LDAPSのActiveDirectory DNSSRVレコード
WindowsドメインのドメインコントローラーのLDAPサーバーを自動的に検出できるようにしたいと思います。さらに、SSLを使用してLDAPサーバーに接続したいと思います。
私の知る限り、DNSから_ldap._tcp.dc._msdcs.<domain>という名前のSRVレコードを取得することでドメインコントローラーを検索でき、ドメインコントローラーで実行されているすべてのLDAPサーバーのリストを取得できます。これらのレコードは、ドメインコントローラーのNetlogonサービスによってActiveDirectoryのDNSサービスに作成されます。
さらに、サーバー認証証明書がサーバーの証明書ストアで使用可能な場合、ドメインコントローラーのLDAPサービスはLDAPSを介した接続(LDAP over SSL)を自動的にサポートします。
しかし残念ながら、Netlogonサービスは_ldaps._tcp.dc._msdcs.<domain>のようなLDAPSサービスのSRVレコードを作成していないようです。これらのレコードを自動的に作成するようにサービスに指示することは可能ですか、それともActive Directoryにレコードを手動で追加する必要があるのでしょうか?
これらを手動で追加する必要があります。
なぜこれが起こったのか興味があります。
SRVレコードとLDAPSを使用するのに十分スマートなLDAPクライアントがありますが、StartTLSを使用する機能がありませんか?
実際、LDAPSポートに接続するLDAPクライアントは、サーバーとクライアントの相互通信のラウンドトリップが1回少なくなります。これは、STARTTLSを要求して開始する必要がないため、数ミリ秒が重要な状況では、LDAPSを使用する価値があります。 STARTTLSではなくポート。