Administratoren konfigurieren Active Directory so, dass LDAP-Verzeichnisinformationen (Lightweight Directory Access Protocol) mit einer der folgenden Hosting-Methoden gehostet werden.

• Die übliche Methode zum Hosten von LDAP-Verzeichnisinformationen besteht in der Verwendung des Standard-LDAP oder LDAPS (sicheres LDAP) an den Ports 389 oder 636. Diese Standard-LDAP-Ports sind immer auf einem Domänencontroller (DC) vorhanden und werden selten geändert. Der Zugriff auf diese Verzeichnispartition bietet Zugriff auf alle Objekte in der Domäne, die auf dem DC gehostet wird. Es gibt keine Möglichkeit, mit dieser Methode auf Objekte aus anderen Domänen zuzugreifen.
• Einem RZ kann auch die Rolle „Globaler Katalog“ (GC) zugewiesen werden. Die Rolle „Globaler Katalog“ (GC) ist ein LDAP-konformes Verzeichnis, das aus einer teilweisen Darstellung jedes Objekts aus jeder Domäne innerhalb der Gesamtstruktur besteht. Auf dieses LDAP-Verzeichnis kann über Port 3268 zugegriffen werden, mit LDAPS über Port 3269. Die Zertifikatanforderungen für LDAPS- und Standard-LDAP-Ports sind identisch.

Globale Katalog-LDAP-Abhängigkeiten

• Für den Domänencontroller, mit dem Ihre Instanz eine Verbindung herstellt, muss die Rolle „Globaler Katalog“ aktiviert sein.
• Firewall-Regeln müssen eingehenden Datenverkehr an den Domänencontroller an Port 3268 (LDAP) oder 3269 (LDAPS) zulassen.

Spezielle Hinweise

• Nicht alle Attribute werden in die GC-Partition repliziert. Allgemeine Attribute wie Vorname, Nachname, E-Mail, Telefonnummer, Beschreibung und Adresse sind enthalten. Zusätzliche Attribute können dem GC hinzugefügt werden, sollten jedoch begrenzt werden, um die Auswirkungen auf den Replikationsdatenverkehr der Gesamtstruktur zu minimieren.
• Standard-LDAP-Integrationen verwenden sAMAccountName normalerweise als UserID der Instanz und als Zusammenfügungsschlüssel in der LDAP-Importzuordnung, da dieser innerhalb einer Domäne garantiert eindeutig ist. Dieses Attribut ist nicht mehr eindeutig, wenn eine gesamte Gesamtstruktur von Domänen angezeigt wird. Ein neues eindeutiges Attribut muss identifiziert werden, und zwar die Benutzer-ID und der Zusammenfügungsschlüssel. Diese müssen nicht dasselbe Attribut sein und können je nach Gesamtstrukturdesign variieren. Wenden Sie sich an Ihren Active Directory-Administrator. Normalerweise ist userPrinicpalName ein eindeutiges Attribut über Domänen hinweg. Dies ist jedoch möglicherweise kein benutzerfreundlicher Name für die Anmeldung, kann jedoch für den eindeutigen Bezeichner bei Importen verwendet werden. Ein allgemeines Attribut, das für die Benutzer-ID verwendet wird, ist die E-Mail-Adresse. Diese Entscheidungen wirken sich auf die LDAP-Eigenschaften und die LDAP-Zuordnung aus.
• Der für den Zusammenfügungsschlüssel in der LDAP-Importzuordnung verwendete Wert muss eindeutig sein und für jedes zu importierende Objekt vorhanden sein. Wenn sie nicht eindeutig ist oder nicht vorhanden ist, werden falsche Datensätze mit Änderungen aktualisiert.
• Wenn Sie bereits eine LDAP-Integration haben und diese in einen GC ändern möchten, ändern Sie den Zusammenfügungsschlüssel für den Import. Die neuen Schlüsselwerte müssen importiert werden, bevor Sie den Zusammenfügungsschlüssel ändern können.
• Wenn Sie Änderungen an Ihrer LDAP-Integration vornehmen, die Ihre Integration unterbrechen, sollte Ihr erster Schritt darin bestehen, diese Änderungen rückgängig zu machen. Wenden Sie sich danach an Kundenservice und Support, um vollständige Informationen darüber zu erhalten, was Sie versuchen.