Utilizzare queste informazioni per risolvere i problemi di integrazione della directory Workspace ONE Access.

Identificazione della latenza del controller di dominio nei connettori Windows

Se gli utenti finali non sono in grado di effettuare l'accesso con le proprie credenziali di Active Directory e ricevono un errore di accesso negato oppure se l'accesso è molto lento, eseguire i passaggi seguenti per determinare se la latenza di rete del controller di dominio è la causa del problema. Utilizzare le informazioni applicabili per la versione di Workspace ONE Access Connector.

Connettori 20.01 e 20.10

  1. Nel server del connettore, controllare i file krb5.conf e domain_krb.json, contenenti la mappatura dei domini ai controller di dominio correnti utilizzati per ogni dominio. Per il servizio Sincronizzazione directory, i file si trovano nella cartella INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Per il servizio di autenticazione degli utenti, i file si trovano nella cartella INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
  2. Eseguire i comandi seguenti dal server del connettore:

    nltest /dsgetdc:domain /try_next_closest_site (recupera il controller di dominio più vicino memorizzato nella cache dal sistema operativo)

    nltest /dsgetdc:domain /force (cancella la cache del sistema operativo e tenta di nuovo di determinare il controller di dominio più vicino)

    Il sistema operativo Windows del connettore identifica il controller di dominio più vicino per ogni dominio utilizzato dalla directory.

  3. Dal server del connettore, eseguire il comando ping o psping dal server del connettore per ciascun controller di dominio e verificare se il controller di dominio risponde rapidamente. Meno di 20 ms è un buon tempo di risposta per una richiesta ping.
  4. Dal server del connettore, eseguire il comando tracert per ciascun host del controller di dominio per un dominio e controllare il numero di hop tra il nodo del connettore e l'host del controller di dominio.
  5. Seguire le procedure consigliate per la latenza di rete del dominio descritte in Procedure consigliate per evitare la latenza di rete se il controller di dominio è lento a rispondere.

Connector 21.08 e versioni successive

  1. Controllare i file di log del connettore. Per il servizio Sincronizzazione directory, controllare i file DirectorySyncService.out e eds-service.log, disponibili nella cartella INSTALL_DIR\Workspace ONE Access\Directory Sync Service\logs. Per il servizio di autenticazione degli utenti, controllare i file UserAuthService.out e eas-service.log, disponibili nella cartella INSTALL_DIR\Workspace ONE Access\User Auth Service\logs.

    I messaggi frequenti "Triggering forced windows DC discovery" visualizzati in questi file indicano una latenza elevata con i controller di dominio elencati. Se questo messaggio viene visualizzato più di tre volte in un'ora, controllare la latenza di rete per i controller di dominio. È possibile impostare avvisi in base ai registri del connettore.

  2. Nel server del connettore, controllare i file krb5.conf e domain_krb.json, contenenti la mappatura dei domini ai controller di dominio correnti utilizzati per ogni dominio. Per il servizio Sincronizzazione directory, i file si trovano nella cartella INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Per il servizio di autenticazione degli utenti, i file si trovano nella cartella INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
  3. Eseguire i comandi seguenti dal server del connettore:

    nltest /dsgetdc:domain /try_next_closest_site (recupera il controller di dominio più vicino memorizzato nella cache dal sistema operativo)

    nltest /dsgetdc:domain /force (cancella la cache del sistema operativo e tenta di nuovo di determinare il controller di dominio più vicino)

    Il sistema operativo Windows del connettore identifica il controller di dominio più vicino per ogni dominio utilizzato dalla directory.

  4. Dal server del connettore, eseguire il comando ping o psping dal server del connettore per ciascun controller di dominio e verificare se il controller di dominio risponde rapidamente. Meno di 20 ms è un buon tempo di risposta per una richiesta ping.
  5. Dal server del connettore, eseguire il comando tracert per ciascun host del controller di dominio per un dominio e controllare il numero di hop tra il nodo del connettore e l'host del controller di dominio.
  6. Seguire le procedure consigliate per la latenza di rete del dominio descritte in Procedure consigliate per evitare la latenza di rete se il controller di dominio è lento a rispondere.