Utilisez ces informations pour résoudre les problèmes d'intégration d'annuaire de Workspace ONE Access.

Identification de la latence du contrôleur de domaine dans les connecteurs Windows

Si les utilisateurs finaux ne parviennent pas à se connecter avec leurs informations d'identification Active Directory et obtiennent une erreur Accès refusé, ou si la connexion est très lente, suivez ces étapes pour déterminer si la latence réseau du contrôleur de domaine est à l'origine du problème. Utilisez les informations applicables à votre version de Workspace ONE Access Connector.

Connector 19.03

  1. Consultez les fichiers journaux connector-dir-sync et connector du connecteur, disponibles dans le dossier INSTALL_DIR\VMware Identity Manager\Connector\opt\vmware\horizon\workspace\logs.

    Les messages « Déclenchement de la détection forcée des DC Windows » fréquents de ces fichiers indiquent une latence élevée avec les contrôleurs de domaine répertoriés. Si ce message s'affiche plus de trois fois en une heure, vérifiez la latence réseau des contrôleurs de domaine. Vous pouvez définir des alertes basées sur les journaux du connecteur.

  2. Exécutez les commandes suivantes à partir du serveur du connecteur :

    nltest /dsgetdc:domain /try_next_closest_site (obtient le contrôleur de domaine le plus proche mis en cache par le SE)

    nltest /dsgetdc:domain /force (efface le cache du SE et réessaie de déterminer le contrôleur de domaine le plus proche)

    Le SE Windows du connecteur identifie le contrôleur de domaine le plus proche pour chaque domaine utilisé par l'annuaire.

  3. À partir du serveur du connecteur, exécutez la commande ping ou psping pour chaque contrôleur de domaine et vérifiez si celui-ci répond rapidement. Un temps de réponse inférieur à 20 ms est correct pour une demande ping.
  4. À partir du serveur de connecteur, exécutez la commande tracert pour chaque hôte du contrôleur d'un domaine et vérifiez le nombre de tronçons entre le nœud du connecteur et l'hôte du contrôleur de domaine.
  5. Suivez les meilleures pratiques pour la latence réseau de domaine décrites dans la section Meilleures pratiques pour éviter la latence réseau, si le contrôleur de domaine est lent à répondre.

Instances de Connector 20.01 et 20.10

  1. Sur le serveur du connecteur, vérifiez les fichiers krb5.conf et domain_krb.json, qui contiennent le mappage des domaines aux contrôleurs de domaine actuels utilisés pour chaque domaine. Pour le service de synchronisation d'annuaire, les fichiers se trouvent dans le dossier INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Pour le service d'authentification utilisateur, les fichiers se trouvent dans le dossier INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
  2. Exécutez les commandes suivantes à partir du serveur du connecteur :

    nltest /dsgetdc:domain /try_next_closest_site (obtient le contrôleur de domaine le plus proche mis en cache par le SE)

    nltest /dsgetdc:domain /force (efface le cache du SE et réessaie de déterminer le contrôleur de domaine le plus proche)

    Le SE Windows du connecteur identifie le contrôleur de domaine le plus proche pour chaque domaine utilisé par l'annuaire.

  3. À partir du serveur du connecteur, exécutez la commande ping ou psping à partir du serveur du connecteur pour chaque contrôleur de domaine et vérifiez si celui-ci répond rapidement. Un temps de réponse inférieur à 20 ms est correct pour une demande ping.
  4. À partir du serveur de connecteur, exécutez la commande tracert pour chaque hôte du contrôleur d'un domaine et vérifiez le nombre de tronçons entre le nœud du connecteur et l'hôte du contrôleur de domaine.
  5. Suivez les meilleures pratiques pour la latence réseau de domaine décrites dans la section Meilleures pratiques pour éviter la latence réseau, si le contrôleur de domaine est lent à répondre.

Connectors 21.08 et versions ultérieures

  1. Vérifiez les fichiers journaux du connecteur. Pour le service de synchronisation d'annuaire, consultez les fichiers DirectorySyncService.out et eds-service.log disponibles dans le dossier INSTALL_DIR\Workspace ONE Access\Directory Sync Service\logs. Pour le service d'authentification utilisateur, consultez les fichiers UserAuthService.out et eas-service.log disponibles dans le dossier INSTALL_DIR\Workspace ONE Access\User Auth Service\logs.

    Les messages « Déclenchement de la détection forcée des DC Windows » fréquents de ces fichiers indiquent une latence élevée avec les contrôleurs de domaine répertoriés. Si ce message s'affiche plus de trois fois en une heure, vérifiez la latence réseau des contrôleurs de domaine. Vous pouvez définir des alertes basées sur les journaux du connecteur.

  2. Sur le serveur du connecteur, vérifiez les fichiers krb5.conf et domain_krb.json, qui contiennent le mappage des domaines aux contrôleurs de domaine actuels utilisés pour chaque domaine. Pour le service de synchronisation d'annuaire, les fichiers se trouvent dans le dossier INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Pour le service d'authentification utilisateur, les fichiers se trouvent dans le dossier INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
  3. Exécutez les commandes suivantes à partir du serveur du connecteur :

    nltest /dsgetdc:domain /try_next_closest_site (obtient le contrôleur de domaine le plus proche mis en cache par le SE)

    nltest /dsgetdc:domain /force (efface le cache du SE et réessaie de déterminer le contrôleur de domaine le plus proche)

    Le SE Windows du connecteur identifie le contrôleur de domaine le plus proche pour chaque domaine utilisé par l'annuaire.

  4. À partir du serveur du connecteur, exécutez la commande ping ou psping à partir du serveur du connecteur pour chaque contrôleur de domaine et vérifiez si celui-ci répond rapidement. Un temps de réponse inférieur à 20 ms est correct pour une demande ping.
  5. À partir du serveur de connecteur, exécutez la commande tracert pour chaque hôte du contrôleur d'un domaine et vérifiez le nombre de tronçons entre le nœud du connecteur et l'hôte du contrôleur de domaine.
  6. Suivez les meilleures pratiques pour la latence réseau de domaine décrites dans la section Meilleures pratiques pour éviter la latence réseau, si le contrôleur de domaine est lent à répondre.