Administratoren konfigurieren Active Directory, um Lightweight Directory Access Protocol (LDAP)-Verzeichnisinformationen mithilfe einer der folgenden Hosting-Methoden zu hosten.

• Die gängige Methode zum Hosting von LDAP-Verzeichnisinformationen besteht darin, das standardmäßige LDAP oder LDAPS (sicheres LDAP) auf den Ports 389 oder 636 zu verwenden. Diese Standard-LDAP-Ports sind immer auf einem Domänencontroller (DC) vorhanden und werden selten geändert. Der Zugriff auf diese Verzeichnispartition bietet Zugriff auf alle Objekte innerhalb der Domäne, die auf dem DC gehostet wird. Es gibt keine Möglichkeit, mit dieser Methode auf Objekte aus anderen Domänen zuzugreifen.
• Einem DC kann auch die Rolle Global Catalog (GC) gewährt werden. Die Rolle „globaler Katalog“ (GC) ist ein LDAP-konformes Verzeichnis, das aus einer Teildarstellung jedes Objekts aus jeder Domäne innerhalb der Gesamtstruktur besteht. Auf dieses LDAP-Verzeichnis kann über Port 3268 zugegriffen werden, mit LDAPS auf Port 3269. Die Zertifikatanforderungen für LDAPS und LDAP-Standard-Ports sind identisch.

LDAP-Abhängigkeiten des globalen Katalogs

• Für den Domänencontroller, mit dem Ihre Instanz eine Verbindung herstellt, muss die Rolle „globaler Katalog“ aktiviert sein.
• Firewall-Regeln müssen eingehenden Datenverkehr an den Domänencontroller an Port 3268 (LDAP) oder 3269 (LDAPS) zulassen.

Spezielle Hinweise

• Nicht alle Attribute werden auf die GC-Partition repliziert. Allgemeine Attribute wie Vorname, Nachname, E-Mail, Telefonnummer, Beschreibung, und Adresse sind enthalten. Zusätzliche Attribute können dem GC hinzugefügt werden, sollten jedoch beschränkt werden, um die Auswirkungen auf den Datenverkehr der Gesamtstruktur-Replikation zu minimieren.
• Standardmäßige LDAP-Integrationen verwenden „sAMAccountName“ normalerweise als UserID der Instanz und als Zusammenfügungsschlüssel in der LDAP-Importzuordnung, da dies garantiert innerhalb einer Domäne eindeutig ist. Dieses Attribut ist nicht mehr eindeutig, wenn eine gesamte Gesamtstruktur von Domänen angezeigt wird. Ein neues eindeutiges Attribut muss identifiziert werden und als Anwender-ID und Zusammenfügungsschlüssel. Diese müssen nicht das gleiche Attribut sein und können je nach Walddesign variieren. Wenden Sie sich an Ihren Active Directory-Administrator. Normalerweise ist der userPrinicpalName ein eindeutiges Attribut für alle Domänen, aber dies ist möglicherweise kein anwenderfreundlicher Name für die Anmeldung, kann jedoch für den eindeutigen Bezeichner bei Importen verwendet werden. Ein allgemeines Attribut, das für die Anwender-ID verwendet wird, ist die E-Mail-Adresse. Diese Entscheidungen wirken sich auf die LDAP-Eigenschaften und die LDAP-Zuordnung aus.
• Der für den Zusammenfügungsschlüssel in der LDAP-Importzuordnung verwendete Wert muss eindeutig sein und für jedes importierte Objekt vorhanden sein. Wenn er nicht eindeutig ist oder nicht vorhanden ist, werden falsche Datensätze mit Änderungen aktualisiert.
• Wenn Sie bereits über eine LDAP-Integration verfügen und diese in eine GC ändern möchten, ändern Sie den Importzusammenfügungsschlüssel. Die neuen Schlüsselwerte müssen importiert werden, bevor Sie den Zusammenfügungsschlüssel ändern können.
• Wenn Sie Änderungen an Ihrer LDAP-Integration vornehmen, die Ihre Integration beeinträchtigen, sollten Sie diese Änderungen als ersten Schritt rückgängig machen. Danach wenden Sie sich an Kundenservice und Support Mit vollständigen Informationen darüber, was Sie versuchen.