Active Directory ドメイン認証を使用してログインできない

vSphere Web Client から vCenter Server コンポーネントにログインします。Active Directory のユーザー名とパスワードを使用します。認証に失敗します。

問題

Active Directory のアイデンティティソースを vCenter Single Sign-On に追加しましたが、ユーザーが vCenter Server にログインできません。

原因

ユーザーは、デフォルトドメインにログインする場合、ユーザー名とパスワードを使用します。他のすべてのドメインについては、ユーザーはドメイン名（user@domain または DOMAIN\user）を追加する必要があります。

vCenter Server Appliance を使用している場合は、他の問題が存在する可能性があります。

解決方法

すべての vCenter Single Sign-On デプロイでは、デフォルトのアイデンティティソースを変更できます。変更後に、ユーザーは、ユーザー名とパスワードのみを使用してデフォルトのアイデンティティソースにログインできます。

Active Directory フォレスト内の子ドメインを使用して統合 Windows 認証アイデンティティソースを構成する方法については、VMware ナレッジベースの記事 KB2070433 を参照してください。統合 Windows 認証では、デフォルトで Active Directory フォレストのルートドメインを使用します。

vCenter Server Appliance を使用しており、デフォルトのアイデンティティソースを変更しても問題が解決しない場合は、次のトラブルシューティング手順を追加で実行します。

vCenter Server Appliance と Active Directory ドメインコントローラの時計を同期します。
それぞれのドメインコントローラに Active Directory ドメイン DNS サービス内のポインタレコード (PTR) があることを確認します。
ドメインコントローラの PTR レコード情報が、コントローラの DNS 名と一致することを確認します。 vCenter Server Appliance を使用している場合は、次のコマンドを実行してタスクを行います。
1. ドメインコントローラのリストを表示するには、次のコマンドを実行します。
```
# dig SRV _ldap._tcp.my-ad.com
```
  次の例のように、関連するアドレスが ANSWER SECTION に表示されます。
```
;; ANSWER SECTION:
_ldap._tcp.my-ad.com. (...) my-controller.my-ad.com
...
```
2. ドメインコントローラごとに、次のコマンドを実行して正引き/逆引き解決を確認します。
```
# dig my-controller.my-ad.com
```
  次の例のように、関連するアドレスが ANSWER SECTION に表示されます。
```
;; ANSWER SECTION:
my-controller.my-ad.com (...) IN A controller IP address
...
```
```
# dig -x <controller IP address>
```
  次の例のように、関連するアドレスが ANSWER SECTION に表示されます。
```
;; ANSWER SECTION:
IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com
...
```
問題が解決しない場合は、vCenter Server Appliance を Active Directory ドメインから削除し、再度ドメインに参加させます。『vCenter Server Appliance の構成』ドキュメントを参照してください。
vCenter Server Appliance に接続されているすべてのブラウザセッションを閉じ、すべてのサービスを再起動します。
```
/bin/service-control --restart --all
```