VMware Identity Manager で KDC を初期化した後は、組み込みの Kerberos 認証機能が有効な場合に Kerberos クライアントが KDC を検索できるように、パブリック DNS レコードを作成する必要があります。
KDC サービスの検出に使用される VMware Identity Manager アプライアンス エントリの DNS 名の一部として、KDC レルム名が使用されます。各 VMware Identity Manager サイトおよび 2 つの A アドレス エントリに対して、SRV DNS レコードが 1 つ必要です。
注:
AAAA エントリ値は、IPv4 アドレスをエンコードする IPv6 アドレスです。KDC が IPv6 アドレスを名前解決できず、IPv4 アドレスが使用される場合、DNS サーバでは、AAAA エントリを厳密な IPv6 表記の ::ffff:175c:e147 として指定する必要があります。Neustar. UltraTools などの IPv4 から IPv6 への変換ツールを使用すると、IPv4 を IPv6 アドレス表記に変換できます。
KDC 用の DNS レコード エントリ
次に示す DNS レコードの例では、レルムが EXAMPLE.COM、VMware Identity Manager の完全修飾ドメイン名が idm.example.com、VMware Identity Manager IP アドレスが 1.2.3.4 です。
idm.example.com. 1800 IN AAAA ::ffff:1.2.3.4
idm.example.com. 1800 IN A 1.2.3.4
_kerberos._tcp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.
_kerberos._udp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.
