在 Windows 連接器中識別網域控制器延遲

如果使用者無法使用其 Active Directory 認證登入，且收到拒絕存取錯誤，或者登入速度很慢，請按照以下步驟來判斷是否是網域控制器的網路延遲造成該問題。使用適用於您的 Workspace ONE Access Connector 版本的資訊。

20.01 和 20.10 Connector

1. 在連接器伺服器上，檢查 krb5.conf 和 domain_krb.json 檔案，其中包含該網域指向用於每個網域之目前網域控制器的對應。對於目錄同步服務，這些檔案位於 INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf 資料夾中。對於使用者驗證服務，這些檔案位於 INSTALL_DIR\Workspace ONE Access\User Auth Service\conf 資料夾中。
2. 從連接器伺服器中執行以下命令：

   nltest /dsgetdc: domain /try_next_closest_site (取得作業系統快取的最近網域控制器)

   nltest /dsgetdc: domain /force (清除作業系統快取，並再次嘗試判斷最近的網域控制器)

   連接器的 Windows 作業系統會針對目錄使用的每一個網域，識別其最近的網域控制器。

3. 從連接器伺服器，針對每一個網域控制器執行 ping 或 psping 命令，並檢查網域控制器是否快速回應。對於 ping 要求，理想的回應時間是少於 20 毫秒。
4. 從連接器伺服器，針對網域的每一個網域控制器主機執行 tracert 命令，並檢查連接器節點和網域控制器主機之間的躍點數。
5. 如果網域控制器回應緩慢，請按照避免網路延遲的最佳做法中所述的網域網路延遲的最佳做法進行。

21.08 和更新版本連接器

1. 檢查連接器紀錄檔。對於目錄同步服務，請檢查 DirectorySyncService.out 和 eds-service.log 檔案，它們位於 INSTALL_DIR\Workspace ONE Access\Directory Sync Service\logs 資料夾中。對於使用者驗證服務，請檢查 UserAuthService.out 和 eas-service.log 檔案，它們位於 INSTALL_DIR\Workspace ONE Access\User Auth Service\logs 資料夾中。

   在這些檔案中頻繁出現的「觸發強制探索 Windows DC」(Triggering forced windows DC discovery) 訊息指出，列出的網域控制器延遲較久。如果該訊息在一小時內出現 3 次以上，請檢查網域控制器的網路延遲。您可以根據連接器紀錄來設定警示。

2. 在連接器伺服器上，檢查 krb5.conf 和 domain_krb.json 檔案，其中包含該網域指向用於每個網域之目前網域控制器的對應。對於目錄同步服務，這些檔案位於 INSTALL_DIR\Workspace ONE Access\Directory Sync Service\conf 資料夾中。對於使用者驗證服務，這些檔案位於 INSTALL_DIR\Workspace ONE Access\User Auth Service\conf 資料夾中。
3. 從連接器伺服器中執行以下命令：

   nltest /dsgetdc: domain /try_next_closest_site (取得作業系統快取的最近網域控制器)

   nltest /dsgetdc: domain /force (清除作業系統快取，並再次嘗試判斷最近的網域控制器)

   連接器的 Windows 作業系統會針對目錄使用的每一個網域，識別其最近的網域控制器。

4. 從連接器伺服器，針對每一個網域控制器執行 ping 或 psping 命令，並檢查網域控制器是否快速回應。對於 ping 要求，理想的回應時間是少於 20 毫秒。
5. 從連接器伺服器，針對網域的每一個網域控制器主機執行 tracert 命令，並檢查連接器節點和網域控制器主機之間的躍點數。
6. 如果網域控制器回應緩慢，請按照避免網路延遲的最佳做法中所述的網域網路延遲的最佳做法進行。