8 votos

Carga de autenticación de directorio activo balanceo y failover

Para aplicaciones que autentican en Active Directory DC, obviamente lo mejor sería a punto para el dominio principal DNS registran en lugar de un específico DC para failover, balanceo de carga, etc..

¿Cuáles son las mejores prácticas para aquellas aplicaciones que te obligan a codificar un DC IP? Nos podríamos duro código de dirección IP de un equilibrador de carga en lugar de otro así que si un DC fue abajo que todavía uso ser capaces de autenticar. ¿Hay alguna alternativa mejor?

8voto

Ryan Ries Puntos 33449

Active Directory ya ha equilibrio de carga de técnicas integradas en ella. Su cliente de Windows sabe cómo localizar el redundantes controladores de dominio en su propio sitio, y cómo utilizar otro si el primero no está disponible. No hay necesidad de realizar el equilibrio de carga adicional, como "clúster" DCs, etc. mientras usted tiene redundante de los países en desarrollo.

En una manera, se puede pensar en un Sitio de Active Directory como un "equilibrador de carga," porque los clientes en el sitio de que se va a elegir aleatoriamente a uno de los controladores de dominio en el mismo sitio. Si todos los controladores de dominio en un sitio de un error o si el sitio no tiene DCs, a continuación, los clientes podrán escoger otro sitio (al azar.)

Usted puede equilibrar la carga de Active Directory proporciona el servicio de DNS para el dominio de clientes por poner un VIP en un equilibrador de carga de hardware, y tener que VIP equilibrar la carga entre varios de los controladores de dominio. A continuación, en sus clientes, puesto que el VIP como servidor DNS preferido en la configuración de TCP/IP.

Lo que estoy haciendo ahora mismo para una infraestructura global y es un gran trabajo.

Pero que sólo se aplica para el servicio de DNS.

No trate de balancear la carga de los controladores de dominio para la autenticación. Pregunta por los problemas. Usted por lo menos tiene que hacer un montón de complejos personalizado SPN trabajo y sería lanzarse manera de salir de soporte técnico de Microsoft límites. Desde este blog, el cual debe leer, voy a citarlo:

Volver a los vendedores y les dicen que no los considero AD Integrado y encontrará una solución diferente.

Ahora, como para las aplicaciones que te piden que escriba la dirección IP de un controlador de dominio? Bueno, te reitero mi comentario:

Quien escribió una aplicación que te obliga a codificar el IP dirección de un controlador de dominio en no saber lo que él o ella es haciendo.

4voto

Jim B Puntos 18849

nunca ha habido una buena razón para codificar una IP o usa una IP para resolver consultas AD. No hay las mejores prácticas para malas prácticas.

0voto

Greg Askew Puntos 17236

Una necesidad real externo "balanceo de Carga" AD es rara, y es difícil de hacer correctamente. Una necesidad para la típica consultas pueden trabajar bien, sin embargo, un típico cliente de Windows y de las aplicaciones necesitan para realizar las actualizaciones. Un cliente de Windows intenta establecer una afinidad con un determinado dc, por lo que si se actualiza algo, e inmediatamente intenta una operación posterior, llega a la misma dc. Los desarrolladores de aplicaciones que hacen lo mismo. Si usted escribe el código que crea una cuenta de usuario, a continuación, intente cambiar la contraseña de la cuenta de 1 ms después, usted necesita para golpear la misma dc.

Si usted fuera a front-end de ANUNCIOS con alguna solución de equilibrador de carga, tomar posesión de garantizar los enfoques y las afinidades de no romper.

Si la necesidad es la disponibilidad, como contraposición a la de equilibrio de carga, la agrupación puede ser más apropiado (clúster de gusanos de lado).

En gran ANUNCIO de la implantación de un enfoque más tradicional es el de identificar a la mayoría de los consumidores, y ponerlos en un sitio con su propia dc. Por ejemplo, si tienes cinco servidores de Exchange, crear un sitio web para las subredes de los servidores, y poner dedicado GC en ese sitio. Mismo aplica para otros servidores de SharePoint.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: