LDAP認証について

現在windows2008R2でアクティブディレクトリの2台構成で運用しています。

Primary 192.168.1.11　Server01
Secondary 192.168.1.22　Server02

通常はPrimaryのみ使用しています。

Primaryが倒れた場合Secondaryが稼働するわけですが
使用しているソフトウェアがLDAP認証は1つしか対応していません。
(現在は192.168.1.11を入力しています)

そこで質問なのですが、LDAP認証が1つしか対応していない場合
サーバ側でどのような対処方があるでしょうか？

例えば現在ソフト側に現在192.168.1.11を入力していますが
Server01のホスト名に変えて、windowsのHOSTSファイルに
Server01 192.168.1.11
Server01 192.168.1.22
を入力するなど。

アドバイスをお願いいたします。

No.1 ベストアンサー 回答者： maesen 回答日時： 2011/07/20 16:02

＞そこで質問なのですが、LDAP認証が1つしか対応していない場合

＞サーバ側でどのような対処方があるでしょうか？

LDAPクライアント側で冗長化をサポートしていない場合、難しいのではないかと思います。

＞例えば現在ソフト側に現在192.168.1.11を入力していますが
＞Server01のホスト名に変えて、windowsのHOSTSファイルに
＞Server01 192.168.1.11
＞Server01 192.168.1.22

hostsはラウンドロビンとかしないはずですので上側の行が常に有効になると思います。
（仕様が変わってなければ）

また、DNSのラウンドロビンを使用してもLDAPクライアントが接続NGの場合に次のサーバに変えることが出来なければ 2分の1の確率で接続出来ないクライアントが出るだけだと思います。

LDAPサーバ（今回の場合はドメインコントローラ、以下DC）の状態を監視してダウンしたと認識したら、DNSのレコードの内容を書き換えるような仕組みを作ってDNSで名前解決するというのもあるかと思いますが、ちょっと現実的ではないかも。

あとはロードバランサなどを咬ませてLDAPアプリだけロードバランサの仮想IPを指定するというのもあると思いますが、費用の問題が出てしまいますね。

余談ですが少し気になるところがあります。

＞現在windows2008R2でアクティブディレクトリの2台構成で運用しています。
＞Primary 192.168.1.11　Server01
＞Secondary 192.168.1.22　Server02
＞通常はPrimaryのみ使用しています。
＞Primaryが倒れた場合Secondaryが稼働するわけですが

DCにはPrimaryとSecondaryといった考え方はありません。
ActiveDirectoryでDCを複数台の構成にした場合、上記のような動きには通常なりませんが、意図としてこのように設定しているのでしょうか？
（このように動作させるのは結構設定が大変だと思いますが）

通常は複数台のDCを構成した場合、認証は均等にバランシングされます。
つまり2台構成ならば、半分ずつに割り振られます。
（設定で重みづけを変えることはできます）

ダウンした場合、全ての認証がアクティブなDCを使用するしくみにはなっています。
（操作マスタの絡みは除きます）

あまり有効な回答ではなく申し訳ないです。

この回答へのお礼

回答いただきまして、ありがとうございます。
やはり、むずかしいですか。hostsファイルを書き換えても
そんなにうまくはいきませんよね。

>DCにはPrimaryとSecondaryといった考え方はありません。
>ActiveDirectoryでDCを複数台の構成にした場合、上記のような動きには通常なりませんが、意図としてこ
>のように設定しているのでしょうか？

北海道と沖縄にそれぞれサーバがあって、通常北海道だけ使用しているようです。
(すみません。詳しくは知らないのです)
ソフトウェアではLDAP認証は冗長化してもホスト名は一緒という見解で
このような仕様にしているようです。(ヨーロッパ製品なので)

ありがとうございました。

お礼日時：2011/07/20 16:25