Vous pouvez utiliser le tableau de bord de santé du système dans Horizon Administrator pour voir rapidement les problèmes pouvant affecter le fonctionnement de la fonctionnalité de l'authentification unique réelle.
Pour les utilisateurs finaux, si l'authentification unique réelle cesse de fonctionner, lorsque le système tente de connecter l'utilisateur à l'application ou au poste de travail distant, l'utilisateur voit le message suivant : « Le nom d'utilisateur ou le mot de passe est incorrect. ». Lorsque l'utilisateur clique sur OK, l'écran de connexion s'affiche. Sur l'écran de connexion Windows, l'utilisateur voit une tuile supplémentaire Utilisateur SSO VMware. Si l'utilisateur dispose des informations d'identification Active Directory d'un utilisateur autorisé, il peut se connecter avec les informations d'identification AD.
Le tableau de bord de santé du système dans la partie supérieure gauche de l'écran Horizon Administrator contient deux éléments qui concernent l'authentification unique réelle.
Note : La fonctionnalité d'authentification unique réelle fournit des informations sur le tableau de bord une fois par minute. Cliquez sur l'icône d'actualisation dans le coin supérieur droit pour actualiser les informations immédiatement.
- Vous pouvez cliquer pour développer et voir une liste des domaines qui utilisent l'authentification unique réelle.
Vous pouvez cliquer sur un nom de domaine pour voir les informations suivantes : une liste de serveurs d'inscription configurés pour ce domaine, une liste d'autorités de certification d'entreprise, le nom du modèle de certificat utilisé et l'état. S'il y a un problème, le champ État l'explique.
Pour modifier des paramètres de configuration indiqués dans la boîte de dialogue Détails de domaine de l'authentification unique réelle, utilisez l'interface de ligne de commande vdmutil pour modifier le connecteur d'authentification unique réelle. Pour plus d'informations, reportez-vous à la section Commandes pour gérer des connecteurs.
- Vous pouvez cliquer pour développer et voir une liste des authentificateurs SAML qui ont été créés pour déléguer l'authentification à des instances de VMware Identity Manager. Vous pouvez cliquer sur le nom de l'authentificateur afin d'examiner les détails et l'état.
Note : Pour que l'authentification unique réelle soit utilisée, le paramètre global de l'authentification unique doit être activé. Dans Horizon Administrator, sélectionnez
Configuration > Paramètres généraux et vérifiez que
Single Sign-on (SSO) est défini sur
Activé.
| Texte d'état | Description |
|---|---|
| Échec de l'extraction des informations relatives à l'intégrité de l'authentification unique réelle. | Le tableau de bord ne peut pas récupérer les informations sur la santé de l'instance du Serveur de connexion. |
| Le serveur d'inscription <FQDN> ne peut pas être contacté par le service de configuration d'authentification unique réelle. | Dans un espace, l'une des instances du Serveur de connexion est choisie pour envoyer les informations de configuration à tous les serveurs d'inscription utilisés par l'espace. Cette instance du Serveur de connexion actualise la configuration du serveur d'inscription toutes les minutes. Ce message s'affiche si la tâche de configuration n'a pas pu mettre à jour le serveur d'inscription. Pour plus d'informations, consultez le tableau sur la connectivité du serveur d'inscription. |
| Le serveur d'inscription <FQDN> ne peut pas être contacté pour gérer les sessions sur ce serveur de connexion. | L'instance du Serveur de connexion actuelle ne peut pas se connecter au serveur d'inscription. Cet état ne s'affiche que pour l'instance du Serveur de connexion vers laquelle pointe votre navigateur. S'il y a plusieurs instances du Serveur de connexion dans l'espace, vous devez modifier votre navigateur pour qu'il pointe vers les autres instances du Serveur de connexion afin de vérifier leur état. Pour plus d'informations, consultez le tableau sur la connectivité du serveur d'inscription. |
| Texte d'état | Description |
|---|---|
| Ce domaine <nom du domaine> n'existe pas sur le serveur d'inscription <FQDN>. | Le connecteur d'authentification unique réelle a été configuré pour utiliser ce serveur d'inscription pour ce domaine, mais le serveur d'inscription n'a pas encore été configuré pour se connecter à ce domaine. Si l'état dure plus d'une minute, vous devez vérifier l'état du Serveur de connexion actuellement responsable de l'actualisation de la configuration de l'inscription. |
| La connexion du serveur d'inscription <FQDN> au domaine <nom du domaine> est en cours d'établissement. | Le serveur d'inscription n'a pas pu se connecter à un contrôleur de domaine dans ce domaine. Si cet état dure plus d'une minute, vous devrez peut-être vérifier que la résolution de nom entre le serveur d'inscription et le domaine est correcte et qu'il existe une connectivité réseau entre le serveur d'inscription et le domaine. |
| La connexion du serveur d'inscription <FQDN> au domaine <nom du domaine> est en cours d'arrêt ou dans un état problématique. | Le serveur d'inscription s'est connecté à un contrôleur de domaine dans le domaine, mais il n'a pas pu lire les informations PKI du contrôleur de domaine. Si cela se produit, il existe probablement un problème avec le contrôleur de domaine réel. Ce problème peut également se produire si DNS n'est pas configuré correctement. Consultez le fichier journal sur le serveur d'inscription pour voir quel contrôleur de domaine le serveur d'inscription tente d'utiliser, puis vérifiez que le contrôleur de domaine est complètement opérationnel. |
| Le serveur d'inscription <FQDN> n'a pas encore lu les propriétés d'inscription d'un contrôleur de domaine. | Cet état est transitoire et ne s'affiche que lors du démarrage du serveur d'inscription, ou lorsqu'un nouveau domaine a été ajouté à l'environnement. En général, cet état dure moins d'une minute. Si cet état dure plus d'une minute, le réseau est extrêmement lent ou il y a un problème provoquant des difficultés à accéder au contrôleur de domaine. |
| Le serveur d'inscription <FQDN> a lu les propriétés d'inscription au moins une fois, mais il n'a pas pu atteindre un contrôleur de domaine depuis un certain temps. | Tant que le serveur d'inscription lit la configuration PKI d'un contrôleur de domaine, il continue de rechercher les modifications toutes les deux minutes. Cet état sera défini si le contrôleur de domaine (DC) était inaccessible pendant une courte période. En général, cette incapacité à contacter le DC peut signifier que le serveur d'inscription ne peut pas détecter les modifications apportées à la configuration PKI. Tant que les serveurs de certificat peuvent toujours accéder à un contrôleur de domaine, des certificats peuvent toujours être émis. |
| Le serveur d'inscription <FQDN> a lu les propriétés d'inscription au moins une fois, mais il n'a pas pu atteindre un contrôleur de domaine pendant une période prolongée ou un autre problème existe. | Si le serveur d'inscription n'a pas pu atteindre le contrôleur de domaine pendant une période prolongée, cet état s'affiche. Le serveur d'inscription tente alors de découvrir un autre contrôleur de domaine pour ce domaine. Si un serveur de certificat peut toujours accéder à un contrôleur de domaine, les certificats peuvent toujours être émis, mais si cet état dure plus d'une minute, cela signifie que le serveur d'inscription a perdu l'accès à tous les contrôleurs de domaine pour ce domaine, et il est probable que les certificats ne peuvent plus être émis. |
| Texte d'état | Description |
|---|---|
| Un certificat d'inscription valide pour la forêt de ce domaine <nom du domaine> n'est pas installé sur le serveur d'inscription <FQDN> ou il est peut-être expiré. | Aucun certificat d'inscription pour ce domaine n'a été installé, ou bien le certificat n'est pas valide ou il a expiré. Le certificat d'inscription doit être émis par une autorité de certification d'entreprise qui est approuvée par la forêt à laquelle appartient ce domaine. Vérifiez que vous avez effectué les étapes dans le document Administration d'Horizon 7, qui décrit comment installer le certificat d'inscription sur le serveur d'inscription. Vous pouvez également ouvrir le composant logiciel enfichable de gestion des certificats MMC, en ouvrant le magasin d'ordinateur local. Ouvrez le conteneur de certificat personnel et vérifiez que le certificat est installé et valide. Vous pouvez également ouvrir le fichier journal du serveur d'inscription. Le serveur d'inscription journalisera des informations supplémentaires sur l'état des certificats qu'il trouve. |
| Texte d'état | Description |
|---|---|
| Le modèle <nom> n'existe pas sur le domaine du serveur d'inscription <FQDN>. | Vérifiez que vous avez spécifié le nom de modèle correct. |
| Les certificats générés par ce modèle ne peuvent PAS être utilisés pour se connecter à Windows. | L'utilisation de carte à puce et la signature de données ne sont pas activées sur ce modèle. Vérifiez que vous avez spécifié le nom de modèle correct. Vérifiez que vous avez effectué les étapes décrites dans la section Créer des modèles de certificat utilisés avec l'authentification unique réelle. |
| Le modèle <nom> est activé pour la connexion par carte à puce, mais il ne peut pas être utilisé. | Ce modèle est activé pour la connexion par carte à puce, mais il ne peut pas être utilisé avec l'authentification unique réelle. Vérifiez que vous avez spécifié le nom de modèle correct et que vous avez effectué toutes les étapes décrites dans la section Créer des modèles de certificat utilisés avec l'authentification unique réelle. Vous pouvez également consulter le fichier journal du serveur d'inscription, car il indique le paramètre dans le modèle qui l'empêche d'être utilisé pour l'authentification unique réelle. |
| Texte d'état | Description |
|---|---|
| Le serveur de certificat <CN de CA> n'existe pas dans le domaine. | Vérifiez que vous avez spécifié le nom correct de l'autorité de certification. Vous devez spécifier le nom commun (CN). |
| Le certificat ne se trouve pas dans le magasin NTAuth (Enterprise). | Cette autorité de certification n'est pas une autorité de certification d'entreprise ou son certificat d'autorité de certification n'a pas été ajouté au magasin NTAUTH. Si cette autorité de certification n'est pas membre de la forêt, vous devez ajouter manuellement le certificat d'autorité de certification au magasin NTAUTH de cette forêt. |
| Texte d'état | Description |
|---|---|
| Le serveur d'inscription <FQDN> n'est pas connecté au serveur de certificat <CN de CA>. | Le serveur d'inscription n'est pas connecté au serveur de certificat. Cet état peut être un état transitoire si le serveur d'inscription vient de démarrer ou si l'autorité de certification a été récemment ajoutée à un connecteur d'authentification unique réelle. Si l'état dure plus d'une minute, cela signifie que le serveur d'inscription n'a pas pu se connecter à l'autorité de certification. Vérifiez que cette résolution de nom fonctionne correctement, que vous disposez d'une connectivité réseau à l'autorité de certification et que le compte système du serveur d'inscription a l'autorisation d'accéder à l'autorité de certification. |
| Le serveur d'inscription <FQDN> s'est connecté au serveur de certificat <CN de CA>, mais ce dernier est dans un état dégradé. | Cet état s'affiche si l'autorité de certification est lente à émettre les certificats. Si l'autorité de certification reste dans cet état, vérifiez sa charge ou les contrôleurs de domaine qu'elle utilise.
Note : Si l'autorité de certification a été marquée comme étant lente, elle restera dans cet état jusqu'à ce qu'au moins une demande de certificat soit terminée correctement et que ce certificat ait été émis dans un délai normal.
|
| Le serveur d'inscription <FQDN> peut se connecter au serveur de certificat <CN de CA>, mais le service n'est pas disponible. | Cet état est émis si le serveur d'inscription dispose d'une connexion active vers l'autorité de certification, mais qu'il ne peut pas émettre des certificats. En général, cet état est transitoire. Si l'autorité de certification ne devient pas disponible rapidement, l'état passera sur déconnecté. |
