将 Active Directory 与 Workspace ONE Access 集成时，请遵循以下最佳做法来设置 Workspace ONE Access Connector 和 Active Directory 域控制器，以避免出现网络延迟问题。该信息适用于 Workspace ONE Access 中的“通过 LDAP 访问的 Active Directory”或“通过集成 Windows 身份验证 (IWA) 访问的 Active Directory”类型的目录。

• 避免在从 Workspace ONE Access Connector 到域控制器的路径上使用防火墙和虚拟 IP 地址 (VIP)。在连接器连接到域控制器时，防火墙和 VIP 将添加更多跃点。
• 确保连接器节点和域控制器之间的 LDAP 简单绑定的网络延迟仅以毫秒为单位，理想情况下少于 20 毫秒。
• 将 DNS A* 记录设置为指向 Active Directory 中的连接器站点特定配置的最近域控制器。这有助于减少延迟。
• 为域配置多个域控制器以提供弹性。
• 从连接器服务器中执行以下命令，以帮助确定域的最近域控制器：

  nltest /dsgetdc:domain /try_next_closest_site

  （该命令获取操作系统缓存的最近域控制器。）

  nltest /dsgetdc:domain /force

  （该命令清除操作系统缓存，并再次尝试确定最近的域控制器。）