Справочный центр ALD Pro 3.2.0
Использование скрытых реплик (Hidden replica)¶
Скрытая реплика (Hidden replica) — это реплика контроллера домена ALD Pro, на которой запущены все доменные службы (LDAP, Kerberos, DNS и другие), но которая исключена из стандартных механизмов автоматического обнаружения.
После перевода сервера в состояние hidden:
для его служб не публикуются DNS SRV-записи;
клиенты и другие серверы домена не выбирают его автоматически;
сервер продолжает участвовать в репликации и поддерживает актуальность каталога;
все службы остаются доступными при прямом обращении.
Таким образом, скрытая реплика не влияет на распределение клиентской нагрузки,но сохраняет полную функциональность контроллера домена.
Использование скрытых реплик позволяет изолировать вспомогательные или сервисные нагрузки (например, работу модуля синхронизации) от клиентской инфраструктуры без воздействия на процессы аутентификации, разрешения имён и обслуживания пользователей.
Возврат реплики в состояние enabled полностью восстанавливает её участие
в стандартных механизмах обнаружения служб без необходимости дополнительной настройки.
Ограничения и безопасность¶
Предупреждение
Скрытая реплика не является изолированным или защищённым сервером. Все доменные службы продолжают функционировать в штатном режиме и доступны при прямом обращении.
Отсутствие DNS SRV-записей лишь исключает реплику из механизма автоматического обнаружения. При явном указании адреса сервера его службы могут использоваться другими системами при наличии соответствующих прав доступа.
Рекомендуемое использование¶
Скрытую реплику рекомендуется использовать для размещения модуля синхронизации и других сервисных компонентов, для которых нежелательно участие в автоматической балансировке нагрузки контроллеров домена.
Настройка¶
Перевод реплики в состояние hidden:
ipa server-state dc-2.ald.company.lan --state=hidden
Возврат реплики в состояние enabled:
ipa server-state dc-2.ald.company.lan --state=enabled
Проверка состояния скрытой реплики¶
Для проверки текущего состояния серверов домена используется команда:
ipa config-show
В выводе команды отображаются списки основных и скрытых серверов.
Пример вывода при наличии скрытой реплики:
Главные IPA-серверы: dc-1.ald.company.lan, dc-3.ald.company.lan
Скрытые главные IPA-серверы: dc-2.ald.company.lan
Главный IPA-сервер с поддержкой PKINIT: dc-1.ald.company.lan, dc-2.ald.company.lan, dc-3.ald.company.lan
DNS-серверы IPA: dc-1.ald.company.lan, dc-3.ald.company.lan
Скрытые DNS-серверы IPA: dc-2.ald.company.lan
Если скрытых реплик нет, строки с указанием скрытых серверов в выводе команды отсутствуют.