이 정보를 사용하여 Workspace ONE Access 디렉토리 통합 문제를 해결합니다.

Windows 커넥터에서 도메인 컨트롤러 지연 시간 식별

최종 사용자가 Active Directory 자격 증명으로 로그인할 수 없고 액세스 거부 오류가 발생하거나, 로그인 속도가 매우 느린 경우 다음 단계에 따라 도메인 컨트롤러 네트워크 지연이 문제의 원인인지 파악합니다. Workspace ONE Access Connector 버전에 적용할 수 있는 정보를 사용합니다.

20.01 및 20.10 Connector

  1. 커넥터 서버에서 각 도메인에 사용되는 현재 도메인 컨트롤러에 대한 도메인 매핑이 포함된 krb5.confdomain_krb.json 파일을 확인합니다. 디렉토리 동기화 서비스의 경우 파일은 INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf 폴더에 있습니다. 사용자 인증 서비스의 경우 파일은 INSTALL_DIR\Workspace ONE Access\User Auth Service\conf 폴더에 있습니다.
  2. 커넥터 서버에서 다음 명령을 실행합니다.

    nltest /dsgetdc:domain /try_next_closest_site(OS에서 캐시한 가장 가까운 도메인 컨트롤러를 가져옵니다.)

    nltest /dsgetdc:domain /force(OS 캐시를 지우고 가장 가까운 도메인 컨트롤러를 다시 식별하려고 시도합니다.)

    커넥터의 Windows OS는 디렉토리에서 사용하는 각 도메인에 대해 가장 가까운 도메인 컨트롤러를 식별합니다.

  3. 커넥터 서버에서 각 도메인 컨트롤러에 대해 ping 또는 psping 명령을 실행하고 도메인 컨트롤러가 빠르게 응답하는지 확인합니다. ping 요청에 대한 적절한 응답 시간은 20밀리초 미만입니다.
  4. 커넥터 서버에서 도메인의 각 도메인 컨트롤러 호스트에 대해 tracert 명령을 실행하고 커넥터 노드와 도메인 컨트롤러 호스트 간의 홉 수를 확인합니다.
  5. 도메인 컨트롤러가 느리게 응답하는 경우 네트워크 지연 시간을 방지하기 위한 모범 사례에 설명된 도메인 네트워크 지연 시간에 대한 모범 사례를 따르십시오.

21.08 이상 커넥터

  1. 커넥터 로그 파일을 확인합니다. 디렉토리 동기화 서비스의 경우 DirectorySyncService.outeds-service.log 파일을 확인합니다. 이 파일은 INSTALL_DIR\Workspace ONE Access\Directory Sync Service\logs 폴더에서 사용할 수 있습니다. 사용자 인증 서비스의 경우 UserAuthService.outeas-service.log 파일을 확인합니다. 이러한 파일은 INSTALL_DIR\Workspace ONE Access\User Auth Service\logs 폴더에 있습니다.

    이러한 파일에서 "강제 Windows DC 검색 트리거" 메시지가 자주 표시되면 나열된 도메인 컨트롤러에 대한 지연 시간이 긴 것을 나타냅니다. 이 메시지가 1시간에 세 번 이상 표시되는 경우 도메인 컨트롤러에서 네트워크 지연 시간이 나타나는지 확인하십시오. 커넥터 로그를 기준으로 경고를 설정할 수 있습니다.

  2. 커넥터 서버에서 각 도메인에 사용되는 현재 도메인 컨트롤러에 대한 도메인 매핑이 포함된 krb5.confdomain_krb.json 파일을 확인합니다. 디렉토리 동기화 서비스의 경우 파일은 INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf 폴더에 있습니다. 사용자 인증 서비스의 경우 파일은 INSTALL_DIR\Workspace ONE Access\User Auth Service\conf 폴더에 있습니다.
  3. 커넥터 서버에서 다음 명령을 실행합니다.

    nltest /dsgetdc:domain /try_next_closest_site(OS에서 캐시한 가장 가까운 도메인 컨트롤러를 가져옵니다.)

    nltest /dsgetdc:domain /force(OS 캐시를 지우고 가장 가까운 도메인 컨트롤러를 다시 식별하려고 시도합니다.)

    커넥터의 Windows OS는 디렉토리에서 사용하는 각 도메인에 대해 가장 가까운 도메인 컨트롤러를 식별합니다.

  4. 커넥터 서버에서 각 도메인 컨트롤러에 대해 ping 또는 psping 명령을 실행하고 도메인 컨트롤러가 빠르게 응답하는지 확인합니다. ping 요청에 대한 적절한 응답 시간은 20밀리초 미만입니다.
  5. 커넥터 서버에서 도메인의 각 도메인 컨트롤러 호스트에 대해 tracert 명령을 실행하고 커넥터 노드와 도메인 컨트롤러 호스트 간의 홉 수를 확인합니다.
  6. 도메인 컨트롤러가 느리게 응답하는 경우 네트워크 지연 시간을 방지하기 위한 모범 사례에 설명된 도메인 네트워크 지연 시간에 대한 모범 사례를 따르십시오.