但是,我有很多非Windows应用程序使用LDAP进行身份验证和授权.他们现在只是指向一个域控制器,很高兴有一个VIP和一个池,后面有我所有的DC.
那么当我看到这个时,这里的交易是什么?:
https://devcentral.f5.com/questions/ad-dcs-behind-f5
F5有什么特别之处吗?它是否会回归到NTLM?或者只是使用简单的LDAP绑定到AD? (或SLDAP绑定).
什么是非Windows客户端利用LDAP的最佳方式?它们是否应该开箱即用,以使用DNS定位器SRV记录?应该部署AD-LDS并实现负载均衡吗?
有什么我想念的吗?
您通常可以通过将LDAP应用程序指向Active Directory域名而不是特定DC来解决此问题,因为每个DC会自动为指向其IP地址的域名注册AN A记录,因此这将作为DNS循环使用;但是,这会导致两个重大问题:
>如果DC关闭,它仍将包含在DNS答案中;如果应用程序不够智能,无法尝试其他应用程序,则可能导致LDAP失败.
>这不会占用Active Directory站点拓扑的任何帐户;如果您拥有地理位置分散的环境,您最终可能会在伦敦通过缓慢和/或不可靠的WAN链路对澳大利亚的DC进行身份验证.
稍微好一点的解决方案是为LDAP应用程序创建自己的DNS记录,作为指向特定DC的CNAME记录,例如指向dc1.example.com的ldap.example.com,并在其上设置一个慢速TTL(fe 60秒) );然后,您可以将应用程序配置为使用ldap.example.com来满足其所有LDAP需求.如果/当DC1关闭时,您可以将ldap.example.com重新映射到dc2.example.com,慢速TTL将确保应用程序尽快知道更改,从而最大限度地减少停机时间.
