Mithilfe des Systemzustand-Dashboards in View Administrator können Sie rasch Probleme ermitteln, die sich auf die Funktionsweise der True SSO-Funktion auswirken können.

Wenn ein Endbenutzer versucht, sich beim Remote-Desktop oder bei einer Remoteanwendung anzumelden, und True SSO nicht mehr funktioniert, dann erhält der Benutzer die folgende Meldung: „Der Benutzername oder das Kennwort ist falsch“. Nachdem der Benutzer auf OK geklickt hat, wird der Anmeldebildschirm geöffnet. Der Windows-Anmeldebildschirm enthält eine zusätzliche Kachel mit dem Titel VMware SSO-Benutzer. Wenn der Benutzer die Active Directory-Anmeldeinformationen für einen berechtigten Benutzer besitzt, dann kann er sich mit den AD-Anmeldeinformationen anmelden.

Das Systemzustand-Dashboard im oberen linken Bereich der View Administrator-Anzeige enthält einige Elemente, die sich auf True SSO beziehen.

Anmerkung:

Die True SSO-Funktion übermittelt dem Dashboard nur einmal pro Minute Informationen. Klicken Sie auf das Symbol „Aktualisieren“ rechts oben, um die Informationen sofort zu aktualisieren.

  • Sie können klicken, um View-Komponenten > True SSO zu erweitern und eine Liste der Domänen anzuzeigen, die True SSO verwenden.

    Wenn Sie auf einen Domänennamen klicken, werden folgende Informationen angezeigt: eine Liste der für diese Domäne konfigurierten Registrierungsserver, der Name der verwendeten Zertifikatvorlage und der Status. Wenn ein Problem vorliegt, enthält das Statusfeld eine entsprechende Erläuterung.

    Um die im Dialogfeld „Domänendetails für True SSO-Anmeldung“ angezeigten Konfigurationseinstellungen zu ändern, bearbeiten Sie den True SSO-Connector mithilfe der vdmutil-Befehlszeilenschnittstelle. Weitere Informationen finden Sie unter Befehle zum Verwalten von Connectors.

  • Klicken Sie, um Andere Komponenten > SAML 2.0-Authentifikatoren zu erweitern und eine Liste der SAML 2.0-Authentifikatoren anzuzeigen, die zum Delegieren der Authentifizierung bei VMware Identity Manager-Instanzen erstellt wurden. Sie können auf den Authentifikatornamen klicken, um die Details und den Status zu überprüfen.

Anmerkung:

Damit True SSO verwendet werden kann, muss die globale Einstellung für SSO aktiviert werden. Wählen Sie in View Administrator Konfiguration > Globale Einstellungen aus und vergewissern Sie sich, dass Einmalige Anmeldung (Single Sign-On) auf Aktiviert festgelegt ist.

Tabelle 1. Status der Verbindung zwischen Broker und Registrierungsserver

Statustext

Beschreibung

Fehler beim Abrufen der True SSO-Zustandsinformationen.

Das Dashboard kann die Zustandsinformationen nicht vom Broker abrufen.

Mit dem <FQDN>-Registrierungsserver kann vom True SSO-Konfigurationsdienst kein Kontakt aufgenommen werden.

In einem POD wird einer der Broker zum Senden der Konfigurationsinformationen an alle vom POD verwendeten Registrierungsserver ausgewählt. Dieser Broker aktualisiert die Konfiguration des Registrierungsservers einmal pro Minute. Diese Meldung wird angezeigt, wenn der Registrierungsserver im Rahmen der Konfigurationsaufgabe nicht aktualisiert werden konnte. Weitere Informationen finden Sie in der Tabelle zu Registrierungsserververbindungen.

Mit dem <FQDN>-Registrierungsserver kann zur Verwaltung von Sitzungen auf diesem Verbindungsserver kein Kontakt aufgenommen werden.

Der aktuelle Broker kann keine Verbindung mit dem Registrierungsserver herstellen. Dieser Status wird nur für den Broker angezeigt, auf den Ihr Browser verweist. Wenn mehrere Broker im Pod vorhanden sind, müssen Sie den Browser ändern, sodass er auf andere Browser verweist, um deren Status überprüfen zu können. Weitere Informationen finden Sie in der Tabelle zu Registrierungsserververbindungen.

Tabelle 2. Registrierungsserververbindungen

Statustext

Beschreibung

Die Domäne <Domänenname> ist auf dem <FQDN>-Registrierungsserver nicht vorhanden.

Der True SSO-Konnektor wurde zur Verwendung dieses Registrierungsservers für diese Domäne konfiguriert, aber der Registrierungsserver wurde nicht zum Herstellen einer Verbindung mit dieser Domäne konfiguriert. Wenn der Status länger als eine Minute unverändert bleibt, müssen Sie den Status des Brokers überprüfen, der aktuell für die Aktualisierung der Registrierungskonfiguration verantwortlich ist.

Die Verbindung des <FQDN>-Registrierungsservers mit der Domäne <Domänenname> ist weiterhin eingerichtet.

Der Registrierungsserver konnte noch keine Verbindung mit einem Domänencontroller in dieser Domäne herstellen. Wenn der Status länger als eine Minute unverändert bleibt, sollten Sie überprüfen, ob die Namensauflösung zwischen Registrierungsserver und Domäne ordnungsgemäß erfolgt und ob eine Netzwerkverbindung zwischen dem Registrierungsserver und der Domäne besteht.

Die Verbindung des <FQDN>-Registrierungsservers mit der Domäne <Domänenname> wurde unterbrochen oder befindet sich in einem kritischem Status.

Der Registrierungsserver hat eine Verbindung mit einem Domänencontroller in der Domäne hergestellt, konnte aber die PKI-Informationen noch nicht vom Domänencontroller lesen. Ist dies der Fall, liegt das Problem wahrscheinlich beim Domänencontroller. Dieses Problem kann auch auftreten, wenn der DNS nicht ordnungsgemäß konfiguriert worden ist. Ermitteln Sie anhand der Protokolldatei auf dem Registrierungsserver, welchen Domänencontroller der Registrierungsserver zu verwenden versucht, und überprüfen Sie, ob dieser Domänencontroller einwandfrei funktioniert.

Der <FQDN>-Registrierungsserver hat die Registrierungseigenschaften noch nicht von einem Domänencontroller gelesen.

Dies ist ein Übergangsstatus, der nur während des Startvorgangs des Registrierungsservers oder während des Hinzufügens einer neuen Domäne zur Umgebung angezeigt wird. Dieser Status ist in der Regel weniger als eine Minute gegeben. Wenn der Status länger als eine Minute unverändert bleibt, ist entweder das Netzwerk extrem langsam oder es liegt ein Problem vor, das Schwierigkeiten beim Zugriff auf den Domänencontroller verursacht.

Der <FQDN>-Registrierungsserver hat die Registrierungsinformationen mindestens einmal gelesen, konnte aber eine Zeit lang keinen Domänencontroller erreichen.

Solange der Registrierungsserver die PKI-Konfiguration von einem Domänencontroller liest, ruft er alle zwei Minuten Änderungen ab. Dieser Status wird aktiviert, wenn der Domänencontroller für eine kurze Zeit nicht erreichbar ist. In der Regel hat dieser fehlende Kontakt mit dem Domänencontroller zur Folge, dass der Registrierungsserver keine Änderungen in der PKI-Konfiguration erkennen kann. Solange die Zertifikatserver Zugriff auf einen Domänencontroller haben, können noch Zertifikate ausgestellt werden.

Der <FQDN>-Registrierungsserver hat die Registrierungsinformationen mindestens einmal gelesen, konnte aber entweder für eine längere Zeit keinen Domänencontroller erreichen oder es ist ein anderes Problem aufgetreten.

Wenn der Registrierungsserver den Domänencontroller über einen längeren Zeitraum nicht erreichen konnte, wird dieser Status angezeigt. Der Registrierungsserver versucht dann, einen alternativen Domänencontroller für diese Domäne zu finden. Wenn ein Zertifikatserver Zugriff auf einen Domänencontroller hat, können noch Zertifikate ausgestellt werden. Dauert dieser Status jedoch länger als eine Minute an, bedeutet dies, dass der Registrierungsserver auf keinen Domänencontroller der Domäne mehr zugreifen kann. Wahrscheinlich können dann auch keine Zertifikate mehr ausgestellt werden.

Tabelle 3. Status des Registrierungszertifikats

Statustext

Beschreibung

Für die Gesamtstruktur dieser Domäne <Domänenname> wurde kein gültiges Registrierungszertifikat auf dem <FQDN>-Registrierungsserver installiert oder es ist abgelaufen.

Es wurde kein Registrierungszertifikat für diese Domäne installiert, oder das Zertifikat ist ungültig oder abgelaufen. Das Registrierungszertifikat muss von einer Unternehmenszertifizierungsstelle ausgestellt werden, die in der Gesamtstruktur, der diese Domäne angehört, als vertrauenswürdig gilt. Überprüfen Sie, ob Sie die im Dokument Administration von View beschriebenen Schritte ausgeführt haben. In diesem Dokument wird erläutert, wie das Registrierungszertifikat auf dem Registrierungsserver installiert wird. Sie können auch im Zertifikat-Snap-In in der Microsoft Management Console (MMC) den Zertifikatspeicher des lokalen Computers öffnen. Öffnen Sie den Container „Eigene Zertifikate“ und überprüfen Sie, ob das Zertifikat installiert worden ist und ob es gültig ist. Sie können auch die Protokolldatei auf dem Registrierungsserver öffnen. Der Registrierungsserver protokolliert zusätzliche Informationen zum Status aller von ihm gefundenen Zertifikate.

Tabelle 4. Status der Zertifikatvorlage

Statustext

Beschreibung

Die Vorlage <Name> ist nicht in der <FQDN>-Registrierungsserverdomäne vorhanden.

Überprüfen Sie, ob Sie den richtigen Vorlagennamen angegeben haben.

Mit dieser Vorlage generierte Zertifikate können NICHT zum Anmelden bei Windows verwendet werden.

Für diese Vorlage ist die Smartcard-Anmeldung nicht aktiviert, jedoch die Datensignatur aktiviert. Überprüfen Sie, ob Sie den richtigen Vorlagennamen angegeben haben. Stellen Sie sicher, dass Sie die in Erstellen von Zertifikatvorlagen für die Verwendung mit True SSO beschriebenen Schritte ausgeführt haben.

Für die Vorlage <Name> wurde die Smartcard-Anmeldung aktiviert, diese kann aber nicht verwendet werden.

Bei dieser Vorlage wurde die Smartcard-Anmeldung aktiviert, aber die Vorlage kann nicht in Verbindung mit True SSO verwendet werden. Überprüfen Sie, ob Sie den richtigen Vorlagennamen angegeben haben, und überprüfen Sie, ob Sie alle in Erstellen von Zertifikatvorlagen für die Verwendung mit True SSO beschriebenen Schritte ausgeführt haben. Sie können auch die Protokolldatei des Registrierungsservers überprüfen. Hier ist verzeichnet, welche Einstellung der Vorlage ihre Verwendung für True SSO verhindert.

Tabelle 5. Status der Zertifikatserverkonfiguration

Statustext

Beschreibung

Der Zertifikatserver <Allgemeiner Name der Zertifizierungsstelle> ist nicht in der Domäne vorhanden.

Überprüfen Sie, ob Sie den richtigen Namen für die Zertifizierungsstelle angegeben haben. Sie müssen den allgemeinen Namen (Common Name, CN) angeben.

Das Zertifikat ist nicht im NTAUTH-Speicher (Unternehmen) vorhanden.

Diese Zertifizierungsstelle ist keine Unternehmenszertifizierungsstelle oder ihr Zertifizierungsstellenzertifikat wurde nicht dem NTAUTH-Speicher hinzugefügt. Wenn diese Zertifizierungsstelle nicht Mitglied der Gesamtstruktur ist, müssen Sie das Zertifizierungsstellenzertifikat manuell dem NTAUTH-Speicher dieser Gesamtstruktur hinzufügen.

Tabelle 6. Status der Zertifikatserververbindung

Statustext

Beschreibung

Der <FQDN>-Registrierungsserver ist nicht mit dem Zertifikatserver <Allgemeiner Name der Zertifizierungsstelle> verbunden.

Der Registrierungsserver ist nicht mit dem Zertifikatserver verbunden. Dies kann ein Übergangsstatus sein, wenn der Registrierungsserver gerade gestartet wurde oder wenn die Zertifizierungsstelle einem True SSO-Konnektor erst kürzlich hinzugefügt wurde. Wenn der Status länger als eine Minute unverändert bleibt, bedeutet dies, dass der Registrierungsserver keine Verbindung mit der Zertifizierungsstelle herstellen konnte. Überprüfen Sie, ob die Namensauflösung ordnungsgemäß funktioniert, ob eine Netzwerkverbindung mit der Zertifizierungssstelle besteht und ob das Systemkonto für den Registrierungsserver über eine Berechtigung zum Zugriff auf die Zertifizierungssstelle verfügt.

Der <FQDN>-Registrierungsserver hat eine Verbindung zum Zertifikatserver <Allgemeiner Name der Zertifizierungsstelle> aufgenommen, der Zertifikatserver befindet sich aber in einem herabgestuften Status.

Dieser Status wird angezeigt, wenn die Zertifizierungsstelle die Zertifikate langsam ausstellt. Wenn die Zertifizierungsstelle diesen Status beibehält, überprüfen Sie die Last der Zertifizierungsstelle oder die von der Zertifizierungsstelle verwendeten Domänencontroller.

Anmerkung:

Wenn die Zertifizierungsstelle als langsam markiert wurde, behält sie diesen Status so lange, bis mindestens eine Zertifikatanforderung erfolgreich abgeschlossen und das Zertifikat innerhalb eines normalen Zeitraums ausgestellt worden ist.

Der <FQDN>-Registrierungsserver kann eine Verbindung mit dem Zertifikatserver <Allgemeiner Name der Zertifizierungsstelle> herstellen, der Dienst ist jedoch nicht verfügbar.

Dieser Status wird gemeldet, wenn der Registrierungsserver über eine aktive Verbindung mit der Zertifizierungsstelle verfügt, aber die Zertifizierungsstelle keine Zertifikate ausstellen kann. Hierbei handelt es sich in der Regel um einen Übergangsstatus. Wenn die Zertifizierungsstelle nicht innerhalb kürzester Zeit verfügbar ist, wird der Status in „Verbindung getrennt“ geändert.