View Administrator에서 시스템 상태 대시보드를 사용하여 True SSO 기능의 작동에 영향을 줄 수 있는 문제를 빠르게 확인할 수 있습니다.

최종 사용자의 경우 True SSO가 작동을 중지하면 시스템에서 사용자가 원격 데스크톱이나 애플리케이션에 로그인하려고 할 때 "사용자 이름 또는 암호가 정확하지 않습니다."라는 메시지가 사용자에게 표시됩니다. 사용자가 확인을 클릭하면 로그인 화면으로 이동합니다. Windows 로그인 화면에서 사용자에게 VMware SSO 사용자라는 레이블이 있는 추가 타일이 표시됩니다. 권한이 부여된 사용자를 위한 Active Directory 자격 증명이 사용자에게 있는 경우에는 AD 자격 증명으로 로그인할 수 있습니다.

View Administrator 디스플레이의 왼쪽 위에 있는 시스템 상태 대시보드에는 True SSO와 관련된 항목 두 개가 있습니다.

참고:

True SSO 기능은 1분에 한 번만 대시보드에 정보를 제공합니다. 정보를 즉시 새로 고치려면 오른쪽 상단에 있는 새로 고침 아이콘을 클릭하십시오.

  • View 구성 요소 > True SSO를 클릭하여 확장하면 True SSO를 사용하는 도메인의 목록을 볼 수 있습니다.

    도메인 이름을 클릭하면 해당 도메인에 구성된 등록 서버의 목록, 회사 CA(인증 기관)의 목록, 사용 중인 인증서 템플릿의 이름, 상태 정보를 볼 수 있습니다. 문제가 있을 경우에는 상태 필드에 설명이 표시됩니다.

    True SSO 도메인 세부 정보 대화상자에 표시되는 구성 설정을 변경하려면 vdmutil 명령줄 인터페이스를 사용하여 True SSO 커넥터를 편집합니다. 자세한 내용은 커넥터 관리 명령의 내용을 참조하십시오.

  • 기타 구성 요소 > SAML 2.0 인증자를 클릭하여 확장하면 VMware Identity Manager 인스턴스에 인증을 위임하기 위해 생성된 SAML 인증자의 목록을 볼 수 있습니다. 인증자 이름을 클릭하면 세부 정보와 상태를 확인할 수 있습니다.

참고:

True SSO를 사용하려면 SSO의 전역 설정을 사용하도록 설정해야 합니다. View Administrator에서 구성 > 전역 설정을 선택하고 SSO(Single Sign-On)사용으로 설정되어 있는지 확인합니다.

표 1. 브로커와 등록 서버 간 연결 상태

상태 텍스트

설명

True SSO 상태 정보를 가져오지 못했습니다.

대시보드가 브로커에서 상태 정보를 검색할 수 없습니다.

True SSO 구성 서비스에서 <FQDN> 등록 서버에 연결할 수 없습니다.

포드에서 브로커 중 하나가 포드가 사용하는 모든 등록 서버에 구성 정보를 보내도록 선택되었습니다. 이 브로커는 1분 간격으로 등록 서버 구성을 새로 고칩니다. 구성 작업에서 등록 서버 업데이트에 실패할 경우 이 메시지가 표시됩니다. 자세한 내용은 등록 서버 연결 표를 참조하십시오.

이 연결 서버에서 세션을 관리하기 위해 <FQDN> 등록 서버에 접속할 수 없습니다.

현재 브로커에서 등록 서버에 연결할 수 없습니다. 이 상태는 브라우저에서 가리키는 브로커에 대해서만 표시됩니다. 포드에 브로커가 여러 개 있는 경우에는 브라우저에서 상태 확인을 위해 다른 브로커를 가리키도록 변경해야 합니다. 자세한 내용은 등록 서버 연결 표를 참조하십시오.

표 2. 등록 서버 연결

상태 텍스트

설명

이 도메인 <Domain Name>이(가) <FQDN> 등록 서버에 없습니다.

True SSO 커넥터가 해당 도메인에 이 등록 서버를 사용하도록 구성되었지만, 아직 등록 서버가 이 도메인에 연결하도록 구성되지 않았습니다. 상태가 1분 넘게 계속되는 경우에는 현재 등록 구성 새로 고침을 담당하는 브로커의 상태를 확인해야 합니다.

<FQDN> 등록 서버에서 아직 도메인 <Domain Name>에 연결하는 중입니다.

등록 서버에서 이 도메인의 도메인 컨트롤러에 연결하지 못했습니다. 이 상태가 1분 넘게 계속되는 경우에는 등록 서버에서 도메인으로의 이름 확인이 올바른지 확인하고 등록 서버와 도메인 간에 네트워크가 연결되어 있는지 확인해야 합니다.

<FQDN> 등록 서버에서 도메인 <Domain Name>(으)로의 연결이 중지되고 있거나 문제가 발생한 상태입니다.

등록 서버가 도메인의 도메인 컨트롤러에 연결되었지만 도메인 컨트롤러에서 PKI 정보를 읽지 못했습니다. 이 경우는 실제 도메인 컨트롤러에 문제가 있을 가능성이 큽니다. DNS가 올바르게 구성되지 않은 경우에도 이 문제가 발생할 수 있습니다. 등록 서버의 로그 파일을 확인하여 등록 서버에서 사용하려는 도메인 컨트롤러가 무엇이며 도메인 컨트롤러가 올바르게 작동하고 있는지 확인하십시오.

<FQDN> 등록 서버가 아직 도메인 컨트롤러에서 등록 속성을 읽지 않았습니다.

이 상태는 일시적이며 등록 서버를 시작하는 동안이나 새 도메인이 환경에 추가된 경우에만 표시됩니다. 이 상태는 일반적으로 지속 시간이 1분 미만입니다. 이 상태가 1분 넘게 계속되는 경우에는 네트워크가 심하게 느리거나 도메인 컨트롤러 액세스를 방해하는 문제가 발생한 것입니다.

<FQDN> 등록 서버에서 등록 속성을 한 번 이상 읽었지만 일시적으로 도메인 컨트롤러에 연결하지 못했습니다.

등록 서버가 도메인 컨트롤러에서 PKI 구성을 읽는 동안에는 2분 간격으로 변경 사항을 폴링합니다. DC(도메인 컨트롤러)에 일시적으로 연결하지 못한 경우 이 상태가 설정됩니다. 이렇게 DC에 연결할 수 없을 경우 일반적으로 등록 서버에서 PKI 구성의 변경 사항을 감지하지 못하는 것일 수 있습니다. 인증서 서버에서 도메인 컨트롤러에 액세스할 수 있는 한, 인증서는 계속 발급할 수 있습니다.

<FQDN> 등록 서버에서 등록 속성을 한 번 이상 읽었지만 오랫동안 도메인 컨트롤러에 연결하지 못했거나 다른 문제가 있습니다.

등록 서버에서 오랫동안 도메인 컨트롤러에 연결하지 못한 경우에 이 상태가 표시됩니다. 그런 다음 등록 서버에서 이 도메인의 대체 도메인 컨트롤러를 찾으려고 합니다. 인증서 서버에서 도메인 컨트롤러에 액세스할 수 있으면 인증서를 발급할 수 있지만, 이 상태가 1분 넘게 계속될 경우 등록 서버에서 도메인의 모든 도메인 컨트롤러에 액세스하지 못함을 의미하며 더 이상 인증서를 발급할 수 없을 가능성이 큽니다.

표 3. 등록 인증서 상태

상태 텍스트

설명

이 도메인의 <domain name> 포리스트에 유효한 등록 인증서가 <FQDN> 등록 서버에 설치되지 않았거나 만료되었을 수 있습니다.

이 도메인에 대한 등록 인증서가 설치되지 않았거나, 인증서가 유효하지 않거나 만료되었습니다. 등록 인증서는 이 도메인이 속한 포리스트가 신뢰하는 회사 CA에서 발급한 것이어야 합니다. 등록 서버에 등록 인증서를 설치하는 방법이 설명된 View 관리 문서의 단계를 완료했는지 확인하십시오. 인증서 관리 스냅인인 MMC를 열어 로컬 컴퓨터 저장소를 열 수도 있습니다. 개인 인증서 컨테이너를 열고 인증서가 설치되어 있으며 유효한지 확인하십시오. 등록 서버 로그 파일을 열 수도 있습니다. 등록 서버에는 저장되어 있는 인증서의 상태에 대한 추가 정보가 기록됩니다.

표 4. 인증서 템플릿 상태

상태 텍스트

설명

템플릿 <name>이(가) <FQDN> 등록 서버 도메인에 없습니다.

올바른 템플릿 이름을 지정했는지 확인하십시오.

이 템플릿에서 생성된 인증서는 Windows 로그온에 사용할 수 없습니다.

이 템플릿은 스마트 카드와 데이터 서명을 사용하도록 설정되지 않았습니다. 올바른 템플릿 이름을 지정했는지 확인하십시오. True SSO에 사용하는 인증서 템플릿 만들기에 설명된 단계를 완료했는지 확인하십시오.

템플릿 <name>에서 스마트 카드 로그온을 사용하도록 설정되어 있지만 사용할 수 없습니다.

이 템플릿에서 스마트 카드 로그온을 사용하도록 설정되어 있지만 True SSO에 템플릿을 사용할 수 없습니다. 올바른 템플릿 이름을 지정했는지 확인하고 True SSO에 사용하는 인증서 템플릿 만들기에 설명된 단계를 완료했는지 확인하십시오. 템플릿에서 True SSO를 사용하지 못하게 하는 설정이 무엇이라고 기록되었는지 알아보기 위해 등록 서버 로그 파일을 확인할 수도 있습니다.

표 5. 인증서 서버 구성 상태

상태 텍스트

설명

인증서 서버 <CN of CA>이(가) 도메인에 없습니다.

CA에 올바른 이름을 지정했는지 확인하십시오. CN(일반 이름)을 지정해야 합니다.

인증서가 NTAuth(Enterprise) 저장소에 없습니다.

이 CA가 회사 CA가 아니거나 CA 인증서가 NTAUTH 저장소에 추가되지 않았습니다. 이 CA가 포리스트의 구성원이 아닌 경우에는 CA 인증서를 이 포리스트의 NTAUTH 저장소에 수동으로 추가해야 합니다.

표 6. 인증서 서버 연결 상태

상태 텍스트

설명

<FQDN> 등록 서버가 인증서 서버 <CN of CA>에 연결되지 않았습니다.

등록 서버가 인증서 서버에 연결되지 않았습니다. 등록 서버가 방금 시작되었거나 CA가 True SSO 커넥터에 최근에 추가된 경우에는 이 상태가 일시적인 것일 수 있습니다. 상태가 1분 넘게 계속되는 경우에는 등록 서버에서 CA에 연결하지 못한 것입니다. 이름 확인이 올바르게 작동하고, CA에 네트워크가 연결되어 있으며, 등록 서버의 시스템 계정에 CA에 액세스할 권한이 있는지 확인하십시오.

<FQDN> 등록 서버가 인증서 서버 <CN of CA>에 연결되었지만 인증서 서버의 성능이 저하된 상태에 있습니다.

CA의 인증서 발급이 느린 경우에 이 상태가 표시될 수 있습니다. CA가 이 상태로 남아 있는 경우에는 CA나 CA에서 사용하는 도메인 컨트롤러의 로드를 확인하십시오.

참고:

CA가 느린 것으로 표시된 경우에는 인증서 요청을 하나 이상 완료하고, 정상적인 기간 안에 인증서가 발급될 때까지 이 상태를 유지합니다.

<FQDN> 등록 서버가 인증서 서버 <CN of CA>에 연결할 수 있지만 서비스를 사용할 수 없습니다.

등록 서버에 CA에 대한 활성 연결이 있지만 인증서를 발급할 수 없는 경우에 이 상태가 표시됩니다. 이 상태는 일반적으로 일시적인 상태입니다. CA를 즉시 사용할 수 없는 경우에는 상태가 연결 해제로 변경됩니다.