您可以從 vSphere Client 登入 vCenter Server 元件。使用您的 Active Directory 使用者名稱和密碼。驗證失敗。

問題

您將 Active Directory 身分識別來源新增到 vCenter Single Sign-On,但使用者無法登入 vCenter Server

原因

使用者可使用各自的使用者名稱和密碼登入預設網域。對於所有其他網域,使用者必須包括網域名稱 (user@domain 或 DOMAIN\user)。

解決方案

對於所有 vCenter Single Sign-On 部署,您可以變更預設身分識別來源。執行此變更後,使用者只能使用使用者名稱和密碼登入預設身分識別來源。

若要使用 Active Directory 樹系內的子網域設定整合式 Windows 驗證身分識別來源,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/2070433。依預設,整合式 Windows 驗證會使用 Active Directory 樹系的根網域。

如果變更預設身分識別來源未能解決此問題,則執行以下額外的疑難排解步驟。
  1. 同步 vCenter Server 和 Active Directory 網域控制器之間的時鐘。

  2. 確認每個網域控制站在 Active Directory 網域 DNS 服務中是否均有指標記錄 (PTR)。

    確認網域控制站的 PTR 記錄資訊與控制器的 DNS 名稱是否相符。使用 vCenter Server 時,請執行以下命令來執行此工作:
    1. 若要列出網域控制站,請執行以下命令: 
      # dig SRV _ldap._tcp.my-ad.com
      相關位址位於回答區段,如以下範例中所示: 
      ;; ANSWER SECTION:
_ldap._tcp.my-ad.com. (...) my-controller.my-ad.com
...
    2. 對於每個網域控制站,請執行以下命令來驗證正向和反向解析: 
      # dig my-controller.my-ad.com
      相關位址位於回答區段,如以下範例中所示: 
      ;; ANSWER SECTION:
my-controller.my-ad.com (...) IN A controller IP address
...
      # dig -x <controller IP address>
      相關位址位於回答區段,如以下範例中所示: 
      ;; ANSWER SECTION:
IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com
...
  3. 如果執行上述步驟未能解決問題,請從 Active Directory 網域中移除 vCenter Server,然後重新加入網域。請參閱 vCenter Server 組態說明文件。
  4. 關閉所有連線到 vCenter Server 的瀏覽器工作階段,然後重新啟動所有服務。 
    /bin/service-control --restart --all