El archivo domain_krb.properties determina qué controladores de dominio se utilizarán para los directorios que tengan habilitada la búsqueda de ubicación del servicio DNS (registros SRV). Contiene una lista de controladores de dominio para cada dominio. El conector crea inicialmente el archivo, y posteriormente deberá mantenerlo usted. El archivo anula la búsqueda de ubicación del servicio DNS (SRV).

Los siguientes tipos de directorio tienen habilitada la búsqueda de ubicación del servicio DNS:
  • Active Directory mediante LDAP con la opción Este directorio admite la ubicación de servicio de DNS seleccionada
  • Active Directory (autenticación integrada de Windows), que tiene siempre habilitada la búsqueda de ubicación del servicio DNS

Cuando se crea por primera vez un directorio que tiene habilitada la búsqueda de ubicación del servicio DNS, también se crea automáticamente un archivo domain_krb.properties y se rellena automáticamente con los controladores de dominio de cada dominio. Para rellenar el archivo, el conector intenta encontrar controladores de dominio que se encuentren en el mismo sitio que el conector y selecciona dos a los que se pueda acceder y que respondan más rápido.

Al crear directorios adicionales que tengan habilitada la ubicación del servicio DNS, o al agregar nuevos dominios a un directorio de autenticación integrada de Windows, los nuevos dominios se agregarán al archivo, junto con una lista de controladores de dominio para ellos.

Para anular en cualquier momento la selección predeterminada, edite el archivo domain_krb.properties. Después de crear un directorio, se recomienda revisar el archivo domain_krb.properties y verificar que los controladores de dominio indicados son los óptimos para esa configuración. En implementaciones globales de Active Directory con varios controladores de dominio en distintas ubicaciones geográficas, si se utiliza un controlador de dominio que esté muy próximo al conector se asegura una comunicación más rápida con Active Directory.

También se deben actualizar manualmente otros cambios en el archivo. Se aplican las siguientes reglas.

  • El archivo domain_krb.properties se crea en el servidor que contiene el conector. Un servidor solo puede tener un archivo domain_krb.properties.

    En una implementación local típica, sin conectores adicionales, el archivo se crea en el servidor del servicio de VMware Identity Manager. Si se utiliza un conector externo para el directorio, el archivo se crea en el servidor del conector.

    En una implementación SaaS, el archivo se crea en el servidor del conector.

    En un dispositivo virtual de Linux de servicio o conector, el archivo domain_krb.properties se encuentra en el directorio /usr/local/horizon/conf. En un servidor de Windows de servicio o conector, el archivo domain_krb.properties se encuentra en el directorio installDir\IDMConnector\usr\local\horizon\conf.

  • El archivo se crea y se rellena automáticamente con los controladores de dominio para cada dominio al crear por primera vez un directorio que tenga habilitada la búsqueda de ubicación del servicio DNS.
  • Los controladores de dominio de cada dominio se indican en orden de prioridad. Para conectar a Active Directory, el conector intenta utilizar el primer controlador de dominio de la lista. Si no está accesible, lo intenta con el segundo de la lista, y así sucesivamente.
  • El archivo solo se actualiza al crear un nuevo directorio que tenga habilitada la búsqueda de ubicación del servicio DNS, o bien al agregar un dominio a un directorio de autenticación integrada de Windows. El nuevo dominio y la lista de sus controladores de dominio se agregarán al archivo.

    Tenga en cuenta que si ya existe una entrada para un dominio en el archivo, no se actualizará. Por ejemplo, si se crea un directorio y se elimina a continuación, la entrada de dominio original permanece en el archivo y no se actualiza.

  • El archivo no se actualiza automáticamente en ningún otro caso. Por ejemplo, si se elimina un directorio, la entrada de dominio no se elimina en el archivo.
  • Si no se puede acceder a un controlador de dominio de la lista del archivo, edite el archivo y elimínelo.
  • Si se agrega o elimina una entrada de dominio manualmente, los cambios no se sobrescribirán.

Para obtener información sobre cómo editar el archivo domain_krb.properties, consulte Editar el archivo domain_krb.properties.

Importante: (Solo en el dispositivo virtual de Linux) El archivo /etc/krb5.conf debe ser coherente con el archivo domain_krb.properties. Cuando actualice el archivo domain_krb.properties, actualice también el archivo krb5.conf. Consulte Editar el archivo domain_krb.properties y el artículo 2091744 de la base de conocimientos para obtener más información.

Cómo se seleccionan controladores de dominio para rellenar automáticamente el archivo domain_krb.properties

Para seleccionar los controladores de dominio con los que rellenar automáticamente el archivo domain_krb.properties, se determina en primer lugar la subred en la que reside el conector (según la máscara de red y la dirección IP) y, a continuación, se utiliza la configuración de Active Directory para identificar el sitio de esa subred, se obtiene la lista de controladores de dominio para ese sitio, se filtra la lista para el dominio correspondiente y se eligen los dos controladores de dominio que respondan más rápido.

Para detectar los controladores de dominio que estén más próximos, VMware Identity Manager aplica los requisitos siguientes:

  • La subred del conector debe estar presente en la configuración de Active Directory, o bien se debe especificar una subred en el archivo runtime-config.properties. Consulte Anular la selección de subred predeterminada.

    La subred se utiliza para determinar el sitio.

  • La configuración de Active Directory debe poder conocer el sitio.

Si no se puede determinar la subred, o si la configuración de Active Directory no permite conocer el sitio, se utilizará la búsqueda de ubicación del servicio DNS para encontrar controladores de dominio y el archivo se rellenará con algunos controladores de dominio accesibles. Tenga en cuenta que estos controladores de dominio pueden no estar en la misma ubicación geográfica que el conector, lo que puede ocasionar retardos o que se agote el tiempo de espera al comunicarse con Active Directory. En este caso, edite manualmente el archivo domain_krb.properties y especifique los controladores de dominio correctos que se deben utilizar para cada dominio. Consulte Editar el archivo domain_krb.properties.

Archivo domain_krb.properties de ejemplo

example.com=host1.example.com:389,host2.example.com:389