您可以從 vSphere Web Client 登入 vCenter Server 元件。使用您的 Active Directory 使用者名稱和密碼。驗證失敗。

問題

您可以將 Active Directory 身分識別來源新增到 vCenter Single Sign-On,但使用者無法登入 vCenter。

使用者可使用各自的使用者名稱和密碼登入預設網域。對於所有其他網域,使用者必須包括網域名稱 (user@domain 或 DOMAIN\user)。

如果使用的是 vCenter Server Appliance,則可能存在其他問題。

結果

對於所有 vCenter Single Sign-On 部署,您可以變更預設身分識別來源。執行此變更後,使用者只能使用使用者名稱和密碼來登入預設身分識別來源。

如果使用的是 vCenter Server Appliance,且變更預設身分識別來源未能解決此問題,則執行以下額外的疑難排解步驟。

  1. 同步 vCenter Server Appliance 和 Active Directory 網域控制器之間的時鐘。

  2. 確認每個網域控制站在 Active Directory 網域 DNS 服務中是否均有指標記錄 (PTR),並確認 PTR 記錄資訊與控制器的 DNS 名稱是否相符。使用 vCenter Server Appliance 時,可以執行以下命令來執行此工作:

    1. 若要列出網域控制器,請執行以下命令:

      # dig SRV _ldap._tcp.my-ad.com

      相關位址位於回答區段,如以下範例中所示:

      ;; ANSWER SECTION:
      _ldap._tcp.my-ad.com. (...) my-controller.my-ad.com
      ...

    2. 對於每個網域控制站,請執行以下命令來驗證正向和反向解析:

      # dig my-controller.my-ad.com

      相關位址位於回答區段,如以下範例中所示:

      ;; ANSWER SECTION:
      my-controller.my-ad.com (...) IN A controller IP address
      ...

      # dig -x <controller IP address>

      相關位址位於回答區段,如以下範例中所示:

      ;; ANSWER SECTION:
      IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com
      ...

  3. 如果執行上述步驟未能解決問題,請從 Active Directory 網域中移除 vCenter Server Appliance,然後重新加入網域。

  4. 重新啟動 vCenter Single Sign-On。