Para aplicativos autenticados em um controlador de domínio do Active Directory, obviamente seria melhor apenas apontá-los para o registro DNS do domínio principal, em vez de um controlador de domínio específico para failover, balanceamento de carga etc.
Quais são as práticas recomendadas para os aplicativos que forçam você a codificar o IP de um controlador de domínio? Em vez disso, poderíamos codificar o endereço IP de um balanceador de carga; portanto, se um controlador de domínio fosse desativado, o aplicativo ainda conseguiria se autenticar. Existem alternativas melhores?
Respostas:
O Active Directory já possui técnicas de balanceamento de carga. Seu cliente Windows sabe como localizar os controladores de domínio redundantes em seu próprio site e como usar outro se o primeiro não estiver disponível. Não há necessidade de realizar balanceamento de carga adicional, como controladores de domínio "em cluster" etc., desde que você tenha controladores de domínio redundantes.
De certa forma, você pode pensar em um site do Active Directory como um "balanceador de carga", porque os clientes nesse site escolherão aleatoriamente um dos controladores de domínio no mesmo site. Se todos os controladores de domínio de um site falharem ou se o site não tiver controladores de domínio, os clientes escolherão outro site (site mais próximo mais próximo ou aleatoriamente).
Você pode equilibrar o serviço DNS fornecido pelo Active Directory para clientes ingressados no domínio, colocando um VIP em um balanceador de carga de hardware e tendo esse equilíbrio de carga VIP entre vários controladores de domínio. Em seus clientes, coloque esse VIP como o servidor DNS preferido na configuração TCP / IP.
Estou fazendo isso agora para uma infraestrutura global e está funcionando muito bem.
Mas isso só se aplica ao serviço DNS.
Não tente balancear a carga de seus controladores de domínio para autenticação. Está pedindo problemas. Você teria que, no mínimo, fazer um trabalho complexo e personalizado do SPN e estaria se afastando dos limites de suporte da Microsoft. A partir deste blog, que você deve ler , vou citá-lo:
Agora, quanto aos aplicativos que solicitam que você digite o endereço IP de um controlador de domínio? Bem, vou reiterar meu comentário:
fonte
nunca houve um bom motivo para codificar um IP ou usá-lo para resolver consultas do AD. Não há boas práticas para más práticas.
fonte
Várias das outras respostas a essa pergunta parecem supor que não há outro mundo além dos aplicativos que reconhecem a Microsoft. Infelizmente, esse não é o caso, como evidência da pergunta original:
Embora a Microsoft não ofereça suporte ou recomende o uso de uma solução NLB na frente do Active Directory, de fato parece haver algumas opções para autenticar aplicativos não compatíveis com o Microsoft AD.
fonte
Uma necessidade real de AD externo de "balanceamento de carga" é rara e difícil de executar adequadamente. A necessidade de consultas típicas pode funcionar bem, no entanto, um cliente e aplicativos típicos do Windows precisam executar atualizações. Um cliente Windows tenta estabelecer uma afinidade com um determinado CC, para que, se atualize algo e tente imediatamente uma operação subsequente, ele atinja o mesmo CC. Os desenvolvedores de aplicativos fazem a mesma coisa. Se você escrever um código que cria uma conta de usuário, tente alterar a senha nessa conta 1 ms depois, precisará pressionar o mesmo dc.
Se você deseja fazer o front-end do AD com alguma solução de balanceador de carga, deve garantir que essas abordagens e afinidades não sejam quebradas.
Se a necessidade for disponibilidade, em oposição ao balanceamento de carga, o armazenamento em cluster pode ser mais apropriado (lata de worms de lado).
Em grandes implementações de AD, uma abordagem mais tradicional é identificar os consumidores majoritários e colocá-los em um site com seus próprios DCs. Por exemplo, se você tiver cinco servidores Exchange, crie um site para as sub-redes desses servidores e coloque GCs dedicados nesse site. O mesmo se aplicaria a outros servidores, como o SharePoint.
fonte