Active-Directory

Active Directory 身份驗證負載平衡和故障轉移

  • March 17, 2018

對於針對 Active Directory DC 進行身份驗證的應用程序,顯然最好將它們指向主域 DNS 記錄,而不是用於故障轉移、負載平衡等的特定 DC。

對於那些迫使您對 DC 的 IP 進行硬編碼的應用程序的最佳做法是什麼?我們可以硬編碼負載均衡器的 IP 地址,因此如果一個 DC 出現故障,該應用程序仍然能夠進行身份驗證。有沒有更好的選擇?

Active Directory 已經內置了負載平衡技術。您的 Windows 客戶端知道如何在自己的站點中定位冗餘域控制器,以及在第一個不可用時如何使用另一個。只要您有冗餘 DC,就無需執行額外的負載平衡,例如“集群”DC 等。

在某種程度上,您可以將 Active Directory 站點視為“負載平衡器”,因為該站點中的客戶端將隨機選擇同一站點中的一個 DC。如果站點中的所有 DC 都出現故障或站點沒有 DC,則客戶端將選擇另一個站點(下一個最近的站點或隨機選擇。)

您可以通過將 VIP 放在硬體負載平衡器上並在多個域控制器之間實現該 VIP 負載平衡來為加入域的客戶端負載平衡 Active Directory 提供的 DNS 服務。然後在您的客戶端上,將該 VIP 作為首選 DNS 伺服器放在 TCP/IP 配置中。

我現在正在為全球基礎設施做這件事,而且效果很好。

但這適用於 DNS 服務。

不要嘗試對域控制器進行負載平衡以進行身份驗證。這是自找麻煩。您至少必須做很多複雜的自定義 SPN 工作,並且您將把自己扔出 Microsoft 支持的界限。從這個你應該閱讀的部落格中,我將引用他的話:

回到供應商處,告訴他們您不認為他們是 AD 集成的,您會找到不同的解決方案。

現在對於要求您輸入域控制器的*IP 地址的應用程序?*好吧,我將重申我的評論:

誰編寫了一個強制您將域控制器的 IP 地址硬編碼到其中的應用程序,他或她不知道他或她在做什麼。

引用自:https://serverfault.com/questions/513555