%20%E3%81%AE%E9%AB%98%E5%8F%AF%E7%94%A8%E6%80%A7%E3%82%92%E5%AE%9F%E7%8F%BE%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95.png)
現在、LDAP で構成されているアプリケーションは約 50 個あり、ドメイン コントローラーは約 20 個あります。セキュリティのベスト プラクティスに従って、これらすべてのアプリケーションを LDAP から LDAPS に移行する必要があります。現在、すべてのアプリケーションはドメインの「NETBIOS」名を使用して接続されているため、高可用性について心配する必要はありません。
LDAPS の高可用性を実現するための最適な設計アプローチは何ですか?
アプリケーション内で個々の DC サーバーを LDAPS サーバーとして構成することはお勧めしません。注: すべてのサーバー (DC サーバーとアプリケーション サーバー) はオンプレミス PKI に登録されています。
答え1
アプリケーションによって異なりますが、一般的には、アプリケーション所有者は、使用可能で正常なドメイン コントローラーが使用されていることを確認する責任があります。
また、ドメインの単一ラベル名を使用するというあなたの発言は、高可用性を提供しません。
個々のドメイン コントローラー名ではなく、統一された名前に接続するだけの場合は、証明書のサブジェクト別名 (SAN) にドメイン名を含めます。
https://support.microsoft.com/en-us/help/931351/安全な LDAP 証明書にサブジェクト代替名を追加する方法