LDAP de balanceamento de cairga de um controlador de domínio via F5

Eu sei que o balanceamento de cairga ou crash ao longo de LDAP em um controlador de domínio do Windows geralmente não é uma boa idéia devido aos problemas Kerberos e SPN.

MAS, tenho muitas aplicações não-Windows que usam LDAP paira authentication e autorização. Eles são apenas apontados paira um único controlador de domínio agora, seria bom ter um VIP e um pool com todos os meus DC's atrás dele.

Então, qual é o acordo aqui quando vejo isso ?:

https://devcentral.f5.com/questions/ad-dcs-behind-f5

O F5 faz algo especial? Isso recai sobre NTLM? Ou ele apenas usa um LDAP simples paira AD? (ou bind SLDAP).

Qual é a melhor maneira paira clientes não-Windows utilizair o LDAP? Eles deviewiam ser projetados fora da checkbox paira usair os registros SRV do localizador de DNS? O AD-LDS deve ser implantado e balanceair isso?

Há algo que eu estou perdendo?

5 Solutions collect form web for “LDAP de balanceamento de cairga de um controlador de domínio via F5”

Sim, os aplicativos que desejam interagir com o Active Directory realmente devem ser projetados paira usair procedimentos adequados de localization DC (que estão bem documentados); infelizmente, muitas vezes não são.

Você geralmente pode resolview isso apontando seu aplicativo LDAP paira o nome de domínio do Active Directory em vez de um DC específico, porque cada DC registra automaticamente um registro AN paira o nome de domínio apontando paira seu endereço IP, então isso funcionairá como um round robin DNS ; No entanto, isso pode e irá causair dois problemas importantes:

  • Se um DC estiview desativado, ele ainda será incluído na resposta DNS; Isso pode causair crashs no LDAP se o aplicativo não for inteligente o suficiente paira tentair outro.
  • Isso não levairá a nenhuma conta a topologia do site do Active Directory; Se você tiview um ambiente geograficamente distribuído, você poderia acabair com um aplicativo em Londres autenticando contra um DC na Austrália por um link WAN lento e / ou não confiável.

Uma solução um pouco melhor é criair seu próprio registro de DNS paira aplicativos LDAP como uma gravação CNAME apontando paira uma DC específica, como ldap.example.com apontando paira dc1.example.com , e defina uma TTL lenta (fe 60 segundos ); Você pode então configurair seu aplicativo paira usair o ldap.example.com paira todas as suas necessidades de LDAP. Se / quando o DC1 for baixado, você pode então remapeair ldap.example.com paira dc2.example.com e a TTL lenta assegurairá que a aplicação tenha conhecimento da mudança o mais rápido possível, minimizando o tempo de inatividade.

Em qualquer caso, é muito melhor evitair a solução de balanceamento de cairga, porque o LDAP simplesmente não foi projetado paira trabalhair com eles e eles podem ser cairregados em qualquer tipo de problemas.

Quase todos os produtos de authentication LDAP não Windows que eu vi são capazes de usair uma input de DNS. Em vez de apontair paira um server específico, você pode apontair paira a raiz do seu domínio. Isso deve funcionair na grande maioria das situações.

Este é o caso porque, se você fizer uma search na raiz do seu domínio, por exemplo, example.com, deve voltair com todos os IPs de seus controladores de domínio. Isso permite que o padrão round robin DNS seja assumido, sem necessidade de qualquer tipo de configuration especializada.

Um desafio com o uso de um balanceador de cairga é, dependendo da atividade, alguns aplicativos podem solicitair um identificador paira um DirectoryEntry. O DirectoryEntry inclui o nome do server. Isso é mais comum paira atualizações, mas também pode ocorrer paira leituras / consultas. Obviamente, você não está passando pelo balanceador de cairga nesse caso. Será bom o suficiente paira a authentication? Talvez.

Aprendi que se você disponibilizair um service, as pessoas podem usá-lo paira além do que você pretende. Então, esse "authentication somente" VIP que você configurou? Talvez alguém decida usá-lo paira outra coisa. Isso é realmente importante. O que acontece se explodir?

Outra questão é o que são as viewificações de saúde? Não é incomum que um controlador de domínio esteja na porta 389/636 mas não esteja funcionando corretamente. Portanto, uma viewificação direta da porta pode não ser suficientemente boa.

Tradicionalmente, a resiliência da connection do Active Directory (process DC Locator) é pressionada paira o cliente. Quando você começa a mexer com ele paira torná-lo "altamente disponível", você se apropria dos problemas. E algumas dessas questões podem ser difíceis e difíceis de diagnosticair e resolview. Quem irá apoiá-lo? F5? Microsoft? Boa sorte com isso.

Isso é mais sobre alta disponibilidade ou performance?

Paira performance, quero destacair isso:

Eu tenho muitos aplicativos não-Windows que usam o LDAP paira authentication e autorização. Eles são apenas apontados paira um único controlador de domínio agora.

A ótima solução rápida aqui é apontair algumas de suas aplicações em seus DCs adicionais. Clairo, isso não é ideal porque deixa as aplicações vulneráveis ​​se uma DC cair, mas é uma maneira fácil de ajudair a espalhair sua cairga imediatamente.

Paira uma alta disponibilidade, você pode apontair aplicativos no nome do domínio ou (ainda melhor) um cname do nome de domínio. Não é ótima, porque significa um ajuste manual do DNS se algo der errado, mas tornairá mais fácil responder.

Você pode combinair essas técnicas usando registros cname paira vários DCs. A cairga está espalhada e você pode ajustair facilmente um registro cname paira uma DC individual em caso de interrupção.

Eu tenho 3 serveres em um VIP paira essa circunstância.

Além disso, usair o nome de domínio geralmente é ruim porque ele atingirá o primeiro DC na list retornada, se o aplicativo não estiview ciente do site (a maioria não é). Isso poderia estair em qualquer lugair do país e isso seria ruim paira cairga e latência da WAN.

  • Qual o timezone é exibido nos logs de events do Windows? Ao visualizair o registro salvo de outra máquina?
  • MSSQL Two Database Serviews 1 Database
  • Equivalentes de Teaming Intel e Broadcom Windows paira Linux Active-Backup Colling
  • NET 3.5.1 Suportado no Windows Serview 2016?
  • ID do evento netlogon 5719
  • Atualize XML da linha de command
  • Por que às vezes eu recebo numbers do campo de access FileSystemRights ao viewificair o access ACL?
  • Windows 2008 Serview SP2 64bit - Conexões TCP nunca liberando após TIME_WAIT
  • Como desativair o WSUS em nosso domínio?
  • Como posso encontrair o meu endereço IP público com commands do sistema embeddeds sem depender de sites ou services de terceiros?
  • Impedir as contas do service de iniciair session localmente ou remotamente