Определение задержки контроллера домена в соединителях Windows

Если конечным пользователям не удается войти в систему с помощью учетных данных Active Directory и они получают сообщение об ошибке Доступ запрещен, либо если они очень медленно входят в систему, выполните приведенные ниже действия, чтобы определить, приводит ли к этой проблеме сетевая задержка контроллера домена. Используйте информацию, применимую к вашей версии Workspace ONE Access Connector.

Connector 20.01 и 20.10

1. На сервере соединителя проверьте файлы krb5.conf и domain_krb.json, которые содержат данные о сопоставлении доменов с текущими контроллерами домена, используемыми для каждого домена. Для службы синхронизации каталогов файлы находятся в папке INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Для службы проверки подлинности пользователей файлы находятся в папке INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
2. Выполните следующие команды с сервера Connector:

   nltest /dsgetdc:domain /try_next_closest_site (получает ближайший контроллер домена, кэшируемый операционной системой);

   nltest /dsgetdc:domain /force (очищает кэш ОС и снова пытается определить ближайший контроллер домена).

   ОС Windows соединителя определяется ближайший контроллер домена для каждого домена, используемого каталогом.

3. На сервере соединителя выполните команду ping или psping с сервера соединителя для каждого контроллера домена и проверьте, быстро ли отвечает контроллер домена. Менее 20 мс — это отличное время реагирования для запроса ping.
4. С сервера соединителя выполните команду tracert для каждого узла контроллера домена и проверьте число переходов между узлом соединителя и узлом контроллера домена.
5. Следуйте передовым практикам относительно сетевой задержки домена, описанной в разделе Передовые практики по предотвращению сетевых задержек, если контроллер домена отвечает медленно.

Connector 21.08 и более поздних версий

1. Проверьте файлы журнала соединителя. Для службы синхронизации каталогов проверьте файлы DirectorySyncService.out и eds-service.log в папке INSTALL_DIR\Workspace ONE Access\Directory Sync Service\logs. Для службы проверки подлинности пользователей проверьте файлы UserAuthService.out и eas-service.log в папке INSTALL_DIR\Workspace ONE Access\User Auth Service\logs.

   Частые сообщения «Triggering forced windows DC discovery» (Активация принудительного обнаружения контроллеров домена Windows) в этих файлах указывают на высокую задержку на перечисленных контроллерах домена. Если это сообщение появляется более трех раз в час, проверьте сетевую задержку для контроллеров домена. На основе журналов соединителей можно настроить оповещения.

2. На сервере соединителя проверьте файлы krb5.conf и domain_krb.json, которые содержат данные о сопоставлении доменов с текущими контроллерами домена, используемыми для каждого домена. Для службы синхронизации каталогов файлы находятся в папке INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Для службы проверки подлинности пользователей файлы находятся в папке INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
3. Выполните следующие команды с сервера Connector:

   nltest /dsgetdc:domain /try_next_closest_site (получает ближайший контроллер домена, кэшируемый операционной системой);

   nltest /dsgetdc:domain /force (очищает кэш ОС и снова пытается определить ближайший контроллер домена).

   ОС Windows соединителя определяется ближайший контроллер домена для каждого домена, используемого каталогом.

4. На сервере соединителя выполните команду ping или psping с сервера соединителя для каждого контроллера домена и проверьте, быстро ли отвечает контроллер домена. Менее 20 мс — это отличное время реагирования для запроса ping.
5. С сервера соединителя выполните команду tracert для каждого узла контроллера домена и проверьте число переходов между узлом соединителя и узлом контроллера домена.
6. Следуйте передовым практикам относительно сетевой задержки домена, описанной в разделе Передовые практики по предотвращению сетевых задержек, если контроллер домена отвечает медленно.