Используйте эту информацию для устранения неполадок с интеграцией каталогов Workspace ONE Access.

Определение задержки контроллера домена в соединителях Windows

Если конечным пользователям не удается войти в систему с помощью учетных данных Active Directory и они получают сообщение об ошибке Доступ запрещен, либо если они очень медленно входят в систему, выполните приведенные ниже действия, чтобы определить, приводит ли к этой проблеме сетевая задержка контроллера домена. Используйте информацию, применимую к вашей версии Workspace ONE Access Connector.

Connector 20.01 и 20.10

  1. На сервере соединителя проверьте файлы krb5.conf и domain_krb.json, которые содержат данные о сопоставлении доменов с текущими контроллерами домена, используемыми для каждого домена. Для службы синхронизации каталогов файлы находятся в папке INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Для службы проверки подлинности пользователей файлы находятся в папке INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
  2. Выполните следующие команды с сервера Connector:

    nltest /dsgetdc:domain /try_next_closest_site (получает ближайший контроллер домена, кэшируемый операционной системой);

    nltest /dsgetdc:domain /force (очищает кэш ОС и снова пытается определить ближайший контроллер домена).

    ОС Windows соединителя определяется ближайший контроллер домена для каждого домена, используемого каталогом.

  3. На сервере соединителя выполните команду ping или psping с сервера соединителя для каждого контроллера домена и проверьте, быстро ли отвечает контроллер домена. Менее 20 мс — это отличное время реагирования для запроса ping.
  4. С сервера соединителя выполните команду tracert для каждого узла контроллера домена и проверьте число переходов между узлом соединителя и узлом контроллера домена.
  5. Следуйте передовым практикам относительно сетевой задержки домена, описанной в разделе Передовые практики по предотвращению сетевых задержек, если контроллер домена отвечает медленно.

Connector 21.08 и более поздних версий

  1. Проверьте файлы журнала соединителя. Для службы синхронизации каталогов проверьте файлы DirectorySyncService.out и eds-service.log в папке INSTALL_DIR\Workspace ONE Access\Directory Sync Service\logs. Для службы проверки подлинности пользователей проверьте файлы UserAuthService.out и eas-service.log в папке INSTALL_DIR\Workspace ONE Access\User Auth Service\logs.

    Частые сообщения «Triggering forced windows DC discovery» (Активация принудительного обнаружения контроллеров домена Windows) в этих файлах указывают на высокую задержку на перечисленных контроллерах домена. Если это сообщение появляется более трех раз в час, проверьте сетевую задержку для контроллеров домена. На основе журналов соединителей можно настроить оповещения.

  2. На сервере соединителя проверьте файлы krb5.conf и domain_krb.json, которые содержат данные о сопоставлении доменов с текущими контроллерами домена, используемыми для каждого домена. Для службы синхронизации каталогов файлы находятся в папке INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf. Для службы проверки подлинности пользователей файлы находятся в папке INSTALL_DIR\Workspace ONE Access\User Auth Service\conf.
  3. Выполните следующие команды с сервера Connector:

    nltest /dsgetdc:domain /try_next_closest_site (получает ближайший контроллер домена, кэшируемый операционной системой);

    nltest /dsgetdc:domain /force (очищает кэш ОС и снова пытается определить ближайший контроллер домена).

    ОС Windows соединителя определяется ближайший контроллер домена для каждого домена, используемого каталогом.

  4. На сервере соединителя выполните команду ping или psping с сервера соединителя для каждого контроллера домена и проверьте, быстро ли отвечает контроллер домена. Менее 20 мс — это отличное время реагирования для запроса ping.
  5. С сервера соединителя выполните команду tracert для каждого узла контроллера домена и проверьте число переходов между узлом соединителя и узлом контроллера домена.
  6. Следуйте передовым практикам относительно сетевой задержки домена, описанной в разделе Передовые практики по предотвращению сетевых задержек, если контроллер домена отвечает медленно.