我们目前有许多使用LDAP进行身份验证的Web应用程序.为此,我们使用LDAPS端口将Web应用程序指向我们的AD域控制器之一(636).

当我们必须更新域控制器时,这会引起我们的问题,因为还有一个Web应用程序可能依赖于任何DC.

我们想要什么

我们想将我们的Web应用程序指向群集“虚拟”IP.此群集将包含至少两个服务器(以便可以旋转和更新每个群集服务器).然后,群集服务器将代理与DC的LDAPS连接,并能够确定哪个可用.

问题

对于有过为AD的LDAP接口创建HA群集的经验的人：

>您使用了哪些软件用于群集？
>有任何警告吗？
>或者也许是一个完全不同的架构来完成类似的事情？

更新

也许我的问题最初还不够明确.我为此道歉.

这些Web应用程序不是由我们开发的,也不是AD感知的.他们只询问LDAP服务器的主机名/ IP地址.不幸的是,我们必须处理这个限制.我理解SRV记录是如何工作的,但由于这些不是我们的应用,在这种情况下对我们没有帮助.

强迫开发人员修改他们的应用程序以识别AD也是不现实的.

唯一的选择是在基础架构中解决此问题,与软件相反.我的问题是针对那些专门做过的人.