domain_krb.properties 파일은 DNS 서비스 위치(SRV 레코드) 조회가 사용되도록 설정된 디렉토리에 사용되는 도메인 컨트롤러를 결정합니다. 여기에는 각 도메인의 도메인 컨트롤러 목록이 포함되어 있습니다. 커넥터가 처음에 파일을 만들면 사용자가 나중에 유지 관리해야 합니다. 이 파일은 DNS 서비스 위치(SRV) 조회를 재정의합니다.

다음 유형의 디렉토리에서 DNS 서비스 위치 조회가 사용되도록 설정됩니다.
  • 이 디렉토리는 DNS 서비스 위치를 지원합니다. 옵션이 선택된 LDAP를 통한 Active Directory
  • 항상 DNS 서비스 위치 조회가 사용되도록 설정된 Active Directory(Windows 통합 인증)

처음에 DNS 서비스 위치 조회가 사용되도록 설정된 디렉토리를 생성하면 domain_krb.properties 파일이 자동으로 생성되고 각 도메인에 대한 도메인 컨트롤러로 자동으로 채워집니다. 이 파일을 채우기 위해 커넥터는 커넥터와 같은 사이트에 있는 도메인 컨트롤러를 찾으려고 시도한 후 연결 가능하고 가장 빠르게 응답하는 두 개의 도메인 컨트롤러를 선택합니다.

DNS 서비스 위치가 사용되도록 설정된 추가 디렉토리를 만들거나 Windows 통합 인증 디렉토리에 새 도메인을 추가하면 새 도메인과 해당 도메인에 대한 도메인 컨트롤러 목록이 파일에 추가됩니다.

언제든지 domain_krb.properties 파일을 편집하여 기본 선택을 재정의할 수 있습니다. 디렉토리를 만든 후에 domain_krb.properties 파일을 확인하고 나열된 도메인 컨트롤러가 구성에 가장 적합한 도메인 컨트롤러인지 확인하는 것이 가장 좋습니다. 다양한 지리적 위치에 여러 도메인 컨트롤러가 있는 전역 Active Directory 배포의 경우 커넥터에 가장 가까운 도메인 컨트롤러를 사용하면 Active Directory와 더 빠르게 통신할 수 있습니다.

또한 다른 변경 내용이 있을 경우 파일을 수동으로 업데이트해야 합니다. 다음 규칙이 적용됩니다.

  • domain_krb.properties 파일이 커넥터가 포함된 서버에서 생성됩니다. 서버에는 domain_krb.properties 파일이 하나만 있을 수 있습니다.

    일반적인 온-프레미스 배포에서는 추가 커넥터가 배포되지 않고 VMware Identity Manager 서비스 서버에 파일이 생성됩니다. 디렉토리에 대해 외부 커넥터를 사용하는 경우 커넥터 서버에 파일이 생성됩니다.

    SaaS 배포에서는 파일이 커넥터 서버에 생성됩니다.

    서비스 또는 커넥터 Linux 가상 장치에서는 domain_krb.properties 파일이 /usr/local/horizon/conf 디렉토리에 있습니다. 서비스 또는 커넥터 Windows 서버에서는 domain_krb.properties 파일이 installDir\IDMConnector\usr\local\horizon\conf 디렉토리에 있습니다.

  • 파일이 만들어진 후, DNS 서비스 위치 조회가 사용되도록 설정된 디렉토리를 처음 만들 때 각 도메인에 대한 도메인 컨트롤러로 자동으로 채워집니다.
  • 각 도메인에 대한 도메인 컨트롤러가 우선 순위대로 나열됩니다. Active Directory에 연결하기 위해 커넥터는 목록의 첫 번째 도메인 컨트롤러부터 시도합니다. 해당 도메인 컨트롤러에 연결할 수 없으면 목록의 두 번째, 세 번째 등을 차례대로 시도합니다.
  • 파일은 DNS 서비스 위치 조회가 사용되도록 설정된 새 디렉토리를 만들거나 Windows 통합 인증 디렉토리에 도메인을 추가할 때만 업데이트됩니다. 새 도메인 및 해당 도메인 컨트롤러 목록이 파일에 추가됩니다.

    도메인에 대한 항목이 이 파일에 이미 있으면 업데이트되지 않습니다. 예를 들어 디렉토리를 만든 후 삭제하면 원래 도메인 항목이 파일에 남아 있어서 업데이트되지 않습니다.

  • 다른 경우에는 파일이 자동으로 업데이트되지 않습니다. 예를 들어 디렉토리를 삭제하는 경우 도메인 항목이 파일에서 삭제되지 않습니다.
  • 파일에 나열된 도메인 컨트롤러에 연결할 수 없으면 파일을 편집하고 해당 항목을 제거하십시오.
  • 도메인 항목을 수동으로 추가하거나 편집하면 변경 내용이 덮어써지지 않습니다.

domain_krb.properties 파일 편집에 대한 자세한 정보는 domain_krb.properties 파일 편집의 내용을 참조하십시오.

중요: (Linux 가상 장치만 해당) /etc/krb5.conf 파일은 domain_krb.properties 파일과 일치해야 합니다. domain_krb.properties 파일을 업데이트할 때마다 krb5.conf 파일도 업데이트합니다. 자세한 내용은 domain_krb.properties 파일 편집기술 자료 문서 2091744를 참조하십시오.

domain_krb.properties 파일을 자동으로 채우기 위해 도메인 컨트롤러를 선택하는 방법

domain_krb.properties 파일을 자동으로 채우려면 먼저 커넥터가 상주하는 서브넷을 결정한 후(IP 주소 및 넷마스크 기준), Active Directory 구성을 사용하여 해당 서브넷의 사이트를 파악합니다. 그리고 해당 사이트에 대한 도메인 컨트롤러 목록을 가져와서 해당 도메인의 목록을 필터링한 후 가장 빠르게 응답하는 두 도메인 컨트롤러를 선택합니다.

가장 가까운 도메인 컨트롤러를 검색할 때 VMware Identity Manager는 다음과 같은 요구 사항을 적용합니다.

  • 커넥터의 서브넷이 Active Directory 구성에 있거나 서브넷이 runtime-config.properties 파일에 지정되어 있어야 합니다. 기본 서브넷 선택 재정의의 내용을 참조하십시오.

    사이트를 확인하는 데 서브넷이 사용됩니다.

  • Active Directory 구성은 사이트를 인식해야 합니다.

서브넷을 확인할 수 없거나 Active Directory 구성이 사이트를 인식하지 못할 경우 DNS 서비스 위치 조회를 사용하여 도메인 컨트롤러가 검색되고 연결 가능한 일부 도메인 컨트롤러로 파일이 채워집니다. 이러한 도메인 컨트롤러는 커넥터와 동일한 지리적 위치에 있지 않을 수 있으며 이 경우 Active Directory와의 통신이 지연되거나 시간이 초과될 수 있습니다. 이 경우 domain_krb.properties 파일을 수동으로 편집하고 각 도메인에 사용할 올바른 도메인 컨트롤러를 지정하십시오. domain_krb.properties 파일 편집의 내용을 참조하십시오.

샘플 domain_krb.properties 파일

example.com=host1.example.com:389,host2.example.com:389