我对于 AD LDS 的目的有一个疑问。
目前,我正在研究 Windows Server 基础架构,以便更好地了解其内部工作原理,并旨在构建一个简单的测试网络。我已经完成了域控制器的安装和设置(安装了 AD DS、DHCP 和 DNS),现在打算构建一个外部网络(在商业世界中通常称为 DMZ 区域),该网络可能包含共享点或普通的 Web 应用程序。
根据我的研究,我了解到我可以使用 LDAP 身份验证在我的 Web 应用程序上执行单点登录访问。我也知道 AD DS 也安装了 LDAP 端口。我的问题是,在这种情况下我是否仍然需要使用 AD LDS
据我了解,AD LDS 允许我从 Active Directory 同步用户数据。通过同步数据,我可以执行 ldap 身份验证。但是,不使用 AD LDS 也可以实现相同的功能,对吗?我仍然可以连接到 Active Directory 上的 ldap 端口并实现相同的功能,对吗?
答案1
我不认为你需要使用 LDS。
AD LDS 是一个基本的 LDAP 目录;AD DS 中去掉了 Windows 特有的内容。一台服务器上可以有很多 LDS 实例(在不同端口上),而域控制器上只能有一个 AD DS 实例。
如果您希望 AD DS 用户位于 AD LDS 中,则可以使用 ADAMSync,但它不会同步密码。
如果您想使用相同的密码,则可以使用AD LDS 中的userProxy
或userProxyFull
对象,但这需要您将objectSID
AD DS 用户帐户复制到 AD LDS 用户帐户代理。并且它要求您的 LDS 服务器能够联系您的 AD DS 域控制器进行用户身份验证。应用程序将 ID 和密码传递给 LDS。LDS 查找 ID 并检索 objectSID,并将其转发给 DC。然后它将 DC 的响应传递回应用程序。userProxies 可能很麻烦 - 如果删除帐户并稍后重新创建,您必须记住在 LDS 中的对象objectSid
中更新userProxy
。
您是否应该通过 DMZ 或托管在其中的应用程序将 AD DS 暴露给互联网,这是另一个问题。但这是一个设计问题,而不是技术问题。顺便说一句,我认为可能不会。