Puede usar el panel de control del estado del sistema en Horizon Console para identificar rápidamente los problemas que puedan afectar la operación de la función True SSO.
Para los usuarios finales, si True SSO deja de funcionar, cuando el sistema intenta iniciar la sesión del usuario en la aplicación o el escritorio remotos, el usuario ve el siguiente mensaje: "El nombre de usuario o la contraseña es incorrecto." Después de que el usuario haga clic en Aceptar, aparece la pantalla de inicio de sesión. En la pantalla de inicio de sesión de Windows, el usuario ve un icono adicional denominado Usuario SSO de VMware. Si el usuario tiene las credenciales de Active Directory de un usuario con autorización, puede iniciar sesión con las credenciales de AD.
En Horizon Console, desplácese hasta y haga clic en Ver en el panel de control Estado del sistema y haga clic en la pestaña True SSO para ver los elementos que pertenecen a True SSO.
- En la pestaña True SSO puede ver una lista de los dominios que usan True SSO.
Puede hacer clic en un nombre de dominio para ver la siguiente información: una lista de servidores de inscripciones configurados para dicho dominio, una lista de entidades de certificación empresarial, el nombre de la plantilla del certificado que se está utilizando y el estado. Si hay algún problema, el campo Estado explica cuál es.
Para cambiar las opciones de configuración que aparecen en el cuadro de diálogo Detalles del dominio True SSO, use la interfaz de línea de comandos vdmutil para editar el conector True SSO. Si desea obtener más información, consulte Comandos para administrar conectores.
- Puede hacer clic para expandir VMware Workspace ONE Access. Puede hacer clic en el nombre del autenticador para examinar los detalles y el estado. para ver una lista de autenticadores SAML que se crearon para delegar la autenticación a las instancias de
Texto del estado | Descripción |
---|---|
No se pudo recuperar la información de estado de True SSO. | El panel de control no puede recuperar la información del estado desde la instancia de Connection Server. |
El servicio de configuración True SSO no puede contactar con el servidor de inscripción <FQDN>. | En un pod, una de las instancias de Connection Server se selecciona para enviar la información de configuración a todos los servidores de inscripciones que usa el pod. Esta instancia de Connection Server actualizará la configuración del servidor de inscripciones una vez por minuto. Este mensaje aparece si la tarea de configuración no pudo actualizar el servidor de inscripciones. Para obtener más información, consulte la tabla Conectividad del servidor de inscripciones. |
No se puede contactar con el servidor de inscripción <FQDN> para administrar las sesiones en esta instancia de Connection Server. | La instancia actual de Connection Server no puede conectarse al servidor de inscripciones. Este estado solo aparece para la instancia de Connection Server al que el navegador se dirige. Si existen varias instancias de Connection Server en el pod, es necesario que cambie el navegador para que se dirija a otras instancias de Connection Server para comprobar sus estados. Para obtener más información, consulte la tabla Conectividad del servidor de inscripciones. |
Texto del estado | Descripción |
---|---|
Este dominio <Nombre dominio> no existe en el servidor de inscripciones <FQDN>. | El conector True SSO se configuró para usar este servidor de inscripciones en este dominio, pero aún no se configuró este servidor para que se conecte al dominio. Si el estado se mantiene durante más de un minuto, es necesario que compruebe el estado de Connection Server responsable de actualizar la configuración de las inscripciones. |
La conexión del servidor de inscripción de <FQDN> al dominio <Nombre dominio> aún se está estableciendo. | El servidor de inscripciones no se pudo conectar a un controlador de este dominio. Si este estado se mantiene durante más de un minuto, tiene que verificar que la resolución del nombre del servidor de inscripciones al dominio sea correcta y que exista una conectividad de red entre el servidor de inscripciones y el dominio. |
La conexión del servidor de inscripción de <FQDN> al dominio <Nombre dominio> se está deteniendo o está en un estado problemático. | El servidor de inscripciones se conectó a un controlador de dominio, pero no puede leer la información PKI de este controlador. Si esto sucede, es posible que haya un problema con el controlador del dominio actual. Este problema también puede suceder si DNS no está configurado correctamente. Revise el archivo de registro del servidor de inscripciones para ver el controlador de dominio que el servidor de inscripciones está intentando usar y compruebe que el controlador de dominio esté totalmente operativo. |
El servidor de inscripción <FQDN> no leyó aún las propiedades de inscripción de ningún controlador de dominio. | Este es un estado de transición y solo se muestra durante el inicio del servidor de inscripciones o cuando se agrega un nuevo dominio al entorno. Este estado suele durar menos de un minuto. Si dura más, puede ser que la red sea muy lenta o que exista un problema que no permita acceder correctamente al controlador del dominio. |
El servidor de inscripción <FQDN> leyó las propiedades de inscripción al menos una vez, pero no pudo acceder a un controlador de dominio durante un tiempo. | Mientras el servidor de inscripciones lea la configuración PKI desde un controlador de dominio, se mantiene sondeando los cambios cada dos minutos. Este estado se establecerá si no se puede acceder al controlador de dominio (DC) durante un breve periodo de tiempo. Normalmente, esta situación supone que el servidor de inscripciones no puede detectar ningún cambio en la configuración PKI. Mientras los servidores de certificados puedan acceder a un controlador de dominio, los certificados se pueden seguir expidiendo. |
El servidor de inscripción <FQDN> leyó las propiedades de inscripción al menos una vez, pero no pudo acceder a un controlador de dominio durante un largo período de tiempo o existe otro problema. | Si el servidor de inscripciones no puede acceder al controlador de dominio durante un tiempo prolongado, aparece este estado. El servidor de inscripciones intentará encontrar un controlador de dominio alternativo para este dominio. Si un servidor de certificados puede seguir accediendo a un controlador de dominio, los certificados pueden seguir expidiéndose, pero si este estado se mantiene durante más de un minuto, esto significa que el servidor de inscripciones perdió el acceso a todos los controladores del dominio y es posible que no se puedan seguir expidiendo los certificados. |
Texto del estado | Descripción |
---|---|
No hay instalado un certificado de inscripción válido para este bosque <nombre dominio> del dominio en el servidor de inscripción <FQDN> o puede que caducara. | No se instaló ningún certificado de inscripción para este dominio o el certificado no es válido o caducó. Una CA empresarial debe expedir el certificado de inscripción y esta debe ser de confianza para el bosque al que este dominio pertenece. Compruebe que completó los pasos del documento Administración de Horizon 8, que describe cómo instalar el certificado de inscripción en el servidor de inscripciones. También puede abrir el MMC, el complemento de administración de certificados, abriendo el almacén del equipo local. Abra el contenedor de certificados personales y compruebe que el certificado esté instalado y que sea válido. También puede abrir el archivo de registros del servidor de inscripciones. Los servidores de inscripciones registrarán información adicional sobre el estado de cualquier certificado que esté ubicado. |
Texto del estado | Descripción |
---|---|
La plantilla <nombre> no existe en el dominio del servidor de inscripción <FQDN>. | Compruebe que especificó el nombre de plantilla correcto. |
Los certificados generados por esta plantilla NO se pueden usar para iniciar sesión en Windows. | Esta plantilla no tiene habilitados el uso de la tarjeta inteligente ni la firma de datos. Compruebe que especificó el nombre de plantilla correcto. Compruebe que completó los pasos descritos en Crear plantillas de certificado para usarlas con True SSO. |
La plantilla <nombre> está habilitada para iniciar sesión con una tarjeta inteligente, pero no se puede utilizar. | Esta plantilla está habilitada para iniciar sesión con una tarjeta inteligente, pero no puede usarse con True SSO. Compruebe que especificara el nombre de la plantilla correcto y compruebe que completó los pasos descritos en Crear plantillas de certificado para usarlas con True SSO. También puede revisar el archivo de registro del servidor de inscripciones, ya que tiene registrada la opción de la plantilla que hace que no se pueda usar con True SSO. |
Texto del estado | Descripción |
---|---|
El servidor de certificado <CN de CA> no existe en el dominio. | Compruebe que especificó el nombre correcto de la CA. Debe especificar el Nombre común (CN). |
El certificado no está en el almacén NTAuth (Enterprise). | Esta CA no es empresarial o su certificado no se agregó al almacén NTAUTH. Si esta CA no es miembro del bosque, debe agregar el certificado de la CA manualmente al almacén NTAUTH de este bosque. |
Texto del estado | Descripción |
---|---|
El servidor de inscripción <FQDN> no está conectado al servidor de certificados <CN de CA>. | El servidor de inscripción no está conectado al servidor de certificados. Este estado puede ser de transición si el servidor de inscripciones se acaba de iniciar o si la CA se agregó recientemente a un conector True SSO. Si este estado se mantiene durante más de un minuto, esto significa que el servidor de inscripciones no se pudo conectar a la CA. Valide que la resolución del nombre esté funcionando correctamente, que tenga conectividad de red a la CA y que la cuenta del sistema para el servidor de inscripciones tenga permiso para acceder a la CA. |
El servidor de inscripción <FQDN> se conectó al servidor de certificados <CN of CA>, pero este está en estado degradado. | Este estado se muestra si la CA expide certificados a un ritmo lento. Si la CA se mantiene en este estado, compruebe su carga o los controladores de dominio que usan la CA.
Nota: Si la CA se marcó como lenta, mantendrá este estado hasta que se complete al menos una solicitud de certificado correctamente y se expida dentro de un intervalo de tiempo normal.
|
El servidor de inscripción <FQDN> se puede conectar al servidor de certificados <CN de CA>, pero el servicio no está disponible. | Este estado se expide si el servidor de inscripciones tiene una conexión activa a la CA pero no puede expedir certificados. Este suele ser un estado de transición. Si la CA no vuelve a estar disponible rápidamente, el estado cambiará a desconectado. |