Ler os LDAPS de compensação de carga para a pasta activa, usando o 'bind' simples

Está correcto na sua compreensão. O artigo que você cita está falando com a autenticação Kerberos / NTLM para aplicações" AD-integrated". Autenticar para AD via LDAP é uma questão diferente. Eu apoio uma organização de tamanho médio (15k account) e tenho muitas aplicações autenticando para o anúncio via LDAP sobre SSL através de um IP virtual balanceado de carga. O único "gotcha" é que o certificado de cada controlador de domínio precisa incluir um SAN (nome alternativo do assunto) para o nome da máquina que você atribui para o load balancer VIP. Não todos os os clientes LDAP que se preocupar com a validação do certificado (ou, em vez disso, alguns clientes LDAP permite ignorar os erros de certificado), mas você vai gastar muito menos tempo de resolução de problemas "LDAP problemas" que são realmente de confiança negociação problemas se você usar um válido-para-o-seu-org certificado (isto pode significar um público cert fornecedor, incluindo o Vamos Criptografar livre de certs ... embora não saiba que gostaria de renovar as minhas certs de Washington a cada 90 dias, ou pode significar um CA interno que é confiado por todos os computadores da sua org) com o nome da máquina de DC e carregar o nome da máquina do endereço balancer associado a ele.