Ich würde gerne einen externen Mirror unseres ADs erstellen. Der Grund ist ganz einfach: Wir haben in letzter Zeit öfter Internetausfälle, was unsere gesamte Kommunikation lahmlegt. Deshalb ziehe ich unser rocket.chat vermutlich demnächst auf einen gemieteten Server um. Da muss dann aber eben auch ein LDAP Mirror her, sonst funktioniert die Anmeldung natürlich nicht, wenn unser Hauptserver mal nicht erreichbar ist.
Ich meine mich zu erinnern, dass das hier schonmal jemand gemacht hat, finde aber den Thread nicht mehr. Kann mir da jemand einen Tipp geben?
Das ist genau bei uns am Wochenende passiert, und damit waren unsere externe Dienste alle down. Eine LDAP-Replikation würde das beheben und auch ermöglichen, den Verkehr am HauptServer entlasten.
So falsch war die Idee von Holger nicht…man braucht schon einen externen Proxy der per DNS auflösbar ist und die LDAP-Anfragen an den internen und externen LDAP-Server verteilt. Sonst bringen redundante LDAP-Server nichts.
Gruß
Thomas
P.S. Und ja…der Proxy kann dann auch gleich das SSL-Offloading für LDAPS mit übernehmen
PP.S. Einschränkung: Ja, man braucht den Proxy nicht, wenn alle externen Dienste, die das AD abfragen, den externen LDAP-Server abrufen. Ist aber nicht so elegant wie ein Offsite HA-Proxy der das Onsite und Offsite AD abruft, SSL-Offloading und Lastverteilung macht.
Mit loadbalancing-light wäre natürlich sehr elegant, aber mir würde im ersten Schritt schon reichen, eine Replikation außerhalb des Schulnetzes zu haben.
Alle Ausfälle, die wir bisher beim Anmelden in Kauf nehmen mussten, hatten ihre Ursache in der Schule und als ich (noch mit lmn6) außerhalb zwei LDAP-Replikas hatte, die beide bei moodle, nextcloud usw eingetragen waren, konnten mir die Elektriker abschalten, was sie wollten und es hat dennoch alles (außerhalb) funktioniert.
die Frage ist aber, ob sich unser AD so leicht irgendwohin replizieren lässt wie der openldap der lmn6. Man bräuchte ja nur die Nutzer/Password… aber dafür hab ich (viel) zu wenig Ahnung davon.
wir betreiben ein Setup mit einem zusätzlichen DC für LDAPS-Loadbalancing und nutzen dafür den HA-Proxy auf der opnSense. Das hat bislang gut funktioniert.
wenn das ein RODC ist, muss man einen Benutzer aus der Domain Admins Gruppe mit dem Parameter -U (z.B. samba-tool drs showrpl -U global-admin) mitgeben.