この情報を使用して、Workspace ONE Access ディレクトリ統合の問題をトラブルシューティングします。

Windows コネクタでのドメイン コントローラの遅延の特定

エンド ユーザーが Active Directory 資格情報を使用してログインできず、「アクセスは拒否されました」エラーが発生した場合、またはログインに非常に時間がかかる場合は、次の手順を実行して、ドメイン コントローラのネットワーク遅延が問題の原因になっているかどうかを判断します。Workspace ONE Access Connector のバージョンに適用可能な情報を使用します。

[20.01 および 20.10 コネクタ]

  1. コネクタ サーバで、krb5.conf および domain_krb.json ファイルを確認します。これらのファイルには、各ドメインで使用されている現在のドメイン コントローラへのドメインのマッピングが含まれています。ディレクトリ同期サービスの場合、ファイルは INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf フォルダにあります。ユーザー認証サービスの場合、ファイルは INSTALL_DIR\Workspace ONE Access\User Auth Service\conf フォルダにあります。
  2. コネクタ サーバから次のコマンドを実行します。

    nltest /dsgetdc:domain /try_next_closest_site(OS によってキャッシュされた最も近いドメイン コントローラを取得します)

    nltest /dsgetdc:domain /force(OS キャッシュをクリアし、最も近いドメイン コントローラを再度特定しようとします)

    コネクタの Windows OS は、ディレクトリで使用される各ドメインの最も近いドメイン コントローラを識別します。

  3. コネクタ サーバから、各ドメイン コントローラに対して ping または psping コマンドを実行し、ドメイン コントローラが迅速に応答するかどうかを確認します。20 ミリ秒未満であれば、ping 要求に対する応答時間として正常です。
  4. コネクタ サーバから、ドメインの各ドメイン コントローラ ホストに対して tracert コマンドを実行し、コネクタ ノードとドメイン コントローラ ホスト間のホップ数を確認します。
  5. ドメイン コントローラの応答が遅い場合は、ネットワーク遅延を回避するためのベスト プラクティスで説明されているドメイン ネットワーク遅延のベスト プラクティスに従ってください。

[21.08 以降のコネクタ]

  1. コネクタのログ ファイルを確認します。ディレクトリ同期サービスの場合は、DirectorySyncService.out および eds-service.log ファイルを確認します。これらのファイルは、INSTALL_DIR\Workspace ONE Access\Directory Sync Service\logs フォルダにあります。ユーザー認証サービスの場合は、UserAuthService.out および eas-service.log ファイルを確認します。これらのファイルは、INSTALL_DIR\Workspace ONE Access\User Auth Service\logs フォルダにあります。

    これらのファイルで「Windows DC 検出を強制的にトリガしています」というメッセージが頻繁に発生する場合は、リストされているドメイン コントローラの待ち時間が長いことを示しています。このメッセージが 1 時間に 4 回以上表示される場合は、ドメイン コントローラのネットワーク遅延を確認してください。コネクタ ログに基づいてアラートを設定できます。

  2. コネクタ サーバで、krb5.conf および domain_krb.json ファイルを確認します。これらのファイルには、各ドメインで使用されている現在のドメイン コントローラへのドメインのマッピングが含まれています。ディレクトリ同期サービスの場合、ファイルは INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf フォルダにあります。ユーザー認証サービスの場合、ファイルは INSTALL_DIR\Workspace ONE Access\User Auth Service\conf フォルダにあります。
  3. コネクタ サーバから次のコマンドを実行します。

    nltest /dsgetdc:domain /try_next_closest_site(OS によってキャッシュされた最も近いドメイン コントローラを取得します)

    nltest /dsgetdc:domain /force(OS キャッシュをクリアし、最も近いドメイン コントローラを再度特定しようとします)

    コネクタの Windows OS は、ディレクトリで使用される各ドメインの最も近いドメイン コントローラを識別します。

  4. コネクタ サーバから、各ドメイン コントローラに対して ping または psping コマンドを実行し、ドメイン コントローラが迅速に応答するかどうかを確認します。20 ミリ秒未満であれば、ping 要求に対する応答時間として正常です。
  5. コネクタ サーバから、ドメインの各ドメイン コントローラ ホストに対して tracert コマンドを実行し、コネクタ ノードとドメイン コントローラ ホスト間のホップ数を確認します。
  6. ドメイン コントローラの応答が遅い場合は、ネットワーク遅延を回避するためのベスト プラクティスで説明されているドメイン ネットワーク遅延のベスト プラクティスに従ってください。