您可以使用 View Administrator 中的系統健全狀況儀表板,以快速查看可能會影響 True SSO 功能的作業問題。

對於使用者而言,若在系統嘗試為使用者登入至遠端桌面平台或應用程式時 True SSO 停止運作,使用者會看見以下訊息:「使用者名稱或密碼不正確。」在按一下確定後,使用者就會看見登入畫面。使用者會在 Windows 登入畫面看到額外的動態磚,其標籤為 VMware SSO 使用者。若使用者擁有的 Active Directory 認證為具備權利的使用者所屬,使用者就能夠使用 AD 認證來登入。

系統健全狀況儀表板位於 View Administrator 顯示畫面的左上部分,其中包含幾個與 True SSO 有關的項目。

備註︰

True SSO 功能每分鐘僅提供一次資訊給儀表板。按一下右上角的重新整理圖示,則可立即重新整理資訊。

  • 您可以按一下以展開 View 元件 > True SSO,查看正在使用 True SSO 的網域清單。

    您可以按一下網域名稱,查看下列資訊:為該網域設定的註冊伺服器清單、企業憑證授權單位清單、正在使用的憑證範本名稱,以及狀態。若有任何問題,[狀態] 欄位會說明問題的內容。

    若要將 [True SSO 網域詳細資料] 對話方塊中顯示的任何組態設定予以變更,請使用vdmutil 命令列介面來編輯 True SSO 連接器。如需詳細資訊,請參閱 用於管理連接器的命令

  • 您可以按一下以展開其他元件 > SAML 2.0 驗證器,來查看 SAML 驗證器清單,其中這些驗證器建立的目的是要將驗證委派給 VMware Identity Manager 執行個體。您可以按一下驗證器名稱來檢查詳細資料和狀態。

備註︰

為能使用 True SSO,必須啟用 SSO 的全域設定。在 View Administrator 中,選取組態 > 全域設定,並驗證已將 Single Sign-On (SSO) 設定為已啟用

表格 1. 註冊伺服器連線狀態的代理

狀態文字

說明

無法提取 True SSO 健全狀況資訊。

儀表板無法從代理擷取健全狀況資訊。

True SSO 組態服務無法連絡 <FQDN> 註冊伺服器。

在網繭中,系統已選擇其中一個代理以將組態資訊傳送給網繭使用的所有註冊伺服器。此代理將會每分鐘重新整理一次註冊伺服器組態。若組態工作無法更新註冊伺服器,就會顯示此訊息。如需其他資訊,請參閱註冊伺服器連線的表格。

無法連絡 <FQDN> 註冊伺服器以管理此連線伺服器上的工作階段。

目前的代理無法連線至註冊伺服器。系統僅會針對您的瀏覽器所指向的代理顯示此狀態。若網繭中有多個代理,您需要將瀏覽器變更為指向其他代理,才能檢查其狀態。如需其他資訊,請參閱註冊伺服器連線的表格。

表格 2. 註冊伺服器連線

狀態文字

說明

此網域 <網域名稱> 不存在於 <FQDN> 註冊伺服器上。

已將 True SSO 連接器設定為使用此網域的此註冊伺服器,但尚未將註冊伺服器設定為連線至此網域。若此狀態維持超過一分鐘,您需要檢查目前負責將註冊組態重新整理之代理的狀態。

<FQDN> 註冊伺服器對網域 <網域名稱> 的連線仍在建立。

註冊伺服器還無法連線至此網域中的網域控制站。若此狀態維持超過一分鐘,您可能需要驗證從註冊伺服器到網域的名稱解析是否正確,且註冊伺服器和網域之間存在網路連線。

<FQDN> 註冊伺服器與網域 <網域名稱> 的連線正在停止或處於有問題的狀態。

註冊伺服器已連線至網域中的網域控制站,但無法從網域控制站讀取 PKI 資訊。若發生此情形,則表示實際的網域控制站可能有問題。若未正確設定 DNS,也可能發生此問題。請檢查註冊伺服器上的記錄檔,來查看註冊伺服器正嘗試使用哪個網域控制站,並驗證該網域控制站是否可完整運作。

<FQDN> 註冊伺服器尚未從網域控制站讀取註冊內容。

這是過渡狀態,只會在註冊伺服器啟動期間,或在將新網域新增至環境時才會顯示。此狀態持續的時間通常少於一分鐘。若此狀態持續超過一分鐘,則表示網路非常慢,或是發生問題造成網域控制站存取不易。

<FQDN> 註冊伺服器已讀取註冊內容至少一次,但有一段時間無法連線網域控制站。

只要註冊伺服器從網域控制站讀取到 PKI 組態,其便會每兩分鐘輪詢一次看看是否有變更。若已經有一小段時間無法連線到網域控制站 (DC),就會設定此狀態。無法連絡 DC 通常可能表示註冊伺服器無法偵測到 PKI 組態中有任何變更。只要憑證伺服器仍可存取網域控制站,就仍可核發憑證。

<FQDN> 註冊伺服器已讀取註冊內容至少一次,但有一段時間無法連線網域控制站或存在其他問題。

若註冊伺服器已經很久無法連線到網域控制站,就會顯示此狀態。註冊伺服器接著會嘗試探索此網域的替代網域控制站。若憑證伺服器仍可存取網域控制站,就仍可核發憑證,但若此狀態維持超過一分鐘,則表示註冊伺服器已失去該網域所有網域控制站的存取權,且可能無法再核發憑證。

表格 3. 註冊憑證狀態

狀態文字

說明

此網域的 <網域名稱> 樹系的有效註冊憑證未安裝在 <FQDN> 註冊伺服器上,或可能已到期

尚未安裝此網域的任何註冊憑證,或是憑證無效或已到期。註冊憑證必須由受樹系信任的企業 CA 核發,且此網域為該樹系的成員。驗證您已完成《View 管理》文件中的步驟,其中說明了在註冊伺服器上安裝註冊憑證的方法。您也可以開啟 MMC、憑證管理嵌入式管理單元,來開啟本機電腦存放區。開啟個人憑證容器,並驗證是否已安裝憑證,以及憑證是否有效。您也可以開啟註冊伺服器記錄檔。註冊伺服器會記錄有關其找到之任何憑證的狀態的其他資訊。

表格 4. 憑證範本狀態

狀態文字

說明

範本 <名稱> 不存在於 <FQDN> 註冊伺服器網域上。

檢查您指定的範本名稱是否正確。

此範本產生的憑證無法用來登入至 Windows。

此範本未啟用智慧卡的使用以及資料簽署。檢查您指定的範本名稱是否正確。請驗證您已完成建立與 True SSO 搭配使用的憑證範本中所述的步驟。

範本 <名稱> 已啟用智慧卡登入,但無法使用。

此範本已啟用智慧卡登入,但範本無法與 True SSO 搭配使用。檢查您指定的範本名稱是否正確,並驗證您已執行建立與 True SSO 搭配使用的憑證範本中所述的步驟。您也可以檢查註冊伺服器記錄檔,因為它會記錄範本中的哪項設定使得範本無法用於 True SSO。

表格 5. 憑證伺服器組態狀態

狀態文字

說明

憑證伺服器 <CA 的 CN> 不存在於網域中。

驗證您指定的 CA 名稱是否正確。您必須指定一般名稱 (CN)。

憑證未在 NTAuth (企業) 存放區。

此 CA 並非企業 CA,或其 CA 憑證尚未新增至 NTAUTH 存放區。若此 CA 並非樹系成員,您必須手動將 CA 憑證新增至此樹系的 NTAUTH 存放區。

表格 6. 憑證伺服器連線狀態

狀態文字

說明

<FQDN> 註冊伺服器未連線至憑證伺服器 <CA 的 CN>。

註冊伺服器未連線至憑證伺服器。若註冊伺服器才剛啟動,或是最近才將 CA 新增至 True SSO 連接器,則此狀態可能是過渡狀態。若狀態維持超過一分鐘,則表示註冊伺服器無法連線至 CA。確認名稱解析可正常運作,且您具備連線至 CA 的網路連線能力,且註冊伺服器的系統帳戶有存取 CA 的權限。

<FQDN> 註冊伺服器已連線至憑證伺服器 <CA 的 CN>,但憑證伺服器處於降級狀態

若 CA 在核發憑證時速度太慢,就會顯示此狀態。若 CA 維持此狀態,請檢查 CA 或 CA 所用之網域控制站的負載。

備註︰

若 CA 已標示為緩慢,該 CA 會維持此狀態,直到已順利完成至少一個憑證要求,且該憑證是在一般時間範圍內核發出去。

<FQDN> 註冊伺服器可以連線憑證伺服器 <CA 的 CN>,但服務無法使用。

若註冊伺服器與 CA 的連線處於作用中狀態,但 CA 無法核發憑證,就會發出此狀態。此狀態通常是過渡狀態。若 CA 沒有很快就變為可用,狀態就會變為已中斷連線。