vSphere Web Client から vCenter Server コンポーネントにログインします。Active Directory のユーザー名とパスワードを使用します。認証に失敗します。

問題

Active Directory のアイデンティティ ソースを vCenter Single Sign-On に追加しましたが、ユーザーが vCenter Server にログインできません。

ユーザーは、デフォルト ドメインにログインする場合、ユーザー名とパスワードを使用します。他のすべてのドメインについては、ユーザーはドメイン名 (user@domain または DOMAIN\user) を追加する必要があります。

vCenter Server Appliance を使用している場合は、他の問題が存在する可能性があります。

タスクの結果

すべての vCenter Single Sign-On デプロイでは、デフォルトのアイデンティティ ソースを変更できます。変更後に、ユーザーは、ユーザー名とパスワードのみを使用してデフォルトのアイデンティティ ソースにログインできます。

Active Directory フォレスト内の子ドメインを使用して統合 Windows 認証アイデンティティ ソースを構成する方法については、当社のナレッジ ベースの記事 2070433 を参照してください。統合 Windows 認証では、デフォルトで Active Directory フォレストのルート ドメインを使用します。

vCenter Server Appliance を使用しており、デフォルトのアイデンティティ ソースを変更しても問題が解決しない場合は、次のトラブルシューティング手順を追加で実行します。

  1. vCenter Server Appliance と Active Directory ドメイン コントローラの時計を同期します。

  2. それぞれのドメイン コントローラに Active Directory ドメイン DNS サービス内のポインタ レコード (PTR) があり、PTR レコード情報がコントローラの DNS 名と一致していることを確認します。vCenter Server Appliance を使用している場合は、次のコマンドを実行してタスクを実行できます。

    1. ドメイン コントローラのリストを表示するには、次のコマンドを実行します。

      # dig SRV _ldap._tcp.my-ad.com

      次の例のように、関連するアドレスが ANSWER SECTION に表示されます。

      ;; ANSWER SECTION:
      _ldap._tcp.my-ad.com. (...) my-controller.my-ad.com
      ...

    2. ドメイン コントローラごとに、次のコマンドを実行して正引き/逆引き解決を確認します。

      # dig my-controller.my-ad.com

      次の例のように、関連するアドレスが ANSWER SECTION に表示されます。

      ;; ANSWER SECTION:
      my-controller.my-ad.com (...) IN A controller IP address
      ...

      # dig -x <controller IP address>

      次の例のように、関連するアドレスが ANSWER SECTION に表示されます。

      ;; ANSWER SECTION:
      IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com
      ...

  3. 問題が解決しない場合は、vCenter Server Appliance を Active Directory ドメインから削除し、再度ドメインに参加させます。『vCenter Server Appliance の構成』ドキュメントを参照してください。

  4. vCenter Server Appliance に接続されているすべてのブラウザ セッションを閉じ、すべてのサービスを再起動します。

    /bin/service-control --restart --all