У меня есть настройка с основным и репликой сервера FreeIPA и несколькими клиентами. Когда я ненадолго отключил основной сервер для обновления ОС, все стало очень медленно. Чтобы смоделировать это, я попробовал заблокировать основной сервер в правиле брандмауэра на тестовом клиенте с тем же результатом.
Разве он не должен автоматически переключаться на взаимодействие с репликой? ipa hostgroup-show ipaserversперечисляет оба сервера. /etc/ipa/default.confна клиентах перечисляет только основной сервер. Есть ли быстрый способ переключить десятки клиентов на реплику за один шаг? И если нет, то как мне безопасно переместить его на реплику, не удаляя и не переустанавливая IPA на клиенте? В целом, неразумно ли балансировать нагрузку, распределяя клиентов по двум серверам? Я бы предположил, что это было бы разумно. Я использую ansible-freeipa для установки и развертывания FreeIPA.
решение1
Если я правильно помню, ipa-client-installсоздает ipa_serverзапись, в sssd.confкоторой первым указывается один из серверов (тот, который использовался при установке клиента), а _srv_вторым (эта запись позволяет sssd автоматически обнаруживать сервер).
Если указанный сервер отключен, его все равно можно попробовать использовать, прежде чем вернуться к обнаружению служб.
Вы можете закомментировать или удалить эту строку, перезапустить sssdи проверить, помогло ли это.