August 2020
Autor:in des Beitrags
Maximilian
Team Lead Projects – Cloud
Veröffentlicht am
17.08.2020 von Maximilian
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
drei Wege

Kommunikation zwischen ADC und LDAPS deutlich beschleunigen

Zur Kommunikation zwischen ADC und LDAPS gibt es zwei meist verwendete Szenarien, es gibt aber auch ein drittes und deutlich performanteres, welches wir in diesem Tech-Tipp zeigen.

Weg 1:

Der populäre Weg

Man verwendet eine LDAPS Policy für den LDAPS Server und gibt diesem die Ziel IP des Active Directory Servers, per TLS und mit dem Zielport 636.

Nachteile:

  • Es herrscht keine Redundanz, weil kein Load-Balancing vorhanden ist, da der Server direkt angesprochen wird.
  • Der NetScaler benutzt die Management-CPU für die TLS-Kommunikation. Das kann eine ziemliche Belastung darstellen, da die CPU nicht insgesamt dafür optimiert wurde. Ob dem so ist, lässt sich leicht überprüfen, indem man sich die Konfiguration der Kommunikation mit dem Backend ansieht. Läuft die SourceIP über NSIP statt über SNIP, ist die Management-CPU für die TLS-Berechnungen zuständig.

Workaround:

  • Mehrere LDAPS-Policies hintereinander binden, um auf diese Weise eine Redundanz zu erreichen.

Nachteile Workaround:

  • Wird ein Passwort falsch eingegeben, wird es gegen die seriell abgearbeiteten LDAPS-Server n-mal versucht zu validieren. Das Ergebnis ist ein um n * Anzahl LDAPS-Server erhöhter Fehlercount.

 

Weg 2:

Klassisches Load-Balancing

Die TLS-Verbindung an den LDAPS-vServer via SSL_TCP anbinden.

Vorteile:

  • Redundanz, da Load-Balancing.
  • SNIP als Source.

Nachteil:

  • NetScaler nutzt die Management-CPU zur TLS-Kommunikation, was sie belastet und wofür sie insgesamt nicht optimiert wurde.

 

Weg 3:

Performance

Wir verlagern die rechenintensive Kommunikation per SSL_TCP auf die Paket-Engine des NetScalers und entlasten damit die Management-CPU, aber erkaufen uns auch einen Nachteil.

Kommunikation per Plaintext LDAP zum LoadBalancing vServer, der entsprechend per TCP konfiguriert ist. Die Services hingegen sind per SSL_TCP konfiguriert um transportverschlüsselt zwischen den ADCs und den Domain-Controllern zu kommunizieren.

Vorteil:

  • Wiedererlangte Redundanz.
  • Die Paket-Engine übernimmt die rechenintensive und verschlüsselte Kommunikation per SSL_TCP zu den Domain-Controllern.
  • SNIP als Source.

Nachteil:

  • NetScaler arbeitet intern ohne Verschlüsselung.

 

Das könnte dich auch interessieren

Echt Ich

Echt Ich Matthias

In ECHT ICH erfahrt ihr mehr über Matthias, seinen Arbeitsalltag , seine Hobbys und seine Motivation für einen Job bei Provectus.
Weiterlesen
Blogbeitrag

Passkeys: Die Schlüssel zu einer sichereren und passwortlosen Zukunft

Die Frequenz von Phishing-Attacken steigt immer weiter. Wie sieht also die Authentifizierung der Zukunft aus?
Weiterlesen
Echt Ich

Echt Ich Svenja

In ECHT ICH erfahrt ihr mehr über Svenja, ihren Arbeitsalltag , ihre Rolle im Team und ihre Gründen für einen Job bei Provectus.
Weiterlesen
Blogbeitrag

Entra Private Access – Zero Trust für den hybriden Arbeitsplatz?

Mit Entra Private Access entwickelt Microsoft derzeit die wohl weitsichtigste Lösung für einem Hybriden Arbeitsplatz.
Weiterlesen
Blogbeitrag

Microsoft Copilot

Microsoft läutet mit dem Copiloten eine neue Ära der KI ein. Der Copilot ist mit dem neusten 23H2-Feature-Update für Windows 11 verfügbar und beinhaltet mehr als 150 neue Funktionen.
Weiterlesen
Whitepaper

Lizenzänderungen bei Citrix – Was Sie jetzt wissen müssen

In unserem kostenfreien Whitepaper bringen wir Licht ins Dunkle und erklären Ihnen, was Sie über die aktuelle Situation bei Citrix und die damit einhergehenden Änderungen wissen müssen.
Weiterlesen
Blogbeitrag

Datenschutzkonformer Einsatz von Microsoft 365 bei Sozialdatenträgern

Wir erklären, was Sie beachten sollten, wenn Sie Microsoft 365 als Sozialdatenträger DSGVO-konform einsetzen möchten.
Weiterlesen
Blogbeitrag

Verlängerter Support für Windows Server 2012/R2

Der Support für Windows Server 2012/R2 läuft aus, was bedeutet, dass Microsoft keine Sicherheitsupdates mehr bereitstellt.
Weiterlesen
Blogbeitrag

Verified Credentials

In diesem Beitrag geht es um die Konfiguration der Verified Credentials und die dafür benötigten Azure-Komponenten.
Weiterlesen
Blogbeitrag

Neuer Angemessenheits-beschluss für den Datenverkehr EU-USA

Die EU-Kommission hat einen neuen Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen EU-USA angenommen,
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter