Der*_*ick 8 active-directory ldap authentication load-balancing
对于针对 Active Directory DC 进行身份验证的应用程序,显然最好将它们指向主域 DNS 记录而不是特定的 DC 以进行故障转移、负载平衡等。
对于那些迫使您对 DC 的 IP 进行硬编码的应用程序,最佳实践是什么?我们可以对负载均衡器的 IP 地址进行硬编码,这样即使一个 DC 出现故障,该应用程序仍然能够进行身份验证。有没有更好的选择?
Active Directory 已经内置了负载平衡技术。您的 Windows 客户端知道如何在自己的站点中定位冗余域控制器,以及如果第一个域控制器不可用时如何使用另一个域控制器。只要您有冗余 DC,就不需要执行额外的负载平衡,例如“集群”DC 等。
在某种程度上,您可以将 Active Directory 站点视为“负载平衡器”,因为该站点中的客户端将随机选择同一站点中的一个 DC。如果一个站点中的所有 DC 都发生故障或该站点没有 DC,则客户端将选择另一个站点(下一个最近的站点或随机站点)。
您可以通过将 VIP 放在硬件负载平衡器上并在多个域控制器之间进行 VIP 负载平衡,来为加入域的客户端负载平衡 Active Directory 提供的 DNS 服务。然后在您的客户端上,将该 VIP 作为首选 DNS 服务器置于 TCP/IP 配置中。
我现在正在为全球基础设施做这件事,而且效果很好。
但这仅适用于 DNS 服务。
不要尝试对域控制器进行负载平衡以进行身份验证。这是自找麻烦。您至少必须进行大量复杂的自定义 SPN 工作,而且您将自己置身于 Microsoft 支持范围之外。从这个你应该阅读的博客中,我会引用他的话:
回到供应商那里,告诉他们你不认为他们是 AD 集成的,你会找到一个不同的解决方案。
现在对于要求您输入域控制器IP 地址的应用程序?好吧,我只想重申一下我的评论:
无论谁编写了强制您将域控制器的 IP 地址硬编码到其中的应用程序,都不知道他或她在做什么。
| 归档时间: |
|
| 查看次数: |
27690 次 |
| 最近记录: |