Use estas informações para solucionar problemas com a integração de diretórios do Workspace ONE Access.

Identificando a latência de controladores de domínio de conectores Windows

Se os usuários finais não conseguirem fazer login com suas credenciais Active Directory do Active Directory e receberem um erro Acesso Negado ou se o login for muito lento, siga estas etapas para determinar se a latência da rede do controlador de domínio está causando o problema. Use as informações aplicáveis à sua versão do Workspace ONE Access Connector.

20.01 e 20.10 Connectors

  1. No servidor do conector, verifique os arquivos krb5.conf e domain_krb.json que contêm o mapeamento dos domínios para os controladores de domínio atuais usados para cada domínio. Para o serviço de sincronização de diretório, os arquivos estão localizados na pasta INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Para o serviço de Autenticação do Usuário, os arquivos estão localizados na pasta INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
  2. Execute os seguintes comandos do servidor do conector:

    nltest /dsgetdc:domínio /try_next_closest_site (obtém o controlador de domínio mais próximo armazenado em cache pelo sistema operacional)

    nltest /dsgetdc:domínio /force (limpa o cache do sistema operacional e tenta determinar o controlador de domínio mais próximo novamente)

    O sistema operacional Windows do conector identifica o controlador de domínio mais próximo para cada domínio usado pelo diretório.

  3. No servidor do conector, execute o comando ping ou psping do servidor do conector para cada controlador de domínio e verifique se o controlador de domínio responde rapidamente. Menos de 20 ms é um bom tempo de resposta para uma solicitação ping.
  4. No servidor do conector, execute o comando tracert para cada host do controlador de domínio para um domínio e verifique o número de saltos entre o nó do conector e o host do controlador de domínio.
  5. Siga as práticas recomendadas para latência de rede de domínio descritas em Práticas recomendadas para evitar latência de rede se o controlador de domínio demorar para responder.

Connectors 21.08 e posteriores

  1. Verifique os arquivos de log do conector. Para o serviço de Sincronização de Diretório, verifique os arquivos DirectorySyncService.out e eds-service.log, que estão disponíveis na pasta INSTALL_DIR\Workspace ONE Access\Directory Sync Service\logs. Para o serviço de Autenticação de Usuário, verifique os arquivos UserAuthService.out e eas-service.log, que estão disponíveis na pasta INSTALL_DIR\Workspace ONE Access\User Auth Service\logs.

    Mensagens frequentes "Acionando a descoberta forçada do WINDOWS DC" nesses arquivos indicam alta latência com os controladores de domínio listados. Se essa mensagem for exibida mais de três vezes em uma hora, verifique a latência da rede para os controladores de domínio. Você pode definir alertas com base nos logs do conector.

  2. No servidor do conector, verifique os arquivos krb5.conf e domain_krb.json que contêm o mapeamento dos domínios para os controladores de domínio atuais usados para cada domínio. Para o serviço de sincronização de diretório, os arquivos estão localizados na pasta INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Para o serviço de Autenticação do Usuário, os arquivos estão localizados na pasta INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
  3. Execute os seguintes comandos do servidor do conector:

    nltest /dsgetdc:domínio /try_next_closest_site (obtém o controlador de domínio mais próximo armazenado em cache pelo sistema operacional)

    nltest /dsgetdc:domínio /force (limpa o cache do sistema operacional e tenta determinar o controlador de domínio mais próximo novamente)

    O sistema operacional Windows do conector identifica o controlador de domínio mais próximo para cada domínio usado pelo diretório.

  4. No servidor do conector, execute o comando ping ou psping do servidor do conector para cada controlador de domínio e verifique se o controlador de domínio responde rapidamente. Menos de 20 ms é um bom tempo de resposta para uma solicitação ping.
  5. No servidor do conector, execute o comando tracert para cada host do controlador de domínio para um domínio e verifique o número de saltos entre o nó do conector e o host do controlador de domínio.
  6. Siga as práticas recomendadas para latência de rede de domínio descritas em Práticas recomendadas para evitar latência de rede se o controlador de domínio demorar para responder.