Поскольку у Вас есть это много машин, кажется разумным предположить, что Вы - использование домен AD, в этом случае можно продвинуть сертификаты с помощью Объектов Групповой политики. Существуют многочисленные статьи, описывающие шаги, такие как этот от Technet.
Я далек от того, чтобы быть специалистом по LDAP, но согласно mod_authnz_ldap docs , вы должны указать LDAP-сервер аварийного переключения в директиве AuthLDAPUrl вроде этого
AuthLDAPURL "ldap://ldap1.airius.com ldap2.airius.com/ou=People, o=Airius"
Вы не можете установить разные фильтры для отработки отказа. Аварийное переключение должно быть зеркалом основного сервера для обслуживания тех же данных.
То, что сказал Кристофер Перрин, но также тайм-аут по умолчанию составляет десять секунд, который вы, возможно, захотите сократить, чтобы вы «быстро терпели неудачу», и люди быстрее получали ответ.