Используйте эту информацию для устранения неполадок с интеграцией каталогов Workspace ONE Access.

Определение задержки контроллера домена в соединителях Windows

Если конечным пользователям не удается войти в систему с помощью учетных данных Active Directory и они получают сообщение об ошибке Доступ запрещен, либо если они очень медленно входят в систему, выполните приведенные ниже действия, чтобы определить, приводит ли к этой проблеме сетевая задержка контроллера домена. Используйте информацию, применимую к вашей версии Workspace ONE Access Connector.

Connector 19.03

  1. Проверьте файлы журнала Connector connector-dir-sync и connector, расположенные в папке INSTALL_DIR\VMware Identity Manager\Connector\opt\vmware\horizon\workspace\logs.

    Частые сообщения «Triggering forced windows DC discovery» (Активация принудительного обнаружения контроллеров домена Windows) в этих файлах указывают на высокую задержку на перечисленных контроллерах домена. Если это сообщение появляется более трех раз в час, проверьте сетевую задержку для контроллеров домена. На основе журналов соединителей можно настроить оповещения.

  2. Выполните следующие команды с сервера Connector:

    nltest /dsgetdc:domain /try_next_closest_site (получает ближайший контроллер домена, кэшируемый операционной системой);

    nltest /dsgetdc:domain /force (очищает кэш ОС и снова пытается определить ближайший контроллер домена).

    ОС Windows соединителя определяется ближайший контроллер домена для каждого домена, используемого каталогом.

  3. На сервере соединителя выполните команду ping или psping для каждого контроллера домена и проверьте, быстро ли отвечает контроллер домена. Менее 20 мс — это отличное время реагирования для запроса ping.
  4. С сервера соединителя выполните команду tracert для каждого узла контроллера домена и проверьте число переходов между узлом соединителя и узлом контроллера домена.
  5. Следуйте передовым практикам относительно сетевой задержки домена, описанной в разделе Передовые практики по предотвращению сетевых задержек, если контроллер домена отвечает медленно.

Connector 20.01 и 20.10

  1. На сервере соединителя проверьте файлы krb5.conf и domain_krb.json, которые содержат данные о сопоставлении доменов с текущими контроллерами домена, используемыми для каждого домена. Для службы синхронизации каталогов файлы находятся в папке INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Для службы проверки подлинности пользователей файлы находятся в папке INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
  2. Выполните следующие команды с сервера Connector:

    nltest /dsgetdc:domain /try_next_closest_site (получает ближайший контроллер домена, кэшируемый операционной системой);

    nltest /dsgetdc:domain /force (очищает кэш ОС и снова пытается определить ближайший контроллер домена).

    ОС Windows соединителя определяется ближайший контроллер домена для каждого домена, используемого каталогом.

  3. На сервере соединителя выполните команду ping или psping с сервера соединителя для каждого контроллера домена и проверьте, быстро ли отвечает контроллер домена. Менее 20 мс — это отличное время реагирования для запроса ping.
  4. С сервера соединителя выполните команду tracert для каждого узла контроллера домена и проверьте число переходов между узлом соединителя и узлом контроллера домена.
  5. Следуйте передовым практикам относительно сетевой задержки домена, описанной в разделе Передовые практики по предотвращению сетевых задержек, если контроллер домена отвечает медленно.

Connector 21.08 и более поздних версий

  1. Проверьте файлы журнала соединителя. Для службы синхронизации каталогов проверьте файлы DirectorySyncService.out и eds-service.log в папке INSTALL_DIR\Workspace ONE Access\Directory Sync Service\logs. Для службы проверки подлинности пользователей проверьте файлы UserAuthService.out и eas-service.log в папке INSTALL_DIR\Workspace ONE Access\User Auth Service\logs.

    Частые сообщения «Triggering forced windows DC discovery» (Активация принудительного обнаружения контроллеров домена Windows) в этих файлах указывают на высокую задержку на перечисленных контроллерах домена. Если это сообщение появляется более трех раз в час, проверьте сетевую задержку для контроллеров домена. На основе журналов соединителей можно настроить оповещения.

  2. На сервере соединителя проверьте файлы krb5.conf и domain_krb.json, которые содержат данные о сопоставлении доменов с текущими контроллерами домена, используемыми для каждого домена. Для службы синхронизации каталогов файлы находятся в папке INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Для службы проверки подлинности пользователей файлы находятся в папке INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
  3. Выполните следующие команды с сервера Connector:

    nltest /dsgetdc:domain /try_next_closest_site (получает ближайший контроллер домена, кэшируемый операционной системой);

    nltest /dsgetdc:domain /force (очищает кэш ОС и снова пытается определить ближайший контроллер домена).

    ОС Windows соединителя определяется ближайший контроллер домена для каждого домена, используемого каталогом.

  4. На сервере соединителя выполните команду ping или psping с сервера соединителя для каждого контроллера домена и проверьте, быстро ли отвечает контроллер домена. Менее 20 мс — это отличное время реагирования для запроса ping.
  5. С сервера соединителя выполните команду tracert для каждого узла контроллера домена и проверьте число переходов между узлом соединителя и узлом контроллера домена.
  6. Следуйте передовым практикам относительно сетевой задержки домена, описанной в разделе Передовые практики по предотвращению сетевых задержек, если контроллер домена отвечает медленно.