태그 보관물: authentication

authentication

Active Directory 인증 부하 분산 및 장애 조치 레코드를 가리키는 것이 가장

Active Directory DC에 대해 인증하는 응용 프로그램의 경우 장애 조치,로드 밸런싱 등을 위해 특정 DC가 아닌 기본 도메인 DNS 레코드를 가리키는 것이 가장 좋습니다.

DC IP를 하드 코딩하도록하는 응용 프로그램에 대한 모범 사례는 무엇입니까? 대신로드 밸런서의 IP 주소를 하드 코딩 할 수 있으므로 하나의 DC가 중단되면 해당 애플리케이션이 여전히 인증 할 수 있습니다. 더 나은 대안이 있습니까?



답변

Active Directory에는 이미로드 밸런싱 기술이 내장되어 있습니다. Windows 클라이언트는 자체 사이트에서 중복 도메인 컨트롤러를 찾는 방법과 첫 번째 도메인 컨트롤러를 사용할 수없는 경우 다른 도메인 컨트롤러를 사용하는 방법을 알고 있습니다. 중복 DC가있는 한 “클러스터 된”DC 등과 같은 추가로드 밸런싱을 수행 할 필요가 없습니다.

어떤 방식 으로든 Active Directory 사이트를 “로드 밸런서”라고 생각할 수 있습니다. 해당 사이트의 클라이언트가 동일한 사이트에서 DC 중 하나를 임의로 선택하기 때문입니다. 사이트의 모든 DC에 오류가 발생하거나 사이트에 DC가없는 경우 클라이언트는 다른 사이트를 선택합니다 (가장 가까운 사이트 또는 무작위).

하드웨어로드 밸런서에 VIP를 배치하고 여러 도메인 컨트롤러간에 VIP로드 균형을 유지함으로써 도메인 가입 클라이언트에 대한 Active Directory 제공 DNS 서비스의로드 균형을 조정할 수 있습니다. 그런 다음 클라이언트에서 해당 VIP를 TCP / IP 구성에서 선호하는 DNS 서버로 설정하십시오.

나는 지금 글로벌 인프라를 위해 그것을하고 있으며 훌륭하게 작동하고 있습니다.

그러나 이것은 DNS 서비스 에만 적용됩니다.

인증을 위해 도메인 컨트롤러의로드 밸런싱을 시도하지 마십시오. 문제를 요구하고 있습니다. 최소한 복잡한 사용자 지정 SPN 작업을 많이 수행해야하며 Microsoft 지원 범위를 벗어나게됩니다. 에서 당신이 읽어야이 블로그, 나는 그를 인용합니다 :

공급 업체로 돌아가서 AD 통합이라고 생각하지 않으면 다른 솔루션을 찾을 수 있습니다.

이제 도메인 컨트롤러 의 IP 주소 를 입력하라는 응용 프로그램은 무엇입니까? 글쎄, 나는 단지 내 의견을 되풀이 할 것이다.

도메인 컨트롤러의 IP 주소를 하드 코딩하도록하는 응용 프로그램을 작성한 사람은 자신이하는 일을 알지 못합니다.


답변

IP를 하드 코딩하거나 IP를 사용하여 AD 쿼리를 해결해야 할 이유는 없었습니다. 나쁜 관행에 대한 모범 사례는 없습니다.


답변

이 질문에 대한 다른 답변 중 일부는 Microsoft가 인식하는 응용 프로그램 이외의 다른 세상이 없다고 가정합니다. 불행히도 이것은 원래 질문의 증거로 그렇지 않습니다.

DC IP 를 하드 코딩하도록 하는 응용 프로그램에 대한 모범 사례는 무엇입니까 ?

Microsoft는 Active Directory 앞에서 NLB 솔루션 사용을 지원하거나 권장하지 않지만 Microsoft 이외의 AD 인식 응용 프로그램을 인증하기위한 몇 가지 옵션이있는 것으로 보입니다.


답변

외부 “로드 밸런싱”AD의 실제 요구는 드물고 제대로 수행하기가 어렵습니다. 일반적인 쿼리가 필요할 수도 있지만 일반적인 Windows 클라이언트 및 응용 프로그램은 업데이트를 수행해야합니다. Windows 클라이언트는 특정 dc와의 선호도 설정을 시도하여 무언가를 업데이트하고 후속 작업을 즉시 시도하면 동일한 dc에 도달합니다. 응용 프로그램 개발자도 같은 일을합니다. 사용자 계정을 작성하는 코드를 작성한 후 1ms 후에 해당 계정의 비밀번호를 변경하려고 시도하면 동일한 dc에 도달해야합니다.

로드 밸런서 솔루션을 사용하여 프런트 엔드 AD를 사용하는 경우 이러한 접근 방식과 친 화성이 중단되지 않도록 소유권을 갖습니다.

로드 밸런싱과 반대로 가용성이 필요한 경우 클러스터링이 더 적합 할 수 있습니다 (웜의 클러스터 캔은 제외).

대규모 AD 구현에서보다 전통적인 접근 방식은 대다수 소비자를 식별하여 자체 DC가있는 사이트에 배치하는 것입니다. 예를 들어 5 개의 Exchange 서버가있는 경우 해당 서버의 서브넷을위한 사이트를 만들고 해당 사이트에 전용 GC를 넣습니다. SharePoint와 같은 다른 서버에도 동일하게 적용됩니다.


답변