windows – 通过F5从域控制器负载平衡LDAP

前端之家收集整理的这篇文章主要介绍了windows – 通过F5从域控制器负载平衡LDAP前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我知道,由于Kerberos和SPN问题,Windows域控制器上的LDAP负载平衡或故障转移通常不是一个好主意.

但是,我有很多非Windows应用程序使用LDAP进行身份验证和授权.他们现在只是指向一个域控制器,很高兴有一个VIP和一个池,后面有我所有的DC.

那么当我看到这个时,这里的交易是什么?:

https://devcentral.f5.com/questions/ad-dcs-behind-f5

F5有什么特别之处吗?它是否会回归到NTLM?或者只是使用简单的LDAP绑定到AD? (或SLDAP绑定).

什么是非Windows客户端利用LDAP的最佳方式?它们是否应该开箱即用,以使用DNS定位器SRV记录?应该部署AD-LDS并实现负载均衡吗?

有什么我想念的吗?

是的,想要与Active Directory交互的应用程序确实应该设计为使用适当的DC定位过程(已有详细记录);不幸的是,他们经常不是.

您通常可以通过将LDAP应用程序指向Active Directory域名而不是特定DC来解决此问题,因为每个DC会自动为指向其IP地址的域名注册AN A记录,因此这将作为DNS循环使用;但是,这会导致两个重大问题:

>如果DC关闭,它仍将包含在DNS答案中;如果应用程序不够智能,无法尝试其他应用程序,则可能导致LDAP失败.
>这不会占用Active Directory站点拓扑的任何帐户;如果您拥有地理位置分散的环境,您最终可能会在伦敦通过缓慢和/或不可靠的WAN链路对澳大利亚的DC进行身份验证.

稍微好一点的解决方案是为LDAP应用程序创建自己的DNS记录,作为指向特定DC的CNAME记录,例如指向dc1.example.com的ldap.example.com,并在其上设置一个慢速TTL(fe 60秒) );然后,您可以将应用程序配置为使用ldap.example.com来满足其所有LDAP需求.如果/当DC1关闭时,您可以将ldap.example.com重新映射到dc2.example.com,慢速TTL将确保应用程序尽快知道更改,从而最大限度地减少停机时间.

在任何情况下,最好避免负载平衡解决方案,因为LDAP根本不适合与它们一起工作,它们可能会加载到任何类型的问题.

猜你在找的Windows相关文章