O arquivo domain_krb.properties determina quais controladores de domínio são usados para os diretórios com a pesquisa Localização do Serviço DNS (registros SRV) habilitada. Ele contém uma lista de controladores de domínio para cada domínio. O conector cria o arquivo inicialmente, e você deve mantê-lo posteriormente. O arquivo substitui a pesquisa Localização do Serviço DNS (SRV).
- Active Directory sobre LDAP com a opção Esse diretório suporta localização do serviço DNS selecionada
- Active Directory (Autenticação Integrada do Windows) sempre com a pesquisa Localização do Serviço DNS habilitada
A primeira vez que você cria um diretório com a pesquisa Localização do Serviço DNS habilitada, um arquivo domain_krb.properties é criado automaticamente no diretório /usr/local/horizon/conf da máquina virtual e é preenchido automaticamente com controladores de domínio para cada domínio. Para preencher o arquivo, o conector tenta localizar os controladores de domínio que estão no mesmo site que o conector e seleciona dois que sejam acessíveis e que respondam mais rápido.
Quando você cria diretórios adicionais com a Localização do Serviço DNS habilitada ou adiciona novos domínios em um diretório de autenticação integrada do Windows, os novos domínios e uma lista de controladores de domínio para esses domínios são adicionados ao arquivo.
Você pode substituir a seleção padrão a qualquer momento editando o arquivo domain_krb.properties. Como prática recomendada, depois de criar um diretório, visualize o arquivo domain_krb.properties e verifique se os controladores de domínio listados são os ideais para a sua configuração. Para uma implantação do Active Directory global com vários controladores de domínio em diferentes localizações geográficas, usar um controlador de domínio que esteja muito próximo ao conector garante uma comunicação mais rápida com o Active Directory.
Você também deve atualizar o arquivo manualmente para qualquer outra alteração. As seguintes regras aplicam-se.
- O arquivo domain_krb.properties é criado na máquina virtual que contém o conector. Em uma implantação típica, sem conectores adicionais implantados, o arquivo é criado na máquina virtual de serviço do VMware Identity Manager. Se você estiver usando um conector adicional para o diretório, o arquivo será criado na máquina virtual do conector. Uma máquina virtual somente pode ter um arquivo domain_krb.properties.
- O arquivo é criado e preenchido automaticamente com controladores de domínio para cada domínio na primeira vez que você cria um diretório com a pesquisa Localização do Serviço DNS habilitada.
- Os controladores de domínio para cada domínio são listados em ordem de prioridade. Para conectar-se ao Active Directory, o conector tenta usar o primeiro controlador de domínio na lista. Se não for acessível, ele tentará usar o segundo na lista, e assim por diante.
- O arquivo somente é atualizado quando você cria um novo diretório com a pesquisa Localização do Serviço DNS habilitada ou quando adiciona um domínio a um diretório de autenticação integrada do Windows. O novo domínio e uma lista de controladores de domínio para ele são acrescentados ao arquivo.
Observe que, se uma entrada para um domínio já existir no arquivo, ela não será atualizada. Por exemplo, se você criou um diretório e, em seguida, o excluiu, a entrada de domínio original permanecerá no arquivo e não será atualizada.
- O arquivo não é atualizado automaticamente em nenhum outro cenário. Por exemplo, se você excluir um diretório, a entrada de domínio não será excluída do arquivo.
- Se um controlador de domínio listado no arquivo não estiver acessível, edite o arquivo e remova-o.
- Se você adicionar ou editar uma entrada de domínio manualmente, as alterações não serão substituídas.
Para obter informações sobre a edição do arquivo domain_krb.properties, veja Editando o arquivo domain_krb.properties.
Como os controladores de domínio são selecionados para preencher automaticamente o arquivo domain_krb.properties
Para preencher automaticamente o arquivo domain_krb.properties, os controladores de domínio são selecionados primeiramente ao determinar a sub-rede na qual reside o conector (com base no endereço IP e na máscara de rede) e, em seguida, usando a configuração do Active Directory para identificar o site dessa sub-rede, recebendo a lista de controladores de domínio para esse site, filtrando a lista para o domínio apropriado e escolhendo os dois controladores de domínio que respondam mais rapidamente.
Para detectar os controladores de domínio mais próximos, o VMware Identity Manager apresenta os seguintes requisitos.
- A sub-rede do conector deve estar presente na configuração do Active Directory ou uma sub-rede deve ser especificada no arquivo runtime-config.properties. Consulte Substituindo a seleção de sub-rede padrão.
A sub-rede é usada para determinar o site.
- A configuração do Active Directory deve considerar o site.
Se a sub-rede não puder ser determinada ou se a configuração do Active Directory não considerar o site, a pesquisa Localização do Serviço DNS será usada para localizar controladores de domínio e o arquivo será preenchido com alguns controladores de domínio acessíveis. Observe que esses controladores de domínio podem não estar na mesma localização geográfica que o conector, o que pode resultar em atrasos ou tempos limite durante a comunicação com o Active Directory. Nesse caso, edite o arquivo domain_krb.properties manualmente e especifique os controladores de domínio corretos a serem usados para cada domínio. Consulte Editando o arquivo domain_krb.properties.
Arquivo de amostra domain_krb.properties
example.com=host1.example.com:389,host2.example.com:389