Windows-Server-2008

如何使 AD 對將其用作 LDAP 服務的應用程序高度可用

  • November 29, 2017

我們的情況

我們目前有許多使用 LDAP 進行身份驗證的 Web 應用程序。為此,我們使用 LDAPS 埠 ( 636) 將 Web 應用程序指向我們的 AD 域控制器之一。

當我們必須更新域控制器時,這給我們帶來了問題,因為另外一個 Web 應用程序可能依賴於任何 DC。

我們想要什麼

我們希望將我們的 Web 應用程序指向一個集群“虛擬”IP。該集群將至少包含兩台伺服器(以便每個集群伺服器都可以輪換和更新)。然後,集群伺服器將代理 LDAPS 連接到 DC,並能夠確定哪一個可用。

問題

對於有為 AD 的 LDAP 介面創建 HA 集群經驗的任何人:

  1. 集群用了什麼軟體?
  2. 有什麼注意事項嗎?
  3. 或者也許一個完全不同的架構來完成類似的事情?

更新

也許我的問題最初還不夠清楚。對此我深表歉意。

這些 Web 應用程序不是由我們開發的,也不是 AD 感知的。他們只要求 LDAP 伺服器的主機名/IP 地址。不幸的是,我們必須處理這個限制。我了解如何SRV records工作,但是由於這些不是我們的應用程序,在這種情況下對我們沒有幫助。

對於我們來說,強迫開發人員修改他們的應用程序以使其具有 AD 意識也是不現實的。

唯一的選擇是在基礎設施中解決這個問題,而不是軟體。我的問題是針對任何專門這樣做的人。

為此,我們針對我們的 OpenLDAP 伺服器使用Cisco IOS 的伺服器負載均衡器 (SLB) 。

LDAP 是 LDAP,它也應該適用於 Microsoft 的 Active Directory。

其他製造商提供類似的產品/功能。平衡 tcp 389/636 與平衡 tcp 80/443(或任何其他 tcp )相同。

不過,您可能有一些證書問題需要解決。您也許可以告訴應用程序不要那麼警惕。(可能已經是,不確定您的 AD 證書是如何簽名的或您信任哪些 CA。)或者讓您的 AD 伺服器使用具有適當subjectAlternativeName欄位的證書。

引用自:https://serverfault.com/questions/374154