Настройка глобального каталога

Эллес предоставляет конфигурационные параметры для оптимизации и повышения устойчивости работы функциональности глобального каталога на контроллере домена Эллес.

Принудительное включение роли сервера глобального каталога

По умолчанию при запуске контроллер домена Эллес не устанавливает атрибут isGlobalCatalogReady и не регистрирует в DNS SRV-запись для обнаружения его в качестве сервера глобального каталога до тех пор, пока не будет завершена синхронизация всех частично реплицируемых разделов каталога (PAS-партиций).

В большинстве сценариев использования такое поведение является оптимальным, поскольку обеспечивает согласованное представление каталога на сервере глобального каталога.

Однако в некоторых случаях может возникать необходимость в том, чтобы роль сервера глобального каталога включалась на контроллере домена до полной синхронизации данных.

При необходимости принудительно включить роль сервера глобального каталога через определенное время после запуска без учета выполнения требования синхронизации всех доступных только для чтения разделов каталога используйте конфигурационный параметр ldap_server:gc_delay_advertisement в разделе [global] файла smb.conf на контроллере домене Эллес.

Параметр задает период в секундах, по истечении которого контроллер домена устанавливает атрибут isGlobalCatalogReady и регистрирует в DNS SRV-запись для обнаружения его в качестве сервера глобального каталога.

По умолчанию период не установлен и роль сервера глобального каталога включается только после полной синхронизации PAS-партиций.

Пример изменения значения параметра:

[global]
    ...
    ldap_server:gc_delay_advertisement = 30
    ...

Управление повторными IRPC-вызовами

Для управления повторными внутренними RPC-вызовами (Internal Remote Procedure Call, IRPC), совершаемыми LDAP-сервером при включении функциональности глобального каталога, используются параметры:

  • ldap_server:gc_irpc_retry_period_msec (по умолчанию — 60000):

    • задает интервал в миллисекундах для повторной попытки неуспешного IRPC-вызова;

    • также используется в качестве начальной задержки для первого вызова KCC;

  • ldap_server:gc_irpc_max_retries (по умолчанию — 30) — задает максимальное количество попыток повторения IRPC-вызова.

Если в процессе включения функциональности глобального каталога обнаруживается, что не все доменные разделы доступны локально, LDAP-сервер (сервис ldap_server) совершает несколько IRPC-вызовов:

  1. Вызывает сервис KCC (kccsrv) для обновления топологии репликации.

  2. Вызывает сервис репликации (dreplsrv).

  3. После завершения репликации — вызывает сервис обновления записей DNS (dnsupdate).

  4. Опционально вызывает сам себя для нотификации рабочих процессов.

Заданные по умолчанию значения параметров позволяют обеспечить корректное совершение описанной последовательности вызовов при включении функциональности глобального каталога.

В текущей версии inno-samba эти параметры влияют только на вызовы KCC. Изменять их не требуется.

Сохранение размера файлов базы данных для LMDB-бэкенда

Если при присоединении сервера к домену с помощью команды samba-tool domain join в качестве базы данных указывается LMDB-бэкенд (--backend-store=mdb), для корректного создания файлов частичных доменных разделов каталога (NC) также должен быть задан достаточный для этого размер файлов базы данных (--backend-store-size).

Чтобы заданное при присоединении значение --backend-store-size было доступно функциональности глобального каталога, оно сохраняется в отдельном конфигурационном параметре — ldb_backend:store size.

Этот параметр добавляется автоматически в файл конфигурации smb.conf процедурой join. Изменять его значение вручную не требуется.