В настоящее время у меня есть среда с двумя контроллерами домена, оба Windows Сервер 2019, мы можем назвать их DC1 и DC2. В настоящее время у нас не включена поддержка LDAP через SSL. Мы хотим включить эту функцию и хотели бы знать следующее:
- Нужно ли устанавливать службы Active Directory облегченного доступа к каталогам на DC1 и DC2 или один D C может быть единственным владельцем это?
- Вместо того, чтобы устанавливать AD LDS на контроллеры домена, это можно установить на отдельном сервере, где этот отдельный сервер станет сервером LDAP over SSL для аутентификации? Считается ли это лучшей практикой для обеспечения безопасности?
- Поскольку у нас не включен LDAP через SSL, после установки и включения безопасного метода это вызовет проблемы с устройствами, уже подключенными к AD? Когда я говорю «устройства», я имею в виду серверы в домене и рабочие столы в домене, будут ли они по-прежнему проходить аутентификацию без проблем с AD?
- После включения LDAP через SSL отключит ли незащищенный метод?