Настройка клиента глобального каталога

Клиентская часть функциональности глобального каталога (Global Catalog, GC) на контроллере домена Эллес (GC-клиент) обеспечивает взаимодействие с серверами глобального каталога при работе в многодоменном лесу.

Описываемые в разделе настройки GC-клиента игнорируются:

  • при наличии на сервере роли GC;

  • при работе в однодоменном лесу.

Параметры установления соединения с сервером глобального каталога

Для корректного функционирования служб Netlogon и Kerberos при использовании GС-клиента в многодоменном лесу в конфигурации Эллес могут быть явно указаны серверы глобального каталога, к которым должен в первую очередь обращаться GC-клиент.

Для этой цели служат следующие параметры в разделе [global] конфигурационного файла smb.conf на контроллере домене Эллес:

  • ntlm:gc, ntlm:gc{0,1,2,3,4} — полное доменное имя (FQDN) или IP-адрес и порт сервера глобального каталога под управлением ОC Windows Server в текущем домене, к которому локальный контроллер домена будет обращаться с помощью GC-клиента в операциях аутентификации Netlogon и Kerberos, в формате LDAP URL;

    При попытке установить соединение осуществляется перебор серверов от ntlm:gc до ntlm:gc4 до первого успешного соединения с учетом заданного времени ожидания.

    Рекомендуется указывать FQDN-имя сервера глобального каталога, которое успешно разрешается с настраиваемого контроллера.
  • ntlm:gc_timeout — время ожидания в секундах при установлении соединения GC-клиентом (если 0, параметр игнорируется).

Пример задания параметров:

[global]
    ...
    ntlm:gc = ldap://10.6.32.18:3268
    ntlm:gc0 = ldap://10.6.32.19:3268
    ntlm:gc_timeout = 1
    ...

Настройка сервиса асинхронного обнаружения серверов глобального каталога

Начиная с версии 1.10.0 в состав Эллес включен сервис disco, обеспечивающий асинхронное обнаружение (discovering) серверов глобального каталога в многодоменном лесу.

С учетом работы сервиса GC-клиент определяет сервер глобального каталога для подключения следующим образом:

  1. Если в параметре ntlm:gc в конфигурации Эллес указаны URL одного или нескольких хостов серверов глобального каталога, выполняется попытка установить соединение с одним из них.

  2. Если попытка установить соединение завершается неудачей либо параметр ntlm:gc не задан или имеет значение ntlm:gc = gc:, для поиска сервера глобального каталога используется сервис disco.

Для настройки работы сервиса disco в разделе [global] конфигурационного файла smb.conf на контроллере домене Эллес доступны следующие параметры:

  • gc-discovering:request-timeout — время ожидания обработки запроса на установление соединения с хостом сервера глобального каталога в миллисекундах (по умолчанию — 30000);

  • gc-discovering:search-timeout — время ожидания при поиске хоста сервера глобального каталога в миллисекундах (по умолчанию — 3000);

  • gc-discovering:reconnect-delay — интервал в миллисекундах между попытками повторного подключения к серверу глобального каталога в случае потери соединения (по умолчанию — 1000);

  • gc-discovering:rpc-timeout — время ожидания клиентом ответа от сервиса disco в секундах (по умолчанию — 1).

Пример задания параметров:

[global
    ...
    gc-discovering:request-timeout = 50000
    gc-discovering:search-timeout = 5000
    gc-discovering:reconnect-delay = 2000
    gc-discovering:rpc-timeout = 2
    ...

Отключение клиента глобального каталога

Для целей тестирования работы контроллера домена Эллес в многодоменном лесу может использоваться конфигурационный параметр gcclient:disabled.

В условиях обычной эксплуатации он не должен быть задан или должен иметь значение false.

При возникновении ошибок в работе Netlogon или Kerberos использование GC-клиента может быть отключено для проведения дополнительных проверок. Для этого в раздел [global] в smb.conf может быть добавлен параметр:

[global
    ...
    gcclient:disabled = true
    ...

В этом случае необходимо собрать информацию об ошибках в соответствии с инструкциями в разделе «Сбор и предоставление диагностической информации» и предоставить ее ГК «Иннотех».