Active Directory 도메인 인증을 사용하여 로그인할 수 없음

vSphere Client에서 vCenter Server 구성 요소에 로그인합니다. Active Directory 사용자 이름 및 암호를 사용합니다. 인증이 실패합니다.

문제

Active Directory ID 소스를 vCenter Single Sign-On에 추가해도 사용자가 vCenter Server에 로그인할 수 없습니다.

원인

사용자가 사용자 이름 및 암호를 사용하여 기본 도메인에 로그인합니다. 다른 모든 도메인에 로그인할 때는 도메인 이름을 포함해야 합니다(user@domain 또는 DOMAIN\user).

해결책

모든 vCenter Single Sign-On 배포에 대해 기본 ID 소스를 변경할 수 있습니다. 변경 후 사용자는 사용자 이름 및 암호만 사용하여 기본 ID 소스에 로그인할 수 있습니다.

Active Directory 포리스트 내에 하위 도메인을 가진 통합 Windows 인증 ID 소스를 구성하려면 VMware 기술 자료 문서(https://kb.vmware.com/s/article/2070433)를 참조하십시오. 기본적으로 통합 Windows 인증은 Active Directory 포리스트의 루트 도메인을 사용합니다.

기본 ID 소스를 변경한 후에도 문제가 해결되지 않으면 다음과 같은 추가 문제 해결 단계를 수행합니다.

vCenter Server와 Active Directory 도메인 컨트롤러 간에 클럭을 동기화합니다.
각 도메인 컨트롤러의 PTR(포인터 레코드)이 Active Directory 도메인 DNS 서비스에 있으며
도메인 컨트롤러의 PTR 레코드 정보가 컨트롤러의 DNS 이름과 일치하는지 확인합니다. vCenter Server를 사용하는 경우 다음 명령을 실행하여 작업을 수행합니다.
1. 도메인 컨트롤러를 나열하려면 다음 명령을 실행합니다.
```
# dig SRV _ldap._tcp.my-ad.com
```
  다음 예와 같이 관련 주소가 응답 섹션(ANSWER SECTION)에 표시됩니다.
```
;; ANSWER SECTION:
_ldap._tcp.my-ad.com. (...) my-controller.my-ad.com
...
```
2. 각 도메인 컨트롤러에 대해 다음 명령을 실행하여 정방향 및 역방향 분석을 확인합니다.
```
# dig my-controller.my-ad.com
```
  다음 예와 같이 관련 주소가 응답 섹션(ANSWER SECTION)에 표시됩니다.
```
;; ANSWER SECTION:
my-controller.my-ad.com (...) IN A controller IP address
...
```
```
# dig -x <controller IP address>
```
  다음 예와 같이 관련 주소가 응답 섹션(ANSWER SECTION)에 표시됩니다.
```
;; ANSWER SECTION:
IP-in-reverse.in-addr.arpa. (...) IN PTR my-controller.my-ad.com
...
```
이렇게 해도 문제가 해결되지 않으면 vCenter Server를 Active Directory 도메인에서 제거한 후 도메인에 다시 가입합니다. "vCenter Server 구성" 설명서를 참조하십시오.
vCenter Server에 연결된 모든 브라우저 세션을 닫고 모든 서비스를 다시 시작합니다.
```
/bin/service-control --restart --all
```