但是,我有很多非Windows应用程序使用LDAP进行身份验证和授权.他们现在只是指向一个域控制器,很高兴有一个VIP和一个池,后面有我所有的DC.
那么当我看到这个时,这里的交易是什么?:
https://devcentral.f5.com/questions/ad-dcs-behind-f5
F5有什么特别之处吗?它是否会回归到NTLM?或者只是使用简单的LDAP绑定到AD? (或SLDAP绑定).
什么是非Windows客户端利用LDAP的最佳方式?它们是否应该开箱即用,以使用DNS定位器SRV记录?应该部署AD-LDS并实现负载均衡吗?
有什么我想念的吗?
您通常可以通过将LDAP应用程序指向Active Directory域名而不是特定DC来解决此问题,因为每个DC会自动为指向其IP地址的域名注册AN A记录,因此这将作为DNS循环使用;但是,这会导致两个重大问题:
>如果DC关闭,它仍将包含在DNS答案中;如果应用程序不够智能,无法尝试其他应用程序,则可能导致LDAP失败.
>这不会占用Active Directory站点拓扑的任何帐户;如果您拥有地理位置分散的环境,您最终可能会在伦敦通过缓慢和/或不可靠的WAN链路对澳大利亚的DC进行身份验证.
稍微好一点的解决方案是为LDAP应用程序创建自己的DNS记录,作为指向特定DC的CNAME记录,例如指向dc1.example.com的ldap.example.com,并在其上设置一个慢速TTL(fe 60秒) );然后,您可以将应用程序配置为使用ldap.example.com来满足其所有LDAP需求.如果/当DC1关闭时,您可以将ldap.example.com重新映射到dc2.example.com,慢速TTL将确保应用程序尽快知道更改,从而最大限度地减少停机时间.
原文地址:https://www.jb51.cc/windows/366526.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
