Users Guide
証明書の検証が有効の場合、iDRAC7 がディレクトリ サーバーとの SSL 接続を確立すると、iDRAC7 はアップ
ロードされた CA 証明書を使用してディレクトリサーバー証明書を検証します。証明書の検証に失敗する主
な理由は次のとおりです。
• iDRAC7 の日付がサーバー証明書または CA 証明書の有効期間内ではない。iDRAC7 の日付と証明書の有効
期間を確認してください。
• iDRAC7 で設定されたドメインコントローラアドレスがディレクトリサーバー証明書のサブジェクトまた
はサブジェクト代替名と一致しない。IP アドレスを使用している場合は、次の質問をご覧ください。
FQDN を使用している場合は、ドメインではなく、ドメインコントローラの FQDN を使用していることを
確認します。たとえば、example.com ではなく、servername.example.com を使用します。
IP アドレスをドメインコントローラアドレスとして使用しても証明書の検証に失敗します。どのように解決
すればよいですか?
ドメインコントローラ証明書のサブジェクトフィールドまたはサブジェクト代替名フィールドを確認しま
す。通常、
Active Directory は、ドメインコントローラ証明書のサブジェクトフィールドまたはサブジェクト
代替名フィールドには、ドメインコントローラの IP アドレスではなく、ホスト名を使用します。これを解決
するには、次の手順のいずれかを実行します。
• サーバー証明書のサブジェクトまたはサブジェクト代替名と一致するように、iDRAC7 でドメインコント
ローラのホスト名(FQDN)を
ドメインコントローラアドレス
として設定します。
• iDRAC7 で設定された IP アドレスと一致する IP アドレスをサブジェクトフィールドまたはサブジェクト
代替名フィールドで使用するようにサーバー証明書を再発行します。
• SSL ハンドシェイク中の証明書の検証なしでドメインコントローラを信頼することを選択した場合は、証
明書の検証を無効にします。
複数ドメイン環境で拡張スキーマを使用している場合は、ドメインコントローラアドレスをどのように設定
しますか?
このアドレスは、iDRAC7 オブジェクトが属するドメイン用のドメインコントローラのホスト名(FQDN)また
は IP アドレスである必要があります。
グローバルカタログアドレスを設定するのはいつですか?
標準スキーマを使用しており、ユーザーおよび役割グループが異なるドメインに属する場合は、グローバル
カタログアドレスが必要です。この場合、ユニバーサルグループのみを使用できます。
標準スキーマを使用し、すべてのユーザーおよび役割グループが同じドメインに属する場合は、グローバル
カタログアドレスは必要はありません。
拡張スキーマを使用している場合、グローバルカタログアドレスは使用されません。
標準スキーマクエリの仕組みを教えてください。
iDRAC7 は、まず設定されたドメインコントローラアドレスに接続し、ユーザーおよび役割グループがそのド
メインにある場合は、権限が保存されます。
グローバルコントローラアドレスが設定されている場合、iDRAC7 はグローバルカタログのクエリを続行しま
す。グローバルカタログから追加の権限が検出された場合、これらの権限は蓄積されます。
iDRAC7 は、常に LDAP over SSL を使用しますか?
はい。すべての転送は、安全なポート 636 および 3269 の両方またはいずれか一方を使用して行われます。テ
スト設定では、iDRAC7 は問題を分離するためだけに LDAP 接続を行います。安全ではない接続で LDAP バイン
ドを実行することはありません。
iDRAC7 で、証明書の検証がデフォルトで有効になっているのはなぜですか?
iDRAC7 は、iDRAC7 が接続するドメインコントローラの ID を保護するために強力なセキュリティを施行しま
す。証明書の検証なしでは、ハッカーがドメインコントローラを偽造し、SSL 接続を乗っ取ることが可能に
なります。証明書の検証を行わずにセキュリティ境界内のすべてのドメインコントローラを信頼することを
選択する場合、これはウェブインタフェースまたは
RACADM から証明書の検証を無効にできます。
iDRAC7 は NetBIOS 名をサポートしていますか?
249