2.7. SSSD クライアントおよび Active Directory DNS サイトの自動検出

Active Directory フォレストは、多数の異なるドメインコントローラー、ドメイン、サブドメイン、物理サイトなどで構成され、非常に大規模になる可能性があります。Active Directory は、サイトというコンセプトを使用し、ドメインコントローラーの物理的なロケーションを特定します。これにより、クライアントが、地理的に近いドメインコントローラーに接続できるようになり、クライアントのパフォーマンスが向上します。
デフォルトでは、SSSD クライアントは自動検出を使用して、AD サイトを検出氏、最寄りのドメインコントローラーに接続します。このプロセスは、以下の手順で構成されます。
  1. SSSD は、AD フォレストの DNS サーバーからの SRV レコードにクエリーを送信します。返されるレコードには、フォレスト内の DC 名が含まれています。
  2. SSSD は、これらの各 DC に LDAP の ping を送信します。DC が設定した間隔内に応答しない場合には、要求がタイムアウトし、SSSD は次の DC に LDAP の ping を送信します。接続に成功すると、応答には、SSSD クライアントが所属する AD サイトに関する情報が含まれます。
  3. SSSD は次に、DNS サーバーからの SRV レコードにクエリーを送信し、所属するサイト内の DC を特定し、そのうちの 1 つに接続します。

注記

SSSD は、デフォルトで所属する AD サイトを記憶します。このように、SSSD は自動検出プロセス時にこのサイト内の DC に直接 LDAP の Ping を送信して、サイト情報を更新することができます。その結果、通常タイムアウトが発生しないので、自動検出の手順は非常に高速になります。
このサイトが存在しないか、クライアントが別のサイトに割り当てられている場合には、SSSD はフォレスト内の SRV レコードにクエリの送信を開始し、再度今プロセス全体を繰り返します。
自動検出を無効にするには /etc/sssd/sssd.conf ファイルの [domain] セクションの ad_site オプションを使用して、クライアントを接続する AD サイトを指定します。

その他のリソース