Путь служб AD к LDAP
Для ADsPath поставщика LDAP Майкрософт требуется следующий формат.
LDAP://HostName[:PortNumber][/DistinguishedName]
Примечание
Символы левой и правой скобки ([ ]) указывают необязательные параметры; это не литеральная часть строки привязки.
Имя узла может быть именем компьютера, IP-адресом или доменным именем. Имя сервера также можно указать в строке привязки. Большинство поставщиков LDAP следуют модели, требующей указания имени сервера.
Параметр PortNumber указывает порт, используемый для подключения. Если номер порта не указан, поставщик LDAP использует номер порта по умолчанию. Номер порта по умолчанию — 389, если не используется SSL-подключение или 636 при использовании SSL-подключения.
Значение "Различающееся имя" указывает различающееся имя определенного объекта. Различающееся имя данного объекта гарантированно будет уникальным.
В следующей таблице перечислены примеры строк привязки.
Пример LDAP ADsPath | Description |
---|---|
LDAP: | Привязка к корню пространства имен LDAP. |
LDAP://server01 | Привязка к конкретному серверу. |
LDAP://server01:390 | Привязка к определенному серверу с помощью указанного номера порта. |
LDAP://CN=Jeff Smith,CN=users,DC=fabrikam,DC=com | Привязка к конкретному объекту. |
LDAP://server01/CN=Jeff Смит,CN=users,DC=fabrikam,DC=com | Привязка к конкретному объекту через определенный сервер. |
Если для успешного завершения запроса каталога требуется проверка подлинности Kerberos, строка привязки должна использовать бессерверное ADsPath, например LDAP://CN=Jeff Smith,CN=users,DC=fabrikam,DC=com, или использовать ADsPath с полным DNS-именем, например LDAP://server01.fabrikam.com/CN=Jeff Смит,CN=users,DC=fabrikam, DC=com. Привязка к серверу с помощью неструктурированного имени NE ТБ IOS или короткого DNS-имени, например с помощью сервера имен01 вместо server01.fabrikam.com, не гарантируется, что проверка подлинности Kerberos гарантируется.
Дополнительные сведения и примеры строк привязки LDAP, а также описание специальных символов, которые можно использовать в строках привязки LDAP, см. в статье LDAP ADsPath.
Windows 2000 с пакетом обновления 1 (SP1) и более поздней версии: если строка привязки содержит имя сервера, можно повысить производительность с помощью флага ADS_SERVER_BIND с функцией ADsOpenObject или методом IADsOpenDSObject::OpenDSObject. Флаг ADS_SERVER_BIND указывает, что указано имя сервера, которое позволяет ADSI избежать дополнительного, ненужного сетевого трафика.
LDAP имеет несколько специальных символов, зарезервированных для использования API LDAP. Список специальных символов можно найти в различающихся именах. Чтобы использовать один из этих символов в ADsPath без создания ошибки, символ должен предшествовать символу обратной косой черты (\). Это называется экранированием символа. Например, если имя пользователя указано в виде фамилии<>,< имени>, запятой в значении имени должно быть экранировано. Результирующая строка будет выглядеть следующим образом:
LDAP://CN=Smith\,Jeff,CN=users,DC=fabrikam,DC=com
Экранированный символ также можно указать двумя шестнадцатеричными шестнадцатеричными кодами символов. Это показано в следующем примере.
LDAP://CN=Smith\2CJeff,CN=users,DC=fabrikam,DC=com
Непечатаемые символы, такие как возврат канала строки и каретки, должны быть экранированы и указаны в двухзначном шестнадцатеричном коде символов. Это показано в следующем примере.
LDAP://CN=Line\0AFeed,CN=users,DC=fabrikam,DC=com
Дополнительные сведения о различающемся имени, используемом службами каталогов, совместимыми с LDAP, см. в статье https://www.ietf.org/rfc/rfc1779.txt.