我们目前使用 CAS 进行多目录身份验证。AD 用于内部用户,AD LDS 用于外部用户。我读到 NLB 是一种可行的解决方案,但想知道这是否可以通过 SRV 记录实现,以及您如何正确配置它。使用我们的 AD 目录,我可以与 olddomain.local 绑定,并访问域中的任何 DC。我们不想将服务器名称硬编码到 CAS 中,因此最终目标是与 LDSdomain.gov 绑定。
nslookup -type=srv _ldap._tcp.LDSdomain.gov
返回
_ldap._tcp.LDSdomain.gov SRV service location:
priority = 0
weight = 100
port = 1025
svr hostname = server01
_ldap._tcp.LDSdomain.gov SRV service location:
priority = 0
weight = 200
port = 1025
svr hostname = server02
答案1
NLB 是您的最佳选择。使用 DNS 或 SCP,客户端可以选择要连接的随机服务器。LBS 可以配置为在需要时进行故障转移。虽然您可以将多个 AD LDS 实例配置为单个配置集,但有时(比我希望的更频繁)应用程序将使用“随机服务器”对表单中的属性进行多次更新。例如,我添加用户 jsmith ,如果其他人添加用户 jsmith ,则不会报告冲突,因为我使用的是不同的实例。复制发生时,其中一个被重命名为 cnf:GUID,现在必须进行整理。这与常规 AD 相同,但通常会有一些管理员注意到用户 jsmith 无法登录。我见过使用 LDS 和 DNS 的糟糕应用程序,由于缺乏维护,这些应用程序有很多 cnf 对象残留。NLB 通过允许故障转移而不是循环来解决该问题。通常很难使 LDS 过载。
答案2
我相信服务连接点就是你想要的。另请参阅:Active Directory 轻型目录服务 (AD LDS) 群集最佳实践