Gebruik deze informatie om problemen met de integratie van Workspace ONE Access-directory op te lossen.

Latentie van domeincontroller in Windows-connectoren identificeren

Als eindgebruikers zich niet kunnen aanmelden met hun Active Directory-aanmeldgegevens en een Toegang geweigerd-fout krijgen, of als de aanmelding zeer traag is, volgt u deze stappen om te bepalen of de netwerklatentie van domeincontrollers het probleem veroorzaakt. Gebruik de informatie die van toepassing is op uw Workspace ONE Access Connector-versie.

20.01- en 20.10-connectoren

  1. Controleer op de connectorserver de bestanden krb5.conf en domain_krb.json die de toewijzing bevatten van de domeinen aan de huidige domeincontrollers die voor elk domein worden gebruikt. Voor de directorysynchronisatieservice bevinden de bestanden zich in de map INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Voor de gebruikersverificatieservice bevinden de bestanden zich in de map INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
  2. Voer de volgende opdrachten uit vanaf de connectorserver:

    nltest /dsgetdc:domain /try_next_closest_site (ontvangt de dichtstbijzijnde domeincontroller in de cache van het besturingssysteem)

    nltest /dsgetdc:domain /force (wist de cache van het besturingssysteem en probeert de dichtstbijzijnde domeincontroller opnieuw te bepalen)

    Het Windows-besturingssysteem van de connector identificeert de dichtstbijzijnde domeincontroller voor elk domein dat door de directory wordt gebruikt.

  3. Voer vanaf de connectorserver de opdracht ping of psping van de connectorserver uit voor elke domeincontroller en controleer of de domeincontroller snel reageert. Minder dan 20 ms is een goede reactietijd voor een ping-aanvraag.
  4. Voer vanaf de connectorserver de opdracht tracert uit voor elke host van een domeincontroller voor een domein en controleer het aantal hops tussen het connectorknooppunt en de host van de domeincontroller.
  5. Volg de best practices voor de latentie van het domeinnetwerk zoals beschreven in Best practices om netwerklatentie te voorkomen, als de domeincontroller traag reageert.

Connectoren 21.08 en hoger

  1. Controleer de logboekbestanden van de connector. Controleer voor de directorysynchronisatieservice de bestanden DirectorySyncService.out en eds-service.log die beschikbaar zijn in de map INSTALL_DIR\Workspace ONE Access\Directory Sync Service\logs. Controleer voor de gebruikersverificatieservice de bestanden UserAuthService.out en eas-service.log die beschikbaar zijn in de map INSTALL_DIR\Workspace ONE Access\User Auth Service\logs.

    Frequente berichten over triggering van geforceerde DC-detectie voor Windows in deze bestanden geven aan dat de latentie bij de vermelde domeincontrollers hoog is. Als dit bericht meer dan drie keer per uur wordt weergegeven, controleert u de netwerklatentie voor domeincontrollers. U kunt waarschuwingen instellen op basis van connectorlogboeken.

  2. Controleer op de connectorserver de bestanden krb5.conf en domain_krb.json die de toewijzing bevatten van de domeinen aan de huidige domeincontrollers die voor elk domein worden gebruikt. Voor de directorysynchronisatieservice bevinden de bestanden zich in de map INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Voor de gebruikersverificatieservice bevinden de bestanden zich in de map INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
  3. Voer de volgende opdrachten uit vanaf de connectorserver:

    nltest /dsgetdc:domain /try_next_closest_site (ontvangt de dichtstbijzijnde domeincontroller in de cache van het besturingssysteem)

    nltest /dsgetdc:domain /force (wist de cache van het besturingssysteem en probeert de dichtstbijzijnde domeincontroller opnieuw te bepalen)

    Het Windows-besturingssysteem van de connector identificeert de dichtstbijzijnde domeincontroller voor elk domein dat door de directory wordt gebruikt.

  4. Voer vanaf de connectorserver de opdracht ping of psping van de connectorserver uit voor elke domeincontroller en controleer of de domeincontroller snel reageert. Minder dan 20 ms is een goede reactietijd voor een ping-aanvraag.
  5. Voer vanaf de connectorserver de opdracht tracert uit voor elke host van een domeincontroller voor een domein en controleer het aantal hops tussen het connectorknooppunt en de host van de domeincontroller.
  6. Volg de best practices voor de latentie van het domeinnetwerk zoals beschreven in Best practices om netwerklatentie te voorkomen, als de domeincontroller traag reageert.