August 2020
Autor:in des Beitrags
Maximilian
Team Lead Business Apps and KI
Veröffentlicht am
17.08.2020 von Maximilian
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
drei Wege

Kommunikation zwischen ADC und LDAPS deutlich beschleunigen

Zur Kommunikation zwischen ADC und LDAPS gibt es zwei meist verwendete Szenarien, es gibt aber auch ein drittes und deutlich performanteres, welches wir in diesem Tech-Tipp zeigen.

Weg 1:

Der populäre Weg

Man verwendet eine LDAPS Policy für den LDAPS Server und gibt diesem die Ziel IP des Active Directory Servers, per TLS und mit dem Zielport 636.

Nachteile:

  • Es herrscht keine Redundanz, weil kein Load-Balancing vorhanden ist, da der Server direkt angesprochen wird.
  • Der NetScaler benutzt die Management-CPU für die TLS-Kommunikation. Das kann eine ziemliche Belastung darstellen, da die CPU nicht insgesamt dafür optimiert wurde. Ob dem so ist, lässt sich leicht überprüfen, indem man sich die Konfiguration der Kommunikation mit dem Backend ansieht. Läuft die SourceIP über NSIP statt über SNIP, ist die Management-CPU für die TLS-Berechnungen zuständig.

Workaround:

  • Mehrere LDAPS-Policies hintereinander binden, um auf diese Weise eine Redundanz zu erreichen.

Nachteile Workaround:

  • Wird ein Passwort falsch eingegeben, wird es gegen die seriell abgearbeiteten LDAPS-Server n-mal versucht zu validieren. Das Ergebnis ist ein um n * Anzahl LDAPS-Server erhöhter Fehlercount.

 

Weg 2:

Klassisches Load-Balancing

Die TLS-Verbindung an den LDAPS-vServer via SSL_TCP anbinden.

Vorteile:

  • Redundanz, da Load-Balancing.
  • SNIP als Source.

Nachteil:

  • NetScaler nutzt die Management-CPU zur TLS-Kommunikation, was sie belastet und wofür sie insgesamt nicht optimiert wurde.

 

Weg 3:

Performance

Wir verlagern die rechenintensive Kommunikation per SSL_TCP auf die Paket-Engine des NetScalers und entlasten damit die Management-CPU, aber erkaufen uns auch einen Nachteil.

Kommunikation per Plaintext LDAP zum LoadBalancing vServer, der entsprechend per TCP konfiguriert ist. Die Services hingegen sind per SSL_TCP konfiguriert um transportverschlüsselt zwischen den ADCs und den Domain-Controllern zu kommunizieren.

Vorteil:

  • Wiedererlangte Redundanz.
  • Die Paket-Engine übernimmt die rechenintensive und verschlüsselte Kommunikation per SSL_TCP zu den Domain-Controllern.
  • SNIP als Source.

Nachteil:

  • NetScaler arbeitet intern ohne Verschlüsselung.

 

Das könnte dich auch interessieren

Whitepaper

Whitepaper – Evergreen IT

Erfahren Sie, wie Sie mit Evergreen IT und Microsoft 365 Ihre IT-Prozesse effizient und sicher managen. Jetzt Whitepaper gratis downloaden!
Weiterlesen
Blogbeitrag

Citrix: Fehler bei LTSR 2402 Cumulative Update 2 (CU2)

Das LTSR 2402 CU2-Update enthält fehlerhafte Signaturen, die zu Funktionsausfällen und Sicherheitswarnungen führen können. Citrix arbeitet an einer Lösung – erfahren Sie mehr über den Workaround und empfohlene Maßnahmen.
Weiterlesen
Blogbeitrag

NetScaler-Logs verwerten mit Vector & Prometheus

NetScaler TCP-Logs mit Vector verarbeiten und in Prometheus speichern – für eine saubere Visualisierung und einfache Analyse
Weiterlesen
Blogbeitrag

Provectus wird Acronis Gold Partner

Wir setzen auf die leistungsstarke Technologie von Acronis, um unseren Kunden eine zuverlässige Backup- und Recovery-Lösung zu bieten.
Weiterlesen
Blogbeitrag

Microsoft Sovereign Cloud und was sie für europäische Unternehmen bedeutet 

Microsoft Sovereign Private Cloud und was sie für europäische Unternehmen bedeutet
Weiterlesen
Whitepaper

Whitepaper – VDI-Guide

Hier erfahren Sie, welche Virtual Desktop Infrastructure (VDI) Ihr Unternehmen wirklich voranbringt – inklusive Architektur-Vergleich, Lizenzmodelle und Praxis-Tipps.
Weiterlesen
Blogbeitrag

Neue OneDrive-Funktion birgt Datenschutzrisiken

„Prompt to Add Personal Account to OneDrive Sync“. Eine Erweiterung, die erhebliche Auswirkungen auf Datenschutz und Compliance haben kann.
Weiterlesen
Blogbeitrag

NIS2 und DORA-Regulierung: Aufgeschoben aber nicht aufgehoben

Handlungsbedarf für Unternehmen und die IT – Die NIS2-Richtlinie sieht bei Verstößen empfindliche Sanktionen vor.
Weiterlesen
Whitepaper

Whitepaper – Citrix-Lizenzfeatures-DeviceTrust-Unicon-uberAgent

Nutzen Sie das volle Potential Ihrer Citrix-Lizenzen. Alle Details der neuen Features Devicetrust, Unicon, Uberagent – in unserem Whitepaper
Weiterlesen
Echt Ich

Echt Ich Alex

In ECHT ICH erfahrt ihr mehr über Alex, seinen Arbeitsalltag, seine Hobbys und warum er bei Provectus „ECHT ER“ sein kann.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter