domain_krb.properties 檔案會決定將哪些網域控制站用於已啟用 DNS 服務位置 (SRV 記錄) 查詢的目錄。此檔案包含各網域的網域控制站清單。連接器一開始會建立這個檔案,之後必須由您加以維護。此檔案會覆寫 DNS 服務位置 (SRV) 查詢。

下列目錄類型已啟用 DNS 服務位置查詢。

  • Active Directory over LDAP,已選取此目錄支援 DNS 服務位置選項

  • Active Directory (整合式 Windows 驗證),永遠啟用 DNS 服務位置查詢

當您第一次建立啟用 DNS 服務位置查詢的目錄時,系統會自動在虛擬機器的 /usr/local/horizon/conf 目錄中建立 domain_krb.properties 檔案,此檔案會自動填入每個網域的網域控制站。為了填入該檔案,連接器會嘗試尋找與連接器位於同一站台的網域控制站,並選取可以連線且回應速度最快的兩個網域控制站。

當您建立已啟用 DNS 服務位置的其他目錄或新增網域至整合式 Windows 驗證目錄時,新網域及這些網域的網域控制站清單會一併新增至此檔案。

您可以隨時透過編輯 domain_krb.properties 檔案來覆寫預設選擇。最佳做法是在建立目錄後檢視 domain_krb.properties 檔案,確認列出的網域控制站是針對您組態的最佳選擇。對於具有多個網域控制站 (跨不同地理位置) 的全域 Active Directory 部署,請使用與連接器鄰近的網域控制站以確保與 Active Directory 快速通訊。

對於任何其他變更,您還必須手動更新此檔案。下列規則適用。

  • 在包含連接器的虛擬機器中建立 domain_krb.properties 檔案。在未部署其他連接器的一般部署中,會在 Directories Management 服務虛擬機器中建立此檔案。如果針對目錄使用其他連接器,則會在連接器虛擬機器中建立此檔案。一個虛擬機器只能有一個 domain_krb.properties 檔案。

  • 在您第一次建立啟用 DNS 服務位置查詢的目錄時,此檔案即會建立並自動填入每個網域的網域控制站。

  • 每個網域的網域控制站會依優先順序列出。連接器會嘗試使用清單中的第一個網域控制站連線至 Active Directory。如果無法連線,它會嘗試使用清單中的第二個網域控制站,以此類推。

  • 僅當您建立啟用 DNS 服務位置查詢的新目錄或新增網域至整合式 Windows 驗證目錄時,才會更新此檔案。新網域及其網域控制站清單會一併新增至此檔案。

    請注意,如果檔案中已存在某網域的項目,則不會進行更新。例如,如果您曾建立目錄然後將其刪除,則原始網域項目會保留在檔案中,不會進行更新。

  • 此檔案不會在任何其他情況下自動更新。例如,如果刪除目錄,不會從此檔案刪除網域項目。

  • 如果此檔案中列出的網域控制站無法連線,請編輯檔案以移除此網域控制站。

  • 如果您手動新增或編輯網域項目,則您的變更不會被覆寫。

如何選取網域控制站來自動填入 domain_krb.properties 檔案

系統會透過以下方式選取網域控制站來自動填入 domain_krb.properties 檔案:首先判定連接器所在的子網路 (根據 IP 位址和網路遮罩),然後使用 Active Directory 組態識別該子網路的站台、取得該站台的網域控制站清單、針對適當網域篩選清單,並挑選回應速度最快的兩個網域控制站。

若要偵測最近的網域控制站,VMware Identity Manager 具有下列需求。

  • 連接器的子網路必須存在於 Active Directory 組態中,或者必須在 runtime-config.properties 檔案中指定子網路。

    子網路用於判定站台。

  • Active Directory 組態必須能夠感知站台。

如果無法判定子網路,或者如果 Active Directory 組態無法感知站台,則會使用 DNS 服務位置查詢來尋找網域控制站,此檔案會填入幾個可以連線的網域控制站。請注意,這些網域控制站與連接器可能位於不同的地理位置,這在與 Active Directory 通訊時可能會導致延遲或逾時。在這種情況下,請手動編輯 domain_krb.properties 檔案,並指定每個網域要使用的正確網域控制站。

domain_krb.properties 檔案範例

example.com=host1.example.com:389,host2.example.com:389