Viene eseguito l'accesso a un componente vCenter Server da vSphere Client, utilizzando il nome utente e la password di Active Directory. L'autenticazione non riesce.

Problema

È stata aggiunta un'origine identità Active Directory a vCenter Single Sign-On, ma gli utenti non riescono ad accedere a vCenter Server.

Causa

Gli utenti usano i propri nome utente e password per accedere al dominio predefinito. Per tutti gli altri domini, gli utenti devono includere il nome del dominio (user@domain o DOMAIN\user).

Soluzione

Per tutte le distribuzioni vCenter Single Sign-On, è possibile modificare l'origine identità predefinita. Dopo questa modifica, gli utenti possono accedere all'origine identità predefinita solo con nome utente e password.

Per configurare l'origine identità dell'Autenticazione integrata Windows con un sottodominio all'interno della foresta di Active Directory, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/2070433. Per impostazione predefinita, l'autenticazione integrata di Windows (IWA) utilizza il dominio root della foresta di Active Directory.

Se la modifica dell'origine identità predefinita non risolve il problema, eseguire i seguenti passaggi aggiuntivi per la risoluzione dei problemi.
  1. Sincronizzare gli orologi tra vCenter Server e i controller di dominio Active Directory.

  2. Verificare che ciascun controller di dominio disponga di un record del puntatore (PTR) nel servizio DNS del dominio Active Directory.

    Verificare che le informazioni del record PTR per il controller di dominio corrispondano al nome DNS del controller. Con vCenter Server, utilizzare i comandi seguenti per eseguire l'attività:
    1. Per elencare i controller di dominio, eseguire il comando seguente: 
      # dig SRV _ldap._tcp.my-ad.com
      Gli indirizzi pertinenti si trovano nella sezione delle risposte, come nell'esempio seguente: 
      ;; ANSWER SECTION:
_ldap._tcp.my-ad.com. (...) my-controller.my-ad.com
...
    2. Per ogni controller di dominio, verificare la risoluzione di inoltro e inversa eseguendo il comando seguente: 
      # dig my-controller.my-ad.com
      Gli indirizzi pertinenti si trovano nella sezione delle risposte, come nell'esempio seguente: 
      ;; ANSWER SECTION:
my-controller.my-ad.com (...) IN A controller IP address
...
      # dig -x <controller IP address>
      Gli indirizzi pertinenti si trovano nella sezione delle risposte, come nell'esempio seguente: 
      ;; ANSWER SECTION:
IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com
...
  3. Se il problema persiste, rimuovere vCenter Server dal dominio Active Directory per poi associarlo nuovamente. Vedere la documentazione di Configurazione di vCenter Server.
  4. Chiudere tutte le sessioni del browser connesse a vCenter Server e riavviare tutti i servizi. 
    /bin/service-control --restart --all