我是pipe理我们的AD基础架构的Windowspipe理员。 我们的Linux团队已经build立了一些CentOS 7虚拟机,并将它们configuration为使用SSSD来join域。
最初的configuration是在一个不同的站点(不是以前写的域)查询一个DC,所以我让他们使用带有SSSD的AD站点进行研究。
服务器现在返回来自DNS的3个_ldap DClogging。 第一个尝试是从一个不同的网站,所以它不能访问它。 第二个作品,它检索正确的网站名称。 一段时间(不知道究竟有多长时间),它会使用响应的DC,在这段时间过去之后,它将开始从DNS获取3个_ldaplogging。
这导致了我们被要求解决的login延迟。 如果我们在configuration中设置了站点名称,那么它一直都在运行,但是我们必须考虑将这些虚拟机从备份中还原到其他设置了站点名称的站点上。
我不知道CentOS中的很多configuration,但有没有一种方法可以正常工作,或者它已经在做什么?
你需要告诉SSSD使用哪个站点。
[domain/example.com] dns_discovery_domain = MyLocalSite._sites.example.com
这将为ldap / kerberos执行以下DNS查找
dig SRV +short _ldap._tcp.MyLocalSite._sites.example.com dig SRV +short _kerberos._tcp.MyLocalSite._sites.example.com
您可以从AD DNS或站点和服务获取这些网站的列表
恕我直言,微软在做这件事上做得很差,等待你的改变率,你可能想自己设置一个发现子域或者使用FreeIPA
示例查询dig SRV +short _ldap._tcp.MyLocalSite._sites.example.com
Microsoft站点和服务DNS
_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 0 100 389 dc1.example.com
IPA地点DNS
_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 0 100 389 dc1.example.com _ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 100 100 389 dc2.example.com
当你configuration位置时,IPA将总是列出所有的ipa服务器,并根据geoDNS修改dns SRVlogging的优先级,希望Server 2016会增加对此的支持,我没有关于如何使用2016服务器来提供本地SRVlogging的例子。
如果你想手动创build一个网站在另一个领域,你可以,没有说你不能。
例
SSSD.conf
dns_discovery_domain = MyLocalSite._linux_sites.example.com
DNS
_ldap._tcp.MyLocalSite._linux_sites.example.com 600 IN SRV 0 100 389 dc1.example.com _ldap._tcp.MyLocalSite._linux_sites.example.com 600 IN SRV 100 100 389 dc2.example.com