是的,您可以增加在日志中显示的详细信息。
默认情况下,所有 Oracle VDI 服务消息均记录在 Cacao 日志文件中,请参见 第 9.3.2 节 “如何查看 Oracle VDI 日志文件”。要提高目录服务记录级别,请以超级用户身份运行以下命令:
# cacaoadm set-filter -p com.sun.directoryservices=ALL # cacaoadm set-filter -p com.sun.sgd=ALL
在 Linux 平台上,cacaoadm 命令位于
/opt/sun/cacao2/bin
中。
更改记录级别后,重新启动 Oracle VDI 服务:
# /opt/SUNWvda/sbin/vda-service restart
重新启动 Oracle VDI 服务后,重现该问题并查看 Cacao 日志文件,请参见 第 9.3.2 节 “如何查看 Oracle VDI 日志文件”。
要将目录服务记录级别重置为默认值,请以超级用户身份运行以下命令:
# cacaoadm set-filter -p com.sun.directoryservices=NULL # cacaoadm set-filter -p com.sun.sgd=NULL
然后重新启动 Oracle VDI 服务:
# /opt/SUNWvda/sbin/vda-service restart
该问题的临时解决方法是在每个 Oracle VDI 主机上运行以下命令:
kinit -V administrator@MY.DOMAIN
这可能是:
时间同步问题。
确保域控制器和 Oracle VDI 服务器连接到同一台 NTP 服务器。
Kerberos 配置问题。
确保 Kerberos 配置文件
(krb5.conf
) 包含
部分,并按以下示例设置
libdefaults
default_realm
:
[libdefaults] default_realm = MY.COMPANY.COM [realms] MY.COMPANY.COM = { kdc = my.windows.host } [domain_realm] .my.company.com = MY.COMPANY.COM my.company.com = MY.COMPANY.COM
您当然可以使用 PKI 验证,并且它应该提供与 Kerberos 验证相同的功能(包括从 Active Directory 中删除计算机)。
对于 LDAP 验证类型:
对于整个用户和组群的读权限,以使 Oracle VDI 能够查找用户并解析分配给登录用户的桌面。(如果将 Active Directory 用于单个域,通常位于 CN=Users,DC=my,DC=domain,DC=com 的下面)。
如果使用 Active Directory,则为对于 CN=Configuration,DC=my,DC=domain,DC=com 位置的读权限。这由 Oracle VDI 用于通过域或子域列表预先填充最终用户登录对话框的域字段。这不是强制性的,如果未向 Oracle VDI 提供此类访问权限,则登录对话框的域字段将留空。
对于 Active Directory 类型的验证:
对于整个用户和组群的读权限,以使 Oracle VDI 能够查找用户并解析分配给登录用户的桌面。(如果将 Active Directory 用于单个域,通常位于 CN=Users,DC=my,DC=domain,DC=com 的下面)。
对于 CN=Configuration,DC=my,DC=domain,DC=com 位置的读权限。这由 Oracle VDI 用于通过域或子域列表预先填充最终用户登录对话框的域字段。这不是强制性的,如果未向 Oracle VDI 提供此类访问权限,则登录对话框的域字段将留空。
对于计算机位置的写权限。当 Windows 主机连接到 my.domain.com 域时,这通常位于 CN=Computers,DC=my,DC=domain,DC=com 的下面。当克隆桌面 (VM) 遭到破坏时,对于计算机位置的写权限由 Oracle VDI 用来从 AD 中删除相应的计算机条目。当克隆 Windows 桌面连接域时,AD 会自动创建计算机条目,一般在 Sysprep 中会进行说明。写权限不是强制性的,如果您提供了一个不具有此类权限的用户,Oracle VDI 将无法从 AD 中删除计算机条目,并且您 AD 中的计算机条目数量将不断增加,但仅当您使用克隆 Windows 桌面时才会出现这种情况。