我们的情况

我们目前有许多使用LDAP进行身份验证的Web应用程序.为此,我们使用LDAPS端口将Web应用程序指向我们的AD域控制器之一(636).

当我们必须更新域控制器时,这会引起我们的问题,因为还有一个Web应用程序可能依赖于任何DC.

我们想要什么

我们想将我们的Web应用程序指向群集“虚拟”IP.此群集将包含至少两个服务器(以便可以旋转和更新每个群集服务器).然后,群集服务器将代理与DC的LDAPS连接,并能够确定哪个可用.

问题

对于有过为AD的LDAP接口创建HA群集的经验的人：

>您使用了哪些软件用于群集？
>有任何警告吗？
>或者也许是一个完全不同的架构来完成类似的事情？

更新

也许我的问题最初还不够明确.我为此道歉.

这些Web应用程序不是由我们开发的,也不是AD感知的.他们只询问LDAP服务器的主机名/ IP地址.不幸的是,我们必须处理这个限制.我理解SRV记录是如何工作的,但由于这些不是我们的应用,在这种情况下对我们没有帮助.

强迫开发人员修改他们的应用程序以识别AD也是不现实的.

唯一的选择是在基础架构中解决此问题,与软件相反.我的问题是针对那些专门做过的人.

我们针对OpenLDAP服务器使用 Cisco IOS’s Server Load Balancer (SLB) .
LDAP是LDAP,它也适用于Microsoft的Active Directory.
其他制造商提供类似的产品/能力.平衡tcp 389/636与平衡tcp 80/443(或任何其他tcp)相同.

您可能会遇到一些证书问题.您可以告诉应用程序不要太警惕. (可能已经是,不确定您的AD证书是如何签名的,或者您信任哪些CA.)或者让您的AD服务器使用带有相应subjectAlternativeName字段的证书.

我的网站使用sql 2008在.NET 3.5上运行.

我正在考虑建立自己的服务器,并想知道我是在做什么.

我需要知道要安装哪些应用程序,以便我的服务器安全且运行良好.

明显的清单是：

•Windows Server 2003

•.Net Framework 3.5

•sql 2008

我需要：

•防病毒？

•防火墙？

是否有更多必须有应用程序？

Some version of TreeSize知道你所有的空间到底在哪里. “我不知道每天都有500MB的日志文件！”如果您不想在服务器上安装任何东西,我想您也可以通过CIFS共享来扫描您的服务器.您不必分享您的整个驱动器……它已经通过Admin共享.

此外,Microsoft Network Monitor.是的,您将需要它在某些时候,根据我的经验,Microsoft Pro支持服务不接受WireShark文件.

我已经安装了LDAP浏览器,尝试浏览我的AD信息(这是启用Google Directory Sync过程的一部分).

但是,我一直收到连接错误(使用端口：19389).

我得到的第一个问题：我的Active Directory(2003R2服务器)是否已经是LDAP服务器？ (根据我的理解,每个AD都是LDAP的实现) – 所以我的回答是肯定的.

在那种情况下,为什么我不能连接？
是否有任何设置来启用此类“LDAP”连接？ (我觉得不是)我觉得我错过了一些重要的信息.

*我使用JXplorer作为LDAP浏览器

这个Ansewr MS Active Directory as a simple LDAP server指导我使用：Adam – 但我看不出这对我有什么帮助.

是的,AD将LDAP作为一个组件.您无需对AD执行任何操作即可允许LDAP客户端进行连接.

您需要绑定(验证)到LDAP才能浏览它;您需要在JXplorer中输入完整的DN作为凭据的一部分,当然还有密码.在不知道你到目前为止尝试过什么的情况下,我无法给你更多指导.

说了这么多,我更喜欢从Sysinternals的ADExplorer到简单的LDAP浏览器.它更容易使用,因为它专门用于AD.

如果您需要几乎完全像AD的东西,而不需要实际的域,则可以使用Adam(AD LDS).

我目前正在评估连接到Win2k8存储服务器iSCSI SAN的Win2k8双节点文件服务器群集.
故障转移工作正常,但我现在想知道如果iSCSI SAN盒崩溃会发生什么.
有没有办法让SAN高度可用？我当时认为使用dfs有助于将数据复制到另一个SAN,但我不确定是否有一种方法可以自动从一个SAN故障转移到另一个SAN.

非常感谢,

安德鲁

由于Win2k8存储服务器不是“双”控制器,缓存一致的SAN设备,因此需要二级系统来提供冗余.我不知道Win2k8存储服务器是否提供了可以实现此目的的任何内置集群功能,或者像Double-Take这样的产品是否能更好地实现最终目标.

杰夫

我们有大约70％的 linux用户,所有这些用户都配置为通过LDAP对Active Directory进行身份验证.为了实现这一点,我们在 Windows Server 2003下使用了“Windows Services for Unix”,一切正常.

我们现在正处于运行这个装置的服务器变得有点疲惫并将被更新的机器取代,运行Windows Server 2008(其中相关服务,如用户名映射和密码更改等)与操作系统).

这就是问题：如果通过Win2k3服务器配置了新用户,那么一切正常.如果通过Win2k8服务器完成同样的事情,那么：

> 2k3服务器上的ADS插件无法识别它,并且表现得好像从未设置过UNIX属性.
>用户无法使用LDAP对ADS进行身份验证.

有人遇到过这个问题吗？如果是这样,你是如何克服这个的？

如果您需要任何其他信息以提供进一步的帮助,请询问,我将提供.

在Win2K3和2K8之间,LDAP名称映射已更改.新映射(在/etc/ldap.conf中应用)是：

nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFUPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute loginShell loginShell
nss_map_attribute gecos cn
nss_map_objectclass posixGroup Group
nss_map_attribute shadowLastChange pwdLastSet

如果有帮助,请告诉我.您可能也必须迁移旧用户 – 我使用ldapsearch并比较新旧用户(但我认为如果我记得他们将只有两个属性)