Два хоста для LDAP авторизации?
Модератор: ykolesnikov
Два хоста для LDAP авторизации?
Возможно-ли? Хочется отказоустойчивости.
Автоматизирую бардак.
Послужной список
Послужной список
Re: Два хоста для LDAP авторизации?
Предлагаю несколько способов:
Настрой два модуля авторизации.
Об этом на этом форуме можно найти информацию. В каждый модуль будет настроен одинакова за исключением хоста.
Через манипуляции с DNS
В качестве хоста укажи dns имя. В dns создай домен с этим именем и присвой ему несколько IP адресов создав записи типа A без имени в этом домене. Если у тебя используется домен на базе Windows и поднят DNS на контролерах домена, создавать записи в DNS и не нужно, они там уже все имеются.
К примеру у тебя есть домен "thebest.com" c тремя контролерами домена DC1-3 . В зоне прямого просмотра DNS у тебя имеется этот самый домен с существующими записями:
Если в качестве хоста указать имя thebest.com то будет выбираться случайно один из существующих контролеров домена. Частота изменения IP для имени thebest.com зависит от времени жизни (TTL) записи в DNS.
Я бы посоветовал первый вариант, ибо второй усугубляет положение в плане отказоустойчивости.
Так уж исторически сложилось, что у нас на предприятии используется второй способ. И каждый раз при перезагрузке одного из контролеров домена мы испытываем некоторые трудности. В частности приходится ручками удалять запись
(same as parent folder);Host (A);{IP_Adress_DC1}
выключенного контролера, иначе многие сервисы с LDAP авторизацией работают со сбоями с вероятностью B/N. (где N - общее число контролеров, а B - число упавших контролеров)
После включения контролер сам себя перепропишет в DNS, хоть это радует.
Настрой два модуля авторизации.
Об этом на этом форуме можно найти информацию. В каждый модуль будет настроен одинакова за исключением хоста.
Через манипуляции с DNS
В качестве хоста укажи dns имя. В dns создай домен с этим именем и присвой ему несколько IP адресов создав записи типа A без имени в этом домене. Если у тебя используется домен на базе Windows и поднят DNS на контролерах домена, создавать записи в DNS и не нужно, они там уже все имеются.
К примеру у тебя есть домен "thebest.com" c тремя контролерами домена DC1-3 . В зоне прямого просмотра DNS у тебя имеется этот самый домен с существующими записями:
Код: Выделить всё
Name;Type;Date
(same as parent folder);Host (A);{IP_Adress_DC1}
(same as parent folder);Host (A);{IP_Adress_DC2}
(same as parent folder);Host (A);{IP_Adress_DC3}
Я бы посоветовал первый вариант, ибо второй усугубляет положение в плане отказоустойчивости.
- Недоступность DNS приводит к полной парализации.
- При использовании нескольких DNS падение первичного DNS приводит к уменьшению скорости, так как к первому DNS идут не успешные запросы И главное:
- Падение одного из контролеров домена всё равно приводит к сбою, так как запись типа "A" для упавшего контролера не исчезает из DNS. Таким образом DNS для вашего домена будет периодически (для приведенного примера в трети случаев) возвращать IP несуществующего (упавшего) контролера.
Так уж исторически сложилось, что у нас на предприятии используется второй способ. И каждый раз при перезагрузке одного из контролеров домена мы испытываем некоторые трудности. В частности приходится ручками удалять запись
(same as parent folder);Host (A);{IP_Adress_DC1}
выключенного контролера, иначе многие сервисы с LDAP авторизацией работают со сбоями с вероятностью B/N. (где N - общее число контролеров, а B - число упавших контролеров)
После включения контролер сам себя перепропишет в DNS, хоть это радует.
Я не флудер, у меня просто не получаются маленькие посты.
Re: Два хоста для LDAP авторизации?
Спасибо. Идея понятна. Будем надеяться разработчики сделают возможность указывать в одном модуле несколько хостов. Городить 2 совершенно одинаковых блока не очень красиво (хотя конечно и не особенно проблеммно).
Автоматизирую бардак.
Послужной список
Послужной список