Я администратор Windows, управляющий нашей инфраструктурой AD. Наша команда Linux создала несколько виртуальных машин CentOS 7 и настроила их для использования SSSD для присоединения к домену.
Первоначальная конфигурация запрашивала DC на другом сайте (а не в домене, как было написано ранее), поэтому я попросил их изучить возможность использования сайтов AD с SSSD.
Теперь сервер возвращает 3 записи DC _ldap из DNS. Первая попытка - с другого сайта, поэтому не может получить к нему доступ. Второй работает и возвращает правильное имя сайта. В течение определенного периода времени (точно не знаю, сколько времени) он будет использовать ответивший контроллер домена, и по истечении этого времени он снова начнет получать 3 записи _ldap от DNS.
Это вызывает некоторые задержки при входе в систему, которые нас попросили решить. Если мы установим имя сайта в конфигурации, то оно будет работать постоянно, но мы должны учитывать, что восстанавливаем эти виртуальные машины из резервной копии на другой сайт, где теперь заданное имя сайта будет неправильным.
Я не очень хорошо знаю конфигурацию CentOS, но есть ли способ, чтобы это работало правильно, или это то, что он уже делает?
Вам нужно будет указать SSSD, какой сайт использовать.
[domain/example.com]
dns_discovery_domain = MyLocalSite._sites.example.com
Это выполнит следующий поиск DNS для ldap / kerberos
dig SRV +short _ldap._tcp.MyLocalSite._sites.example.com
dig SRV +short _kerberos._tcp.MyLocalSite._sites.example.com
Вы можете получить список этих сайтов из AD DNS или Sites and Services.
IMHO Microsoft действительно плохо справляется с этим, в ожидании вашей скорости изменения вы можете самостоятельно настроить поддомен обнаружения или использовать FreeIPA
Образец запроса dig SRV +short _ldap._tcp.MyLocalSite._sites.example.com
DNS сайтов и служб Microsoft
_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 0 100 389 dc1.example.com
Адреса IPA DNS
_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 0 100 389 dc1.example.com
_ldap._tcp.MyLocalSite._sites.example.com 600 IN SRV 100 100 389 dc2.example.com
IPA всегда будет перечислять все серверы ipa при настройке местоположений и изменять приоритет записи DNS SRV на основе geoDNS, надеюсь, Server 2016 добавит поддержку для этого, у меня нет примеров того, как использовать сервер 2016 для предоставления локальных записей SRV.
Если вы хотите ВРУЧНУЮ создать сайт под другим доменом, вы можете, ничто не говорит о том, что вы не можете.
пример
SSSD.conf
dns_discovery_domain = MyLocalSite._linux_sites.example.com
DNS
_ldap._tcp.MyLocalSite._linux_sites.example.com 600 IN SRV 0 100 389 dc1.example.com
_ldap._tcp.MyLocalSite._linux_sites.example.com 600 IN SRV 100 100 389 dc2.example.com