您可以使用 Horizon Administrator 中的系统运行状况仪表板快速查看可能影响 True SSO 功能运行的问题。

对于最终用户,如果 True SSO 停止工作,则当系统尝试将用户登录到远程桌面或应用程序时,用户会看到以下消息:“用户名或密码不正确 (The user name or password is incorrect)”。用户单击确定后,会进入登录屏幕。在 Windows 登录屏幕上,用户会看到一个标签为 VMware SSO 用户的额外图块。如果用户拥有授权用户的 Active Directory 凭据,则可以使用 AD 凭据登录。

Horizon Administrator 显示屏幕左上方的系统运行状况仪表板包含几个与 True SSO 有关的项目。

注: True SSO 功能每分钟仅向控制板提供一次信息。单击右上角的刷新图标可立即刷新信息。
  • 单击以展开 View 组件 > True SSO 可查看使用 True SSO 的域列表。

    您可以单击域名来查看以下信息:为该域配置的注册服务器列表、企业证书颁发机构列表、所用证书模板的名称以及状态。如果存在问题,“状态”字段会对问题做出说明。

    要更改“True SSO 域详细信息”对话框中显示的任何配置设置,请使用 vdmutil 命令行界面编辑 True SSO 连接器。有关更多信息,请参阅用于管理连接器的命令

  • 单击以展开其他组件 > SAML 2.0 身份验证器可查看为将身份验证委派给 VMware Identity Manager 实例而创建的 SAML 身份验证器列表。您可以单击身份验证器名称来查看其详细信息和状态。
注: 为了使 True SSO 能够使用,必须为 SSO 启用全局设置。在 Horizon Administrator 中,选择 配置 > 全局设置,并确认已将 单点登录 (SSO) 设置为 已启用
表 1. 连接服务器到注册服务器的连接状态
状态文本 说明
未能获取 True SSO 运行状况信息。 仪表板无法从连接服务器实例中检索运行状况信息。
True SSO 配置服务无法访问 <FQDN> 注册服务器。 在容器中,将会选择其中一个连接服务器实例,用来将配置信息发送给该容器使用的所有注册服务器。此连接服务器实例将每分钟刷新一次注册服务器配置。如果配置任务无法更新注册服务器,便会显示此消息。有关其他信息,请参阅“注册服务器连接”表。
无法访问 <FQDN> 注册服务器以管理此连接服务器上的会话。 当前连接服务器实例无法连接到注册服务器。只有您的浏览器所指向的连接服务器实例才会显示此状态。如果容器中有多个连接服务器实例,您需要更改浏览器以使其指向其他连接服务器实例,这样才能查看这些实例的状态。有关其他信息,请参阅“注册服务器连接”表。
表 2. 注册服务器连接
状态文本 说明
<FQDN> 注册服务器上不存在此域 <Domain Name>。 True SSO 连接器已配置为对此域使用此注册服务器,但该注册服务器尚未配置为连接到此域。如果这种状态保持超过一分钟,则需要检查当前负责刷新注册配置的连接服务器状态。
仍在建立 <FQDN> 注册服务器与域 <Domain Name> 的连接。 注册服务器无法连接到此域中的域控制器。如果这种状态保持超过一分钟,则可能需要确认从注册服务器到域的名称解析正确无误,以及注册服务器和域之间存在网络连接。
<FQDN> 注册服务器与域 <Domain Name> 的连接正在停止或存在问题。 注册服务器已连接到域中的域控制器,但无法从该域控制器中读取 PKI 信息。如果发生这种情况,则说明实际域控制器可能存在问题。如果 DNS 的配置不正确,也可能会发生此问题。请检查注册服务器上的日志文件,以查看注册服务器尝试使用的域控制器,然后确认该域控制器完全可操作。
<FQDN> 注册服务器尚未从域控制器中读取注册属性。 这是一种过渡状态,只有在注册服务器启动期间或在向环境中添加了新域时才会显示。这种状态的持续时间通常少于一分钟。如果这种状态的持续时间超过一分钟,则说明网速极慢,或者存在导致域控制器无法访问的问题。
<FQDN> 注册服务器已读取注册属性至少一次,但在一段时间内无法访问域控制器。 只要注册服务器从域控制器中读取 PKI 配置,它就会保持每两分钟轮询一次更改。如果域控制器 (Domain Controller, DC) 在短时间内无法访问,则将会设置这种状态。通常,这种无法访问 DC 的情况可能表示注册服务器检测不到 PKI 配置中的任何更改。只要证书服务器仍能够访问域控制器,便仍可以颁发证书。
<FQDN> 注册服务器已读取注册属性至少一次,但在较长时间内无法访问域控制器,或者存在其他问题。 如果注册服务器在较长时间内无法访问域控制器,则会显示这种状态。然后,注册服务器将尝试发现此域的备用域控制器。如果证书服务器仍能够访问域控制器,便仍可以颁发证书,但如果这种状态保持超过一分钟,则表示注册服务器已失去对该域的所有域控制器的访问权限,且可能再也无法颁发证书。
表 3. 注册证书状态
状态文本 说明
<FQDN> 注册服务器上没有为此域的 <domain name> 林安装有效的注册证书,或者证书可能已过期。 没有为此域安装注册证书,或者证书无效或已过期。注册证书必须由此域所属林信任的企业 CA 颁发。请确认您已完成《Horizon 7 管理指南》文档中的步骤,此文档介绍了如何在注册服务器上安装注册证书。您也可以依次打开 MMC 和证书管理单元,从而打开本地计算机存储区。然后,打开“个人”证书容器,并确认证书已经安装且有效。您还可以打开注册服务器日志文件。注册服务器会针对它所找到的任何证书,记录其他一些有关这些证书状态的信息。
表 4. 证书模板状态
状态文本 说明
<FQDN> 注册服务器域中不存在模板 <name>。 请检查指定的模板名称是否正确。
无法使用此模板生成的证书登录到 Windows。 此模板不支持使用智能卡,并且未启用数据签名。请检查指定的模板名称是否正确。此外,还请确认您已完成创建用于 True SSO 的证书模板中所述的步骤。
模板 <name> 启用了智能卡登录,但无法使用。 此模板启用了智能卡登录,但无法用于 True SSO。请检查指定的模板名称是否正确,并确认您已完成创建用于 True SSO 的证书模板中所述的步骤。您还可以查看注册服务器日志文件,因为它会记录模板中阻止将该模板用于 True SSO 的设置。
表 5. 证书服务器配置状态
状态文本 说明
域中不存在证书服务器 <CN of CA>。 请确认您为 CA 指定了正确的名称。必须指定公用名 (Common Name, CN)。
证书不在 NTAuth (企业) 存储中。 此 CA 不是企业 CA,或者其 CA 证书尚未添加到 NTAUTH 存储。如果此 CA 不是林的成员,则必须手动将 CA 证书添加到此林的 NTAUTH 存储。
表 6. 证书服务器连接状态
状态文本 说明
<FQDN> 注册服务器未连接到证书服务器 <CN of CA>。 注册服务器未连接到证书服务器。如果注册服务器刚刚启动,或者如果 CA 最近才添加到 True SSO 连接器,则这可能是一种过渡状态。如果这种状态保持超过一分钟,则表示注册服务器无法连接到 CA。请验证名称解析正常工作,您具有到 CA 的网络连接,且注册服务器的系统帐户拥有访问 CA 的权限。
<FQDN> 注册服务器已连接到证书服务器 <CN of CA>,但该证书服务器处于降级状态。 如果 CA 颁发证书的速度缓慢,则会显示这种状态。如果 CA 一直保持这种状态,请检查 CA 的负载或 CA 使用的域控制器。
注: 如果 CA 已标记为缓慢,则它会一直保持这种状态,直到至少成功完成了一个证书请求,并且在正常的时间范围内颁发了该证书。
<FQDN> 注册服务器可以连接到证书服务器 <CN of CA>,但该服务不可用。 如果注册服务器与 CA 之间存在有效的连接,但无法颁发证书,则会出现这种状态。这通常是一种过渡状态。如果 CA 没有快速变得可用,则此状态会更改为已断开。