<div>Hi, Rakesh</div><div><br></div><div>Try 'ipa-client-install' with this option '--fixed-primary'. with it, '_srv_' will disappeared </div><div><div><br></div><div>From man page:</div><div><div>       --fixed-primary</div><div>              Configure  SSSD  to use a fixed server as the primary IPA server. The default is to</div><div>              use DNS SRV records to determine the primary server to use and  fall  back  to  the</div><div>              server  the client is enrolled with. When used in conjunction with --server then no</div><div>              _srv_ value is set in the ipa_server option in sssd.conf.</div></div><div><br></div><div>Matrix</div><div style="font-size: 12px;font-family: Arial Narrow;padding:2px 0 2px 0;">------------------ Original ------------------</div><div style="font-size: 12px;background:#efefef;padding:8px;"><div><b>From: </b> "Rakesh Rajasekharan";<rakesh.rajasekharan@gmail.com>;</div><div><b>Date: </b> Sat, Jan 21, 2017 10:09 PM</div><div><b>To: </b> "Matrix"<matrix.zj@qq.com>; <wbr></div><div><b>Cc: </b> "freeipa-users"<freeipa-users@redhat.com>; <wbr></div><div><b>Subject: </b> Re: [Freeipa-users] Freeipa replica info to clents: guidance</div></div><div><br></div><div dir="ltr"><div><div><div>Thanks Matrix.. for the inputs..<br><br>> Firstly, '_srv_' means clients will find out which servers will be 
connected with by dns srv records. In your explanation, DNS did not 
configure in your env.<br><br></div>After running the ipa-client, the _srv_ was automatically added . The configs options I passed for configuring the host as a IPA client is<br><br>ipa-client-install --domain=<a href="http://mydomain.com">mydomain.com</a> --server=<a href="http://ipa-master-int.mydomain.com">ipa-master-int.mydomain.com</a> --realm=<a href="http://MYDOMAIN.COM">MYDOMAIN.COM</a> -p admin --password=mypass --mkhomedir --hostname=<a href="http://first-client-int.mydomain.com">first-client-int.mydomain.com</a> --no-ssh --no-sshd -N -f -U<br><br><br></div>While configuring  IPA server , I did not pass the setup-dns options.( that avoids setting up the dns server I assume )<br><br><br>ipa-server-install -r '<a href="http://MYDOMAIN.COM">MYDOMAIN.COM</a>' -n '<a href="http://mydomain.com">mydomain.com</a>' -p mypass -P mypass -a mypass --hostname=<a href="http://ipa-master-int.mydomain.com">ipa-master-int.mydomain.com</a> -N -U<br><br></div><div>So, I did not explicitly specify the _srv_ options. However, this has been working fine till now.<br></div><div><br><br>> Secondly, 'replica' key words ? I can not find it from man pages of sssd-ipa. is it really working fine? <br></div><div>sorry that was a typo from my side .<br></div><div>Its actually <br>ipa_server = _srv_, <a href="http://ipa-master-mydomain.com">ipa-master-mydomain.com</a>, <a href="http://ipa-replica-mydomain.com">ipa-replica-mydomain.com</a>.<br><br></div><div><div>> So, I suggested to configure it in this way:</div><div>> ipa_server = <ipa1></div><div>> ipa_backup_server = <ipa2></div><div><br></div><div>> For another half clients, </div><div><div>> ipa_server = <ipa2></div></div><div>> ipa_backup_server = <ipa1><br><br></div><div>I will try this out.. probably I can safely leave out _srv_<br></div></div><br><div><div>Thanks<br></div><div>Rakesh<br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Jan 21, 2017 at 6:10 PM, Matrix <span dir="ltr"><<a href="mailto:matrix.zj@qq.com" target="_blank">matrix.zj@qq.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>For my understanding, there is something wrong with your configuration</div><span class=""><div><br></div><div>>> ipa_server = _srv_, <a href="http://ipa-master-mydomain.com/" target="_blank">ipa-master-mydomain.com</a><wbr>, repilca <a href="http://ipa-replica-mydomain.com/" target="_blank">ipa-replica-mydomain.<wbr>com</a></div><div><br></div></span><div>Firstly, '_srv_' means clients will find out which servers will be connected with by dns srv records. In your explanation, DNS did not configure in your env.</div><div><div><br></div><div>Secondly, 'replica' key words ? I can not find it from man pages of sssd-ipa. is it really working fine? </div><span class=""><div><br></div><div><div>>>Also, can I define priority based on the order in which the IPA servers are defined in <br></div>>>ipa_server = _srv_ ,<ipa1>,<ipa2></div><div><br></div></span><div>your understanding is correct. server priority is based on sequence in conf file. There is a problem for this configuration. Once 'ipa1' failed, all id lookup/authentication will be happened with 'ipa2'. Even 'ipa1' was back, all clients will be sticky on 'ipa2'</div><div><br></div><div>So, I suggested to configure it in this way:</div><div>ipa_server = <ipa1></div><div>ipa_backup_server = <ipa2></div><div><br></div><div>For another half clients, </div><div><div>ipa_server = <ipa2></div></div><div>ipa_backup_server = <ipa1></div><div><br></div><div>Matrix</div><div><br></div><div style="font-size:12px;font-family:Arial Narrow;padding:2px 0 2px 0">------------------ Original --<wbr>----------------</div><div style="font-size:12px;background:#efefef;padding:8px"><div><b>From: </b> "Rakesh Rajasekharan";<<a href="mailto:rakesh.rajasekharan@gmail.com" target="_blank">rakesh.<wbr>rajasekharan@gmail.com</a>>;</div><div><b>Date: </b> Sat, Jan 21, 2017 08:25 PM</div><div><b>To: </b> "freeipa-users"<<a href="mailto:freeipa-users@redhat.com" target="_blank">freeipa-<wbr>users@redhat.com</a>>; </div><div></div><div><b>Subject: </b> [Freeipa-users] Freeipa replica info to clents: guidance</div></div><div><div class="h5"><div><br></div><div dir="ltr"><div><div><div><div><div><div><div><div><div><div>Hi,<br><br></div><div>My Freeipa setup is on AWS ec2 instances and has been working fine with just one master for a while now.<br><br></div>I am now trying to setup replica servers which, I was able to and the replication between both masters go fine.<br><br></div><div>So, I have a master serer <a href="http://ipa-master-mydomain.com" target="_blank">ipa-master-mydomain.com</a> and repilca <a href="http://ipa-replica-mydomain.com" target="_blank">ipa-replica-mydomain.com</a><br></div><div><br></div>I am not using DNS and rely on AWS for DNS resolution instead.<br><br></div>My question is , how do I tell clients about the new replica server .<br><br></div>I tried an entry in the sssd.conf domain section of the clients<br><br><br>id_provider = ipa<br>auth_provider = ipa<br>ipa_server = _srv_, <a href="http://ipa-master-mydomain.com" target="_blank">ipa-master-mydomain.com</a>, repilca <a href="http://ipa-replica-mydomain.com" target="_blank">ipa-replica-mydomain.com</a><br><br><br></div>This approach works fine and clients reach out to the replica as a failover. However, wanted to verify if this is the correct way.<br><br></div>Also, can I define priority based on the order in which the IPA servers are defined in <br></div>ipa_server = _srv_ ,<ipa1>,<ipa2><br><br></div>If the above assumption is right, I could have half of my clients connect to master always and rest to the replica that way balancing the load.<br><br><br></div>Thanks<br></div>Rakesh<br><div><div><div><div><div><div><br><br><br><div><div><br></div></div></div></div></div></div></div></div></div></div></div></div></blockquote></div><br></div></div>