Provectus Technologies

Kommunikation zwischen ADC und LDAPS deutlich beschleunigen

17/08/2020

Zur Kommunikation zwischen ADC und LDAPS gibt es zwei meist verwendete Szenarien, es gibt aber auch ein drittes und deutlich performanteres, welches wir in diesem Tech-Tipp zeigen.

Weg 1: Der populäre Weg:

Man verwendet eine LDAPS Policy für den LDAPS Server und gibt diesem die Ziel IP des Active Directory Servers, per TLS und mit dem Zielport 636.

Nachteile:

Es herrscht keine Redundanz, weil kein Load-Balancing vorhanden ist, da der Server direkt angesprochen wird.
Der NetScaler benutzt die Management-CPU für die TLS-Kommunikation. Das kann eine ziemliche Belastung darstellen, da die CPU nicht insgesamt dafür optimiert wurde. Ob dem so ist, lässt sich leicht überprüfen, indem man sich die Konfiguration der Kommunikation mit dem Backend ansieht. Läuft die SourceIP über NSIP statt über SNIP, ist die Management-CPU für die TLS-Berechnungen zuständig.

Workaround:

Mehrere LDAPS-Policies hintereinander binden, um auf diese Weise eine Redundanz zu erreichen.

Nachteile Workaround:

Wird ein Passwort falsch eingegeben, wird es gegen die seriell abgearbeiteten LDAPS-Server n-mal versucht zu validieren. Das Ergebnis ist ein um n * Anzahl LDAPS-Server erhöhter Fehlercount.

Weg 2: Klassisches Load-Balancing

Die TLS-Verbindung an den LDAPS-vServer via SSL_TCP anbinden.

Vorteile:

Redundanz, da Load-Balancing.
SNIP als Source.

Nachteil:

NetScaler nutzt die Management-CPU zur TLS-Kommunikation, was sie belastet und wofür sie insgesamt nicht optimiert wurde.

Weg 3: Performance

Wir verlagern die rechenintensive Kommunikation per SSL_TCP auf die Paket-Engine des NetScalers und entlasten damit die Management-CPU, aber erkaufen uns auch einen Nachteil.

Kommunikation per Plaintext LDAP zum LoadBalancing vServer, der entsprechend per TCP konfiguriert ist. Die Services hingegen sind per SSL_TCP konfiguriert um transportverschlüsselt zwischen den ADCs und den Domain-Controllern zu kommunizieren.

Vorteil:

Wiedererlangte Redundanz.
Die Paket-Engine übernimmt die rechenintensive und verschlüsselte Kommunikation per SSL_TCP zu den Domain-Controllern.
SNIP als Source.

Nachteil:

NetScaler arbeitet intern ohne Verschlüsselung.

von Peter

Bild: Surapol USanakul | shutterstock.com

Blog-Post teilen

SERVICE MODELS
ALLGEMEIN
Betriebsverantwortung
Erbringung allgemein
Service Operation Center (SOC)
ITSM-Plattform
BETRIEB
Betriebszeit
Erweitert (7-21h)
Rufbereitschaft
Reaktionszeit
Lösungszeit
Service Meetings
Kleinprojekte (bis 5PT)
PROZESSE
Service Management
Service Operation & Transition
Life-Cycle Management
Hersteller Support (Cases)
Innovation Management
Reporting & Billing
Flexible Verrechnung
Spezifisches Reporting
SLA Reporting

Support Service	Managed Service Standard

Customer	Provider
Reaktiv	Proaktiv
Shared	Shared
Provider based	Customer- oder Provider-based

Mo.-Fr. 8-18h	Mo.-Fr. 8-18h
nein	optional
optional	enthalten
optional	enthalten
nein	enthalten
nach Vereinbarung	enthalten
optional	optional

nein	enthalten
Incidents & Changes	enthalten
nein	enthalten
enthalten	enthalten
nein	enthalten

nein	optional
nein	optional
nein	monatlich

WordPress Cookie Hinweis von Real Cookie Banner

Kommunikation zwischen ADC und LDAPS deutlich beschleunigen

Weg 1: Der populäre Weg:

Weg 2: Klassisches Load-Balancing

Weg 3: Performance

Blog-Post teilen

Neueste Beiträge

Die Rettung für Windows Server 2012/R2: Verlängerter Support mit Azure Migrate und Azure ARC

Bereitstellung der Infrastruktur für Microsoft Entra Verified ID

Europäische Kommission erlässt neuen Angemessenheitsbeschluss für den Datenverkehr zwischen der EU und den USA

Tom@Provectus

Das könnte Sie auch interessieren

Privacy Shield

Secure Contacts App

Intune Migration Portal

Kontakt

Rechtliches

Bewerbungsprozess

einfach, schnell & unkompliziert

bewerben

kennenlernen

vertrag unterzeichnen