Você pode usar o painel de integridade do sistema em Horizon Console para ver rapidamente os problemas que podem afetar a operação do recurso True SSO.
Para usuários finais, se o True SSO parar de funcionar, quando o sistema tentar fazer login do usuário na área de trabalho remota ou no aplicativo, o usuário verá a seguinte mensagem: "O nome de usuário ou a senha está incorreto." Depois que o usuário clicar em OK, o usuário será levado para a tela de login. Na tela de login do Windows, o usuário vê um bloco extra rotulado VMware Usuário do SSO. Se o usuário tiver as credenciais Active Directory para um usuário autorizado, o usuário poderá fazer login com as credenciais do AD.
Em Horizon Console, navegue até e clique em View no painel System Health e clique no botão guia True SSO para ver os itens que pertencem ao True SSO.
Observação: O recurso True SSO fornece informações ao painel apenas uma vez por minuto. Clique no ícone de atualização no canto superior direito para atualizar as informações imediatamente.
- Na guia True SSO, você pode ver uma lista dos domínios que estão usando o True SSO.
Você pode clicar em um nome de domínio para ver as seguintes informações: uma lista de servidores de inscrição configurados para esse domínio, uma lista de autoridades de certificação corporativas, o nome do modelo de certificado que está sendo usado e o status. Se houver um problema, o campo Status explicará o que é.
Para alterar qualquer uma das definições de configuração mostradas na caixa de diálogo True SSO Domain Details, use a interface de linha de comando vdmutil para editar o conector True SSO. Para obter mais informações, consulte Comandos para gerenciar conectores.
- Você pode clicar para expandir para ver uma lista dos autenticadores SAML que foram criados para delegar autenticação a VMware Workspace ONE Access instâncias. Você pode clicar no nome do autenticador para examinar os detalhes e o status.
Observação: Para que o True SSO seja usado, a configuração global do SSO deve estar habilitada. Em
Horizon Console, selecione
Configurações > Configurações globais (Settings > Global Settings) e verifique se
Single sign-on (SSO) está definido como
Ativado (Enabled).
| Texto de status | Descrição |
|---|---|
| Falha ao buscar informações de integridade do True SSO. | O painel não pode recuperar as informações de integridade da instância do Servidor de Conexão. |
| O servidor de inscrição <FQDN> não pode ser contatado pelo serviço de configuração True SSO. | Em um pod, uma das instâncias do Servidor de Conexão é eleita para enviar as informações de configuração a todos os servidores de inscrição usados pelo pod. Essa instância do Servidor de Conexão atualizará a configuração do servidor de inscrição a cada minuto. Essa mensagem será exibida se a tarefa de configuração tiver falhado ao atualizar o servidor de inscrição. Para obter informações adicionais, consulte a tabela Conectividade do Servidor de Inscrição. |
| O servidor de inscrição <FQDN> não pode ser contatado para gerenciar sessões nesse servidor de conexão. | A instância atual do Servidor de Conexão não pode se conectar ao servidor de inscrição. Esse status só é exibido para a instância do Servidor de Conexão para a qual seu navegador está apontando. Se houver várias instâncias do Servidor de Conexão no pod, você precisará alterar seu navegador para apontar para as outras instâncias do Servidor de Conexão a fim de verificar o status delas. Para obter informações adicionais, consulte a tabela Conectividade do Servidor de Inscrição. |
| Texto de status | Descrição |
|---|---|
| Este domínio <Nome de Domínio> não existe no servidor de inscrição <FQDN>. | O conector True SSO foi configurado para usar este servidor de inscrição para este domínio, mas o servidor de inscrição ainda não foi configurado para se conectar a este domínio. Se o estado permanecer por mais de um minuto, você precisará verificar o estado do Servidor de Conexão atualmente responsável por atualizar a configuração de inscrição. |
| A conexão do servidor de inscrição <FQDN> com o domínio <Nome de Domínio> ainda está sendo estabelecida. | O servidor de inscrição não conseguiu se conectar a um controlador de domínio neste domínio. Se esse estado permanecer por mais de um minuto, talvez seja necessário verificar se a resolução de nomes do servidor de inscrição para o domínio está correta e se há conectividade de rede entre o servidor de inscrição e o domínio. |
| A conexão do servidor de inscrição <FQDN> com o domínio <Nome de Domínio> está sendo interrompida ou está em um estado problemático. | O servidor de inscrição se conectou a um controlador de domínio no domínio, mas não conseguiu ler as informações de PKI do controlador de domínio. Se isso acontecer, é provável que haja um problema com o controlador de domínio real. Esse problema também pode ocorrer se o DNS não estiver configurado corretamente. Verifique o arquivo de log no servidor de inscrição para ver qual controlador de domínio o servidor de inscrição está tentando usar e verifique se o controlador de domínio está totalmente operacional. |
| O servidor de inscrição <FQDN> ainda não leu as propriedades de inscrição de um controlador de domínio. | Esse estado é transitório e só é exibido durante a inicialização do servidor de inscrição ou quando um novo domínio é adicionado ao ambiente. Esse estado geralmente dura menos de um minuto. Se esse estado durar mais de um minuto, a rede está extremamente lenta ou há um problema que está causando dificuldades para acessar o controlador de domínio. |
| O servidor de inscrição <FQDN> leu as propriedades de inscrição pelo menos uma vez, mas não conseguiu acessar um controlador de domínio por algum tempo. | Contanto que o servidor de inscrição leia a configuração de PKI de um controlador de domínio, ele continuará pesquisando as alterações uma vez a cada dois minutos. Esse status será definido se o controlador de domínio (DC) estiver inacessível por um curto período de tempo. Normalmente, essa incapacidade de entrar em contato com o DC pode significar que o servidor de inscrição não pode detectar nenhuma alteração na configuração da PKI. Enquanto os servidores de certificados ainda puderem acessar um controlador de domínio, os certificados ainda poderão ser emitidos. |
| O servidor de inscrição <FQDN> leu as propriedades de inscrição pelo menos uma vez, mas não conseguiu acessar um controlador de domínio por um tempo estendido ou existe outro problema. | Se o servidor de inscrição não conseguir acessar o controlador de domínio por um longo período, esse estado será exibido. O servidor de inscrição tentará descobrir um controlador de domínio alternativo para esse domínio. Se um servidor de certificado ainda puder acessar um controlador de domínio, os certificados ainda poderão ser emitidos, mas se esse estado permanecer por mais de um minuto, isso significa que o servidor de inscrição perdeu o acesso a todos os controladores de domínio do domínio e é provável que certificados não podem mais ser emitidos. |
| Texto de status | Descrição |
|---|---|
| Um certificado de inscrição válido para a floresta <domain name> deste domínio não está instalado no servidor de inscrição <FQDN> ou pode ter expirado | Nenhum certificado de inscrição para este domínio foi instalado ou o certificado é inválido ou expirou. O certificado de inscrição deve ser emitido por uma CA corporativa confiável para a floresta da qual este domínio é membro. Verifique se você concluiu as etapas no documento Administração do Horizon 8, que descreve como instalar o certificado de inscrição no servidor de inscrição. Você também pode abrir o MMC, snap-in de gerenciamento de certificados, abrindo o repositório do computador local. Abra o contêiner Certificado Pessoal e verifique se o certificado está instalado e se é válido. Você também pode abrir o arquivo de log do servidor de inscrição. O servidor de inscrição registrará informações adicionais sobre o estado de qualquer certificado localizado. |
| Texto de status | Descrição |
|---|---|
| O modelo <nome> não existe no domínio do servidor de inscrição <FQDN>. | Verifique se você especificou o nome correto do modelo. |
| Certificados gerados por este modelo NÃO podem ser usados para fazer logon no Windows. | Este modelo não tem o uso de smart card ativado e a assinatura de dados ativada. Verifique se você especificou o nome correto do modelo. Verifique se você concluiu as etapas descritas em Criar modelos de certificado usados com o True SSO. |
| O modelo <nome> está habilitado para logon de cartão inteligente, mas não pode ser usado. | Esse modelo está habilitado para logon com cartão inteligente, mas não pode ser usado com o True SSO. Verifique se você especificou o nome correto do modelo e se seguiu as etapas descritas em Criar modelos de certificado usados com o True SSO. Você também pode verificar o arquivo de log do servidor de inscrição, pois ele registrará qual configuração no modelo está impedindo que ele seja usado para o True SSO. |
| Texto de status | Descrição |
|---|---|
| O servidor de certificados <CN of CA> não existe no domínio. | Verifique se você especificou o nome correto para a autoridade de certificação. Você deve especificar o Nome Comum (CN). |
| O certificado não está no repositório NTAuth (Enterprise). | Essa autoridade de certificação não é uma autoridade de certificação corporativa ou seu certificado de autoridade de certificação não foi adicionado ao repositório NTAUTH. Se essa autoridade de certificação não for membro da floresta, você deverá adicionar manualmente o certificado de autoridade de certificação ao repositório NTAUTH dessa floresta. |
| Texto de status | Descrição |
|---|---|
| O servidor de inscrição <FQDN> não está conectado ao servidor de certificados <CN of CA>. | O servidor de inscrição não está conectado ao servidor de certificado. Esse estado poderá ser um estado de transição se o servidor de inscrição tiver acabado de ser iniciado ou se a autoridade de certificação tiver sido adicionada recentemente a um conector True SSO. Se o estado permanecer por mais de um minuto, isso significa que o servidor de inscrição falhou ao se conectar à autoridade de certificação. Valide se a resolução de nomes está funcionando corretamente, se você tem conectividade de rede com a autoridade de certificação e se a conta do sistema do servidor de inscrição tem permissão para acessar a autoridade de certificação. |
| O servidor de inscrição <FQDN> se conectou ao servidor de certificado <CN of CA>, mas o servidor de certificado está em um estado degradado | Esse estado será exibido se a CA estiver lenta na emissão de certificados. Se a autoridade de certificação permanecer nesse estado, verifique a carga da autoridade de certificação ou dos controladores de domínio usados pela autoridade de certificação.
Observação: Se a autoridade de certificação tiver sido marcada como lenta, ela manterá esse estado até que pelo menos uma solicitação de certificado seja concluída com êxito e esse certificado tenha sido emitido dentro de um prazo normal.
|
| O servidor de inscrição <FQDN> pode se conectar ao servidor de certificados <CN of CA>, mas o serviço não está disponível. | Esse estado é emitido se o servidor de inscrição tiver uma conexão ativa com a autoridade de certificação, mas não puder emitir certificados. Esse estado normalmente é um estado de transição. Se a autoridade de certificação não ficar disponível rapidamente, o estado será alterado para desconectado. |
