您可以從 vSphere Client 或 vSphere Web Client 登入 vCenter Server 元件。使用您的 Active Directory 使用者名稱和密碼。驗證失敗。
問題
您將 Active Directory 身分識別來源新增到 vCenter Single Sign-On,但使用者無法登入 vCenter Server。
原因
使用者可使用各自的使用者名稱和密碼登入預設網域。對於所有其他網域,使用者必須包括網域名稱 (user@domain 或 DOMAIN\user)。
如果使用的是 vCenter Server Appliance,則可能存在其他問題。
解決方案
對於所有 vCenter Single Sign-On 部署,您可以變更預設身分識別來源。執行此變更後,使用者只能使用使用者名稱和密碼登入預設身分識別來源。
若要將您的整合式 Windows 驗證身分識別來源設定為 Active Directory 樹系內的子網域,請參閱 VMware 知識庫文章,網址為 http://kb.vmware.com/kb/2070433。依預設,整合式 Windows 驗證會使用 Active Directory 樹系的根網域。
如果使用的是
vCenter Server Appliance,且變更預設身分識別來源未能解決此問題,則執行以下額外的疑難排解步驟。
- 同步 vCenter Server Appliance 和 Active Directory 網域控制器之間的時鐘。
確認每個網域控制站在 Active Directory 網域 DNS 服務中是否均有指標記錄 (PTR)。
確認網域控制站的 PTR 記錄資訊與控制器的 DNS 名稱是否相符。使用 vCenter Server Appliance 時,請執行以下命令來執行此工作:- 若要列出網域控制站,請執行以下命令:
# dig SRV _ldap._tcp.my-ad.com
相關位址位於回答區段,如以下範例中所示:;; ANSWER SECTION: _ldap._tcp.my-ad.com. (...) my-controller.my-ad.com ...
- 對於每個網域控制站,請執行以下命令來驗證正向和反向解析:
# dig my-controller.my-ad.com
相關位址位於回答區段,如以下範例中所示:;; ANSWER SECTION: my-controller.my-ad.com (...) IN A controller IP address ...
# dig -x <controller IP address>
相關位址位於回答區段,如以下範例中所示:;; ANSWER SECTION: IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com ...
- 若要列出網域控制站,請執行以下命令:
- 如果執行上述步驟未能解決問題,請從 Active Directory 網域中移除 vCenter Server Appliance,然後重新加入網域。請參閱 vCenter Server Appliance 組態說明文件。
- 關閉所有連線到 vCenter Server Appliance 的瀏覽器工作階段,然後重新啟動所有服務。
/bin/service-control --restart --all