ADLDSが本当に必要なのはいつですか

Question

ADLDSの目的について質問があります。

現在、Windowsサーバーインフラストラクチャをいじって、内部の仕組みをよりよく理解し、簡単なテストネットワークの構築を目指しています。ドメインコントローラー（AD DS、DHCP、DNSがインストールされている）のインストールとセットアップが完了し、外部ネットワーク（より一般的にはDMZゾーン）おそらく共有ポイントまたは通常のWebアプリケーションが含まれます。

私が調査したところ、LDAP認証を使用してWebアプリケーションでシングルサインオンアクセスを実行できることがわかりました。 AD DSにはLDAPポートもインストールされていることも理解しています。私の質問はこれです。この状況でもADLDSを使用する必要がありますか？

AD LDSについて私が理解していることから、ActiveDirectoryからのユーザーデータを同期することができます。データの同期を使用して、LDAP認証を実行できます。ただし、AD LDSを使用しなくても同じことが実現できますか？ Active DirectoryのLDAPポートに接続しても、同じことを実行できますか？

user2871239 · Answer

私はあなたがLDSを使うために必要だとは思わない。

AD LDSは基本的なLDAPディレクトリです。 AD DSは、Windows固有のものが削除されています。 1つのサーバーに（異なるポートに）LDSのインスタンスを多数持つことができますが、ドメインコントローラーにAD DSのインスタンスを1つだけ持つことができます。

ADLDSでADDSユーザーが必要な場合は、ADAMSyncを使用できますが、パスワードは同期されません。

同じパスワードを使用したい場合は、AD LDSでuserProxyまたはuserProxyFullオブジェクトを使用できますが、これにはobjectSIDをAD DSユーザーアカウントからAD LDSユーザーアカウントプロキシにコピーする必要があります。また、LDSサーバーがユーザー認証のためにAD DSドメインコントローラーに接続できる必要があります。アプリケーションはIDとパスワードをLDSに渡します。 LDSはIDのルックアップを実行し、DCに転送するobjectSIDを取得します。次に、DCの応答をアプリケーションに返します。 userProxiesは面倒な場合があります。アカウントが削除され、後で再作成された場合は、LDSのobjectSidオブジェクトのuserProxyを更新することを忘れないでください。

AD DSをDMZ経由でインターネットに公開するのか、それともホストされているアプリケーションに公開するのかは、別の問題です。しかし、それは技術的な問題ではなく、設計の問題です。ちなみに、おそらくそうではないと思います。