Utilice esta información para solucionar problemas de integración del directorio de Workspace ONE Access.

Identificar la latencia del controlador de dominio en conectores de Windows

Si los usuarios finales no pueden iniciar sesión con sus credenciales de Active Directory y obtienen un error de tipo Acceso denegado o si el inicio de sesión es muy lento, siga estos pasos para determinar si la latencia de red del controlador de dominio está causando el problema. Utilice la información que se aplique a su versión de Workspace ONE Access Connector.

Connector 20.01 y 20.10

  1. En el servidor del conector, compruebe los archivos krb5.conf y domain_krb.json, que contienen la asignación de los dominios a los controladores de dominio actuales que se utilizan para cada dominio. Para el servicio de sincronización de directorios, los archivos se encuentran en la carpeta INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Para el servicio de autenticación de usuario, los archivos se encuentran en la carpeta INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
  2. Ejecute los siguientes comandos desde el servidor del conector:

    nltest /dsgetdc:dominio /try_next_closest_site (obtiene el controlador de dominio más cercano almacenado en caché por el sistema operativo)

    nltest /dsgetdc:dominio /force (borra la memoria caché del sistema operativo e intenta volver a determinar el controlador de dominio más cercano)

    El sistema operativo Windows del conector identifica el controlador de dominio más cercano para cada dominio utilizado por el directorio.

  3. Desde el servidor del conector, ejecute el comando ping o psping para cada controlador de dominio y compruebe si el controlador de dominio responde rápidamente. Menos de 20 ms es un buen tiempo de respuesta para una solicitud de ping.
  4. Desde el servidor del conector, ejecute el comando tracert para cada host del controlador de dominio de un dominio y compruebe la cantidad de saltos entre el nodo del conector y el host del controlador de dominio.
  5. Siga las prácticas recomendadas para la latencia de red de dominio descritas en Prácticas recomendadas para evitar la latencia de red si el controlador de dominio responde con lentitud.

Connector 21.08 y versiones posteriores

  1. Compruebe los archivos de registro del conector. Para el servicio de sincronización de directorios, revise los archivos DirectorySyncService.out y eds-service.log que están disponibles en la carpeta INSTALL_DIR\Workspace ONE Access\Directory Sync Service\logs. Para el servicio de autenticación de usuario, consulte los archivos UserAuthService.out y eas-service.log, que están disponibles en la carpeta INSTALL_DIR\Workspace ONE Access\User Auth Service\logs.

    La presencia de mensajes frecuentes de tipo "Activación de la detección forzada de controladores de dominio de Windows" en estos archivos indican una latencia alta con los controladores de dominio enumerados. Si este mensaje aparece más de tres veces en una hora, compruebe la latencia de red de los controladores de dominio. Puede establecer alertas en función de los registros de Connector.

  2. En el servidor del conector, compruebe los archivos krb5.conf y domain_krb.json, que contienen la asignación de los dominios a los controladores de dominio actuales que se utilizan para cada dominio. Para el servicio de sincronización de directorios, los archivos se encuentran en la carpeta INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Para el servicio de autenticación de usuario, los archivos se encuentran en la carpeta INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
  3. Ejecute los siguientes comandos desde el servidor del conector:

    nltest /dsgetdc:dominio /try_next_closest_site (obtiene el controlador de dominio más cercano almacenado en caché por el sistema operativo)

    nltest /dsgetdc:dominio /force (borra la memoria caché del sistema operativo e intenta volver a determinar el controlador de dominio más cercano)

    El sistema operativo Windows del conector identifica el controlador de dominio más cercano para cada dominio utilizado por el directorio.

  4. Desde el servidor del conector, ejecute el comando ping o psping para cada controlador de dominio y compruebe si el controlador de dominio responde rápidamente. Menos de 20 ms es un buen tiempo de respuesta para una solicitud de ping.
  5. Desde el servidor del conector, ejecute el comando tracert para cada host del controlador de dominio de un dominio y compruebe la cantidad de saltos entre el nodo del conector y el host del controlador de dominio.
  6. Siga las prácticas recomendadas para la latencia de red de dominio descritas en Prácticas recomendadas para evitar la latencia de red si el controlador de dominio responde con lentitud.