Файл domain_krb.properties определяет, какие контроллеры домена используются для каталогов с включенной функцией поиска расположения службы DNS (SRV-записи). Он содержит список контроллеров для каждого домена. Соединитель изначально создает этот файл, и впоследствии в него нужно вносить требуемые изменения. Этот файл переопределяет параметр поиска расположения службы DNS (SRV).

Следующие типы каталогов поддерживают функцию поиска расположения службы DNS:

  • Active Directory через LDAP с выбранным параметром Этот каталог поддерживает расположение службы DNS;

  • Active Directory (со встроенной проверкой подлинности Windows), в котором функция поиска расположения службы DNS включена всегда.

При первом создании каталога с включенной функцией поиска расположения службы DNS файл domain_krb.properties автоматически создается в каталоге виртуальной машины /usr/local/horizon/conf и заполняется контроллерами каждого домена. Чтобы заполнить файл, соединитель пытается найти контроллеры домена, которые размещены на том же сайте, и выбирает два доступных, которые ответили ему быстрее других.

При создании дополнительных каталогов с включенной функцией поиска расположения службы DNS или добавлении новых доменов в каталог со встроенной проверкой подлинности Windows в файл добавляются новые домены и список соответствующих контроллеров домена.

Параметры выбора контроллеров домена по умолчанию можно переопределить в любое время, изменив файл domain_krb.properties. После создания каталога рекомендуется просмотреть файл domain_krb.properties, чтобы убедиться, что перечисленные в нем контроллеры домена являются самыми подходящими для вашей конфигурации. Во время глобального развертывания Active Directory с несколькими контроллерами домена в разных географических регионах следует использовать тот контроллер домена, который находится в непосредственной близости от соединителя. Это позволит обеспечить быстрое взаимодействие с Active Directory.

В случае каких-либо изменений файл необходимо обновить вручную. Применяются следующие правила.

  • Файл domain_krb.properties создается в виртуальной машине, которая содержит соединитель. При обычном развертывании без дополнительных соединителей он создается в виртуальной машине со службой Directories Management. Если для каталога используется дополнительный соединитель, этот файл создается в виртуальной машине соединителя. В виртуальной машине может быть только один файл domain_krb.properties.

  • При первом создании каталога с включенной функцией поиска расположения службы DNS создается файл, который автоматически заполняется контроллерами каждого домена.

  • Контроллеры для каждого домена указаны в порядке приоритета. Соединитель пытается подключиться к Active Directory через первый контроллер домена в списке. Если он недоступен, выполняется аналогичная попытка со вторым контроллером домена в списке и так далее.

  • Файл обновляется только при создании каталога с включенной функцией поиска расположения службы DNS или добавлении домена в каталог со встроенной проверкой подлинности Windows. Новый домен и список контроллеров домена добавляются в файл.

    Обратите внимание, что если в файле уже существует запись для домена, она не обновится. Например, если создать каталог, а затем удалить, исходная запись домена остается в файле и не обновляется.

  • При любом другом сценарии файл не обновляется автоматически. К примеру, после удаления каталога запись домена не удаляется из файла.

  • Если указанный в файле контроллер домена недоступен, удалите его в файле.

  • При добавлении или изменении записи домена вручную изменения не будут перезаписаны.

Выбор контроллеров домена для автоматического заполнения файла domain_krb.properties

Чтобы автоматически заполнить файл domain_krb.properties контроллерами домена, соединитель выбирает их из подсети, в которой он находится (на основе IP-адреса и маски подсети). Затем с помощью конфигурации Active Directory он определяет сайт подсети, получает список контроллеров домена этого сайта, отфильтровывает их по домену и выбирает два контроллера домена, которые отвечают быстрее других.

Ниже приведены требования VMware Identity Manager для обнаружения ближайших контроллеров домена.

  • Подсеть соединителя должна быть задана в конфигурации Active Directory или указана в файле runtime-config.properties.

    Она используется для определения сайта.

  • Сайт должен распознавать конфигурацию Active Directory.

Если невозможно определить подсеть или сайт не может распознать конфигурацию Active Directory, функция поиска расположения службы DNS используется для поиска доступных контроллеров домена и заполнения ими файла. Обратите внимание, если эти контроллеры домена и соединитель находятся в разных географических регионах, при взаимодействии с Active Directory могут возникать задержки или ошибки в связи с окончанием времени ожидания. В таком случае необходимо изменить файл domain_krb.properties вручную и указать правильные контроллеры для каждого домена.

Пример файла domain_krb.properties

example.com=host1.example.com:389,host2.example.com:389