uxconsole が Active Directory サイトを検出する方法

Active Directory に UNIX Authentication Broker エンドポイントを登録するとき、デフォルトでは、uxconsole ユーティリティは最も近い Active Directory サイトを検出し、このサイトのドメイン コントローラ(DC)とのみ通信します。
cminder12902jp
Active Directory に UNIX Authentication Broker エンドポイントを登録するとき、デフォルトでは、uxconsole ユーティリティは最も近い Active Directory サイトを検出し、このサイトのドメイン コントローラ(DC)とのみ通信します。
以下のプロセスでは、uxconsole がどのように最も近い Active Directory サイトを検出するかについて説明します。
  1. UNIX Authentication Broker エンドポイントは、以下の形式で、SRV (サービス)レコードについて DNS にクエリします。
    _ldap._tcp.dc._msdcs.
    domainName
    DNS は、ドメインにある DC のレコードを返します。
  2. エンドポイントは、以前のクエリで返された DC にバインドおよび認証することにより、Active Directory にアクセスします。
    注:
    エンドポイントは返される DC のいずれにもバインドできます。
  3. エンドポイントは LDAP クエリを使用して、エンドポイントが存在するサイトを Active Directory で検索します。 クエリは以下のフィルタを使用します。
    • Base Dn - 値なし
    • Scope - Base
    • Attribute - Netlogon
    • DnsDomain - 完全修飾ドメイン名
    • ntver - 6.00
    たとえば、「(&(DnsDomain=example.company.com)(ntver=6.00))」のようなフィルタを使用します。
    DC は、エンドポイントが存在するサイトの名前を返します。
    注:
    DC はエンドポイント IP アドレスを使用して、エンドポイントが存在するサイトを決定します。
  4. エンドポイントは、以下の形式で、SRV レコードについて DNS にクエリします。
    _ldap._tcp.
    LocalSiteName
    ._sites.dc._msdcs.
    domainName
    .
    DNS は、エンドポイントが存在するサイトにある DC のレコードを返します。 エンドポイントはこのサイトの DC とのみ通信します。