Используйте эту информацию для устранения неполадок с интеграцией каталогов Workspace ONE Access.
Определение задержки контроллера домена в соединителях Windows
Если конечным пользователям не удается войти в систему с помощью учетных данных Active Directory и они получают сообщение об ошибке Доступ запрещен, либо если они очень медленно входят в систему, выполните приведенные ниже действия, чтобы определить, приводит ли к этой проблеме сетевая задержка контроллера домена. Используйте информацию, применимую к вашей версии Workspace ONE Access Connector.
Connector 20.01 и 20.10
- На сервере соединителя проверьте файлы krb5.conf и domain_krb.json, которые содержат данные о сопоставлении доменов с текущими контроллерами домена, используемыми для каждого домена. Для службы синхронизации каталогов файлы находятся в папке INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Для службы проверки подлинности пользователей файлы находятся в папке INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
- Выполните следующие команды с сервера Connector:
nltest /dsgetdc:domain /try_next_closest_site
(получает ближайший контроллер домена, кэшируемый операционной системой);nltest /dsgetdc:domain /force
(очищает кэш ОС и снова пытается определить ближайший контроллер домена).ОС Windows соединителя определяется ближайший контроллер домена для каждого домена, используемого каталогом.
- На сервере соединителя выполните команду
ping
илиpsping
с сервера соединителя для каждого контроллера домена и проверьте, быстро ли отвечает контроллер домена. Менее 20 мс — это отличное время реагирования для запросаping
. - С сервера соединителя выполните команду
tracert
для каждого узла контроллера домена и проверьте число переходов между узлом соединителя и узлом контроллера домена. - Следуйте передовым практикам относительно сетевой задержки домена, описанной в разделе Передовые практики по предотвращению сетевых задержек, если контроллер домена отвечает медленно.
Connector 21.08 и более поздних версий
- Проверьте файлы журнала соединителя. Для службы синхронизации каталогов проверьте файлы DirectorySyncService.out и eds-service.log в папке INSTALL_DIR\Workspace ONE Access\Directory Sync Service\logs. Для службы проверки подлинности пользователей проверьте файлы UserAuthService.out и eas-service.log в папке INSTALL_DIR\Workspace ONE Access\User Auth Service\logs.
Частые сообщения «Triggering forced windows DC discovery» (Активация принудительного обнаружения контроллеров домена Windows) в этих файлах указывают на высокую задержку на перечисленных контроллерах домена. Если это сообщение появляется более трех раз в час, проверьте сетевую задержку для контроллеров домена. На основе журналов соединителей можно настроить оповещения.
- На сервере соединителя проверьте файлы krb5.conf и domain_krb.json, которые содержат данные о сопоставлении доменов с текущими контроллерами домена, используемыми для каждого домена. Для службы синхронизации каталогов файлы находятся в папке INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Для службы проверки подлинности пользователей файлы находятся в папке INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
- Выполните следующие команды с сервера Connector:
nltest /dsgetdc:domain /try_next_closest_site
(получает ближайший контроллер домена, кэшируемый операционной системой);nltest /dsgetdc:domain /force
(очищает кэш ОС и снова пытается определить ближайший контроллер домена).ОС Windows соединителя определяется ближайший контроллер домена для каждого домена, используемого каталогом.
- На сервере соединителя выполните команду
ping
илиpsping
с сервера соединителя для каждого контроллера домена и проверьте, быстро ли отвечает контроллер домена. Менее 20 мс — это отличное время реагирования для запросаping
. - С сервера соединителя выполните команду
tracert
для каждого узла контроллера домена и проверьте число переходов между узлом соединителя и узлом контроллера домена. - Следуйте передовым практикам относительно сетевой задержки домена, описанной в разделе Передовые практики по предотвращению сетевых задержек, если контроллер домена отвечает медленно.