免責事項：これは英文の記事「In an integrated Windows authentication configuration, the reference target does not automatically switch during the AD server process stack.」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

統合Windows認証(IWA)を構成し、複数のActive Directoryサーバを冗長構成として登録している環境において、プライマリADサーバで以下の状態が発生した場合、セカンダリADサーバへの自動フェイルオーバーが発生せず、vSphere Clientへのログインが失敗します。

• 「無効な認証情報」と表示され、vSphere Clientへログインできない。
• 該当ADサーバにおいて、OSやPing等は正常に応答するが、内部のADサービスやLDAPクエリへの応答がハングアップ(プロセススタック)している。

vCenter Server

vCenter ServerとADサーバ間の疎通に異常があった際には参照先の切り替わりが発生し、
vCenter ServerとADサーバ間の疎通はできるもののADサーバ内のプロセスに異常があった際には、正常に切り替わりが発生しない可能性があります。

下記の手順を実施します。

1. 以下のいずれかを実施します。
   
   a) 問題となっているADのネットワークの切断
      (障害が発生しているプライマリADの仮想マシンのシャットダウンなど)
   
   b) vCenter Server側でのブラックリスト登録や設定ファイル修正
      (障害が発生しているプライマリADのIPアドレスを krb5-affinity.conf やブラックリスト設定で明示的に除外します)
      ※詳細な手順はKB375177を確認します。なお、 krb5-affinity.confの設定変更はKB375177におけるWorkaround 1:を、ブラックリスト登録はWorkaround  2:を確認します。
      ※本事象の場合、KB375177のWorkaround 1:におけるkrb5.confの設定変更は実施しません。
   
   
2. vCenter ServerにSSH接続後、下記コマンドを実行します。
   systemctl restart lwsmd

統合Windows認証はvSphere 7.0より非推奨です。vSphere 8においても同様です。
また、vSphere 9では本機能は削除されているため、他の認証方法(AD over LDAPS、Okta、Microsoft Entra ID等)への移行が必要です。