utilisation de vCenter Server Appliance, exécutez les commandes suivantes pour effectuer la tâche :
1. Pour répertorier les contrôleurs de domaine, exécutez la commande suivante :
```
# dig SRV _ldap._tcp.my-ad.com
```
  Les adresses appropriées sont situées dans « answer section », comme dans l'exemple suivant :
```
;; ANSWER SECTION:
_ldap._tcp.my-ad.com. (...) my-controller.my-ad.com
...
```
2. Pour chaque contrôleur de domaine, vérifiez la résolution directe et inverse en exécutant la commande suivante :
```
# dig my-controller.my-ad.com
```
  Les adresses appropriées sont situées dans « answer section », comme dans l'exemple suivant :
```
;; ANSWER SECTION:
my-controller.my-ad.com (...) IN A adresse IP de contrôleur
...
```
```
# dig -x <controller IP address>
```
  Les adresses appropriées sont situées dans « answer section », comme dans l'exemple suivant :
```
;; ANSWER SECTION:
IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com
...
```
Si cela ne résout pas le problème, supprimez vCenter Server Appliance du domaine Active Directory, puis rejoignez le domaine. Consultez la documentation de Configuration de vCenter Server Appliance.
Fermez toutes les sessions de navigateur connectées à vCenter Server Appliance et redémarrez tous les services.
```
/bin/service-control --restart --all
```