domain_krb.properties 檔案會決定要針對已啟用 DNS 服務位置 (SRV 記錄) 查閱之目錄所使用的網域控制站。它包含每個網域的網域控制站清單。一開始連接器會建立檔案,但您後續必須加以維護。此檔案會覆寫 DNS 服務位置 (SRV) 查閱。

下列類型的目錄已啟用 DNS 服務位置查閱:
  • 已選取此目錄支援 DNS 服務位置選項的 Active Directory over LDAP。
  • Active Directory (整合式 Windows 驗證),其一律會啟用 DNS 服務位置查閱

當您先建立啟用 DNS 服務位置查閱的目錄時,系統會自動建立 domain_krb.properties 檔案,並自動填入每個網域的網域控制站。為了填入檔案,連接器會嘗試尋找與連接器相同站台的網域控制站,並選取兩個可連接與回應最快的連接器。

建立已啟用 DNS 服務位置的其他目錄,或新增網域至整合式 Windows 驗證目錄時,系統會將新網域和其網域控制站的清單新增至檔案。

您可以隨時透過編輯 domain_krb.properties 檔案來覆寫預設選項。最佳做法是在您建立目錄後檢視 domain_krb.properties 檔案,並確認所列出的網域控制站是您組態的理想選擇。針對具有跨不同地理位置之多個網域控制站的全域 Active Directory 部署,使用與連接器鄰近的網域控制站可確保與 Active Directory 的通訊更快速。

您也必須手動更新檔案以進行任何其他變更。適用下列規則。

  • domain_krb.properties 檔案會建立在包含連接器的伺服器中。一部伺服器只能有一個 domain_krb.properties 檔案。

    在未部署其他連接器的一般內部部署中,則會在 VMware Identity Manager 服務伺服器中建立此檔案。如果您針對目錄使用外部連接器,則會在連接器伺服器中建立檔案。

    在 SaaS 部署中,檔案會建立在連接器伺服器中。

    在服務或連接器 Linux 虛擬應用裝置中,domain_krb.properties 檔案會位於 /usr/local/horizon/conf 目錄中。在服務或連接器 Windows Server 中,domain_krb.properties 檔案會位於 installDir\IDMConnector\usr\local\horizon\conf 目錄中。

  • 隨即建立檔案,並且當您先建立已啟用 DNS 服務位置查閱的目錄時,系統會為每個網域自動填入網域控制站。
  • 每個網域的網域控制站將以優先順序列出。為了連接至 Active Directory,連接器會嘗試清單中的第一個網域控制站。如果無法連線,它會嘗試清單中的第二個,以此類推。
  • 只有在您建立已啟用 DNS 服務位置查閱的新目錄,或是新增網域至整合式 Windows 驗證目錄時,該檔案才會更新。新網域和其網域控制站的清單會新增至檔案。

    請注意,如果檔案中已存在某網域的項目,則不會更新檔案。例如,如果您建立目錄,然後將它刪除,則原始網域項目會保留在檔案中,並且不會加以更新。

  • 在任何其他案例中均不會自動更新檔案。例如,如果您刪除目錄,則不會從檔案刪除網域項目。
  • 如果檔案中所列出的某個網域控制站無法連接,請編輯該檔案並加以移除。
  • 如果手動新增或編輯網域項目,則不會覆寫您的變更。

如需編輯 domain_krb.properties 檔案的相關資訊,請參閱編輯 domain_krb.properties 檔案

重要: (僅限 Linux 虛擬應用裝置) /etc/krb5.conf 檔案必須與 domain_krb.properties 檔案一致。每當您更新 domain_krb.properties 檔案時,請同時更新 krb5.conf 檔案。如需詳細資訊,請參閱 編輯 domain_krb.properties 檔案知識庫文章 2091744

如何選取網域控制站以自動填入 domain_krb.properties 檔案

為了自動填入 domain_krb.properties 檔案,系統會先判斷連接器所在的子網路 (根據 IP 位址和網路遮罩) 來選取網域控制站,然後使用 Active Directory 組態來識別該子網路的站台、取得該站台的網域控制站清單、篩選清單以取得適當網域,並選取回應最快的兩個網域控制站。

若要偵測最鄰近的網域控制站,VMware Identity Manager 有下列需求:

  • Active Directory 組態中必須出現連接器的子網路,或必須在 runtime-config.properties 檔案中指定子網路。請參閱覆寫預設子網路選擇

    子網路是用來判斷站台。

  • Active Directory 組態必須是站台感知。

如果無法判斷子網路,或如果您的 Active Directory 組態不是站台感知,則會使用 DNS 服務位置查閱來尋找網域控制站,並且以一些可連接的網域控制站來填入檔案。請注意,這些網域控制站不能與連接器位在相同的地理位置,因為如此可能在與 Active Directory 通訊時造成延遲或逾時。在此情況下,請手動編輯 domain_krb.properties 檔案,並指定要用於每個網域的正確網域控制站。請參閱編輯 domain_krb.properties 檔案

範例 domain_krb.properties 檔案

example.com=host1.example.com:389,host2.example.com:389