在我工作的地方,有许多应用程序使用LDAP / LDAPS查询Active Directory,并且只能使用单个名称进行查询。
显然,如果该名称是域控制器,则单点故障。什么是实现冗余的最佳方式?我想我需要像负载均衡器那样知道域控制器是上升还是下降。域控制器必须位于不同的站点中。解决方案还需要处理LDAPS。
我们目前正在尝试DNS别名ldap。这是DNS循环,即它解析为多个域控制器,与BMC Patrol脚本结合,轮询域控制器并删除其ldap。记录他们是否离线。但是在测试中我们有一个特殊的(对我来说)结果,其中ldap查询ldap。成功并且域控制器发送答案,但随后将引用发送到名称LDAP:// domaindnszones。并且有几个(unix)应用程序在这一点上破解并尝试进行第二次查询身份验证,因为" root",它失败了。
我很感激任何想法......提前谢谢。
答案 0 :(得分:0)
如果您的应用程序只想进行简单的绑定,那么使用负载均衡器执行此操作并不罕见。如果您可以对应用程序提出要求,则需要为LDAP / S加载平衡端口636。如果林中有多个域,则端口3269是全局编录LDAP / S端口。
就证书而言,您有两种选择:
仅使用DC的主机名在每个DC上放置SSL证书,然后在VIP的负载均衡器上放置证书(例如ldap.contoso.com)。让负载均衡器重新加密。
在每个具有DC主机名的DC和ldap.contoso.com的主题备用名称(SAN)上放置SSL证书。只需将流量通过负载均衡器即可。
对于#2,重要的是要注意AD只会绑定到主题名称字段或/ first / subject备用名称字段中具有DC主机名的证书。