Users Guide
• 在 iDRAC7 中配置的域控制器地址与目录服务器证书的 Subject(主题)或 Subject Alternative Name(主题备
用名称)不匹配。如果您使用 IP 地址,请阅读下一个问题。如果您使用 FQDN,请确保您使用的是域控制
器(而不是域)的 FQDN。例如 servername.example.com(而不是 example.com)。
即使使用 IP 地址作为域控制器地址,证书验证也会失败。如果解决此问题?
请检查域控制器证书的 Subject(主题)或 Subject Alternative Name(主题备用名称)字段。通常,在域控制器
证书的 Subject(主题)或 Subject Alternative Name(主题备用名称)字段中,Active Directory 使用主机名而不
是 IP 地址。要解决此问题,请执行以下操作:
• 在 iDRAC7 上将域控制器的主机名 (FQDN) 配置为
域控制器地址
,以与服务器证书的主题或主题备用名称匹
配。
• 重新颁发服务器证书以在 Subject(主题)或 Subject Alternative Name(主题备用名称)字段中使用 IP 地
址,从而与在 iDRAC7 中配置的 IP 地址匹配。
• 如果选择信任此域控制器而无需在 SSL 握手过程中验证证书,请禁用证书验证。
当在多域环境中使用扩展架构时,如何配置域控制器地址?
这必须是 iDRAC7 对象所在域中域控制器的主机名 (FQDN) 或 IP 地址。
何时配置 Global Catalog Address(全局编录地址)?
如果您使用标准架构且用户和角色组来自不同的域,则必须填写全局编录地址。在这种情况下,您仅可以使用
Universal Group(通用组)。
如果使用的是标准架构且所有用户和角色组都在相同域中,则不必配置全局编录地址。
如果使用的是扩展架构,则不使用全局编录地址。
标准架构的查询方式是什么?
iDRAC7 先连接到所配置的域控制器地址,如果用户和角色组位于该域中,将保存权限。
如果已配置 Global Controller Address(全局控制器地址),iDRAC7 会继续查询 Global Catalog(全局编录)。如
果从全局编录中检索到附加权限,这些权限会累积。
iDRAC7 始终在 SSL 上使用 LDAP 吗?
是的。所有数据都通过安全端口 636 和/或 3269 进行传输。在测试设置过程中,iDRAC7 仅执行 LDAP CONNECT
(LDAP 连接)以隔离该问题,而不是在非安全连接上执行 LDAP BIND(LDAP 绑定)。
为什么 iDRAC7 默认启用证书验证?
iDRAC7 强制实行强大的安全机制来确保 iDRAC7 连接到的域控制器的身份。如果不实行证书验证,黑客可以欺
骗域控制器并劫持 SSL 连接。在安全区域内,如果您选择信任所有没有证书验证的域控制器,可通过 Web 界
面或 RACADM 将其禁用。
iDRAC7 支持 NetBIOS 名称吗?
此版本不支持。
为什么使用 Active Directory 单一登录或智能卡登录需要四分钟才能登录到 iDRAC7?
Active Directory 单一登录和智能卡登录通常只需要不到 10 秒钟就能完成,但是如果您指定了首选 DNS 服务器
和备用 DNS 服务器,而首选 DNS 服务器已发生故障,则可能需要长达四分钟才能登录。当 DNS 服务器关闭
时,预计会出现 DNS 超时。在这种情况下,iDRAC7 会使用备用 DNS 服务器进行登录。
Active Directory 针对 Windows Server 2008 Active Directory 中存在的域进行配置。该域包含子域,用户和组位于
同一子域中,并且用户是该组的成员。当您尝试使用子域中的用户登录到 iDRAC7 时,Active Directory 单一登
录会失败。
这可能是由于组类型不正确。Active Directory 服务器中包括两种组类型:
• Security(安全) - 安全组允许您管理用户并使用计算机访问共享资源以及筛选组策略设置。
• 分发 - 分发组仅供用于电子邮件分发列表。
231