Le fichier domain_krb.properties détermine les contrôleurs de domaine qui sont utilisés pour les annuaires sur lesquels la recherche de l'emplacement du service DNS (enregistrements SRV) est activée. Il contient une liste de contrôleurs de domaine pour chaque domaine. Le connecteur crée le fichier, et vous devez le gérer par la suite. Le fichier remplace la recherche de l'emplacement du service DNS (SRV).
La recherche de l'emplacement du service DNS est activée sur les types d'annuaires suivants :
Active Directory sur LDAP avec l'option Cet annuaire prend en charge l'emplacement du service DNS sélectionnée
Active Directory (authentification Windows intégrée), pour lequel la recherche de l'emplacement du service DNS est toujours activée
La première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS est activée, un fichier domain_krb.properties est automatiquement créé dans le répertoire /usr/local/horizon/conf de la machine virtuelle, puis rempli avec des contrôleurs de domaine pour chaque domaine. Pour remplir le fichier, le connecteur tente de rechercher les contrôleurs de domaine qui se trouvent sur le même site que le connecteur et en sélectionne deux qui sont accessibles et qui réagissent le plus vite.
Lorsque vous créez des annuaires supplémentaires sur lesquels la recherche de l'emplacement du service DNS est activée, ou lorsque vous ajoutez de nouveaux domaines à un annuaire Authentification Windows intégrée, les nouveaux domaines, et une liste de leurs contrôleurs de domaine, sont ajoutés au fichier.
Vous pouvez remplacer la sélection par défaut à tout moment en modifiant le fichier domain_krb.properties. Après avoir créé un annuaire, il vous est conseillé de consulter le fichier domain_krb.properties et de vérifier que les contrôleurs de domaine répertoriés sont les plus adaptés à votre configuration. Pour un déploiement Active Directory global avec plusieurs contrôleurs de domaine dans différents emplacements géographiques, le fait d'utiliser un contrôleur de domaine proche du connecteur garantit une communication plus rapide avec Active Directory.
Vous devez également mettre à jour le fichier manuellement pour toute autre modification. Les règles suivantes s'appliquent.
Le fichier domain_krb.properties est créé dans la machine virtuelle qui contient le connecteur. Dans un déploiement classique, sans connecteurs supplémentaires déployés, le fichier est créé dans la machine virtuelle de service VMware Identity Manager. Si vous utilisez un connecteur supplémentaire pour l'annuaire, le fichier est créé dans la machine virtuelle de connecteur. Une machine virtuelle ne peut contenir qu'un seul fichier domain_krb.properties.
Le fichier est créé et rempli automatiquement avec des contrôleurs de domaine pour chaque domaine, la première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS est activée.
Les contrôleurs de domaine de chaque domaine sont classés par ordre de priorité. Pour se connecter à Active Directory, le connecteur teste le premier contrôleur de domaine de la liste. S'il n'est pas accessible, il teste le deuxième de la liste, etc.
Le fichier est mis à jour uniquement lorsque vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS est activée ou lorsque vous ajoutez un domaine à un annuaire Authentification Windows intégrée. Le nouveau domaine et une liste de contrôleurs de domaine le concernant sont ajoutés au fichier.
Notez que si une entrée pour un domaine existe déjà dans le fichier, elle n'est pas mise à jour. Par exemple, si vous avez créé puis supprimé un annuaire, l'entrée de domaine d'origine reste dans le fichier et elle n'est pas mise à jour.
Le fichier n'est mis à jour automatiquement dans aucun autre scénario. Par exemple, si vous supprimez un annuaire, l'entrée de domaine n'est pas supprimée du fichier.
Si un contrôleur de domaine répertorié dans le fichier n'est pas accessible, modifiez le fichier et supprimez-le.
Si vous ajoutez ou supprimez une entrée de domaine manuellement, vos modifications ne seront pas remplacées.
Pour plus d'informations sur la modification du fichier domain_krb.properties, reportez-vous à la section Modification du fichier domain_krb.properties.
Le fichier /etc/krb5.conf doit être cohérent avec le fichier domain_krb.properties. Lorsque vous mettez à jour le fichier domain_krb.properties, mettez également à jour le fichier krb5.conf. Pour plus d'informations, consultez la section Modification du fichier domain_krb.properties et l'article 2091744 de la base de connaissances.
Mode de sélection des contrôleurs de domaine pour remplir automatiquement le fichier domain_krb.properties
Pour remplir automatiquement le fichier domain_krb.properties, des contrôleurs de domaine sont sélectionnés en déterminant le sous-réseau sur lequel réside le connecteur (en fonction de l'adresse IP et du masque de réseau), puis en utilisant la configuration Active Directory afin d'identifier le site de ce sous-réseau, en obtenant la liste de contrôleurs de domaine de ce site, en filtrant la liste pour le domaine approprié et en choisissant les deux contrôleurs de domaine qui réagissent le plus vite.
Pour détecter les contrôleurs de domaine qui sont les plus proches, VMware Identity Manager a les exigences suivantes :
Le sous-réseau du connecteur doit être présent dans la configuration Active Directory, ou un sous-réseau doit être spécifié dans le fichier runtime-config.properties. Voir Remplacement de la sélection de sous-réseau par défaut.
Le sous-réseau est utilisé pour déterminer le site.
La configuration Active Directory doit être liée au site.
Si le sous-réseau ne peut pas être déterminé ou si votre configuration Active Directory n'est pas liée au site, la recherche de l'emplacement du service DNS est utilisée pour rechercher des contrôleurs de domaine, et le fichier est rempli avec quelques contrôleurs de domaine qui sont accessibles. Notez qu'il est possible que ces contrôleurs de domaine ne se trouvent pas dans le même emplacement géographique que le connecteur, ce qui peut entraîner des retards ou des délais d'expiration lors de la communication avec Active Directory. Dans ce cas, modifiez le fichier domain_krb.properties manuellement et spécifiez les contrôleurs de domaine corrects à utiliser pour chaque domaine. Voir Modification du fichier domain_krb.properties.
Exemple de fichier domain_krb.properties
example.com=host1.example.com:389,host2.example.com:389
