Balanceamento de carga LDAP de um controlador de domínio via F5

Sei que o balanceamento de carga ou o failover do LDAP em um controlador de domínio do Windows geralmente não é uma boa ideia devido aos problemas de Kerberos e SPN.

MAS, tenho muitos aplicativos que não são do Windows que usam LDAP para autenticação e autorização. Eles estão apontados para um único controlador de domínio agora, seria bom ter um VIP e um pool com todos os meus controladores de domínio por trás dele.

Então, qual é o problema aqui quando vejo isso ?:

https://devcentral.f5.com/questions/ad-dcs-behind-f5

O F5 faz algo especial? Ele apenas volta ao NTLM? Ou apenas usa uma ligação LDAP simples ao AD? (ou ligação SLDAP).

Qual é a melhor maneira para clientes que não são do Windows utilizarem LDAP? Eles devem ser projetados imediatamente para usar os registros SRV do localizador de DNS? O AD-LDS deve ser implantado e equilibrar essa carga?

Há algo que estou perdendo?

Sim, os aplicativos que desejam interagir com o Active Directory realmente devem ser projetados para usar procedimentos adequados de localização de DC (que estão bem documentados); infelizmente, muitas vezes não são.

Geralmente, você pode contornar isso apontando o aplicativo LDAP para o nome de domínio do Active Directory em vez de um controlador de domínio específico, porque cada controlador de domínio registra automaticamente um registro AN A para o nome de domínio apontando para seu endereço IP, portanto, isso funcionará como um rodízio de DNS ; no entanto, isso pode e causará dois problemas significativos:

• Se um controlador de domínio estiver inativo, ele ainda será incluído na resposta do DNS; isso pode causar falhas no LDAP se o aplicativo não for inteligente o suficiente para tentar outro.
• Isso não levará em conta a topologia do site do Active Directory; se você tiver um ambiente distribuído geograficamente, poderá finalizar com um aplicativo em Londres autenticado em um controlador de domínio na Austrália por um link WAN lento e / ou não confiável.

Uma solução um pouco melhor é criar seu próprio registro DNS para aplicativos LDAP como um registro CNAME apontando para um controlador de domínio específico, como ldap.example.comapontar para dc1.example.com, e definir um TTL lento nele (fe 60 segundos); você pode configurar seu aplicativo para ser usado ldap.example.comem todas as suas necessidades LDAP. Se / quando o DC1 ficar inativo, você poderá remapear ldap.example.compara dc2.example.come o TTL lento garantirá que o aplicativo tome conhecimento da alteração o mais rápido possível, minimizando o tempo de inatividade.

De qualquer forma, é realmente melhor evitar a solução de balanceamento de carga, porque o LDAP simplesmente não foi projetado para funcionar com eles e eles podem carregar para qualquer tipo de problema.

Quase todos os produtos de autenticação LDAP que não vi do Windows são capazes de usar uma entrada DNS. Em vez de apontar para um servidor específico, você pode apontar para a raiz do seu domínio. Isso deve funcionar na grande maioria das situações.

Esse é o caso, porque, se você fizer uma pesquisa na raiz do seu domínio, por exemplo, example.com, ele deverá retornar com todos os IPs dos controladores de domínio. Isso permite que o DNS round robin padrão assuma o controle, sem a necessidade de nenhum tipo de configuração especializada.

Um desafio ao usar um balanceador de carga é que, dependendo da atividade, alguns aplicativos podem solicitar um identificador para uma DirectoryEntry. O DirectoryEntry inclui o nome do servidor. Isso é mais comum para atualizações, mas também pode ocorrer para leituras / consultas. Obviamente, você não está passando pelo balanceador de carga nesse caso. Seria bom o suficiente para autenticação? Talvez.

Aprendi que, se você disponibilizar um serviço, as pessoas poderão usá-lo para outro objetivo que não o pretendido. Para que VIP "somente autenticação" você configure? Talvez alguém decida usá-lo para outra coisa. Isso é realmente importante. O que acontece se explodir?

Outra questão é o que são os exames de saúde? Não é incomum que um controlador de domínio esteja na porta 389/636, mas não esteja funcionando corretamente. Portanto, uma verificação direta da porta pode não ser suficiente.

Tradicionalmente, a resiliência de conexão do Active Directory (o processo do DC Locator) é transferida para o cliente. Quando você começa a mexer com ele para torná-lo "altamente disponível", assume a responsabilidade pelos problemas. E alguns desses problemas podem ser difíceis e esquivos de diagnosticar e resolver. Quem o apoiará? F5? Microsoft? Boa sorte com isso.

É mais sobre alta disponibilidade ou desempenho?

Para desempenho, quero destacar isso:

Eu tenho muitos aplicativos que não são do Windows que usam LDAP para autenticação e autorização. Eles são apenas apontados para um único controlador de domínio no momento.

A solução rápida óbvia aqui é apontar alguns de seus aplicativos para seus CDs adicionais. Obviamente, isso não é ideal, pois deixa os aplicativos vulneráveis ​​se um controlador de domínio cair, mas é uma maneira fácil de ajudar a espalhar sua carga imediatamente.

Para alta disponibilidade, você pode apontar aplicativos para o nome de domínio ou (ainda melhor) um cname do nome de domínio. Não é ótimo, porque significa um ajuste manual do DNS se algo der errado, mas facilitará a resposta.

Você pode combinar essas técnicas usando registros cname em vários controladores de domínio. A carga é distribuída e você pode facilmente ajustar um registro de nome de usuário para um controlador de domínio individual em caso de interrupção.

Eu tenho 3 servidores em um VIP para essa circunstância.

Além disso, o uso do nome de domínio geralmente é ruim, pois atingirá o primeiro controlador de domínio na lista retornada, se o aplicativo não estiver ciente do site (a maioria não está). Isso pode estar em qualquer lugar do país e seria ruim para a carga e a latência da WAN.

Também tentamos usar um round-robin DNS. O problema é: a maioria dos aplicativos consulta o nome do host LDAP configurado uma vez, obtém o primeiro IP que volta e, em seguida, armazena em cache esse IP. Isso significa que todas as pesquisas LDAP desse aplicativo acabam sempre no mesmo servidor LDAP, derrotando o objetivo do round-robin. Tentamos algumas configurações diferentes do balanceador de carga, com resultados variados. Atualmente, estamos tentando a edição gratuita do Kemp LoadMaster. Até o momento, parece funcionar muito bem com nossos aplicativos internos, mas um aplicativo em particular (JAMF) teve muitos problemas ao tentar passar consultas LDAP através do firewall, mesmo que o firewall esteja configurado corretamente.