Active Directory認証の負荷分散とフェイルオーバー

8

Active Directory DCに対して認証するアプリケーションの場合、明らかに、フェイルオーバーやロードバランシングなどの特定のDCではなく、メインドメインのDNSレコードを指すようにするのが最善です。

DCのIPをハードコードすることを強制するこれらのアプリケーションのベストプラクティスは何ですか?代わりに、ロードバランサーのIPアドレスをハードコーディングして、1つのDCがダウンしても、そのアプリケーションが認証できるようにすることができます。より良い代替案はありますか?

active-directory  load-balancing  ldap  authentication 
デリック
ソース
2
ドメインコントローラーのIPアドレスをそのアプリケーションにハードコードするように強制するアプリケーションを書いた人は、彼または彼女が何をしているのか知りません。
Ryan Ries 2013年
1
アプリケーションの開発者を見つけて修正してもらいます。
マイケルハンプトン
まだ交換の準備が整っていないレガシーアプリと古いNASボックスがほとんどです。
デリック

回答:

8

Active Directoryにはすでに負荷分散技術が組み込まれています。Windowsクライアントは、独自のサイトで冗長ドメインコントローラーを見つける方法と、最初のドメインコントローラーが利用できない場合に別のドメインコントローラーを使用する方法を知っています。冗長なDCがある限り、「クラスター化された」DCなどの追加の負荷分散を実行する必要はありません。

ある意味では、Active Directoryサイトは "ロードバランサー"と考えることができます。これは、そのサイトのクライアントが同じサイトのDCの1つをランダムに選択するためです。サイト内のすべてのDCに障害が発生した場合、またはサイトにDCがない場合、クライアントは別のサイト(次に近いサイトまたはランダムに)を選択します。

ハードウェアロードバランサーにVIPを配置し、VIPを複数のドメインコントローラー間で負荷分散することにより、ドメインに参加しているクライアントにActive Directoryが提供するDNSサービスの負荷を分散できます。次に、クライアントで、そのVIPを優先DNSサーバーとしてTCP / IP構成に配置します。

私は今、グローバルインフラストラクチャのためにそれを行っています。

ただし、これはDNSサービスにのみ適用されます。

認証のためにドメインコントローラの負荷を分散しようとしないでください。困ったことです。少なくとも、多くの複雑なカスタムSPN作業を行う必要があり、Microsoftサポートの境界から自分自身を解放することになります。あなたが読むべきこのブログから、私は彼を引用します:

ベンダーに戻って、それらがAD統合されているとは見なさないことを伝え、別のソリューションを見つけます。

ここで、ドメインコントローラのIPアドレスを入力するように要求するアプリケーションについてはどうでしょうか。まあ、私は私のコメントを繰り返します。

ドメインコントローラーのIPアドレスをそのアプリケーションにハードコードするように強制するアプリケーションを書いた人は、彼または彼女が何をしているのか知りません。

ライアン・リース
ソース
元々の質問は、「DCのIPをハードコードすることを強制するアプリケーションのベストプラクティスは何ですか?」でした。動的検出をサポートしていない正当なアプリが世の中に存在しないと仮定するのは悪い仮定です。Active Directoryに対して認証したいWindows以外のアプリケーションがたくさんあります。では、動的なDC検出が選択肢にない場合に、これらのアプリケーションを機能させる最良の方法は何でしょうか。
Dscoduc
@Dscoducより良いアプリケーションを入手してください。
ライアンリース
3

IPをハードコーディングしたり、IPを使用してADクエリを解決したりする正当な理由はありません。バッドプラクティスのベストプラクティスはありません。

ジムB
ソース
1
「悪い習慣のためのベストプラクティスはありません。」今日の引用、先生。
mfinni 2013年
1

この質問に対する他のいくつかの回答は、Microsoft対応アプリケーション以外の世界はないと想定しているようです。元の質問による証拠として、残念ながらこれは当てはまりません:

DCのIP をハードコードすることを強制するこれらのアプリケーションのベストプラクティスは何ですか?

マイクロソフトはActive Directoryの前でNLBソリューションを使用することをサポートまたは推奨していませんが、Microsoft以外のAD対応アプリケーションを認証するためのいくつかのオプションがあるようです。

Dscoduc
ソース
この質問と私の投稿された回答をフォローアップするために-私の会社は、Windows以外のシステムでDCLocatorサービスを利用できないActive Directoryにうまく対応できる堅牢なF5 LDAPローカルトラフィックマネージャーソリューションを実装しました。世界中に6つのLTMが問題なくトラフィックを処理しています。
Dscoduc
0

外部の「負荷分散」ADが実際に必要になることはまれであり、適切に行うことは困難です。一般的なクエリの必要性は問題なく機能しますが、一般的なWindowsクライアントとアプリケーションは更新を実行する必要があります。Windowsクライアントは特定のDCとのアフィニティを確立しようとするため、何かを更新してすぐに後続の操作を試みると、同じDCにヒットします。アプリケーション開発者も同じことを行います。ユーザーアカウントを作成するコードを記述し、そのアカウントのパスワードを1ミリ秒後に変更しようとすると、同じDCをヒットする必要があります。

ロードバランサーソリューションを使用してADのフロントエンドを行う場合は、それらのアプローチとアフィニティが壊れないようにする責任を負います。

負荷を分散するのではなく、可用性が必要な場合は、クラスタリングの方が適切な場合があります(ワームのクラスタは別として)。

大規模なADの実装では、より伝統的なアプローチは、大多数のコンシューマーを識別し、それらを独自のDCがあるサイトに配置することです。たとえば、5つのExchangeサーバーがある場合、それらのサーバーのサブネット用のサイトを作成し、そのサイトに専用GCを配置します。SharePointなどの他のサーバーにも同じことが当てはまります。

グレッグ・アスキュー
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.