問題タブ [adlds]

ユーザー オブジェクトを作成/維持するために、asp.net アプリケーション用の ADLDS インスタンスを作成しました。

アプリケーションからユーザーを作成すると、前述のイメージの「ユーザー」コンテナー内に作成するのではなく、ルートで作成されます。

"LDAP://localhost:7389/CN=UserInstance,CN=Users,DC=test,DC=Com"

ユーザーの作成時にルートではなく「ユーザー」コンテナ内に作成するように構成する方法を支援してください

ADFS 2.0 から 2.1 への変更の統合ビューを見つけることができませんでした。そこにそのようなリソースはありますか？新しい機能に興味があります。

また、AD/LDS を ADFS 2.1 の IdP として使用できるかどうかを具体的に調べています。これは ADFS 1.0 では可能でしたが、ADFS 2.0 では可能ではなかったと思います。また、ADFS 2.1 でそれが復活することを期待しています (希望に反するとは思いますが)。

これら 2 つの質問のいずれかについてご協力いただきありがとうございます。

LDAP を使用して電子メールの証明書を発行します。Windows 2012 ですでに LDAP を稼働させています (AD LDS)。ldif ファイルを使用してレコードを追加します。

その内容はこちら

ldif ファイルのコンパイルに行き詰まっています。私が理解しているように、Base64 でエンコードされたバイナリをいくつかのプレフィックス {CERT} などを付けて配置する必要があります。

私の質問は

1. この ldif ファイルはディレクトリに変更を加えますか?
2. userSMIMECertificateフィールド 以外の問題はありますか？
   • たとえば、ドメイン オブジェクトで dc を 2 回使用していますが、問題ありませんか?
   • 他に重要な行がありませんか？
3. に証明書の内容を入れる正確な構文は何userSMIMECertificateですか? （検索しましたが、例が見つかりませんでした）

認証、承認、およびディレクトリ サービスまたはユーザー リポジトリへのルックアップを使用したユーザー/ロールの割り当てに LDAP 統合が必要なサード パーティ アプリケーションからの要件があるとします。

アプリケーション環境が、アプリケーションをサポートする WAS を備えた Microsoft Server 2012 であり、サーバーが Web サービスを介してのみセキュリティ プリンシパルにアクセスできる場合...

LDAP または AD LDS を提供して Web サービスと統合したり、ローカル リポジトリを記録システムと同期したりする方法はありますか?

これはおそらく議論のための多くのルートを提供するでしょうが、アプリケーションが今のところ LDAP インスタンスにサブスクライブすることが最善であり、アプリケーションが存在する環境に AD が直接提供されておらず、AD がレコードのシステムでさえないと仮定しましょう。 - Web サービスから公開されます。

System.DirectoryServices を使用すると、highestCommittedUSN を次のように取得できます。

ただし、ADSI を利用しない System.DirectoryServices.Protocols を使用して、リモート ADLDS からこの情報を取得する必要があります。以下は、私がやろうとしていることの単純化されたコードサンプルです:

残念ながら、これにより「DirectoryOperationException: 識別名に無効な構文が含まれています」というエラーが発生します。最初は GetWin32LdapConnection() に何か問題があるのではないかと思っていましたが、そのコードはディレクトリに接続するために他の多くの場所で呼び出され、エラーになることはありません。

何か案は？

AD LDS + ASP.NET MVC 5 を使用しています。asp.net メンバーシップを実装しようとしています。これが私の現在のコードです：

接続文字列:

メンバーシップ プロバイダー:

コントローラ：

アプリケーションがユーザーを検証しようとすると、返されます

SSL を使用してサーバーとの安全な接続を確立できません。

StackOverflow およびその他のリソースで修正を検索しようとしましたが、これまでのところ、私にとって有効な解決策が見つかりませんでした。

リモート LDAP サーバーで USNChanged ポーリングを実行し、レコードをWindows Server 2008R2 上のローカル AD LDS に同期する.NET 4.5コンソール アプリケーションを実行しています。DirSync コントロールはリモート サーバーのオプションではありませんでしたが、レコードの取得は問題ではありません。

ディレクトリは非常に大きく、何百万ものユーザー レコードが含まれています。コンソール アプリは正常にレコードを取得し、ローカル キャッシュを構築します。次に、キャッシュを介してストリーミングし、ローカル ディレクトリの各レコードに対して必要に応じて検索/更新/挿入を行います。環境内のさまざまなネットワークの制約により、1 秒あたり 8 ～ 80 レコードのパフォーマンスが実行されました。その結果、Task Parallel Library を使用してパフォーマンスを向上させました。

このブロックを導入した後、パフォーマンスは 1 秒あたり 1000 ～ 1500 レコードに向上しました。いくつかの重要な注意事項:

1. これは 8 コア マシンで実行されているため、最大 16 の操作を同時に実行できます。Environment.ProcessorCount * 2;
2. MoreLinq ライブラリのバッチ処理メカニズムが使用されるため、並列セット内の各タスクは、(プールからの) 特定の接続で 250 レコードを処理してから戻ります。
3. 各バッチは同期的に処理されます (追加の並列処理はありません)
4. 実装は、System.DirectoryServices (ADSI) ではなく、System.DirectoryServices.Protocols (Win32) に依存しています。

定期的な完全同期が実行されるたびに、システムは約 110 万のレコードを取得し、AD LDS は「サーバーはビジーです」を返し、システムは DirectoryOperationException をスローします。エラーになる前に完了する数は一定ではありませんが、常に 110 万近くになります。

Microsoft ( http://support.microsoft.com/kb/315071 ) によると、AD LDS の MaxActiveQueries 値は、Windows Server 2008 以降では適用されなくなりました。とにかく値を変更することはできません。表示されません。また、「サーバーがビジーです」というエラーが、その値に違反した場合、または接続ごとに開いている通知要求が多すぎる場合にのみ返されることも示しています。このコードは単純な検索/更新/挿入 LDAP コマンドのみを送信し、何かが変更されたときにサーバーからの通知を要求しません。

私が理解しているように、LDS をクエリするために、最大 16 のスレッドが連携して動作しています。彼らはそれを非常に迅速に行っていますが、これらはそれぞれシングルスレッドで処理されるため、これは特定のティックで受信するクエリの最大数です。

マイクロソフトのドキュメントは間違っていますか? ここで別のコンポーネントを誤解していますか? 任意の支援をいただければ幸いです。