L'équilibrage de charge d'authentification et le basculement d'authentification Active Directory

Pour les applications qui s'authentifient sur un DC Active Directory, il est évident qu'il serait préférable de simplement les signaler à l'logging DNS principal du domaine plutôt qu'à un DC spécifique pour le basculement, l'équilibrage de charge, etc.

Quelles sont les pratiques exemplaires pour les applications qui vous forcent à coder une IP de DC? Nous pourrions coder l'adresse IP d'un équilibreur de charge à la place, donc si un DC est descendu, cette application pourrait encore être authentifiée. Y a-t-il de meilleures alternatives?

4 Solutions collect form web for “L'équilibrage de charge d'authentification et le basculement d'authentification Active Directory”

Active Directory possède déjà des techniques d'équilibrage de charge. Votre client Windows sait comment localiser les controllers de domaine redondants dans son propre site et comment utiliser un autre si le premier n'est pas disponible. Il n'est pas nécessaire d'effectuer un équilibrage de charge supplémentaire, comme les DC "en cluster", etc. tant que vous avez des DC redondantes.

D'une certaine façon, vous pouvez penser à un site Active Directory comme «équilibreur de charge», car les clients de ce site choisiront au hasard l'une des DC sur le même site. Si tous les DC d'un site échouent ou si le site n'a pas de DC, les clients choisiront un autre site (au hasard).

Vous pouvez charger le service DNS fourni par Active Directory pour les clients connectés au domaine en mettant un VIP sur un équilibreur de charge matériel et en ayant cet équilibre de charge VIP entre plusieurs controllers de domaine. Ensuite, sur vos clients, placez ce VIP comme server DNS préféré dans la configuration TCP / IP.

Je le fais maintenant pour une infrastructure mondiale et ça fonctionne bien.

Mais cela ne s'applique qu'aux services DNS.

N'essayez pas d'équilibrer vos controllers de domaine pour l'authentification. Il request des problèmes. Vous devriez au less faire beaucoup de travail personnalisé SPN personnalisé et vous vous lancerez hors des limites de support Microsoft. À partir de ce blog, que vous devriez lire , je vais le citer:

Revenez aux fournisseurs et dites-leur qu'ils ne les considèrent pas comme AD Integrated et que vous findez une solution différente.

En ce qui concerne les applications qui vous requestnt de taper l' adresse IP d'un controller de domaine? Eh bien, je vais simplement réitérer mon commentaire:

Quiconque a écrit une application qui vous oblige à coder l'adresse IP d'un controller de domaine ne sait pas ce qu'il fait.

Il n'y a jamais eu de bonnes raisons de coder une IP ou d'utiliser une IP pour résoudre les requêtes AD. Il n'y a pas de meilleures pratiques pour les mauvaises pratiques.

Un besoin réel d'AD "équilibrage de charge" est rare, et il est difficile de le faire correctement. Un besoin de requêtes typiques peut fonctionner bien, mais un client Windows typique et les applications doivent effectuer des mises à jour. Un client Windows essaie d'établir une affinité avec un dc particulier, de sorte que si il met à jour quelque chose et tente immédiatement une opération ultérieure, il frappe la même cc. Les développeurs d'applications font la même chose. Si vous écrivez un code qui crée un count d'user, essayez de changer le mot de passe sur ce count 1 ms plus tard, vous devez lancer la même prise de courant.

Si vous étiez à la pointe de l'AD avec une solution d'équilibrage de charge, vous prenez la responsabilité de veiller à ce que ces approches et ces affinités ne se brisent pas.

Si le besoin est la disponibilité, par opposition à l'équilibrage de la charge, le regroupement peut être plus approprié (cluster de parasites).

Dans les grandes implémentations AD, une approche plus traditionnelle consiste à identifier les consommateurs majoritaires et à les mettre dans un site avec leurs propres CD. Par exemple, si vous disposez de cinq servers Exchange, créez un site pour les sous-réseaux pour ces servers et placez des GC spécialisés sur ce site. Même les mêmes servers que SharePoint.

Plusieurs des autres réponses à cette question semblent supposer qu'il n'y a pas d'autre monde que les applications Microsoft. Malheureusement, ce n'est pas le cas, comme preuve de la question initiale:

Quelles sont les pratiques exemplaires pour les applications qui vous forcent à coder une IP de DC?

Bien que Microsoft ne prenne pas en charge ou ne recommand pas d'utiliser une solution NLB devant Active Directory, il semble qu'il existe certaines options pour l'authentification d'applications Microsoft non reconnues par Microsoft.

  • Comprendre l'authentification par proxy dans AD LDS
  • F5 Certifié iApp pour l'équilibrage de charge LDAP
  • Authentification Pass-Trough avec SASL
Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de réseau.