Настройка клиента глобального каталога
Клиентская часть функциональности глобального каталога (Global Catalog, GC) на контроллере домена Эллес (GC-клиент) обеспечивает взаимодействие с серверами глобального каталога при работе в многодоменном лесу.
Описываемые в разделе настройки GC-клиента игнорируются:
|
Параметры установления соединения с сервером глобального каталога
Для корректного функционирования служб Netlogon и Kerberos при использовании GС-клиента в многодоменном лесу в конфигурации Эллес могут быть явно указаны серверы глобального каталога, к которым должен в первую очередь обращаться GC-клиент.
Для этой цели служат следующие параметры в разделе [global]
конфигурационного файла smb.conf на контроллере домене Эллес:
-
ntlm:gc
,ntlm:gc{0,1,2,3,4}
— полное доменное имя (FQDN) или IP-адрес и порт сервера глобального каталога под управлением ОC Windows Server в текущем домене, к которому локальный контроллер домена будет обращаться с помощью GC-клиента в операциях аутентификации Netlogon и Kerberos, в формате LDAP URL;При попытке установить соединение осуществляется перебор серверов от
ntlm:gc
доntlm:gc4
до первого успешного соединения с учетом заданного времени ожидания.Рекомендуется указывать FQDN-имя сервера глобального каталога, которое успешно разрешается с настраиваемого контроллера. -
ntlm:gc_timeout
— время ожидания в секундах при установлении соединения GC-клиентом (если0
, параметр игнорируется).
Пример задания параметров:
[global] ... ntlm:gc = ldap://10.6.32.18:3268 ntlm:gc0 = ldap://10.6.32.19:3268 ntlm:gc_timeout = 1 ...
Настройка сервиса асинхронного обнаружения серверов глобального каталога
Начиная с версии 1.10.0 в состав Эллес включен сервис disco
, обеспечивающий асинхронное обнаружение (discovering) серверов глобального каталога в многодоменном лесу.
С учетом работы сервиса GC-клиент определяет сервер глобального каталога для подключения следующим образом:
-
Если в параметре
ntlm:gc
в конфигурации Эллес указаны URL одного или нескольких хостов серверов глобального каталога, выполняется попытка установить соединение с одним из них. -
Если попытка установить соединение завершается неудачей либо параметр
ntlm:gc
не задан или имеет значениеntlm:gc = gc:
, для поиска сервера глобального каталога используется сервисdisco
.
Для настройки работы сервиса disco
в разделе [global]
конфигурационного файла smb.conf на контроллере домене Эллес доступны следующие параметры:
-
gc-discovering:request-timeout
— время ожидания обработки запроса на установление соединения с хостом сервера глобального каталога в миллисекундах (по умолчанию —30000
); -
gc-discovering:search-timeout
— время ожидания при поиске хоста сервера глобального каталога в миллисекундах (по умолчанию —3000
); -
gc-discovering:reconnect-delay
— интервал в миллисекундах между попытками повторного подключения к серверу глобального каталога в случае потери соединения (по умолчанию —1000
); -
gc-discovering:rpc-timeout
— время ожидания клиентом ответа от сервисаdisco
в секундах (по умолчанию —1
).
Пример задания параметров:
[global ... gc-discovering:request-timeout = 50000 gc-discovering:search-timeout = 5000 gc-discovering:reconnect-delay = 2000 gc-discovering:rpc-timeout = 2 ...
Отключение клиента глобального каталога
Для целей тестирования работы контроллера домена Эллес в многодоменном лесу может использоваться конфигурационный параметр gcclient:disabled
.
В условиях обычной эксплуатации он не должен быть задан или должен иметь значение false
.
При возникновении ошибок в работе Netlogon или Kerberos использование GC-клиента может быть отключено для проведения дополнительных проверок. Для этого в раздел [global]
в smb.conf может быть добавлен параметр:
[global ... gcclient:disabled = true ...
В этом случае необходимо собрать информацию об ошибках в соответствии с инструкциями в разделе «Сбор и предоставление диагностической информации» и предоставить ее ГК «Иннотех».