2.8. 为验证调整目录服务

本节介绍如何调整目录服务配置,其中包括以下主题:

2.8.1. 过滤 LDAP 或 Active Directory 登录

可使用登录过滤器控制哪些用户能够登录 SGD 并指定哪些属性用于识别用户。有两种过滤器,分别是用户登录过滤器和组登录过滤器。

在以下情况下,可能需要配置登录过滤器:

  • 用户无法登录。如果您的目录使用特殊属性识别用户,则用户可能无法登录到 SGD。解决方法是配置用户登录过滤器 SGD 搜索其他属性。

  • 登录速度慢。SGD 在识别用户时检查多个属性,如果您的目录很大,这会导致登录时间长。您可以将用户登录过滤器检查的属性数量减少,以缩短登录时间。

  • 限制用户登录。如果要限制能够登录到 SGD 的用户,可配置组登录过滤器或用户登录过滤器。

有关缩短登录时间以及限制用户登录的替代方法,另请参见第 2.8.2 节 “使用目录搜索根目录”

2.8.1.1. 用户登录过滤器

每当 SGD 搜索目录以确定用户身份时,都使用用户登录过滤器检查目录中对象的属性。

对于 LDAP 和第三方验证,将使用以下登录过滤器:

(|(cn=${name})(uid=${name})(mail=${name}))

对于 Active Directory 验证,将使用以下登录过滤器:

(|(cn=${user})(sAMAccountName=${user})(userPrincipalName=${user}@${domain})(userPrincipalName=${name})(mail=${name}))

这些登录过滤器包含以下变量:

  • ${name}-用户在 SGD 登录页面中键入的全名

  • ${user}@ 符号前面的用户名部分

  • ${domain}@ 符号后面的用户名部分。该部分可由 SGD 使用服务对象的基本域、默认域或后缀映射设置来生成

有关如何更改用户登录过滤器的详细信息,请参见第 2.8.1.3 节 “如何配置用户登录过滤器”

2.8.1.2. 组登录过滤器

组搜索过滤器通过测试用户的组成员关系来限制能够登录到 SGD 的 LDAP 或 Active Directory 用户。如果用户不是组成员,则无法登录到 SGD。

有关如何为 SGD 应用过滤器的详细信息,请参见第 2.8.1.4 节 “如何配置组登录过滤器”

2.8.1.3. 如何配置用户登录过滤器

确保没有用户登录到阵列中的主 SGD 服务器,并且没有正在运行的应用程序会话(包括暂停的应用程序会话)。

  1. 以超级用户 (root) 身份登录阵列中的主 SGD 服务器。

  2. 停止 SGD 服务器。

  3. 配置用户登录过滤器。

    小心

    在此步骤中出现任何错误都会导致用户无法登录。

    • 对于 LDAP 验证和第三方验证,请使用以下命令:

      # tarantella config edit \
      --com.sco.tta.server.login.ldap.LdapLoginAuthority.properties-searchFilter filter
      
    • 对于 Active Directory 验证,请使用以下命令:

      # tarantella config edit \
      --com.sco.tta.server.login.ADLoginAuthority.properties-searchFilter filter
      

    例如,要将用户登录过滤器配置为仅搜索 uidmail 属性,请使用以下过滤器:

    "(&(|(uid=\${name})(mail=\${name}))"

    例如,要将用户登录过滤器配置为仅搜索 cnmail 属性,并且仅允许销售部门的用户登录,请使用以下过滤器:

    "(&(|(cn=\${name})(mail=\${name}))(department=sales))"

    如果在过滤器中使用变量,必须使用反斜杠将 $ 符号转义。

  4. 启动 SGD 服务器。

2.8.1.4. 如何配置组登录过滤器

确保没有用户登录到阵列中的主 SGD 服务器,并且没有正在运行的应用程序会话(包括暂停的应用程序会话)。

  1. 以超级用户 (root) 身份登录阵列中的主 SGD 服务器。

  2. 停止 SGD 服务器。

  3. 配置组登录过滤器。

    小心

    在此步骤中出现任何错误都会导致用户无法登录。

    要配置组登录过滤器,请使用以下命令:

    # tarantella config edit \
    --com.sco.tta.server.login.DSLoginFilter.properties-loginGroups group_dn ...
    

    其中,group_dn 是一个或多个 LDAP 组的 DN。

    例如,要仅允许属于 cn=sgduserscn=sgdadmins 组的用户登录,请使用以下命令:

    # tarantella config edit \
    --com.sco.tta.server.login.DSLoginFilter.properties-loginGroups \
    "cn=sgdusers,cn=groups,dc=example,dc=com" \
    "cn=sgdadmins,cn=groups,dc=example,dc=com"
  4. 启动 SGD 服务器。

2.8.2. 使用目录搜索根目录

在使用 LDAP 或 Active Directory 验证或使用目录服务集成来分配应用程序时,可使用目录搜索根目录控制能够登录到 SGD 的用户,并加快目录搜索速度。

目录搜索根目录指定用于搜索用户身份的目录部分。要指定某个搜索根目录,请将该搜索根目录附加到服务对象的 URL。

例如,要在 Active Directory 域 sales.example.com 中搜索用户:

ad://example.com/dc=sales,dc=example,dc=com

使用本例中的搜索根目录,只有 sales.example.com 域中的用户能够登录到 SGD。

例如,要在 LDAP OU sales 中搜索用户:

ldap://ldap.example.com/ou=sales,dc=example,dc=com

使用本例中的搜索根目录,只有 sales OU 中的用户能够登录到 SGD。

可使用多个服务对象指定多个搜索根目录。使用以下示例中的 URL,只有位于域 sales.example.commarketing.example.com 中的用户能够登录到 SGD。

ad://example.com/dc=sales,dc=example,dc=com
ad://example.com/dc=marketing,dc=example,dc=com

2.8.3. LDAP 发现超时

LDAP 发现超时控制 SGD 等待目录服务器(LDAP 或 Active Directory)响应初始访问请求的时长。默认设置是 20 秒。

SGD 尝试访问目录服务器两次。如果没有响应,SGD 将尝试其他目录服务器。如果所有目录服务器均超时,则 SGD 可能无法验证用户,也无法为用户分配应用程序。

要更改超时时间,请使用以下命令:

$ tarantella config edit --tarantella-config-ldap-timeout secs

对于 Active Directory 验证,LDAP 发现超时的时间必须长于 KDC 超时时间。请参见第 2.2.4.4 节 “KDC 超时”。例如,如果 KDC 超时为 10 秒,KDC 重试次数为 3 次,则要使 LDAP 发现超时为 35 秒(3 x 10 秒 + 额外的 5 秒)。使 KDC 超时与 LDAP 发现超时保持协调。如果增加 KDC 超时,则同时增加 LDAP 发现超时。

2.8.4. 使用服务对象

服务对象是用于以下 SGD 验证机制的一组目录服务配置设置:

您可启用 Active Directory 验证或 LDAP 验证。但不能同时启用这两种验证。

如果在 SGD 管理控制台中,使用验证向导,在 "Global Settings"(全局设置)→ "Secure Global Desktop Authentication"(Secure Global Desktop 验证)选项卡中启用其中的任意一种验证机制,SGD 将自动创建一个名为 generated 的服务对象。如果通过命令行启用其中的任意一种验证方法,必须手动创建至少一个服务对象。

可在 SGD 管理控制台中,在 "Global Settings"(全局设置)→ "Service Objects"(服务对象)选项卡上创建及管理服务对象。"Service Objects List"(服务对象列表)表中显示了 SGD 阵列的可用服务对象。

在命令行中,可使用 tarantella service 命令创建及管理服务对象。

请注意有关服务对象的以下几点:

  • 服务对象具有类型。类型为 LDAP 或 Active Directory。类型用于控制哪种 SGD 验证机制可以使用该对象。Active Directory 服务对象仅用于 Active Directory 验证。

  • 可以启用或禁用服务对象。必须先启用服务对象才能使用该对象进行验证。通常,仅当您知道目录服务临时不可用或者知道目录服务会在将来可用时,才会禁用服务对象。

  • 服务对象具有位置。SGD 按照 "Service Objects List"(服务对象列表)表中指定的顺序使用启用的服务对象。如果列表中第一个启用的服务对象未能生成成功的验证或用户身份,将尝试使用列表中的下一个启用的服务对象。

在管理控制台中,只能配置服务对象的常用设置,如目录服务器的 URL 或者用户名和密码。有关更多详细信息,请参见第 2.8.4.1 节 “如何创建 Active Directory 服务对象”第 2.8.4.2 节 “如何创建 LDAP 服务对象”

还有一些高级服务对象设置,这些设置只能在命令行中使用 tarantella service newtarantella service edit 命令进行配置。

对于 LDAP 服务对象类型,有以下高级配置设置:

对于 AD 服务对象类型,有以下高级配置设置:

2.8.4.1. 如何创建 Active Directory 服务对象

  1. 在管理控制台中,显示 "Global Settings"(全局设置)→ "Service Objects"(服务对象)选项卡。

  2. 在 "Service Objects List"(服务对象列表)表中,单击 "New"(新建)按钮。

    此时将显示 "Create New Service Object"(创建新服务对象)窗口。

  3. 在 "Name"(名称)字段中,键入服务对象的名称。

    一旦创建了某个服务对象,便无法将其重新命名。名称只能包含小写字母、数字或字符 _-

  4. 对于 "Type"(类型),选择 "Active Directory" 选项。

    一旦创建了某个服务对象,便无法更改类型。

  5. (可选)取消选中 "Enabled"(已启用)复选框。

    必须先启用服务对象,SGD 才能使用该对象。仅在确定服务对象可供使用时才启用该对象。

  6. 在 "URL" 字段中,键入 Active Directory 林的 URL。

    例如:ad://example.com

    URL 必须以 ad:// 开头。仅键入一个 URL。

    URL 必须唯一。不同的服务对象不能使用相同的 URL。

    可指定一个 DN 用作搜索基,例如,ad://example.com/dc=sales,dc=example,dc=com。这将指定用于搜索用户身份的目录部分。

    使用 "Test"(测试)按钮测试 URL 连接。

  7. 配置到 Active Directory 的安全连接。

    • 仅使用 Kerberos 协议进行安全连接-对 "Connection Security"(连接安全性)选择 "Kerberos" 选项,然后分别在 "User Name"(用户名)和 "Password"(密码)字段中键入用户名和密码。

      注意

      默认情况下,"Kerberos" 选项处于选中状态。

    • 使用 Kerberos 和 SSL 进行安全连接-对 "Connection Security"(连接安全性)选择 "SSL" 选项,然后分别在 "User Name"(用户名)和 "Password"(密码)字段中键入用户名和密码。

    • 使用 Kerberos、SSL 和客户端证书进行安全连接-对 "Connection Security"(连接安全性)选择 "SSL" 选项,然后选中 "Use Certificates"(使用证书)复选框。

    有关使用 SSL 连接所需的其他配置的详细信息,请参见第 2.2.3.5 节 “与 Active Directory 之间的 SSL 连接”

    如果键入用户名,该用户名的形式为 user@example.com。如果在用户名中省略了域名,SGD 将使用 URL、"Base Domain"(基本域)和 "Default Domain"(默认域)字段中的信息来获取域。该用户必须具有在 Active Directory 中搜索用户信息的特权。

  8. (可选)在 "Active Directory Base Domain"(Active Directory 基本域)字段中,键入部分域名。

    如果用户在登录时仅提供部分域,则使用基本域。例如,如果基本域设置为 example.com,用户以用户名 rouge@west 登录,SGD 会尝试将用户作为 rouge@west.example.com 进行验证。

  9. (可选)在 "Active Directory Default Domain"(Active Directory 默认域)字段中,键入域名。

    如果用户在登录时不提供域,则使用默认域。例如,如果默认域设置为 east.example.com,用户以用户名 rouge 登录,SGD 会尝试将用户作为 rouge@east.example.com 进行验证。

  10. 单击 "Create"(创建)按钮。

    此时"Create New Service Object"(创建新服务对象)窗口将关闭,并在 "Service Objects"(服务对象)选项卡上 "Service Objects List"(服务对象列表)表底部的最后一个位置为该服务对象添加一个条目。

  11. 使用 "Move Up"(上移)和 "Move Down"(下移)按钮更改该服务对象在表中的位置。

    SGD 按照启用服务对象的显示顺序使用这些对象。

2.8.4.2. 如何创建 LDAP 服务对象

  1. 在管理控制台中,显示 "Global Settings"(全局设置)→ "Service Objects"(服务对象)选项卡。

  2. 在 "Service Objects List"(服务对象列表)表中,单击 "New"(新建)按钮。

    此时将显示 "Create New Service Object"(创建新服务对象)窗口。

  3. 在 "Name"(名称)字段中,键入服务对象的名称。

    一旦创建了某个服务对象,便无法将其重新命名。名称只能包含小写字母、数字或字符 _-

  4. 对于 "Type"(类型),选择 "LDAP" 选项。

    即使要使用 Microsoft Active Directory 服务器进行 LDAP 验证,也要选择此选项。

    一旦创建了某个服务对象,便无法更改类型。

  5. (可选)取消选中 "Enabled"(已启用)复选框。

    必须先启用服务对象,SGD 才能使用该对象。仅在确定服务对象可供使用时才启用该对象。

  6. 在 "URL" 字段中,键入一个或多个 LDAP 目录服务器的 URL。

    例如:ldap://melbourne.example.com

    如果键入多个 URL,请用分号 (;) 分隔各个 URL。

    SGD 将按照列出顺序使用 URL。如果列表中的第一个 LDAP 目录服务器不可用,则尝试下一个。

    要使用安全连接与 LDAP 目录服务器建立连接,请使用 ldaps:// URL。

    为 LDAP 服务对象配置的所有 URL 必须为同一类型,ldap://ldaps://。不能混合使用 ldap://ldaps:// URL。

    如果 LDAP 目录使用非标准端口,请在 URL 中指定端口号,例如 ldap://melbourne.example.com:5678。否则可省略端口号。

    可指定一个 DN 用作搜索基,例如,ldap://melbourne.example.com/dc=example,dc=com。这将指定用于搜索用户身份的 LDAP 目录部分。

    URL 必须唯一。不同的服务对象不能使用相同的 URL。

    使用 "Test"(测试)按钮测试 URL 连接。

  7. 在 "User Name"(用户名)和 "Password"(密码)字段中键入 LDAP 用户的详细信息。

    用户名必须是用户的 DN,例如 cn=sgd-user,cn=Users,dc=example,dc=com。此处为管理员绑定 DN,有关更多详细信息,请参见第 2.4.3.3 节 “LDAP 绑定 DN 和密码更改”

    由于您只能输入一个用户名和密码,所以此用户必须能够搜索 URL 字段中列出的所有 LDAP 目录服务器。

    如果目录服务器支持匿名绑定,则可以省略用户名和密码。您必须能够对用户数据执行 LDAP 查询,才能使用匿名绑定。

  8. 单击 "Create"(创建)按钮。

    此时"Create New Service Object"(创建新服务对象)窗口将关闭,并在 "Service Objects"(服务对象)选项卡上 "Service Objects List"(服务对象列表)表底部的最后一个位置为该服务对象添加一个条目。

  9. 使用 "Move Up"(上移)和 "Move Down"(下移)按钮更改该服务对象在表中的位置。

    SGD 按照启用服务对象的显示顺序使用这些对象。

2.8.5. 密码过期

以下信息适用于 LDAP 和 Active Directory 服务对象类型。请参见第 2.8.4 节 “使用服务对象”

SGD 可通过以下方式处理用户密码过期:

  • 在 Webtop 上显示一条警告消息,告知用户其密码即将过期

  • 拒绝验证并在用户下次登录时强制其重置密码

默认情况下,密码过期功能处于禁用状态。

有关验证和密码过期的重要信息,请参见第 2.2.4.2 节 “Active Directory 密码过期”第 2.4.3.3 节 “LDAP 绑定 DN 和密码更改”

每个服务对象的密码过期功能都是单独配置的。例如,要为 mainldap 服务对象启用 LDAP 密码过期功能,请使用以下命令:

$ tarantella service edit --name mainldap --check-pwd-policy 1

在此配置下,在密码过期前七天,用户的 Webtop 上将显示一条警告消息。在密码即将过期的前一天,SGD 将强制用户更改其密码。这些是默认设置。

您可以控制密码过期功能的激活时间。在以下示例中,mainldap 服务对象的密码过期功能已启用,SGD 配置为在密码过期前 14 天(1209600 秒)显示一条警告消息,在密码过期前 3 天(259200 秒)强制用户更改其密码:

$ tarantella service edit --name mainldap --check-pwd-policy 1 \
--pwd-expiry-warn-threshold 1209600 \
--pwd-expiry-fail-threshold 259200

2.8.6. LDAP 密码更新模式

以下信息仅适用于 LDAP 服务对象类型。请参见第 2.8.4 节 “使用服务对象”

默认情况下,SGD 通过以 LDAP 用户身份执行绑定来执行密码更改。有关更多详细信息,请参见第 2.4.3.3 节 “LDAP 绑定 DN 和密码更改”

可以单独为每个 LDAP 服务对象配置密码更新模式。例如,要对 mainldap 服务对象使用管理员绑定,请使用以下命令:

$ tarantella service edit --name mainldap
--password-update-mode ldapadmin

2.8.7. 站点

以下信息仅适用于 Active Directory 服务对象类型。请参见第 2.8.4 节 “使用服务对象”

Active Directory 中的站点对象是一种包含子网的对象。

如果为服务对象启用了站点认知性,SGD 将通过访问全局目录自动尝试发现站点信息。或者,可以为服务对象配置您自己的站点名称。

如果 SGD 包含站点信息,其仅查询适合于站点的 Active Directory 服务器。

小心

如果配置白名单,将忽略服务对象的站点配置,有关更多详细信息,请参见第 2.8.8 节 “白名单”

有关如何使用站点的更多详细信息,请参见第 2.8.15 节 “Active Directory 验证和 LDAP 发现”

可以单独为每个服务对象配置站点。例如,要为 east 服务对象启用站点认知性,请使用以下命令:

$ tarantella service edit --name east --site-aware 1
 

例如,要配置 east 服务对象的 boston 站点名称,请使用以下命令:

$ tarantella service edit --name east --site-aware 1 --site-name boston

2.8.8. 白名单

以下信息仅适用于 Active Directory 服务对象类型。请参见第 2.8.4 节 “使用服务对象”

白名单是始终用于 LDAP 查询的全局目录服务器的列表。只有包含在白名单中的服务器才能用于 LDAP 查询。

小心

如果配置白名单,将忽略服务对象的站点配置,有关更多详细信息,请参见第 2.8.7 节 “站点”

服务器在白名单中的顺序非常重要。如果 SGD 无法访问白名单中的第一个服务器,则会尝试下一个服务器。

有关如何使用白名单的更多详细信息,请参见第 2.8.15 节 “Active Directory 验证和 LDAP 发现”

可以单独为每个服务对象配置白名单。例如,要为 east 服务对象配置白名单,请使用以下命令:

$ tarantella service edit --name east --white-list \
"good1.east.example.com" "good2.east.example.com"

2.8.9. 黑名单

以下信息仅适用于 Active Directory 服务对象类型。请参见第 2.8.4 节 “使用服务对象”

黑名单是从不用于 LDAP 查询的 Active Directory 服务器的列表(例如由于服务器临时不可用)。黑名单将覆盖任何其他配置(如站点或白名单)。

可以单独为每个服务对象配置黑名单。例如,要为 east 服务对象配置黑名单,请使用以下命令:

$ tarantella service edit --name east --black-list \
"bad1.east.example.com" "bad2.east.example.com"

2.8.10. 仅搜索全局目录

以下信息仅适用于 Active Directory 服务对象类型。请参见第 2.8.4 节 “使用服务对象”

从 Active Directory 搜索用户信息时,SGD 默认使用用户域的域控制器。

尽管域控制器包含最完整最可靠的用户信息来源,但由于 SGD 必须同时管理域控制器连接和全局目录连接,因而会导致很长的超时和延迟。可以改将 SGD 配置为仅从全局目录搜索用户信息。

小心

如果启用此选项,由于 SGD 无法访问用户的 "Password Last Set"(上次设置的密码)属性,您将无法使用服务对象密码过期选项。有关更多详细信息,请参见第 2.8.5 节 “密码过期”。另外,由于 SGD 无法访问域本地安全组信息,因此对组信息的访问也将减少。

有关如何使用此选项的更多详细信息,请参见第 2.8.15 节 “Active Directory 验证和 LDAP 发现”

可以单独为每个服务对象配置是否仅搜索全局目录。例如,要为 east 服务对象启用仅搜索全局目录,请使用以下命令:

$ tarantella service edit --name east --ad-alwaysusegc 1

运行此命令后,必须刷新 LDAP 数据的缓存。以超级用户 (root) 身份在阵列中的每个 SGD 服务器上运行以下命令:

# tarantella cache --flush all

2.8.11. 后缀映射

以下信息适用于 Active Directory 服务对象和连接到 Active Directory 的 LDAP 服务对象。请参见第 2.8.4 节 “使用服务对象”

后缀映射允许您将用户键入的域重新映射到验证域。

可以单独为每个服务对象配置后缀映射。例如,要为 east 服务对象配置后缀映射,请使用以下命令:

$ tarantella service edit --name east --suffix-mappings \
"test.east.example.com=east.example.com"

每个后缀映射的格式均为 suffix=domain。如果有多个映射,请使用空格分隔每个映射。

2.8.12. 域列表

以下信息仅适用于 Active Directory 服务对象类型。请参见第 2.8.4 节 “使用服务对象”

当 SGD 启动时,将连接到事先配置的 Active Directory 林,然后仅在需要时连接各个域。在某些情况下,如果用户登录时 SGD 正在与域建立连接,用户登录可能会延迟。通过为 SGD 提供 SGD 启动时要连接的域的列表,可以改进性能。

可以单独为每个服务对象配置域列表。例如,要为 east 服务对象配置域列表,请使用以下命令:

$ tarantella service edit --name east --domain-list \
"boston.east.example.com" "cambridge.east.example.com"

如果有多个域,请使用空格分隔每个域名。

域列表不限于验证所用的 Active Directory 域。

2.8.13. 查找缓存超时

以下信息适用于 LDAP 和 Active Directory 服务对象类型。请参见第 2.8.4 节 “使用服务对象”

查找缓存超时控制 SGD 在用户登录后保留 LDAP 用户数据的时长。默认设置是 1200 秒(20 分钟)。

如果 LDAP 数据不频繁发生变化,则您可能想要增加此超时时间。

可以单独为每个服务对象配置查找缓存超时。例如,要为 east 服务对象配置查找缓存超时,请使用以下命令:

$ tarantella service edit --name east --lookupcache-timeout secs

2.8.14. LDAP 操作超时

以下信息适用于 LDAP 和 Active Directory 服务对象类型。请参见第 2.8.4 节 “使用服务对象”

如果 LDAP 搜索 LDAP 目录或 Active Directory 服务器所花费的时间过长,可以配置 LDAP 超时。LDAP 超时控制 SGD 等待目录服务器响应 LDAP 操作(例如数据请求)的时长。默认设置是 20 秒。

SGD 尝试访问目录服务器两次。如果没有响应,SGD 将尝试列表中的其他目录服务器。对于 Active Directory 服务对象,请参见第 2.8.15 节 “Active Directory 验证和 LDAP 发现”以了解 SGD 访问的服务器的详细信息。对于 LDAP 服务对象,LDAP 服务器列表来自为服务对象配置的 URL。

如果所有目录服务器均超时,则 SGD 可能无法使用 LDAP 验证用户或分配应用程序。

可以单独为每个服务对象配置 LDAP 操作超时。例如,要为 east 服务对象配置超时,请使用以下命令:

$ tarantella service edit --name east --operation-timeout secs

2.8.15. Active Directory 验证和 LDAP 发现

采用 Active Directory 验证时,使用 Kerberos 对用户进行了验证后,SGD 将对 Active Directory 执行 LDAP 搜索,以确定用户身份和其他用户信息。默认情况下,SGD 执行以下步骤来发现 LDAP 信息:

  1. 全局目录 DNS 查找。SGD 使用为服务对象配置的 URL 执行 DNS 查找,以获取林的全局目录服务器列表。

  2. 全局目录 LDAP 查询。SGD 对全局目录执行 LDAP 查询以确定用户身份。

    SGD 按照 DNS 查找返回全局目录服务器的顺序对这些服务器进行查询。如果 SGD 无法访问第一个全局目录,将尝试列表中的下一个全局目录。

  3. 域控制器 DNS 查找。SGD 对用户域的域控制器执行 DNS 查找。

    用于此查找的域可以是用户登录时键入的域,也可以是使用为服务对象配置的默认域和基本域所构建的域。

  4. 域控制器 LDAP 查询。SGD 对域控制器执行 LDAP 查询以确定一组完整的用户属性,例如组成员关系。

    SGD 按照 DNS 查找返回域控制器的顺序对这些控制器进行查询。如果 SGD 无法访问第一个域控制器,将尝试列表中的下一个域控制器。

服务对象的配置对发现 LDAP 信息有重要影响,有关更多详细信息,请参见第 2.8.4 节 “使用服务对象”。下表概括了服务对象对 SGD 所执行的步骤的影响。

服务对象配置选项

执行的步骤

注释

白名单

2、3、4

LDAP 查询仅对白名单中的全局目录执行。

搜索全局目录

1、2

DNS 查找和 LDAP 查询仅对全局目录执行。

对域控制器不执行任何操作。

白名单

搜索全局目录

2

LDAP 查询仅对白名单中的全局目录执行。

对域控制器不执行任何操作。

站点认知

站点名称

1、2、3、4

DNS 查找仅对所配置站点的全局目录和域控制器执行。

站点认知

站点名称

搜索全局目录

1、2

DNS 查找仅对所配置站点的全局目录执行。

对域控制器不执行任何操作。

站点认知

1、2、3、4

SGD 执行额外的 DNS 查找以获取全局目录列表,然后对全局目录执行 LDAP ping 操作,以发现站点名称。

DNS 查找仅对发现的站点的全局目录和域控制器执行。

站点认知

搜索全局目录

1、2

SGD 执行额外的 DNS 查找以获取全局目录列表,然后对全局目录执行 LDAP ping 操作,以发现站点名称。

DNS 查找仅对发现的站点的全局目录执行。

对域控制器不执行任何操作。