我希望能够自动检测 Windows 域的域控制器的 LDAP 服务器。此外,我还想使用 SSL 连接到 LDAP 服务器。
据我所知,您可以通过 _ldap._tcp.dc._msdcs.<domain>从 DNS 获取名称的 SRV 记录来查找域控制器,并获得在域控制器上运行的所有 LDAP 服务器的列表。这些记录由域控制器上的 Netlogon 服务在 Active Directory 的 DNS 服务中创建。
此外,当服务器的证书存储中存在服务器身份验证证书时,域控制器的 LDAP 服务会自动支持通过 LDAPS(通过 SSL 的 LDAP)的连接。
但不幸的是,Netlogon 服务似乎不会为 LDAPS 服务创建 SRV 记录_ldaps._tcp.dc._msdcs.<domain>。我想知道是否可以告诉服务自动创建这些记录,还是我必须在 Active Directory 中手动添加记录?
答案1
您必须手动添加这些内容。
我很好奇为什么会出现这种情况。
您有一个足够智能的 LDAP 客户端,可以使用 SRV 记录和 LDAPS,但没有能力使用StartTLS?
答案2
实际上,连接到 LDAPS 端口的 LDAP 客户端可以减少一次服务器与客户端之间的往返通信,因为它们不必请求并启动 STARTTLS,所以在几毫秒的时间很重要的情况下,使用 LDAPS 端口而不是 STARTTLS 是值得的。