Users Guide
请始终确保组类型为“安全”。您不能使用分发组来在任何对象上分配权限,但是可以使用它们来过滤组策略
设置。
单一登录
SSO 登录在 Windows Server 2008 R2 x64 上失败。需要执行哪些设置才能解决此问题?
1. 为域控制器和域策略运行 technet.microsoft.com/en-us/library/dd560670(WS.10).aspx 中介绍的操作。
2. 配置计算机以使用 DES-CBC-MD5 密码组。
这些设置可能会影响环境中客户端计算机或服务以及应用程序的兼容性。Kerberos 策略允许的配置加密类
型位于 Computer Configuration(计算机配置) → Security Settings(安全设置) → Local Policies(本地策
略) → Security Options(安全选项)下。
3. 请确保域客户端具有更新的 GPO。
4. 在命令行处,键入 gpupdate /force 并使用 klist purge 命令删除旧 Keytab。
5. 更新 GPO 后,创建新的 keytab。
6. 将 keytab 更新到 iDRAC7。
现在可以使用 SSO 登录 iDRAC7。
为什么在 Windows 7 和 Windows Server 2008 R2 上,Active Directory 用户进行单一登录失败?
您必须启用 Windows 7 和 Windows Server 2008 R2 的加密类型。要启用加密类型:
1. 以管理员或具有管理权限的用户身份登录。
2. 转至 Start(开始)并运行 gpedit.msc。随即会显示 Local Group Policy Editor(本地组策略编辑器)窗口。
3. 转至 Local Computer Settings(本地计算机设置) → Windows Settings(Windows 设置) → Security
Settings(安全设置) → Local Policies(本地策略) → Security Options(安全选项)。
4. 右键单击 Network Security: Configure encryption types allowed for kerberos(网络安全:配置 Kerberos 允许
的加密类型)并选择 Properties(属性)。
5. 启用所有选项。
6. 单击 OK(确定)。现在可以使用 SSO 登录 iDRAC7。
对于 Extended Schema(扩展架构),执行以下附加设置:
1. 在 Local Group Policy Editor(本地组策略编辑器)窗口中,导航至 Local Computer Settings(本地计算机设
置) → Windows Settings(Windows 设置) → Security Settings(安全设置) → Local Policies(本地策
略) → Security Options(安全选项)。
2. 右键单击 Network Security: Restrict NTLM: Outgoing NTLM traffic to remote server(网络安全:限制 NTLM:
发往远程服务器的出站 NTLM 通信量)并选择 Properties(属性)。
3. 选择 Allow all(全部允许),单击 OK(确定),然后关闭 Local Group Policy Editor(本地组策略编辑器)
窗口。
4. 转至 Start(开始)并运行 cmd。随即会显示命令提示窗口。
5. 运行命令 gpupdate /force。组策略即会更新。完成后,请关闭命令提示窗口。
6. 转至 Start(开始)并运行 regedit。随即会显示 Registry Editor(注册表编辑器)窗口。
7. 导航至 HKEY_LOCAL_MACHINE → System → CurrentControlSet → Control → LSA。
8. 在右侧窗格中,右键单击并选择 New(新建) → DWORD (32-bit) Value(DWORD [32 位] 值)。
9. 将新注册表项命名为 SuppressExtendedProtection。
10. 右键单击 SuppressExtendedProtection 并单击 Modify(修改)。
11. 在 Value data(值数据)字段中键入 1 并单击 OK(确定)。
12. 关闭 Registry Editor(注册表编辑器)窗口。现在可以使用 SSO 登录 iDRAC7。
232