ActiveDirectoryを備えたSSSDサイト
私はADインフラストラクチャを管理するWindows管理者です。 Linuxチームは、いくつかのCentOS 7 VMを構築し、SSSDを使用してドメインに参加するように構成しています。
最初の構成では、別のサイト(以前に記述されたドメインではない)でDC)をクエリしていたので、SSSDでADサイトを使用することを検討するように依頼しました。
サーバーは、DNSから3つの_ldap DCレコードを返します。最初に試行するのは別のサイトからのものであるため、アクセスできません。2番目は機能し、正しいサイト名を取得します。一定期間応答したDC)を使用し、その時間が経過すると、DNSから3つの_ldapレコードの取得を再開します(正確な期間はわかりません)。
これにより、解決を求められたロギングに遅延が発生します。構成でサイト名を設定すると、常に機能しますが、これらのVMをバックアップから、設定したサイト名が間違っている他のサイトに復元することを考慮する必要があります。
CentOSの設定についてはよくわかりませんが、これを正しく機能させる方法はありますか、それともすでに行っていることですか?
使用するサイトをSSSDに指示する必要があります。
[domain/example.com]
dns_discovery_domain = MyLocalSite._sites.example.com
これにより、ldap/kerberosに対して次のDNSルックアップが実行されます
Dig SRV +short _ldap._tcp.MyLocalSite._sites.example.com
Dig SRV +short _kerberos._tcp.MyLocalSite._sites.example.com
これらのサイトのリストは、ADDNSまたはサイトとサービスから取得できます。
IMHO Microsoftはこれを行うのに非常に貧弱な仕事をしています。変更率が出るまで、自分で検出サブドメインを設定するか、FreeIPAを使用することをお勧めします。
サンプルクエリDig SRV +short _ldap._tcp.MyLocalSite._sites.example.com
MicrosoftサイトおよびサービスDNS
_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 0 100 389 dc1.example.com
IPAロケーションDNS
_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 0 100 389 dc1.example.com
_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 100 100 389 dc2.example.com
IPAは、場所を構成するときに常にすべてのipaサーバーを一覧表示し、geoDNSに基づいてDNS SRVレコードの優先度を変更します。サーバー2016がこれをサポートすることを願っています。2016サーバーを使用して、ローカルSRVレコードを提供する方法の例はありません。
別のドメインの下に手動でサイトを作成したい場合は、できますが、できないとは言えません。
例
SSSD.conf
dns_discovery_domain = MyLocalSite._linux_sites.example.com
DNS
_ldap._tcp.MyLocalSite._linux_sites.example.com 600 IN SRV 0 100 389 dc1.example.com
_ldap._tcp.MyLocalSite._linux_sites.example.com 600 IN SRV 100 100 389 dc2.example.com