windows – 通过F5从域控制器负载平衡LDAP

您通常可以通过将LDAP应用程序指向Active Directory域名而不是特定DC来解决此问题,因为每个DC会自动为指向其IP地址的域名注册AN A记录,因此这将作为DNS循环使用;但是,这会导致两个重大问题：

>如果DC关闭,它仍将包含在DNS答案中;如果应用程序不够智能,无法尝试其他应用程序,则可能导致LDAP失败.
>这不会占用Active Directory站点拓扑的任何帐户;如果您拥有地理位置分散的环境,您最终可能会在伦敦通过缓慢和/或不可靠的WAN链路对澳大利亚的DC进行身份验证.

稍微好一点的解决方案是为LDAP应用程序创建自己的DNS记录,作为指向特定DC的CNAME记录,例如指向dc1.example.com的ldap.example.com,并在其上设置一个慢速TTL(fe 60秒) );然后,您可以将应用程序配置为使用ldap.example.com来满足其所有LDAP需求.如果/当DC1关闭时,您可以将ldap.example.com重新映射到dc2.example.com,慢速TTL将确保应用程序尽快知道更改,从而最大限度地减少停机时间.

在任何情况下,最好避免负载平衡解决方案,因为LDAP根本不适合与它们一起工作,它们可能会加载到任何类型的问题.