Файл domain_krb.properties определяет, какие контроллеры домена используются для каталогов с включенной функцией поиска расположения службы DNS (SRV-записи). Он содержит список контроллеров для каждого домена. Соединитель изначально создает этот файл, и впоследствии в него нужно вносить требуемые изменения. Этот файл переопределяет параметр поиска расположения службы DNS (SRV).
Функция поиска расположения служб DNS поддерживается следующими типами каталогов.
Active Directory через LDAP с выбранным параметром Этот каталог поддерживает расположение службы DNS;
Active Directory (со встроенной проверкой подлинности Windows), в котором функция поиска расположения службы DNS включена всегда.
При первом создании каталога с включенной функцией поиска расположения службы DNS файл domain_krb.properties автоматически создается в каталоге виртуальной машины /usr/local/horizon/conf и заполняется контроллерами каждого домена. Чтобы заполнить файл, соединитель пытается найти контроллеры домена, которые размещены на том же сайте, и выбирает два доступных, которые ответили ему быстрее других.
При создании дополнительных каталогов с включенной функцией поиска расположения службы DNS или добавлении новых доменов в каталог со встроенной проверкой подлинности Windows в файл добавляются новые домены и список соответствующих контроллеров домена.
Параметры выбора контроллеров домена по умолчанию можно переопределить в любое время, изменив файл domain_krb.properties. После создания каталога рекомендуется просмотреть файл domain_krb.properties, чтобы убедиться, что перечисленные в нем контроллеры домена являются самыми подходящими для вашей конфигурации. Во время глобального развертывания Active Directory с несколькими контроллерами домена в разных географических регионах следует использовать тот контроллер домена, который находится в непосредственной близости от соединителя. Это позволит обеспечить быстрое взаимодействие с Active Directory.
В случае каких-либо изменений файл необходимо обновить вручную. Применяются следующие правила.
Файл domain_krb.properties создается в виртуальной машине, которая содержит соединитель. При обычном развертывании без дополнительных соединителей он создается в виртуальной машине со службой VMware Identity Manager. Если для каталога используется дополнительный соединитель, этот файл создается в виртуальной машине соединителя. На виртуальной машине может быть только один файл domain_krb.properties.
При первом создании каталога с включенной функцией поиска расположения службы DNS создается файл, который автоматически заполняется контроллерами каждого домена.
Контроллеры для каждого домена указаны в порядке приоритета. Соединитель пытается подключиться к Active Directory через первый контроллер домена в списке. Если он недоступен, выполняется попытка подключения ко второму контроллеру в списке, и так далее.
Файл обновляется только при создании каталога с включенной функцией поиска расположения службы DNS или добавлении домена в каталог со встроенной проверкой подлинности Windows. Новый домен и список контроллеров домена добавляются в файл.
Обратите внимание, что если в файле уже существует запись для домена, она не обновится. Например, если создать каталог, а затем удалить, исходная запись домена остается в файле и не обновляется.
При любом другом сценарии файл не обновляется автоматически. К примеру, после удаления каталога запись домена не удаляется из файла.
Если указанный в файле контроллер домена недоступен, удалите его в файле.
При добавлении или изменении записи домена вручную изменения не будут перезаписаны.
Дополнительные сведения о редактировании файла domain_krb.properties см. в разделе Изменение файла domain_krb.properties.
Файл /etc/krb5.conf должен соответствовать файлу domain_krb.properties. При обновлении файла domain_krb.properties необходимо обновить файл krb5.conf. Дополнительные сведения см. в разделе Изменение файла domain_krb.properties и в статье базы знаний 2091744.
Выбор контроллеров домена для автоматического заполнения файла domain_krb.properties
Чтобы автоматически заполнить файл domain_krb.properties контроллерами домена, соединитель выбирает их из подсети, в которой он находится (на основе IP-адреса и маски подсети). Затем с помощью конфигурации Active Directory он определяет сайт подсети, получает список контроллеров домена этого сайта, отфильтровывает их по домену и выбирает два контроллера домена, которые отвечают быстрее других.
Ниже приведены требования VMware Identity Manager, применяемые для обнаружения ближайших контроллеров домена.
Подсеть соединителя должна быть задана в конфигурации Active Directory или указана в файле runtime-config.properties. См. раздел Переопределение параметров выбора подсети по умолчанию.
Она используется для определения сайта.
Сайт должен распознавать конфигурацию Active Directory.
Если невозможно определить подсеть или сайт не может распознать конфигурацию Active Directory, функция поиска расположения службы DNS используется для поиска доступных контроллеров домена и заполнения ими файла. Обратите внимание, если эти контроллеры домена и соединитель находятся в разных географических регионах, при взаимодействии с Active Directory могут возникать задержки или ошибки в связи с окончанием времени ожидания. В таком случае необходимо изменить файл domain_krb.properties вручную и указать правильные контроллеры для каждого домена. См. раздел Изменение файла domain_krb.properties.
Пример файла domain_krb.properties
example.com=host1.example.com:389,host2.example.com:389