View Administrator のシステム健全性ダッシュボードを使用すると、True SSO 機能の動作に影響を及ぼす可能性のある問題を素早く調べることができます。

システムがリモート デスクトップまたはアプリケーションへのエンド ユーザーのログインを試行したときに True SSO の動作が停止すると、エンド ユーザーに「ユーザー名またはパスワードが正しくありません」というメッセージが表示されます。ユーザーが [OK] をクリックすると、ログイン画面が表示されます。Windows ログイン画面で、[VMware SSO ユーザー] という追加タイトルが表示されます。資格のあるユーザー用の Active Directory 認証情報を持っているユーザーは、Active Directory 認証情報を使用してログインできます。

View Administrator の表示の左上にあるシステム健全性ダッシュボードには、True SSO に関連する項目がいくつかあります。

注: : True SSO 機能は、毎分 1 回のみダッシュボードに情報を提供します。右上隅にある更新アイコンをクリックすると、情報が直ちに更新されます。
  • [View コンポーネント] > [True SSO] をクリックして展開すると、True SSO を使用しているドメインのリストが表示されます。

    ドメイン名をクリックすると、そのドメインに構成された登録サーバのリスト、エンタープライズ認証局のリスト、使用されている証明書テンプレートの名前、およびステータスが表示されます。問題がある場合は、[ステータス] フィールドにその内容が表示されます。

    [True SSO ドメイン詳細] ダイアログ ボックスに表示される構成設定を変更するには、vdmutil コマンドライン インターフェイスを使用して True SSO コネクタを編集します。詳細については、コネクタの管理のためのコマンドを参照してください。

  • [その他のコンポーネント] > [SAML 2.0 認証子] をクリックして展開すると、VMware Identity Manager インスタンスに認証を委任するために作成された SAML 認証子のリストが表示されます。認証子名をクリックしてその詳細とステータスを調べることができます。
注: : True SSO を使用するには、SSO のグローバル設定が有効になっている必要があります。View Administrator で、 [構成 > グローバル設定] を選択し、 [Single Sign On (SSO)][有効] に設定されていることを確認します。
表 1. ブローカーと登録サーバの接続ステータス
ステータス テキスト 説明
True SSO の健全性情報の取得に失敗しました。 ダッシュボードがブローカーから健全性情報を取得できません。
<FQDN> 登録サーバは、True SSO 構成サービスと通信できません。 ポッド内で、ポッドによって使用されるすべての登録サーバに構成情報を送信する 1 つのブローカーが選択されます。このブローカーは登録サーバ構成を毎分 1 回更新します。このメッセージは、構成タスクで登録サーバを更新できなかった場合に表示されます。詳細については、「登録サーバ接続」の表を参照してください。
<FQDN> 登録サーバは、この接続サーバと通信してサーバ上のセッションを管理できません。 現在のブローカーが登録サーバに接続できません。このステータスは、ブラウザが参照しているブローカーについてのみ表示されます。ポッドに複数のブローカーがある場合は、このステータスを確認するために他のブローカーを参照するようにブラウザを変更する必要があります。詳細については、「登録サーバ接続」の表を参照してください。
表 2. 登録サーバ接続
ステータス テキスト 説明
このドメイン <Domain Name> は、<FQDN> 登録サーバに存在しません。 True SSO コネクタはこのドメインのこの登録サーバを使用するように構成されていますが、登録サーバはまだこのドメインに接続するように構成されていません。この状態が 1 分以上続く場合は、現在登録構成の更新を行っているブローカーの状態を確認する必要があります。
ドメイン <Domain Name> への <FQDN> 登録サーバの接続は現在も確立中です。 登録サーバがこのドメインのドメイン コントローラに接続できていません。この状態が 1 分以上続く場合は、登録サーバからドメインへの名前解決が正しいことの確認、および登録サーバとドメイン間のネットワーク接続の確認が必要な可能性があります。
ドメイン <Domain Name> への <FQDN> 登録サーバの接続は、停止中か問題のある状態になっています。 登録サーバはドメインのドメイン コントローラに接続済みですが、ドメイン コントローラから PKI 情報を読み取ることができません。この状態が発生する場合は、実際のドメイン コントローラに問題がある可能性があります。DNS が正しく構成されていない場合にもこの問題が発生する可能性があります。登録サーバのログ ファイルで、登録サーバが使用しようとしているドメイン コントローラを特定し、そのドメイン コントローラが完全に動作していることを確認します。
<FQDN> 登録サーバは、ドメイン コントローラから登録プロパティを読み取っていません。 この状態は一時的であり、登録サーバの起動中、または環境に新しいドメインが追加されたときにのみ表示されます。通常、この状態は 1 分以内に変更されます。この状態が 1 分以上続く場合は、ネットワークが極端に低速であるか、ドメイン コントローラにアクセスできない問題があります。
<FQDN> 登録サーバは、少なくとも 1 回登録プロパティを読み取っていますが、しばらくの間ドメイン コントローラに接続できていません。 登録サーバがドメイン コントローラから PKI 構成を読み取っている間は、変更のポーリングが 2 分に 1 回行われます。この状態は、しばらくの間ドメイン コントローラ (DC) に接続できていない場合に設定されます。通常、この DC への接続不能は登録サーバが PKI 構成の変更を検出できないことを意味します。登録サーバがドメイン コントローラにアクセス可能である限り、継続して証明書を発行できます。
<FQDN> 登録サーバは、少なくとも 1 回登録プロパティを読み取っていますが、長時間ドメイン コントローラに接続できていないか、別の問題が発生しています。 登録サーバが長時間ドメインのドメイン コントローラに接続できない場合、この状態が表示されます。この場合、登録サーバはこのドメインの別のドメイン コントローラの検出を試みます。証明書サーバがドメイン コントローラにアクセスできる場合、証明書は引き続き発行可能ですが、この状態が 1 分以上続く場合は登録サーバがそのドメインのすべてのドメイン コントローラにアクセスできなくなっているため、おそらく証明書は発行できません。
表 3. 登録証明書のステータス
ステータス テキスト 説明
ドメインの <domain name> フォレストの有効な登録証明書が <FQDN> 登録サーバにインストールされていないか、または有効期限が切れています。 このドメインの登録証明書がインストールされていないか、証明書が無効または有効期限が切れています。登録証明書は、このドメインがメンバーになっているフォレストで信頼されるエンタープライズ CA によって発行される必要があります。『View 管理』ドキュメントに記載されている、登録サーバでの登録証明書のインストール方法についての手順を実行していることを確認します。MMC、証明書管理スナップインを開いて、ローカル コンピュータ ストアを開くこともできます。個人証明書コンテナを開き、証明書がインストールされていて有効であることを確認します。登録サーバ ログ ファイルを開くこともできます。登録サーバは、検出した証明書の状態に関する追加情報をログに記録します。
表 4. 証明書テンプレートのステータス
ステータス テキスト 説明
テンプレート <name> が、<FQDN> 登録サーバ ドメインに存在しません。 正しいテンプレート名が指定されていることを確認します。
このテンプレートで生成された証明書は、Windows へのログオンには使用できません。 このテンプレートではスマート カードの使用が無効になっており、データの署名が有効になっています。正しいテンプレート名が指定されていることを確認します。True SSO とともに使用する証明書テンプレートの作成に記載されている手順を実行していることを確認します。
テンプレート <name> ではスマートカードによるログオンが有効になっていますが、使用できません。 このテンプレートはスマート カード ログオンに対して有効になっていますが、True SSO では使用できません。正しいテンプレート名が指定されていることを確認し、True SSO とともに使用する証明書テンプレートの作成に記載されている手順を実行していることを確認します。テンプレートのどの設定によって True SSO が使用できなくなっているかがログに記録されるため、登録サーバのログ ファイルを確認することもできます。
表 5. 証明書サーバ構成のステータス
ステータス テキスト 説明
証明書サーバ <CN of CA> がドメインに存在しません。 CA の正しい名前が指定されていることを確認します。共通名 (CN) を指定する必要があります。
証明書は、NTAuth(エンタープライズ)ストアにありません。 この CA はエンタープライズ CA でないか、CA 証明書が NTAUTH ストアに追加されていません。この CA がフォレストのメンバーでない場合は、このフォレストの NTAUTH ストアに CA 証明書を手動で追加する必要があります。
表 6. 証明書サーバ接続のステータス
ステータス テキスト 説明
<FQDN> 登録サーバは、証明書サーバ <CN of CA> に接続していません。 登録サーバが証明書サーバに接続されていません。登録サーバの起動直後の場合、または CA が最近 True SSO コネクタに追加された場合、この状態は一時的な可能性があります。この状態が 1 分以上続く場合は、登録サーバが CA に接続できません。名前解決が正常に機能していること、CA へのネットワーク接続があること、および登録サーバのシステム アカウントに CA へのアクセス権があることを確認します。
<FQDN> 登録サーバが証明書サーバ <CN of CA> に接続しましたが、この証明書サーバはデグレードされている状態です。 この状態は、CA の証明書の発行が低速の場合に表示されます。CA がこの状態のままの場合は、CA または CA によって使用されるドメイン コントローラの負荷を確認します。
注: : CA が低速とマークされている場合は、少なくとも 1 つの証明書要求が正常に完了し、その証明書が通常の期間内に発行されるまで、この状態が続きます。
<FQDN> 登録サーバは、証明書サーバ <CN of CA> に接続できますが、サービスが利用できません。 この状態は、登録サーバが CA に接続されているにも関わらず証明書を発行できない場合に発生します。通常、この状態は一時的です。CA がすぐに使用可能にならない場合、この状態は「切断」に変わります。