domain_krb.properties 文件确定将哪些域控制器用于已启用 DNS 服务位置(SRV 记录)查找的目录。该文件包含每个域的域控制器列表。该文件最初由连接器创建,之后必须由您进行维护。该文件将覆盖 DNS 服务位置 (SRV) 查找。

以下类型的目录已启用 DNS 服务位置查找:
  • 在选定此目录支持 DNS 服务位置选项的情况下,通过 LDAP 访问的 Active Directory
  • Active Directory(集成 Windows 身份验证),此类目录始终会启用 DNS 服务位置查找

首次创建启用 DNS 服务位置查找的目录时,系统会自动创建 domain_krb.properties 文件,并在其中自动填充每个域的域控制器。为了填充该文件,连接器会尝试查找与它位于同一站点上的域控制器,并选择其中两个可以访问且响应速度最快的域控制器。

在创建其他启用 DNS 服务位置的目录,或者向集成 Windows 身份验证目录中添加新域时,新域及其域控制器列表会被添加到该文件中。

您可以随时编辑 domain_krb.properties 文件来覆盖默认选择。最佳做法是,在创建目录后,查看 domain_krb.properties 文件,并确认列出的域控制器是最适合您的配置的域控制器。对于拥有多个域控制器且这些域控制器跨不同地理位置的全局 Active Directory 部署,使用距离连接器较近的域控制器可确保加快与 Active Directory 的通信。

您还必须手动更新该文件以应用任何其他更改。请遵从以下规则。

  • domain_krb.properties 文件会在包含连接器的服务器中创建。一个服务器只能有一个 domain_krb.properties 文件。

    在典型的内部部署中,如果未部署其他连接器,则会在 VMware Identity Manager 服务的服务器中创建该文件。如果为目录使用外部连接器,则会在连接器服务器中创建该文件。

    在 SaaS 部署中,会在连接器服务器中创建该文件。

    在服务或连接器 Linux 虚拟设备中,domain_krb.properties 文件位于 /usr/local/horizon/conf 目录。在服务或连接器 Windows Server 中,domain_krb.properties 文件位于 installDir\IDMConnector\usr\local\horizon\conf 目录。

  • 在您首次创建启用 DNS 服务位置查找的目录时,系统会创建该文件,并在其中自动填充每个域的域控制器。
  • 每个域的域控制器按照优先级顺序列出。为了连接到 Active Directory,连接器会尝试使用列表中的第一个域控制器。如果无法访问,则尝试使用列表中的第二个域控制器,依此类推。
  • 仅当您创建启用 DNS 服务位置查找的新目录,或者向集成 Windows 身份验证目录中添加域时,才会更新该文件。新域及其域控制器列表会被添加到该文件中。

    请注意,如果该文件中已存在某个域的条目,则不会更新该条目。例如,如果您创建了一个目录,然后又将其删除,则原始域条目仍将保留在该文件中,而不会进行更新。

  • 对于任何其他情况,该文件均不会自动更新。例如,如果您删除了某个目录,则对应的域条目不会从该文件中删除。
  • 如果该文件中列出的某个域控制器不可访问,可编辑该文件,从中移除该域控制器。
  • 如果手动添加或编辑域条目,则所做的更改将不会被覆盖。

有关编辑 domain_krb.properties 文件的信息,请参阅编辑 domain_krb.properties 文件

重要事项: (仅限 Linux 虚拟设备) /etc/krb5.conf 文件必须与 domain_krb.properties 文件一致。每次更新 domain_krb.properties 文件时,也会随之更新 krb5.conf 文件。请参阅 编辑 domain_krb.properties 文件知识库文章 2091744,以了解更多信息。

如何选择域控制器以自动填充 domain_krb.properties 文件

为了自动填充 domain_krb.properties 文件,域控制器会通过以下方式进行选择:首先确定连接器所在的子网(根据 IP 地址和网络掩码),接着使用 Active Directory 配置标识该子网的站点,获取该站点的域控制器列表,从该列表中筛选相应的域,然后选择两个响应速度最快的域控制器。

要检测距离最近的域控制器,VMware Identity Manager 具有以下要求:

  • Active Directory 配置中必须存在连接器的子网,或者必须在 runtime-config.properties 文件中指定了子网。请参阅覆盖默认选择的子网

    子网用于确定站点。

  • Active Directory 配置必须可以识别站点。

如果无法确定子网,或者如果 Active Directory 配置不可识别站点,则会使用 DNS 服务位置查找来查找域控制器,并且该文件将填充一些可访问的域控制器。请注意,这些域控制器所在的地理位置可能与连接器不同,这可能会导致与 Active Directory 的通信延迟或超时。在这种情况下,可手动编辑 domain_krb.properties 文件,指定用于每个域的正确域控制器。请参阅编辑 domain_krb.properties 文件

domain_krb.properties 文件示例

example.com=host1.example.com:389,host2.example.com:389