Verwenden Sie diese Informationen, um Probleme bei der Workspace ONE Access-Verzeichnisintegration zu beheben.
Identifizieren der Domänencontrollerlatenz in Windows Connector-Instanzen
Wenn sich Endbenutzer nicht mit ihren Active Directory-Anmeldeinformationen anmelden können und die Fehlermeldung Zugriff verweigert erhalten oder die Anmeldung sehr langsam ist, führen Sie die folgenden Schritte aus, um festzustellen, ob die Netzwerklatenz des Domänencontrollers die Ursache des Problems ist. Verwenden Sie die Informationen, die für Ihre Workspace ONE Access Connector-Version gelten.
20.01 und 20.10 Connectors
- Überprüfen Sie auf dem Konnektor-Server die Dateien krb5.conf und domain_krb.json, die die Zuordnung der Domänen zu den aktuellen Domänencontrollern enthalten, die für jede Domäne verwendet werden. Für den Verzeichnissynchronisierungsdienst befinden sich die Dateien im Ordner INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Für den Benutzerauthentifizierungsdienst befinden sich die Dateien im Ordner INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
- Führen Sie die folgenden Befehle vom Connector-Server aus:
nltest /dsgetdc: Domäne /try_next_closest_site
(ruft den nächsten Domänencontroller ab, der vom Betriebssystem zwischengespeichert wird)nltest /dsgetdc: Domäne /force
(löscht den Zwischenspeicher des Betriebssystems und versucht erneut, den nächsten Domänencontroller zu ermitteln)Das Windows-Betriebssystem des Konnektors identifiziert den nächsten Domänencontroller für jede Domäne, die vom Verzeichnis verwendet wird.
- Führen Sie auf dem Konnektor-Server den Befehl
ping
oderpsping
für jeden Domänencontroller aus und überprüfen Sie, ob der Domänencontroller schnell antwortet. Weniger als 20 ms ist eine gute Antwortzeit für eineping
-Anforderung. - Führen Sie auf dem Konnektor-Server den Befehl
tracert
für jeden Domänencontroller-Host für eine Domäne aus und überprüfen Sie die Anzahl der Hops zwischen dem Konnektor-Knoten und dem Domänencontroller-Host. - Befolgen Sie die Best Practices für die Domänennetzwerklatenz, die in Best Practices zur Vermeidung von Netzwerklatenz beschrieben sind, wenn der Domänencontroller langsam reagiert.
21.08 und spätere Konnektoren
- Überprüfen Sie die Konnektor-Protokolldateien. Überprüfen Sie für den Verzeichnissynchronisierungsdienst die Dateien DirectorySyncService.out und eds-service.log, die im Ordner INSTALL_DIR\Workspace ONE Access\Directory Sync Service\logs verfügbar sind. Überprüfen Sie für den Benutzerauthentifizierungsdienst die Dateien UserAuthService.out und eas-service.log, die im Ordner INSTALL_DIR\Workspace ONE Access\User Auth Service\logs verfügbar sind.
Häufige „Triggering forced Windows DC discovery“ (Erzwungene Windows-DC-Erkennung wird ausgelöst)-Meldungen in diesen Dateien weisen auf eine hohe Latenz bei den aufgelisteten Domänencontrollern hin. Wenn diese Meldung mehr als drei Mal in einer Stunde angezeigt wird, überprüfen Sie die Netzwerklatenz für Domänencontroller. Sie können Warnungen basierend auf Konnektor-Protokollen festlegen.
- Überprüfen Sie auf dem Konnektor-Server die Dateien krb5.conf und domain_krb.json, die die Zuordnung der Domänen zu den aktuellen Domänencontrollern enthalten, die für jede Domäne verwendet werden. Für den Verzeichnissynchronisierungsdienst befinden sich die Dateien im Ordner INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Für den Benutzerauthentifizierungsdienst befinden sich die Dateien im Ordner INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
- Führen Sie die folgenden Befehle vom Connector-Server aus:
nltest /dsgetdc: Domäne /try_next_closest_site
(ruft den nächsten Domänencontroller ab, der vom Betriebssystem zwischengespeichert wird)nltest /dsgetdc: Domäne /force
(löscht den Zwischenspeicher des Betriebssystems und versucht erneut, den nächsten Domänencontroller zu ermitteln)Das Windows-Betriebssystem des Konnektors identifiziert den nächsten Domänencontroller für jede Domäne, die vom Verzeichnis verwendet wird.
- Führen Sie auf dem Konnektor-Server den Befehl
ping
oderpsping
für jeden Domänencontroller aus und überprüfen Sie, ob der Domänencontroller schnell antwortet. Weniger als 20 ms ist eine gute Antwortzeit für eineping
-Anforderung. - Führen Sie auf dem Konnektor-Server den Befehl
tracert
für jeden Domänencontroller-Host für eine Domäne aus und überprüfen Sie die Anzahl der Hops zwischen dem Konnektor-Knoten und dem Domänencontroller-Host. - Befolgen Sie die Best Practices für die Domänennetzwerklatenz, die in Best Practices zur Vermeidung von Netzwerklatenz beschrieben sind, wenn der Domänencontroller langsam reagiert.