domain_krb.properties 文件确定将哪些域控制器用于已启用 DNS 服务位置(SRV 记录)查找的目录。该文件包含每个域的域控制器列表。该文件最初由连接器创建,之后必须由您进行维护。该文件将覆盖 DNS 服务位置 (SRV) 查找。
以下类型的目录已启用 DNS 服务位置查找:
在选定此目录支持 DNS 服务位置选项的情况下,通过 LDAP 访问的 Active Directory
Active Directory(集成 Windows 身份验证),此类目录始终会启用 DNS 服务位置查找
在创建其他启用 DNS 服务位置的目录,或者向集成 Windows 身份验证目录中添加新域时,新域及其域控制器列表会被添加到该文件中。
您可以随时编辑 domain_krb.properties 文件来覆盖默认选择。最佳做法是,在创建目录后,查看 domain_krb.properties 文件,并确认列出的域控制器是最适合您的配置的域控制器。对于拥有多个域控制器且这些域控制器跨不同地理位置的全局 Active Directory 部署,使用距离连接器较近的域控制器可确保加快与 Active Directory 的通信。
您还必须手动更新该文件以应用任何其他更改。请遵从以下规则。
在您首次创建启用 DNS 服务位置查找的目录时,系统会创建该文件,并在其中自动填充每个域的域控制器。
每个域的域控制器按照优先级顺序列出。为了连接到 Active Directory,连接器会尝试使用列表中的第一个域控制器。如果无法访问,则尝试使用列表中的第二个域控制器,依此类推。
仅当您创建启用 DNS 服务位置查找的新目录,或者向集成 Windows 身份验证目录中添加域时,才会更新该文件。新域及其域控制器列表会被添加到该文件中。
请注意,如果该文件中已存在某个域的条目,则不会更新该条目。例如,如果您创建了一个目录,然后又将其删除,则原始域条目仍将保留在该文件中,而不会进行更新。
对于任何其他情况,该文件均不会自动更新。例如,如果您删除了某个目录,则对应的域条目不会从该文件中删除。
如果该文件中列出的某个域控制器不可访问,可编辑该文件,从中移除该域控制器。
如果手动添加或编辑域条目,则所做的更改将不会被覆盖。
有关编辑 domain_krb.properties 文件的信息,请参阅编辑 domain_krb.properties 文件。
如何选择域控制器以自动填充 domain_krb.properties 文件
为了自动填充 domain_krb.properties 文件,域控制器会通过以下方式进行选择:首先确定连接器所在的子网(根据 IP 地址和网络掩码),接着使用 Active Directory 配置标识该子网的站点,获取该站点的域控制器列表,从该列表中筛选相应的域,然后选择两个响应速度最快的域控制器。
要检测距离最近的域控制器,VMware Identity Manager 具有以下要求:
Active Directory 配置中必须存在连接器的子网,或者必须在 runtime-config.properties 文件中指定了子网。请参阅覆盖默认选择的子网。
子网用于确定站点。
Active Directory 配置必须可以识别站点。
如果无法确定子网,或者如果 Active Directory 配置不可识别站点,则会使用 DNS 服务位置查找来查找域控制器,并且该文件将填充一些可访问的域控制器。请注意,这些域控制器所在的地理位置可能与连接器不同,这可能会导致与 Active Directory 的通信延迟或超时。在这种情况下,可手动编辑 domain_krb.properties 文件,指定用于每个域的正确域控制器。请参阅编辑 domain_krb.properties 文件。
domain_krb.properties 文件示例
example.com=host1.example.com:389,host2.example.com:389