vSphere Client 또는 vSphere Web Client에서 vCenter Server 구성 요소에 로그인합니다. Active Directory 사용자 이름 및 암호를 사용합니다. 인증이 실패합니다.
문제
Active Directory ID 소스를 vCenter Single Sign-On에 추가해도 사용자가 vCenter Server에 로그인할 수 없습니다.
원인
사용자가 사용자 이름 및 암호를 사용하여 기본 도메인에 로그인합니다. 다른 모든 도메인에 로그인할 때는 도메인 이름을 포함해야 합니다(user@domain 또는 DOMAIN\user).
vCenter Server Appliance를 사용하는 경우에는 다른 문제가 발생할 수도 있습니다.
해결책
모든 vCenter Single Sign-On 배포에 대해 기본 ID 소스를 변경할 수 있습니다. 변경 후 사용자는 사용자 이름 및 암호만 사용하여 기본 ID 소스에 로그인할 수 있습니다.
Active Directory 포리스트 내에 하위 도메인을 가진 통합 Windows 인증 ID 소스를 구성하려면 VMware 기술 자료 문서(http://kb.vmware.com/kb/2070433)를 참조하십시오. 기본적으로 통합 Windows 인증은 Active Directory 포리스트의 루트 도메인을 사용합니다.
vCenter Server Appliance를 사용하며 기본 ID 소스를 변경한 후에도 문제가 해결되지 않으면 다음과 같은 추가 문제 해결 단계를 수행합니다.
- vCenter Server Appliance와 Active Directory 도메인 컨트롤러 간에 클럭을 동기화합니다.
각 도메인 컨트롤러의 PTR(포인터 레코드)이 Active Directory 도메인 DNS 서비스에 있으며
도메인 컨트롤러의 PTR 레코드 정보가 컨트롤러의 DNS 이름과 일치하는지 확인합니다. vCenter Server Appliance를 사용하는 경우 다음 명령을 실행하여 작업을 수행합니다.- 도메인 컨트롤러를 나열하려면 다음 명령을 실행합니다.
# dig SRV _ldap._tcp.my-ad.com
다음 예와 같이 관련 주소가 응답 섹션(ANSWER SECTION)에 표시됩니다.;; ANSWER SECTION: _ldap._tcp.my-ad.com. (...) my-controller.my-ad.com ...
- 각 도메인 컨트롤러에 대해 다음 명령을 실행하여 정방향 및 역방향 분석을 확인합니다.
# dig my-controller.my-ad.com
다음 예와 같이 관련 주소가 응답 섹션(ANSWER SECTION)에 표시됩니다.;; ANSWER SECTION: my-controller.my-ad.com (...) IN A 컨트롤러 IP 주소 ...
# dig -x <controller IP address>
다음 예와 같이 관련 주소가 응답 섹션(ANSWER SECTION)에 표시됩니다.;; ANSWER SECTION: IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com ...
- 도메인 컨트롤러를 나열하려면 다음 명령을 실행합니다.
- 이렇게 해도 문제가 해결되지 않으면 vCenter Server Appliance를 Active Directory 도메인에서 제거한 후 도메인에 다시 가입합니다. "vCenter Server Appliance 구성" 설명서를 참조하십시오.
- vCenter Server Appliance에 연결된 모든 브라우저 세션을 닫고 모든 서비스를 다시 시작합니다.
/bin/service-control --restart --all
