Het bestand domain_krb.properties geeft aan welke domeincontrollers worden gebruikt voor directory's waarbij de DNS-zoekactie voor de servicelocatie (SRV-records) is ingeschakeld. Het bestand bevat een lijst met domeincontrollers voor elk domein. Het wordt in eerste instantie gemaakt door de connector, maar u moet het vervolgens zelf bijhouden. Het bestand overschrijft de DNS-zoekacties voor de servicelocatie.
- Active Directory via LDAP waarvoor de optie Deze directory ondersteunt DNS-servicelocatie is ingeschakeld
- Active Directory (Geïntegreerde Windows-verificatie), waarbij de servicelocatie altijd via DNS wordt opgezocht
Bij de aanmaak van een directory waarvoor de servicelocatie via DNS wordt opgezocht, wordt automatisch het bestand domain_krb.properties gemaakt in de directory /usr/local/horizon/conf van de virtual machine en automatisch ingevuld met de domeincontrollers voor elk domein. Om het bestand in te vullen zoekt de connector naar domeincontrollers die zich op dezelfde site als de connector bevinden en selecteert hier twee bereikbare controllers die de snelste respons hebben.
Wanneer u aanvullende directory's maakt waarvoor de servicelocatie via DNS wordt opgezocht, of nieuwe domeinen toevoegt aan een directory met geïntegreerde Windows-verificatie, worden de nieuwe domeinen met bijbehorende domeincontrollers opgenomen in het bestand.
U kunt de standaardselectie te allen tijde overschrijven door het bestand domain_krb.properties te bewerken. Als best practice wordt aanbevolen om het bestand domain_krb.properties voor een nieuwe directory direct te controleren om te kijken of de vermelde domeincontrollers optimaal zijn voor uw configuratie. Bij een mondiale Active Directory-implementatie waarbij meerdere domeincontrollers over verschillende geografische locaties zijn verspreid, krijgt u de snelste communicatie met Active Directory wanneer u een domeincontroller kiest die zich vlak bij de connector bevindt.
Ook voor andere wijzigingen moet u het bestand handmatig bijwerken. De volgende regels zijn van applicatie.
- Het bestand domain_krb.properties wordt gemaakt op de virtual machine van de connector. In een normale implementatie zonder aanvullende connectoren wordt het bestand gemaakt op de virtual machine van de VMware Identity Manager-service. Als u een aanvullende connector voor de directory gebruikt, wordt het bestand gemaakt op de virtual machine van de connector. Een virtual machine kan slechts één domain_krb.properties-bestand bevatten.
- Wanneer u een nieuwe directory maakt waarbij de servicelocatie via DNS wordt opgezocht, wordt het bestand automatisch gemaakt en gevuld met de domeincontrollers voor elk domein.
- De domeincontrollers voor elk domein worden in volgorde van prioriteit weergegeven. De eerste domeincontroller in de lijst zal door de connector worden gebruikt om verbinding met Active Directory te maken. Als deze niet bereikbaar is, wordt de tweede controller in de lijst geprobeerd enzovoort.
- Het bestand wordt alleen bijgewerkt wanneer u een nieuwe directory maakt waarvoor de servicelocatie via DNS wordt opgezocht of wanneer u een domein toevoegt aan een directory met geïntegreerde Windows-verificatie. Het nieuwe domein wordt met bijbehorende domeincontrollers aan het bestand toegevoegd.
Houd er rekening mee dat een bestaande domeinvermelding in het bestand niet wordt bijgewerkt. Stel dat u een directory hebt gemaakt en deze vervolgens verwijdert, dan wordt het bestand niet bijgewerkt en blijft de originele vermelding van het domein in het bestand gehandhaafd.
- Ook in andere gevallen wordt het bestand niet automatisch bijgewerkt. Als u een directory bijvoorbeeld verwijdert, wordt de domeinvermelding niet uit het bestand verwijderd.
- Als een vermelde domeincontroller in het bestand onbereikbaar wordt, moet u het bestand handmatig bewerken en de vermelding verwijderen.
- Als u een domeinvermelding handmatig toevoegt of bewerkt, worden uw wijzigingen niet overschreven.
Voor informatie over het bewerken van het bestand domain_krb.properties, zie Het bestand domain_krb.properties bewerken.
Selectie van domeincontrollers waarmee het bestand domain_krb.properties automatisch wordt gevuld
Om het bestand domain_krb.properties automatisch in te vullen, wordt op basis van IP-adres en netmasker gekeken op welk subnet de connector zich bevindt, waarna de Active Directory-configuratie wordt gebruikt om de site op dat subnet te identificeren. Vervolgens wordt de lijst met domeincontrollers voor die site opgehaald en gefilterd om het juiste domein te bepalen, waarna de twee domeincontrollers met de snelste respons worden geselecteerd.
Om de dichtstbijzijnde domeincontrollers te kunnen bepalen, stelt VMware Identity Manager de volgende vereisten:
- Het subnet van de connector moet aanwezig zijn in de Active Directory-configuratie of er moet een subnet zijn opgegeven in het bestand runtime-config.properties. Zie De standaardsubnetselectie overschrijven.
Het subnet wordt gebruikt om de site te bepalen.
- De Active Directory-configuratie moet site-aware zijn.
Als het subnet niet kan worden bepaald of als uw Active Directory-configuratie niet site-aware is, worden geen DNS-zoekacties voor servicelocaties gebruikt om domeincontrollers te zoeken, en wordt het bestand gevuld met een paar domeincontrollers die bereikbaar zijn. Omdat deze domeincontrollers zich mogelijk niet op dezelfde geografische locatie bevinden als de connector, kunnen er vertragingen of time-outs optreden in de communicatie met Active Directory. Geef in dat geval handmatig de juiste domeincontrollers voor elk domein op in het bestand domain_krb.properties. Zie Het bestand domain_krb.properties bewerken.
Voorbeeldbestand domain_krb.properties
example.com=host1.example.com:389,host2.example.com:389