Файл domain_krb.properties определяет, какие контроллеры домена используются для каталогов с включенной функцией поиска расположения службы DNS (SRV-записи). Он содержит список контроллеров для каждого домена. Соединитель изначально создает этот файл, и впоследствии в него нужно вносить требуемые изменения. Этот файл переопределяет параметр поиска расположения службы DNS (SRV).
- Active Directory через LDAP с выбранным параметром Этот каталог поддерживает расположение службы DNS;
- Active Directory (со встроенной проверкой подлинности Windows), в котором функция поиска расположения службы DNS включена всегда.
При первом создании каталога, для которого включен поиск расположения служб DNS, автоматически создается файл domain_krb.properties, и в него вносятся данные о контроллерах домена для каждого из доменов. Чтобы заполнить файл, соединитель пытается найти контроллеры домена, которые размещены на том же сайте, и выбирает два доступных, которые ответили ему быстрее других.
При создании дополнительных каталогов с включенной функцией поиска расположения службы DNS или добавлении новых доменов в каталог со встроенной проверкой подлинности Windows в файл добавляются новые домены и список соответствующих контроллеров домена.
Параметры выбора контроллеров домена по умолчанию можно переопределить в любое время, изменив файл domain_krb.properties. После создания каталога рекомендуется просмотреть файл domain_krb.properties, чтобы убедиться, что перечисленные в нем контроллеры домена являются самыми подходящими для вашей конфигурации. Во время глобального развертывания Active Directory с несколькими контроллерами домена в разных географических регионах следует использовать тот контроллер домена, который находится в непосредственной близости от соединителя. Это позволит обеспечить быстрое взаимодействие с Active Directory.
В случае каких-либо изменений файл необходимо обновить вручную. Применяются следующие правила.
- Файл domain_krb.properties создается на сервере, на котором имеется соединитель. На сервере может быть только один файл domain_krb.properties.
При обычном локальном развертывании без дополнительных соединителей он создается на сервере службы VMware Identity Manager. Если для каталога используется внешний соединитель, этот файл создается на сервере соединителя.
При развертывании SaaS файл создается на сервере соединителя.
При использовании виртуального устройства Linux службы или соединителя файл domain_krb.properties располагается в каталоге /usr/local/horizon/conf. При использовании сервера Windows службы или соединителя файл domain_krb.properties располагается в каталоге каталог_установки\IDMConnector\usr\local\horizon\conf.
- При первом создании каталога с включенной функцией поиска расположения службы DNS создается файл, который автоматически заполняется контроллерами каждого домена.
- Контроллеры для каждого домена указаны в порядке приоритета. Соединитель пытается подключиться к Active Directory через первый контроллер домена в списке. Если он недоступен, выполняется попытка подключения ко второму контроллеру в списке, и так далее.
- Файл обновляется только при создании каталога с включенной функцией поиска расположения службы DNS или добавлении домена в каталог со встроенной проверкой подлинности Windows. Новый домен и список контроллеров домена добавляются в файл.
Обратите внимание, что если в файле уже существует запись для домена, она не обновится. Например, если создать каталог, а затем удалить, исходная запись домена остается в файле и не обновляется.
- При любом другом сценарии файл не обновляется автоматически. К примеру, после удаления каталога запись домена не удаляется из файла.
- Если указанный в файле контроллер домена недоступен, удалите его в файле.
- При добавлении или изменении записи домена вручную изменения не будут перезаписаны.
Дополнительные сведения о редактировании файла domain_krb.properties см. в разделе Изменение файла domain_krb.properties.
Выбор контроллеров домена для автоматического заполнения файла domain_krb.properties
Чтобы автоматически заполнить файл domain_krb.properties контроллерами домена, соединитель выбирает их из подсети, в которой он находится (на основе IP-адреса и маски подсети). Затем с помощью конфигурации Active Directory он определяет сайт подсети, получает список контроллеров домена этого сайта, отфильтровывает их по домену и выбирает два контроллера домена, которые отвечают быстрее других.
Ниже приведены требования VMware Identity Manager, применяемые для обнаружения ближайших контроллеров домена.
- Подсеть соединителя должна быть задана в конфигурации Active Directory или указана в файле runtime-config.properties. См. раздел Переопределение параметров выбора подсети по умолчанию.
Она используется для определения сайта.
- Сайт должен распознавать конфигурацию Active Directory.
Если невозможно определить подсеть или сайт не может распознать конфигурацию Active Directory, функция поиска расположения службы DNS используется для поиска доступных контроллеров домена и заполнения ими файла. Обратите внимание, если эти контроллеры домена и соединитель находятся в разных географических регионах, при взаимодействии с Active Directory могут возникать задержки или ошибки в связи с окончанием времени ожидания. В таком случае необходимо изменить файл domain_krb.properties вручную и указать правильные контроллеры для каждого домена. См. раздел Изменение файла domain_krb.properties.
Пример файла domain_krb.properties
example.com=host1.example.com:389,host2.example.com:389