August 2020
Autor:in des Beitrags
Maximilian
Team Lead Business Apps and KI
Veröffentlicht am
17.08.2020 von Maximilian
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
drei Wege

Kommunikation zwischen ADC und LDAPS deutlich beschleunigen

Zur Kommunikation zwischen ADC und LDAPS gibt es zwei meist verwendete Szenarien, es gibt aber auch ein drittes und deutlich performanteres, welches wir in diesem Tech-Tipp zeigen.

Weg 1:

Der populäre Weg

Man verwendet eine LDAPS Policy für den LDAPS Server und gibt diesem die Ziel IP des Active Directory Servers, per TLS und mit dem Zielport 636.

Nachteile:

  • Es herrscht keine Redundanz, weil kein Load-Balancing vorhanden ist, da der Server direkt angesprochen wird.
  • Der NetScaler benutzt die Management-CPU für die TLS-Kommunikation. Das kann eine ziemliche Belastung darstellen, da die CPU nicht insgesamt dafür optimiert wurde. Ob dem so ist, lässt sich leicht überprüfen, indem man sich die Konfiguration der Kommunikation mit dem Backend ansieht. Läuft die SourceIP über NSIP statt über SNIP, ist die Management-CPU für die TLS-Berechnungen zuständig.

Workaround:

  • Mehrere LDAPS-Policies hintereinander binden, um auf diese Weise eine Redundanz zu erreichen.

Nachteile Workaround:

  • Wird ein Passwort falsch eingegeben, wird es gegen die seriell abgearbeiteten LDAPS-Server n-mal versucht zu validieren. Das Ergebnis ist ein um n * Anzahl LDAPS-Server erhöhter Fehlercount.

 

Weg 2:

Klassisches Load-Balancing

Die TLS-Verbindung an den LDAPS-vServer via SSL_TCP anbinden.

Vorteile:

  • Redundanz, da Load-Balancing.
  • SNIP als Source.

Nachteil:

  • NetScaler nutzt die Management-CPU zur TLS-Kommunikation, was sie belastet und wofür sie insgesamt nicht optimiert wurde.

 

Weg 3:

Performance

Wir verlagern die rechenintensive Kommunikation per SSL_TCP auf die Paket-Engine des NetScalers und entlasten damit die Management-CPU, aber erkaufen uns auch einen Nachteil.

Kommunikation per Plaintext LDAP zum LoadBalancing vServer, der entsprechend per TCP konfiguriert ist. Die Services hingegen sind per SSL_TCP konfiguriert um transportverschlüsselt zwischen den ADCs und den Domain-Controllern zu kommunizieren.

Vorteil:

  • Wiedererlangte Redundanz.
  • Die Paket-Engine übernimmt die rechenintensive und verschlüsselte Kommunikation per SSL_TCP zu den Domain-Controllern.
  • SNIP als Source.

Nachteil:

  • NetScaler arbeitet intern ohne Verschlüsselung.

 

Das könnte dich auch interessieren

Whitepaper

Whitepaper – Prozessautomatisierung mit der Microsoft Power Platform

Produktivität steigern durch Prozessautomatisierung. Microsoft Power Platform Lizenzen sowie Optimierungsmöglichkeiten im Überblick.
Weiterlesen
Blogbeitrag

Optimierte Azure-Kosten mit Azure Pricing Calculator und Cost Management

Der Azure Pricing Calculator gibt einen Überblick über Cloud Kosten. Durch eine Optimierungsstrategien profitieren Unternehmen effektiv.
Weiterlesen
Whitepaper

Whitepaper – Azure Cost Management

In diesem Whitepaper zeigen wir Ihnen, wie Sie mit Azure Cost Management Ihre Cloud-Kosten effektiv steuern und gleichzeitig die Vorteile der Cloud voll ausschöpfen können.
Weiterlesen
Blogbeitrag

Neue Microsoft Optimierung verbessert Teams-Erfahrung für VDI-User

Microsoft verbessert mit der neuen SlimCore-Optimierung die Leistung und Benutzererfahrung von Teams in VDI-Umgebungen. Die technischen Details erklärt unser Experte Patrick.
Weiterlesen
Blogbeitrag

Neue Sicherheitslücke bei Microsoft

Eine kürzlich entdeckte Sicherheitslücke in Microsoft ermöglichte es Nutzern ihren User Principal Name (UPN) eigenständig zu ändern. Unser Experte Julian klärt auf!
Weiterlesen
Blogbeitrag

Ein Meilenstein: Citrix Preferred Services Partner

Seit Dezember 2024 sind wir als Citrix Preferred Services Partner zertifiziert. Mit dieser Auszeichnung zählen wir zu einer exklusiven Gruppe weltweit und sind einer von nur vier Partnern in Deutschland.
Weiterlesen
Blogbeitrag

Citrix Lizenzen: User/Device-Modell oder doch Concurrent?

Was bedeuten die Definitionen im Citrix End-User Agreement? Was wird tatsächlich technisch als Lizenz ausgeliefert und was darf ich als Kunde nutzen?
Weiterlesen
Blogbeitrag

Intune Enterprise App erlaubt Compliant Device Bypass

In diesem Blogbeitrag erläutert unser Experte das Fehlerbild, zeigt auf, wie die Schwachstelle nachgestellt werden kann und gibt Empfehlungen zur Absicherung Ihrer Systeme.
Weiterlesen
Blogbeitrag

Citrix kauft DeviceTRUST und Strong Network: Was bedeutet das für Kunden?

Citrix kauft DeviceTRUST und Strong Network, um die Sicherheit seiner digitalen Workspace-Lösungen zu stärken
Weiterlesen
Echt Ich

Echt Ich Hannes

In ECHT ICH erfahrt ihr mehr über Hannes, seinen Arbeitsalltag, seine Hobbys und warum er bei Provectus „ECHT ER“ sein kann.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter