在 Windows 连接器中确定域控制器延迟

如果最终用户无法使用其 Active Directory 凭据登录并收到拒绝访问错误，或者登录速度很慢，请按照以下步骤确定该问题是否是由域控制器网络延迟造成的。使用适用于您的 Workspace ONE Access Connector 版本的信息。

20.01 和 20.10 Connector

1. 在连接器服务器上，检查 krb5.conf 和 domain_krb.json 文件，其中包含域到用于每个域的当前域控制器的映射。对于目录同步服务，这些文件位于 INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf 文件夹中。对于用户身份验证服务，这些文件位于 INSTALL_DIR\Workspace ONE Access\User Auth Service\conf 文件夹中。
2. 从连接器服务器中运行以下命令：

   nltest /dsgetdc:domain /try_next_closest_site（获取操作系统缓存的最近域控制器）

   nltest /dsgetdc:domain /force（清除操作系统缓存，并再次尝试确定最近的域控制器）

   连接器的 Windows 操作系统为目录使用的每个域确定最近的域控制器。

3. 从连接器服务器中，为每个域控制器运行 ping 或 psping 命令，并检查域控制器是否快速响应。对于 ping 请求，少于 20 毫秒是良好的响应时间。
4. 从连接器服务器中，为域的每个域控制器主机运行 tracert 命令，并检查连接器节点和域控制器主机之间的跃点数。
5. 如果域控制器响应缓慢，请按照避免网络延迟的最佳做法中所述的域网络延迟最佳做法进行操作。

21.08 和更高版本的 Connector

1. 检查连接器日志文件。对于目录同步服务，检查 DirectorySyncService.out 和 eds-service.log 文件，它们位于 INSTALL_DIR\Workspace ONE Access\Directory Sync Service\logs 文件夹中。对于用户身份验证服务，检查 UserAuthService.out 和 eas-service.log 文件，它们位于 INSTALL_DIR\Workspace ONE Access\User Auth Service\logs 文件夹中。

   在这些文件中频繁出现的“触发强制 Windows DC 发现”(Triggering forced windows DC discovery) 消息表明，列出的域控制器存在较高的延迟。如果该消息在一小时内出现 3 次以上，请检查域控制器的网络延迟。您可以根据连接器日志设置警示。

2. 在连接器服务器上，检查 krb5.conf 和 domain_krb.json 文件，其中包含域到用于每个域的当前域控制器的映射。对于目录同步服务，这些文件位于 INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf 文件夹中。对于用户身份验证服务，这些文件位于 INSTALL_DIR\Workspace ONE Access\User Auth Service\conf 文件夹中。
3. 从连接器服务器中运行以下命令：

   nltest /dsgetdc:domain /try_next_closest_site（获取操作系统缓存的最近域控制器）

   nltest /dsgetdc:domain /force（清除操作系统缓存，并再次尝试确定最近的域控制器）

   连接器的 Windows 操作系统为目录使用的每个域确定最近的域控制器。

4. 从连接器服务器中，为每个域控制器运行 ping 或 psping 命令，并检查域控制器是否快速响应。对于 ping 请求，少于 20 毫秒是良好的响应时间。
5. 从连接器服务器中，为域的每个域控制器主机运行 tracert 命令，并检查连接器节点和域控制器主机之间的跃点数。
6. 如果域控制器响应缓慢，请按照避免网络延迟的最佳做法中所述的域网络延迟最佳做法进行操作。