<div>For my understanding, there is something wrong with your configuration</div><div><br></div><div>>> ipa_server = _srv_, <a href="http://ipa-master-mydomain.com/">ipa-master-mydomain.com</a>, repilca <a href="http://ipa-replica-mydomain.com/">ipa-replica-mydomain.com</a></div><div><br></div><div>Firstly, '_srv_' means clients will find out which servers will be connected with by dns srv records. In your explanation, DNS did not configure in your env.</div><div><div><br></div><div>Secondly, 'replica' key words ? I can not find it from man pages of sssd-ipa. is it really working fine? </div><div><br></div><div><div>>>Also, can I define priority based on the order in which the IPA servers are defined in <br></div>>>ipa_server = _srv_ ,<ipa1>,<ipa2></div><div><br></div><div>your understanding is correct. server priority is based on sequence in conf file. There is a problem for this configuration. Once 'ipa1' failed, all id lookup/authentication will be happened with 'ipa2'. Even 'ipa1' was back, all clients will be sticky on 'ipa2'</div><div><br></div><div>So, I suggested to configure it in this way:</div><div>ipa_server = <ipa1></div><div>ipa_backup_server = <ipa2></div><div><br></div><div>For another half clients, </div><div><div>ipa_server = <ipa2></div></div><div>ipa_backup_server = <ipa1></div><div><br></div><div>Matrix</div><div><br></div><div style="font-size: 12px;font-family: Arial Narrow;padding:2px 0 2px 0;">------------------ Original ------------------</div><div style="font-size: 12px;background:#efefef;padding:8px;"><div><b>From: </b> "Rakesh Rajasekharan";<rakesh.rajasekharan@gmail.com>;</div><div><b>Date: </b> Sat, Jan 21, 2017 08:25 PM</div><div><b>To: </b> "freeipa-users"<freeipa-users@redhat.com>; <wbr></div><div></div><div><b>Subject: </b> [Freeipa-users] Freeipa replica info to clents: guidance</div></div><div><br></div><div dir="ltr"><div><div><div><div><div><div><div><div><div><div>Hi,<br><br></div><div>My Freeipa setup is on AWS ec2 instances and has been working fine with just one master for a while now.<br><br></div>I am now trying to setup replica servers which, I was able to and the replication between both masters go fine.<br><br></div><div>So, I have a master serer <a href="http://ipa-master-mydomain.com">ipa-master-mydomain.com</a> and repilca <a href="http://ipa-replica-mydomain.com">ipa-replica-mydomain.com</a><br></div><div><br></div>I am not using DNS and rely on AWS for DNS resolution instead.<br><br></div>My question is , how do I tell clients about the new replica server .<br><br></div>I tried an entry in the sssd.conf domain section of the clients<br><br><br>id_provider = ipa<br>auth_provider = ipa<br>ipa_server = _srv_, <a href="http://ipa-master-mydomain.com">ipa-master-mydomain.com</a>, repilca <a href="http://ipa-replica-mydomain.com">ipa-replica-mydomain.com</a><br><br><br></div>This approach works fine and clients reach out to the replica as a failover. However, wanted to verify if this is the correct way.<br><br></div>Also, can I define priority based on the order in which the IPA servers are defined in <br></div>ipa_server = _srv_ ,<ipa1>,<ipa2><br><br></div>If the above assumption is right, I could have half of my clients connect to master always and rest to the replica that way balancing the load.<br><br><br></div>Thanks<br></div>Rakesh<br><div><div><div><div><div><div><br><br><br><div><div><br></div></div></div></div></div></div></div></div></div></div>