domain_krb.properties 檔案會決定要針對已啟用 DNS 服務位置 (SRV 記錄) 查閱之目錄所使用的網域控制站。它包含每個網域的網域控制站清單。一開始連接器會建立檔案,但您後續必須加以維護。此檔案會覆寫 DNS 服務位置 (SRV) 查閱。
- 已選取此目錄支援 DNS 服務位置選項的 Active Directory over LDAP。
- Active Directory (整合式 Windows 驗證),其一律會啟用 DNS 服務位置查閱
當您先建立已啟用 DNS 服務位置查閱的目錄時,系統會自動在虛擬機器的 /usr/local/horizon/conf 目錄中建立 domain_krb.properties 檔案,並對每個網域自動填入網域控制站。為了填入檔案,連接器會嘗試尋找與連接器相同站台的網域控制站,並選取兩個可連接與回應最快的連接器。
建立已啟用 DNS 服務位置的其他目錄,或新增網域至整合式 Windows 驗證目錄時,系統會將新網域和其網域控制站的清單新增至檔案。
您可以隨時透過編輯 domain_krb.properties 檔案來覆寫預設選項。最佳做法是在您建立目錄後檢視 domain_krb.properties 檔案,並確認所列出的網域控制站是您組態的理想選擇。針對具有跨不同地理位置之多個網域控制站的全域 Active Directory 部署,使用與連接器鄰近的網域控制站可確保與 Active Directory 的通訊更快速。
您也必須手動更新檔案以進行任何其他變更。適用下列規則。
- domain_krb.properties 檔案會在包含連接器的虛擬機器中建立。在沒有部署其他連接器的一般部署中,則會在 VMware Identity Manager 服務虛擬機器中建立檔案。如果您針對目錄使用其他連接器,則會在連接器虛擬機器中建立檔案。一部虛擬機器只能有一個 domain_krb.properties 檔案。
- 隨即建立檔案,並且當您先建立已啟用 DNS 服務位置查閱的目錄時,系統會為每個網域自動填入網域控制站。
- 每個網域的網域控制站將以優先順序列出。為了連接至 Active Directory,連接器會嘗試清單中的第一個網域控制站。如果無法連線,它會嘗試清單中的第二個,以此類推。
- 只有在您建立已啟用 DNS 服務位置查閱的新目錄,或是新增網域至整合式 Windows 驗證目錄時,該檔案才會更新。新網域和其網域控制站的清單會新增至檔案。
請注意,如果檔案中已存在某網域的項目,則不會更新檔案。例如,如果您建立目錄,然後將它刪除,則原始網域項目會保留在檔案中,並且不會加以更新。
- 在任何其他案例中均不會自動更新檔案。例如,如果您刪除目錄,則不會從檔案刪除網域項目。
- 如果檔案中所列出的某個網域控制站無法連接,請編輯該檔案並加以移除。
- 如果手動新增或編輯網域項目,則不會覆寫您的變更。
如需編輯 domain_krb.properties 檔案的相關資訊,請參閱編輯 domain_krb.properties 檔案。
如何選取網域控制站以自動填入 domain_krb.properties 檔案
為了自動填入 domain_krb.properties 檔案,系統會先判斷連接器所在的子網路 (根據 IP 位址和網路遮罩) 來選取網域控制站,然後使用 Active Directory 組態來識別該子網路的站台、取得該站台的網域控制站清單、篩選清單以取得適當網域,並選取回應最快的兩個網域控制站。
若要偵測最鄰近的網域控制站,VMware Identity Manager 有下列需求:
- Active Directory 組態中必須出現連接器的子網路,或必須在 runtime-config.properties 檔案中指定子網路。請參閱覆寫預設子網路選擇。
子網路是用來判斷站台。
- Active Directory 組態必須是站台感知。
如果無法判斷子網路,或如果您的 Active Directory 組態不是站台感知,則會使用 DNS 服務位置查閱來尋找網域控制站,並且以一些可連接的網域控制站來填入檔案。請注意,這些網域控制站不能與連接器位在相同的地理位置,因為如此可能在與 Active Directory 通訊時造成延遲或逾時。在此情況下,請手動編輯 domain_krb.properties 檔案,並指定要用於每個網域的正確網域控制站。請參閱編輯 domain_krb.properties 檔案。
範例 domain_krb.properties 檔案
example.com=host1.example.com:389,host2.example.com:389
