如何实现Active Directory LDAP(安全LDAP)的高可用性

如何实现Active Directory LDAP(安全LDAP)的高可用性,ldap,Ldap,我们目前约有50个应用程序配置了LDAP,约有20个域控制器。根据安全最佳实践,我们必须将所有这些应用程序从LDAP迁移到LDPA。 目前,所有应用程序都使用域的“NETBIOS”名称连接,因此无需担心高可用性 实现LDAP高可用性的最佳设计方法是什么 不希望将单个DC服务器配置为应用程序中的LDAPS服务器。 注意:所有服务器(DC和应用程序服务器)都是在prem PKI上注册的。在我的企业环境中,有一个负载平衡器,带有虚拟IP,可跨多个DC分发流量。客户端访问ad.example.com,a

我们目前约有50个应用程序配置了LDAP,约有20个域控制器。根据安全最佳实践,我们必须将所有这些应用程序从LDAP迁移到LDPA。 目前,所有应用程序都使用域的“NETBIOS”名称连接,因此无需担心高可用性

实现LDAP高可用性的最佳设计方法是什么

不希望将单个DC服务器配置为应用程序中的LDAPS服务器。
注意:所有服务器(DC和应用程序服务器)都是在prem PKI上注册的。

在我的企业环境中,有一个负载平衡器,带有虚拟IP,可跨多个DC分发流量。客户端访问ad.example.com,ad.example.com后面的每个DC都有一个对hostname.example.com和ad.example.com(SAN,主题替代名称)都有效的证书。这样做的优点是允许负载平衡器管理哪些主机处于启动状态——如果目标在端口636上没有响应,它将自动从虚拟IP中删除。当目标开始响应时,它会自动添加回来。LDAP客户端无需执行任何异常操作即可使用此高可用性AD LDAPS解决方案。不利的一面是,服务器管理员在更换DCs时进行持续维护——我们构建一个新服务器,然后删除旧服务器。这样一来,旧IP就失效了。需要将新IP添加到负载平衡器虚拟IP配置中

另一种方法是使用DNS查找域控制器——存在为站点域控制器和所有域控制器注册的SRV记录。类似于_ldap.tcp.SiteName._sites.example.com的东西将为您提供example.com的SiteName站点中的DC。对于example.com域中的所有DC,请查找\u ldap.\u tcp.example.com。。。但是,这种方法需要修改LDAP客户端以执行DNS查找。这种方法的优点是DCs管理其DNS条目。没有人需要记住向DNS服务记录添加新DC