Users Guide
常见问题
表 7-9 列出了有关将 CMC 用于 Active Directory 的常见问题与解答。
表 7-9. 将 CMC 用于 Active Directory:常见问题
配置单一登录
Microsoft
®
Windows
®
2000、Windows XP、Windows Server
®
2003、Windows Vista
®
和 Windows Server 2008 可以使用网络验证协议 Kerberos 作为验证方法,使已
经登录到域的用户可以自动或单次登录到 Exchange 等随后的应用程序。
从 CMC 版本 2.10 开始,CMC 可以使用 Kerberos 支持其它两种类型的登录机制 — 单一登录和 Smart Card 登录。对于单一登录,CMC 使用客户端系统的凭据,您使用有效的
Active Directory
®
帐户登录之后操作系统就会高速缓存这些凭据。
系统要求
问题
解答
我能否使用 Active Directory 跨越多个树登录 CMC?
可以。CMC 的 Active Directory 查询算法支持单个目录林中的多个树。
使用 Active Directory 登录到 CMC 的操作是否可以在混合模式下进行(也就是说,目
录林中的域控制器运行着不同的操作系统,比如 Microsoft Windows®2000 或
Windows Server®2003)?
可以。在混合模式中,CMC 查询过程使用的所有对象(比如用户、RAC 设备对象和关联对
象)都必须处于同一域中。
如果处于混合模式,Dell 扩展的 Active Directory 用户和计算机管理单元将会检查模式并限
制用户以跨多个域创建对象。
配合使用 CMC 和 Active Directory 是否支持多个域环境?
可以。域目录林功能级别必须处在本机 (Native) 或 Windows 2003 模式。此外,关联对
象、RAC 用户对象和 RAC 设备对象(包括关联对象)的组都必须是通用组。
这些 Dell 扩展的对象(Dell 关联对象、Dell RAC 设备和 Dell 权限对象)是否可以位于
不同的域?
关联对象和权限对象必须位于相同的域。Dell 扩展的 Active Directory 用户和计算机管理单
元强制您在相同的域中创建这两个对象。其它对象可以位于不同的域。
域控制器 SSL 配置是否有任何限制?
可以。目录林中用于 Active Directory 服务器的所有 SSL 认证都必须由相同的根认证机构
签发的认证签名,因为 CMC 只允许上载一个可信认证机构签发的 SSL 认证。
我创建并上载了一个新 RAC 证书,然而现在 Web 界面不启动。
如果使用 Microsoft Certificate Services 生成 RAC 认证,则您可能在创建认证时不小心
选择了User Certificate”(用户认证),而不是Web Certificate”(Web 认证)。
要进行恢复,请生成 CSR,然后从 Microsoft Certificate Services 创建新的 Web 证书
并使用以下 RACADM 命令进行上载:
racadm sslcsrgen [-g]
[-f {filename}]
racadm sslcertupload -t 1 -f {web_sslcert}
如果不能使用 Active Directory 验证方法登录到 CMC,应该怎么办?我如何排除这个问
题?
1. 确保在登录期间使用正确的用户域名,而不是 NetBIOS 名称。
2. 如果具有本地 CMC 用户帐户,请使用本地凭据登录 CMC。
登录后,执行以下步骤:
a. 确保已选中 CMC Active Directory 配置页上的Enable Active
Directory”(启用 Active Directory) 复选框。
b. 确保 CMC 联网配置页上的 DNS 设置正确。
c. 确保已从 Active Directory 根认证机构签发的认证将 Active Directory 认
证上载到 CMC。
d. 检查域控制器 SSL 证书以确保没有过期。
e. 确保 CMC 名称、Root 域名和 CMC 域名与 Active Directory 环境配置匹
配。
f. 确保 CMC 密码最多有 127 个字符。虽然 CMC 可以支持多达 256 个字符
的密码,但 Active Directory 只支持最大长度为 127 个字符的密码。
注: 选择登录方法不会设置与诸如 SSH 等其它登录界面相关的策略属性。您还必须设置其它登录界面的其它策略属性。如果您要禁用所有其它登录界面,请导航至Services”(服
务)页并禁用所有(或某些)登录界面。