Два хоста для LDAP авторизации?

Обсуждение вопросов и решений

Модератор: ykolesnikov

Ответить
JohniGo
OTRS Бывалый
Сообщения: 369
Зарегистрирован: 21 окт 2010, 15:31

Два хоста для LDAP авторизации?

Сообщение JohniGo » 03 ноя 2010, 12:09

Возможно-ли? Хочется отказоустойчивости.
Автоматизирую бардак.
Послужной список

ULiX
OTRS Новобранец
Сообщения: 45
Зарегистрирован: 12 окт 2010, 08:56
Контактная информация:

Re: Два хоста для LDAP авторизации?

Сообщение ULiX » 12 ноя 2010, 03:00

Предлагаю несколько способов:
Настрой два модуля авторизации.
Об этом на этом форуме можно найти информацию. В каждый модуль будет настроен одинакова за исключением хоста.

Через манипуляции с DNS
В качестве хоста укажи dns имя. В dns создай домен с этим именем и присвой ему несколько IP адресов создав записи типа A без имени в этом домене. Если у тебя используется домен на базе Windows и поднят DNS на контролерах домена, создавать записи в DNS и не нужно, они там уже все имеются.

К примеру у тебя есть домен "thebest.com" c тремя контролерами домена DC1-3 . В зоне прямого просмотра DNS у тебя имеется этот самый домен с существующими записями:

Код: Выделить всё

Name;Type;Date
(same as parent folder);Host (A);{IP_Adress_DC1}
(same as parent folder);Host (A);{IP_Adress_DC2}
(same as parent folder);Host (A);{IP_Adress_DC3}
Если в качестве хоста указать имя thebest.com то будет выбираться случайно один из существующих контролеров домена. Частота изменения IP для имени thebest.com зависит от времени жизни (TTL) записи в DNS.

Я бы посоветовал первый вариант, ибо второй усугубляет положение в плане отказоустойчивости.
  • Недоступность DNS приводит к полной парализации.
  • При использовании нескольких DNS падение первичного DNS приводит к уменьшению скорости, так как к первому DNS идут не успешные запросы
  • И главное:
  • Падение одного из контролеров домена всё равно приводит к сбою, так как запись типа "A" для упавшего контролера не исчезает из DNS. Таким образом DNS для вашего домена будет периодически (для приведенного примера в трети случаев) возвращать IP несуществующего (упавшего) контролера.
Также замечено, что при падении одного из контролеров домена снижается скорость работы с LDAP на оставшихся контролерах. Я грешу на неудачные попытки репликации, хотя подробно в изучение этого вопроса не углублялся.

Так уж исторически сложилось, что у нас на предприятии используется второй способ. И каждый раз при перезагрузке одного из контролеров домена мы испытываем некоторые трудности. В частности приходится ручками удалять запись
(same as parent folder);Host (A);{IP_Adress_DC1}
выключенного контролера, иначе многие сервисы с LDAP авторизацией работают со сбоями с вероятностью B/N. (где N - общее число контролеров, а B - число упавших контролеров)

После включения контролер сам себя перепропишет в DNS, хоть это радует.
Я не флудер, у меня просто не получаются маленькие посты.

JohniGo
OTRS Бывалый
Сообщения: 369
Зарегистрирован: 21 окт 2010, 15:31

Re: Два хоста для LDAP авторизации?

Сообщение JohniGo » 23 ноя 2010, 08:26

Спасибо. Идея понятна. Будем надеяться разработчики сделают возможность указывать в одном модуле несколько хостов. Городить 2 совершенно одинаковых блока не очень красиво (хотя конечно и не особенно проблеммно).
Автоматизирую бардак.
Послужной список

Ответить