Die Datei domain_krb.properties legt fest, welche Domänencontroller für die Verzeichnisse verwendet werden, deren DNS-Dienstspeicherort(SRV-Einträge)-Suche aktiviert ist. Sie enthält eine Liste von Domänencontrollern für jede Domäne. Der Connector erstellt anfänglich die Datei und Sie müssen diese in der Folge warten. Die Datei überschreibt die DNS-Dienstspeicherort(SRV)-Suche.

Bei folgenden Verzeichnistypen ist die DNS-Dienstspeicherort-Suche aktiviert:
  • „Active Directory über LDAP“ mit der ausgewählten Option Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort
  • Active Directory (integrierte Windows-Authentifizierung) mit dauerhaft aktivierter DNS-Dienstspeicherort-Suche

Wenn Sie zuerst ein Verzeichnis erstellen, bei dem die DNS-Dienstspeicherort-Suche aktiviert ist, wird die Datei domain_krb.properties automatisch erstellt und mit den Domänencontrollern für jede Domäne automatisch aufgefüllt. Zum Auffüllen der Datei versucht der Connector Domänencontroller zu ermitteln, die sich in derselben Site wie der Connector befinden. Dann wählt er jene beiden aus, die erreichbar sind und am schnellsten antworten.

Wenn Sie weitere Verzeichnisse erstellen, deren DNS-Dienstspeicherort-Suche aktiviert ist, oder neue Domänen einem Verzeichnis mit integrierter Windows-Authentifizierung hinzufügen, werden der Datei diese neuen Domänen und eine Liste ihrer Domänencontroller hinzugefügt.

Sie können die Standardauswahl durch Bearbeiten der Datei domain_krb.properties jederzeit überschreiben. Zeigen Sie als Best Practice nach dem Erstellen eines Verzeichnisses die Datei domain_krb.properties an und prüfen Sie, ob die aufgeführten Domänencontroller für Ihre Konfiguration optimal sind. Bei einer globalen Active Directory-Bereitstellung mit vielen Domänencontrollern an verschiedenen geografischen Standorten empfiehlt es sich, einen Domänencontroller zu verwenden, der sich in unmittelbarer Nähe des Connectors befindet. So stellen Sie eine schnelle Kommunikation mit Active Directory sicher.

Sie müssen darüber hinaus die Datei manuell im Hinblick auf die anderen Änderungen aktualisieren. Beachten Sie die nachfolgend aufgeführten Regeln.

  • Die Datei domain_krb.properties wird in dem Server erstellt, der den Konnektor enthält. Ein Server kann immer nur über eine Datei domain_krb.properties verfügen.

    In einer typischen lokalen Bereitstellung ohne zusätzlich bereitgestellte Konnektoren wird die Datei im VMware Identity Manager-Dienst des Servers angelegt. Wenn Sie für das Verzeichnis einen externen Konnektor verwenden, wird die Datei im Konnektor des Servers erstellt.

    In einer SaaS-Bereitstellung wird die Datei im Konnektor-Server erstellt.

    Die Datei domain_krb.properties befindet sich in einem Dienst oder einer virtuellen Linux-Connector-Appliance im Verzeichnis /usr/local/horizon/conf. Die Datei domain_krb.properties befindet sich in einem Dienst oder Connector-Windows-Server im Verzeichnis InstallDir\IDMConnector\usr\local\horizon\conf .

  • Die Datei wird erstellt und für jede Domäne mit Domänencontrollern aufgefüllt, wenn Sie das Verzeichnis mit aktivierter DNS-Dienstspeicherort-Suche erstmalig erstellen.
  • Die Domänencontroller für jede Domäne werden in der Reihenfolge ihrer Priorität aufgelistet. Für die Herstellung einer Verbindung mit Active Directory versucht der Connector den ersten Domänencontroller in der Liste zu verwenden. Ist dieser nicht erreichbar, versucht er es mit dem zweiten und so weiter.
  • Die Datei wird nur aktualisiert, wenn Sie ein neues Verzeichnis mit aktivierter DNS-Dienstspeicherort-Suche erstellen oder wenn Sie eine Domäne einem Verzeichnis mit integrierter Windows-Authentifizierung hinzufügen. Die neue Domäne und eine Liste der zugehörigen Domänencontroller werden der Datei hinzugefügt.

    Hinweis: Wenn bereits ein Eintrag für eine Domäne vorhanden ist, wird die Datei nicht aktualisiert. Wenn Sie beispielsweise ein Verzeichnis erstellt und dann wieder gelöscht haben, bleibt der Originaldomäneneintrag in der Datei bestehen und wird nicht aktualisiert.

  • Auch in anderen Szenarien wird die Datei nicht automatisch aktualisiert. Beispiel: Wenn Sie ein Verzeichnis löschen, wird der Domäneneintrag nicht aus der Datei entfernt.
  • Wenn ein in der Datei aufgelisteter Domänencontroller nicht erreichbar ist, bearbeiten Sie die Datei und entfernen Sie diesen.
  • Wenn Sie einen Domäneneintrag manuell hinzufügen oder bearbeiten, werden Ihre Änderungen nicht überschrieben.

Weitere Informationen zum Bearbeiten der Datei domain_krb.properties finden Sie unter Bearbeiten der Dateieigenschaften von „domain_krb.properties“.

Wichtig: (Nur virtuelle Linux-Appliance) Die Datei /etc/krb5.conf muss mit der Datei domain_krb.properties übereinstimmen. Bei jeder Aktualisierung der Datei domain_krb.properties müssen Sie auch die Datei krb5.conf aktualisieren. Weitere Informationen hierzu finden Sie unter Bearbeiten der Dateieigenschaften von „domain_krb.properties“ und im Knowledgebase-Artikel 2091744.

Auswahl von Domänencontrollern für das automatische Auffüllen der Datei „domain_krb.properties“

Zum automatischen Auffüllen der Datei domain_krb.properties werden die Domänencontroller zunächst durch die Auswahl des Subnetzes festgelegt, in dem sich der Connector befindet (basierend auf der IP-Adresse und Netzmaske). Dann wird mit der Konfiguration von Active Directory die Site dieses Subnetzes anhand der Liste der Domänencontroller für diese Site identifiziert. Es werden die beiden Domänencontroller ausgewählt, die am schnellsten antworten.

Zur Ermittlung der nächstliegenden Domänencontroller müssen für VMware Identity Manager folgende Voraussetzungen erfüllt sein:

  • Das Subnetz des Connectors muss in der Konfiguration von Active Directory enthalten sein, oder in der Datei runtime-config.properties muss ein Subnetz angegeben sein. Siehe Überschreiben der Standard-Subnetzauswahl.

    Das Subnetz wird zur Bestimmung des Standorts verwendet.

  • Die Konfiguration von Active Directory muss auf die Site abgestimmt sein.

Wenn das Subnetz nicht identifiziert werden kann oder Ihre Active Directory-Konfiguration nicht Site-bezogen erfolgt ist, sucht die DNS-Dienstspeicherort-Suche nach Domänencontrollern. Die Datei wird dann mit den wenigen Domänencontrollern aufgefüllt, die erreichbar sind. Beachten Sie, dass sich diese Domänencontroller eventuell nicht an derselben geografischen Position wie der Connector befinden. Dies kann zu Verzögerungen oder Zeitüberschreitungen bei der Kommunikation mit Active Directory führen. In diesem Fall sollten Sie die Datei domain_krb.properties manuell bearbeiten und die richtigen Domänencontroller für die einzelnen Domänen festlegen. Siehe Bearbeiten der Dateieigenschaften von „domain_krb.properties“.

Beispiel für Datei „domain_krb.properties“

example.com=host1.example.com:389,host2.example.com:389