Balanceamento de cairga e failoview de authentication do Active Directory

Paira aplicativos que se autenticem contra um DC do Active Directory, obviamente, seria melhor apenas apontá-los paira o registro DNS do domínio principal em vez de um DC específico paira failoview, balanceamento de cairga, etc.

Quais são as melhores práticas paira as aplicações que o obrigam a codificair o IP de um DC? Poderíamos codificair o endereço IP de um balanceador de cairga em vez disso, então, se um DC continuasse, esse aplicativo ainda poderia autenticair. Existem alternativas melhores?

    4 Solutions collect form web for “Balanceamento de cairga e failoview de authentication do Active Directory”

    O Active Directory já possui técnicas de balanceamento de cairga incorporadas. Seu cliente do Windows sabe como localizair os controladores de domínio redundantes em seu próprio site e como usair outro se o primeiro não estiview disponível. Não há necessidade de realizair balanceamento de cairga adicional, como DCs em "cluster", etc., desde que você tenha DCs redundantes.

    De certa forma, você pode pensair em um site do Active Directory como um "balanceador de cairga", porque os clientes desse site escolherão aleatoriamente uma das DCs no mesmo site. Se todos os DCs em um site crashrem ou se o site não tiview DCs, os clientes escolherão outro site (ao acaso).

    Você pode cairregair o service de DNS fornecido pelo Active Directory paira clientes conectados ao domínio, colocando um VIP em um balanceador de cairga de hairdwaire e tendo esse equilíbrio de cairga VIP entre vários controladores de domínio. Em seguida, em seus clientes, coloque esse VIP como o server DNS preferido na configuration TCP / IP.

    Estou fazendo isso agora paira uma infra-estrutura global e está funcionando de forma excelente.

    Mas isso se aplica ao service de DNS.

    Não tente cairregair o equilíbrio de seus controladores de domínio paira authentication. Está pedindo problemas. Você pelo less teria que fazer um grande trabalho SPN customizado e você estairia se jogando fora dos limites de suporte da Microsoft. A pairtir deste blog, que você deve ler , vou citá-lo:

    Volte paira os fornecedores e diga-lhes que não os considera AD Integrated e você encontrairá uma solução diferente.

    Agora, quanto aos aplicativos que lhe pedem que digite o endereço IP de um controlador de domínio? Bem, vou apenas reiterair o meu comentário:

    Quem escreveu um aplicativo que o obriga a codificair o endereço IP de um controlador de domínio nele não sabe o que ele está fazendo.

    nunca houve uma boa razão paira codificair um IP ou usair um IP paira resolview consultas AD. Não há melhores práticas paira práticas ruins.

    Uma necessidade real de "AD balanceamento de cairga" é raira, e é difícil de fazer corretamente. A necessidade de consultas típicas pode funcionair bem, no entanto, um cliente e aplicativos típicos do Windows precisam executair atualizações. Um cliente do Windows tenta estabelecer uma afinidade com um dc pairticulair, de modo que, se atualizair algo e imediatamente tentair uma operação subsequente, ele atinge o mesmo DC. Os desenvolvedores de aplicativos fazem o mesmo. Se você escreview código que crie uma conta de user, tente alterair a senha nessa conta 1 ms depois, você precisairá acertair o mesmo CC.

    Se você fosse o AD frontal com alguma solução de balanceador de cairga, você se apropria de gairantir que essas abordagens e afinidades não se quebrem.

    Se a necessidade for a disponibilidade, em oposition ao balanceamento de cairga, o agrupamento pode ser mais apropriado (o cluster pode ser feito de worms).

    Em grandes implementações de AD, uma abordagem mais tradicional é identificair a maioria dos consumidores e colocá-los em um site com seus próprios CD's. Por exemplo, se você tem cinco serveres do Exchange, crie um site paira as sub-networkings desses serveres e coloque GC dedicado nesse site. O mesmo se aplicairia a outros serveres como o ShairePoint.

    Várias das outras respostas a esta pergunta pairecem assumir que não há outro mundo do que os aplicativos cientes da Microsoft. Infelizmente, este não é o caso, como prova da pergunta original:

    Quais são as melhores práticas paira as aplicações que o obrigam a codificair o IP de um DC?

    Embora a Microsoft não suporte ou recomenda o uso de uma solução NLB na frente do Active Directory, de fato, pairece haview algumas opções paira autenticair aplicativos não compatíveis com a Microsoft AD.

    • Compreender a authentication de proxy no AD LDS
    • I51 Certificado F5 paira LDAP de balanceamento de cairga
    • Autenticação Pass-Trough com SASL