我们有第三方工具用于创建AD对象(用户和组)。该工具使用ADSI创建对象,我们不会也不能指定它将写入的DC。因此,它可能会在明天写入DC1和DC2。一切都在复制,所以不用担心。由于复制延迟导致Active Directory查找失败
我们的问题是我们创建组的过程是这样的:
- 发行集团创建于第三方工具。
- 如果成功,则通过LDAP调用在AD中查找组对象(这是一个Java应用程序)以获取SID。 (第三方工具不会返回此)
的问题是,在Java LDAP调用做指定DC执行查找时。假设Java被设置为从DC1读取。如果第三方工具写入DC2,则到DC1的java查找无法找到该组。
AD复制延迟很小,所以如果我们在创建和查找之间添加一个15秒的延迟,那么它可以工作,但它有点难看。
此外,我试图从Java查询所有的DC。这适用于上述示例,但是当我们更新用户或组的属性并立即尝试将其读回时,它仍然具有相同的基本问题。延迟似乎是唯一的工作方法,但似乎应该有一个比这更好的方法。