VMware Identity Manager で KDC を初期化した後は、組み込みの Kerberos 認証機能が有効な場合に Kerberos クライアントが KDC を検索できるように、パブリック DNS レコードを作成する必要があります。

KDC サービスの検出に使用される VMware Identity Manager アプライアンス エントリの DNS 名の一部として、KDC レルム名が使用されます。各 VMware Identity Manager サイトおよび 2 つのアドレス エントリに対して、DNS レコードが 2 つ必要です。

注: AAAA レコードは、iOS 9 で実行しているデバイス、またはキャリアとして T-Mobile を使用しているデバイスに必要です。AAAA エントリ値は、IPv4 アドレスをエンコードする IPv6 アドレスです。KDC が IPv6 アドレスを名前解決できず、IPv4 アドレスが使用される場合、DNS サーバでは、AAAA エントリを厳密な IPv6 表記の ::ffff:175c:e147 として指定する必要があります。Neustar. UltraTools などの IPv4 から IPv6 への変換ツールを使用すると、IPv4 を IPv6 アドレス表記に変換できます。

KDC 用の DNS レコード エントリ

次に示す DNS レコードの例では、レルムが EXAMPLE.COM、VMware Identity Manager の完全修飾ドメイン名が idm.example.com、VMware Identity Manager IP アドレスが 1.2.3.4 です。

kdc.example.com.               1800 IN  A            1.2.3.4
kdc.example.com.               1800 IN  AAAA         ::ffff:1.2.3.4
_kerberos._tcp.idm.EXAMPLE.COM          IN  SRV  10  0   88 kdc.example.com.
_kerberos._udp.idm.EXAMPLE.COM          IN  SRV  10  0   88 kdc.example.com.