vSphere Web Client から vCenter Server コンポーネントにログインします。Active Directory のユーザー名とパスワードを使用します。認証に失敗します。

問題

Active Directory の ID ソースを vCenter Single Sign-On に追加しましたが、ユーザーが vCenter にログインできません。

ユーザーは、デフォルト ドメインにログインする場合、ユーザー名とパスワードを使用します。他のすべてのドメインについては、ユーザーはドメイン名 (user@domain または DOMAIN\user) を追加する必要があります。

vCenter Server Appliance を使用している場合は、他の問題が存在する可能性があります。

タスクの結果

すべての vCenter Single Sign-On デプロイでは、デフォルトの ID ソースを変更できます。変更後に、ユーザーは、ユーザー名とパスワードのみを使用してデフォルトの ID ソースにログインできます。

vCenter Server Appliance を使用しており、デフォルトの ID ソースを変更しても問題が解決しない場合は、次のトラブルシューティング手順を追加で実行します。

  1. vCenter Server Appliance と Active Directory ドメイン コントローラのクロックを同期します。

  2. それぞれのドメイン コントローラに Active Directory ドメイン DNS サービス内のポインタ レコード (PTR) があり、PTR レコード情報がコントローラの DNS 名と一致していることを確認します。vCenter Server Appliance を使用している場合は、次のコマンドを実行してタスクを実行できます。

    1. ドメイン コントローラのリストを表示するには、次のコマンドを実行します。

      # dig SRV _ldap._tcp.my-ad.com

      次の例のように、関連するアドレスが ANSWER SECTION に表示されます。

      ;; ANSWER SECTION:
      _ldap._tcp.my-ad.com. (...) my-controller.my-ad.com
      ...

    2. ドメイン コントローラごとに、次のコマンドを実行して正引き/逆引き解決を確認します。

      # dig my-controller.my-ad.com

      次の例のように、関連するアドレスが ANSWER SECTION に表示されます。

      ;; ANSWER SECTION:
      my-controller.my-ad.com (...) IN A controller IP address
      ...

      # dig -x <controller IP address>

      次の例のように、関連するアドレスが ANSWER SECTION に表示されます。

      ;; ANSWER SECTION:
      IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com
      ...

  3. 問題が解決しない場合は、Active Directory ドメインから vCenter Server Appliance を削除してから再度ドメインに参加します。

  4. vCenter Single Sign-On を再起動してください。