Estou lutando em relação a uma prática adequada para configuração de servidor para autenticação LDAP/AD e NTP. Eu estava pensando se seria melhor fazer duas perguntas separadas, mas acho que ser um problema comum aqui para dois tipos de serviços seria um bom motivo para perguntar.
Então, eu tenho três controladores de domínio:
dc1.test.internal(em192.168.0.2/24)dc2.test.internal(em192.168.0.3/24)dc3.test.internal(em192.168.0.4/24)
Eu quero usar todos eles para autenticação e sincronização NTP. Digamos que eu queira configurar a autenticação baseada em AD no iLO (integrated Lights Out). Eu tenho que especificar esses servidores e o iLO permite que eu faça isso um por um. Este caso é simples. O mesmo vale para chronyd, posso especificar vários hosts, sem problemas.
E se um serviço não permitir que você faça isso, por exemplo, permitindo que você insira apenas um servidor DC ou NTP? Posso criar um conjunto de entradas de DNS nomeadas dcs.test.internale apontar cada uma delas para 192.168.0.2, 192.168.0.3e 192.168.0.4? E definido dcs.test.internalcomo um servidor de diretório nas configurações do iLO? E o NTP? Eu li algo sobre Anycast NTP, mas não tenho certeza de onde ir com isso.
Anycast não é necessário ou recomendado para uso com NTP - veja o NTP Best Current Practice RFC . (Na verdade, acho que o RFC não vai longe o suficiente e deve recomendar explicitamente contra o anycast NTP se um design totalmente ativo for viável.)
É um equívoco comum sobre o NTP pensar que ele deve ter apenas uma fonte por vez e ser capaz de fazer failover para outra se essa fonte não estiver disponível. As arquiteturas de failover para NTP são subótimas e desnecessárias. Em vez disso, você deve usar um design em que todas as fontes NTP estejam ativas o tempo todo. Escrevi um resumo disso em meu blog e você obtém informações mais detalhadas nos documentos do NTP .
A configuração que você sugeriu para DNS onde o mesmo nome (no seu caso
dcs.test.internal, ou como sugeriu Greg Askew, o próprio domínio:test.internal) retorna todos os endereços IP de cada servidor NTP disponível é a maneira preferida de configurar clientes NTP. Isso é o que o pool NTP usa. Versões modernas de chrony e ntpd (e várias outras implementações de cliente) usarão automaticamente todos os servidores NTP e, assim, obterão maior precisão e resiliência.Você já tem um nome. O nome de domínio. Você pode criar seus próprios CNAMEs, se desejar. Mas se algum registro DNS do DC estiver presente, mas não responder ou um IP para um DC que está com problemas, é responsabilidade do cliente fazer esses ajustes e selecionar um controlador de domínio que esteja operacional.
Pode haver alguns administradores de sistema que teriam enfrentado esse problema. quem poderia ter uma resposta melhor do que eu, mas aqui está o meu pensamento.
Você pode criar uma arquitetura de failover entre seus servidores Windows baseados na pilha TCP/IP.
você criaria um cluster de servidor Windows com serviços DC e NTP ativados. E você teria um único FQDN apontando para um único endereço IP (digamos, 192.168.0.10).
Com os 3 servidores online, dc1 escutaria e responderia quando um pacote entrasse com 192.168.0.10 como endereço IP de destino.
se dc1 falhar, dc2 assumirá e começará a responder quando um pacote chegar no domínio de transmissão com 192.168.0.10 como endereço IP de destino.
A Microsoft descreve dois métodos:
https://learn.microsoft.com/en-us/windows-server/networking/technologies/network-load-balancing
https://learn.microsoft.com/en-us/windows-server/failover-clustering/failover-clustering-overview