domain_krb.properties ファイルは、DNS サービス ロケーション(SRV レコード)ルックアップが有効なディレクトリに対し、どのドメイン コントローラを使用するかを決定します。このファイルには、各ドメインのドメイン コントローラのリストが含まれます。ファイルは最初にコネクタによって作成されますが、その後はユーザーが管理する必要があります。このファイルの設定は、DNS サービス ロケーション (SRV) ルックアップより優先します。

次のタイプのディレクトリは、DNS サービス ロケーション ルックアップが有効になっています。
  • LDAP 経由の Active Directory で、[このディレクトリ は DNS サービス ロケーションをサポートします] オプションが選択されている場合に有効です。
  • Active Directory(統合 Windows 認証)では、DNS サービス ロケーション ルックアップは常に有効です。

DNS サービス ロケーション ルックアップが有効になっているディレクトリを最初に作成する場合、domain_krb.properties ファイルが自動的に作成され、各ドメインのドメイン コントローラが自動入力されます。ファイルに記載するため、コネクタは、コネクタと同じサイトにあるドメイン コントローラを探し、アクセス可能で応答が最も速いドメイン コントローラを 2 つ選択します。

DNS サービス ロケーション ルックアップを有効にしたディレクトリを作成したり、新しいドメインを統合 Windows 認証ディレクトリへ追加すると、新しいドメインおよびそのドメインのドメイン コントローラのリストがファイルに追加されます。

domain_krb.properties ファイルを編集することにより、デフォルトの設定をいつでも変更できます。ベスト プラクティスとして、ディレクトリを作成したら domain_krb.properties ファイルを表示し、リストに含まれるドメイン コントローラが構成に最適であることを確認してください。グローバルな Active Directory 展開環境で、地理的に分散する複数のドメイン コントローラを使用する場合は、Active Directory との高速通信を確保するため、コネクタに物理的に近い場所にあるドメイン コントローラを使用します。

その他の変更を行う場合も、このファイルを手動で更新する必要があります。次のルールが適用されます。

  • domain_krb.properties ファイルは、コネクタを含むサーバで作成されます。1 台のサーバが保持できる domain_krb.properties ファイルは 1 つのみです。

    追加のコネクタが展開されていない一般的なオンプレミスの環境では、VMware Identity Manager サービス サーバにファイルが作成されます。ディレクトリに外部コネクタを使用している場合は、接続サーバにファイルが作成されます。

    SaaS 展開では、接続サーバにファイルが作成されます。

    サービスまたはコネクタの Linux 仮想アプライアンスでは、domain_krb.properties ファイルは /usr/local/horizon/conf ディレクトリにあります。サービスまたはコネクタの Windows Server では、 domain_krb.properties ファイルは installDir\IDMConnector\usr\local\horizon\conf ディレクトリにあります。

  • DNS サービス ロケーション ルックアップが有効なディレクトリを作成すると、まずファイルが作成され、各ドメインのドメイン コントローラがファイルに自動で記載されます。
  • 各ドメインのドメイン コントローラは、優先度が高い順に記載されます。Active Directory への接続を試行する際に、コネクタはリストの一番最初に記載されているドメイン コントローラを使用します。このドメイン コントローラにアクセスできない場合は、リストで 2 番目に表示されているドメイン コントローラから順に使用していきます。
  • DNS サービス ロケーション ルックアップが有効になっている新しいディレクトリを作成するとき、またはドメインを統合 Windows 認証ディレクトリに追加するときにのみ、ファイルが更新されます。新しいドメイン、およびそのドメインのドメイン コントローラのリストがファイルに追加されます。

    ファイルにドメインのエントリがすでに存在する場合は、更新されません。たとえば、ディレクトリを作成し、その後に削除した場合、元のドメイン エントリがファイルに残り、更新されません。

  • その他の状況で、ファイルの自動更新が行われることはありません。たとえば、ユーザーがディレクトリを削除した場合でも、ドメイン エントリはファイルから削除されません。
  • ファイル内に記載のドメイン コントローラのいずれかにアクセスできない場合は、ファイルを編集して削除します。
  • ドメイン エントリを手動で追加または編集した場合、その変更内容が上書きされることはありません。

domain_krb.properties ファイルの編集については、domain_krb.properties ファイルの編集を参照してください。

重要: : (Linux 仮想アプライアンスのみ) /etc/krb5.conf ファイルの内容は domain_krb.properties ファイルと一貫している必要があります。 domain_krb.properties ファイルを更新するときは、必ず krb5.conf ファイルも更新するようにします。詳細については domain_krb.properties ファイルの編集および ナレッジベースの記事 KB2091744 を参照してください。

domain_krb.properties ファイルへの自動入力に使用されるドメイン コントローラの選択方法

domain_krb.properties ファイルに自動入力するため、コネクタが ドメイン コントローラを選択する際は、最初に IP アドレスとネットマスクに基づいて、コネクタが存在するサブネットを検出します。次に、Active Directory 構成を使用してサブネットのサイトを特定し、サイトのドメイン コントローラのリストを取得します。さらに、リストのフィルタリングによって適切なドメインを絞り込み、その中から最も高速に応答するドメイン コントローラを 2 つ選び出します。

最も近い場所にあるドメイン コントローラを検出するための、VMware Identity Manager の要件は次のとおりです。

  • コネクタのサブネットが Active Directory 構成内に存在するか、またはサブネットが runtime-config.properties ファイルに指定されている必要があります。デフォルトで選択されたサブネットのオーバーライドを参照してください。

    サブネットはサイトを判断するために使用されます。

  • Active Directory 構成がサイトを認識する必要があります。

サブネットを検出できない場合、または Active Directory 構成がサイトを認識しない場合、DNS サービス ロケーション ルックアップを使用してドメイン コントローラを検出し、アクセス可能なドメイン コントローラがファイルに入力されます。これらのドメイン コントローラとコネクタが地理的に離れている場合があることに注意してください。このようなときは、Active Directory への通信で遅延やタイムアウトが発生することがあります。その場合には、domain_krb.properties ファイルを手動で編集して、各ドメインに適切なドメイン コントローラを指定します。domain_krb.properties ファイルの編集を参照してください。

domain_krb.properties ファイルのサンプル

example.com=host1.example.com:389,host2.example.com:389