如何解决如何为Active Directory LDAPS安全LDAP实现高可用性
我们目前大约有50个使用LDAP配置的应用程序,并且我们大约有20个域控制器。根据安全最佳实践,我们必须将所有这些应用程序从LDAP迁移到LDPAS。 当前,所有应用程序都使用Domain的“ NETBIOS”名称进行连接,因此无需担心高可用性。
为LDAPS实现高可用性的最佳设计方法是什么?
在应用程序中,最好不要将单个DC服务器配置为LDAPS服务器。 注意:所有服务器(DC服务器和应用程序服务器)都注册在本地PKI中。
解决方法
在我的企业环境中,有一个带有虚拟IP的负载平衡器,该负载可在多个DC之间分配流量。客户端访问ad.example.com,并且ad.example.com后面的每个DC都具有对hostname.example.com和ad.example.com(SAN,使用者备用名称)均有效的证书。这样做的好处是允许负载均衡器管理哪些主机已启动-如果目标在端口636上没有响应,则会自动将其从虚拟IP中删除。目标开始响应时,它将自动添加回去。 LDAP客户端不需要执行任何异常操作即可使用此高可用性AD LDAPS解决方案。不利的一面是,随着DC的更换,服务器管理员正在进行维护-我们先构建一台新服务器,然后再删除旧服务器。这样,旧的IP就被淘汰了。需要将新IP添加到负载均衡器虚拟IP配置中。
另一种方法是使用DNS查找域控制器-既为站点域控制器又为所有域控制器注册了SRV记录。诸如_ldap.tcp.SiteName._sites.example.com之类的东西会为您提供example.com的SiteName网站中的DC。对于example.com域中的所有DC,请查找_ldap._tcp.example.com ...但是,此方法需要修改LDAP客户端以执行DNS查找。这种方法的优点是DC管理其DNS条目。没有人需要记住将新的DC添加到DNS服务记录中。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。