vSphere Client から vCenter Server コンポーネントにログインします。Active Directory のユーザー名とパスワードを使用します。認証に失敗します。

問題

Active Directory の ID ソースを vCenter Single Sign-On に追加しましたが、ユーザーが vCenter Server にログインできません。

原因

ユーザーは、デフォルト ドメインにログインする場合、ユーザー名とパスワードを使用します。他のすべてのドメインについては、ユーザーはドメイン名 (user@domain または DOMAIN\user) を追加する必要があります。

解決方法

すべての vCenter Single Sign-On デプロイでは、デフォルトの ID ソースを変更できます。変更後に、ユーザーは、ユーザー名とパスワードのみを使用してデフォルトのアイデンティティ ソースにログインできます。

Active Directory フォレスト内の子ドメインを使用して統合 Windows 認証 ID ソースを構成する方法については、VMware のナレッジベースの記事 (https://kb.vmware.com/s/article/2070433) を参照してください。統合 Windows 認証では、デフォルトで Active Directory フォレストのルート ドメインを使用します。

デフォルトの ID ソースを変更しても問題が解決しない場合は、次のトラブルシューティング手順を追加で実行します。
  1. vCenter Server と Active Directory ドメイン コントローラの時計を同期します。
  2. それぞれのドメイン コントローラに Active Directory ドメイン DNS サービス内のポインタ レコード (PTR) があることを確認します。

    ドメイン コントローラの PTR レコード情報が、コントローラの DNS 名と一致することを確認します。 vCenter Server を使用している場合は、次のコマンドを実行してタスクを行います。
    1. ドメイン コントローラのリストを表示するには、次のコマンドを実行します。
      # dig SRV _ldap._tcp.my-ad.com
      次の例のように、関連するアドレスが ANSWER SECTION に表示されます。
      ;; ANSWER SECTION:
      _ldap._tcp.my-ad.com. (...) my-controller.my-ad.com
      ...
    2. ドメイン コントローラごとに、次のコマンドを実行して正引き/逆引き解決を確認します。
      # dig my-controller.my-ad.com
      次の例のように、関連するアドレスが ANSWER SECTION に表示されます。
      ;; ANSWER SECTION:
      my-controller.my-ad.com (...) IN A controller IP address
      ...
      # dig -x <controller IP address>
      次の例のように、関連するアドレスが ANSWER SECTION に表示されます。
      ;; ANSWER SECTION:
      IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com
      ...
  3. 問題が解決しない場合は、vCenter Server を Active Directory ドメインから削除し、再度ドメインに参加させます。『vCenter Server の構成』ドキュメントを参照してください。
  4. vCenter Server に接続されているすべてのブラウザ セッションを閉じ、すべてのサービスを再起動します。
    /bin/service-control --restart --all