負荷分散環境における NTLM

負荷分散環境における NTLM

当社には、3 台の Windows サーバー上の 3 つの IIS サービスへの HTTP 要求を負荷分散する Netscaler VPX があります。認証は「Windows 認証」に設定されていますが、当社の環境は Kerberos 用に設定されていないため、認証は NTLM の使用にフォールバックします。セッションはロード バランサー上で PERSISTENT に設定されていないため、新しい HTTP 要求はそれぞれ、前のフロントエンドとは異なるフロントエンドにヒットする可能性があります。

Wireshark でパケットをスニッフィングすると、HTTP トラフィックに 401 チャレンジが多数あることがわかったので、最終的な目標は 401 チャレンジの数を減らすことです。NTLM の仕組みについてさらに情報を探しているところですが、誰か正しい方向を示してくれる人がいたら聞いてみようと思いました。

答え1

「AuthPersistSingleRequest」設定のデフォルト値は False です。つまり、デフォルトに設定すると、同じサーバーへの後続のリクエストで永続的な認証チャレンジは表示されません。True に設定する場合は、変更することをお勧めします。

プロキシが関係する場合は、考慮すべき他の設定があります。

AuthPersistSingleRequest=False は、TCP 接続がクライアントの同じ送信元ポートから開始された場合にのみ機能することに注意してください。後続の接続が別のポートから開始された場合は、新しいチャレンジが発生します。

http://blogs.msdn.com/b/saurabh_singh/archive/2010/01/06/case-study-are-you-seeing-401-s-too-often-for-http-web-requests.aspx

関連情報