Я хотел бы иметь возможность автоматически определять серверы LDAP контроллеров домена для домена Windows. Кроме того, я хотел бы использовать SSL для подключения к серверам LDAP.
Насколько я знаю, вы можете найти контроллеры домена, получив записи SRV для имени _ldap._tcp.dc._msdcs.<domain> из DNS, и вы получите список всех серверов LDAP, работающих на контроллерах домена. Эти записи создаются в службе DNS Active Directory службой входа в сеть на контроллерах домена.
Кроме того, служба LDAP контроллера домена автоматически поддерживает подключения через LDAPS (LDAP через SSL), когда сертификат проверки подлинности сервера доступен в хранилище сертификатов сервера.
Но, к сожалению, кажется, что служба Netlogon не создает записи SRV для службы LDAPS, например _ldaps._tcp.dc._msdcs.<domain>. Мне было интересно, можно ли указать службе автоматически создавать эти записи или мне придется вручную добавлять записи в Active Directory?
Вам придется добавить их вручную.
Мне любопытно, почему это вообще возникло.
У вас есть клиент LDAP, достаточно умен, чтобы использовать записи SRV и LDAPS, но у вас нет возможности использовать StartTLS?
На самом деле клиенты LDAP, которые подключаются к портам LDAPS, делают это с одним меньшим циклом взаимодействия сервер-клиент, поскольку им не нужно запрашивать и запускать STARTTLS, поэтому в ситуациях, когда несколько миллисекунд имеют значение, стоит использовать LDAPS. порт, а не STARTTLS.