Users Guide
CA 证书)区域。确保 iDRAC6 时间在 CA 证书的有效期内。
d. 如果使用扩展架构,请确保"iDRAC Name"(iDRAC 名称) 和"iDRAC Domain Name"(iDRAC 域名)与 Active Directory 环境配置相匹配。
如果使用标准架构,请确保"Group Name"(组名称) 和"Group Domain Name"(组 域名)与 Active Directory 配置相匹配。
e. 导航至"Network Configuration"(网络配置)屏幕。选择"System"(系统) ® "Remote Access"(远程访问)® iDRAC,然后单击"Network/Security"(网
络/安全性)。
确保 DNS 设置是正确的。
f. 检查域控制器 SSL 证书,确保 iDRAC6 时间在证书的有效期内。
Active Directory 证书验证
针对域控制器地址,我使用的是 IP 地址,但在进行证书验证时失败。这是什么问题?
检查域控制器证书的"Subject"(主题)或"Subject Alternative Name"(主题备用名称)字段。通常,Active Directory 在域控制器证书的"Subject"(主题)或"Subject
Alternative Name"(主题备用名称)字段使用的是域控制器的主机名而不是 IP 地址。可采取以下任何措施来解决此问题:
l 将域控制器的主机名 (FQDN) 配置为 iDRAC6 上的域控制器地址,从而与服务器证书的主题或主题备用名称相匹配。
l 重新颁发服务器证书以在"Subject"(主题)或"Subject Alternative Name"(主题备用名称)字段中使用 IP 地址,从而与在 iDRAC6 中配置的 IP 地址匹配。
l 如果选择信任此域控制器而无需 SSL 握手过程中的证书验证,请禁用证书验证。
为什么默认情况下 iDRAC6 启用证书验证?
iDRAC6 要实施强安全性以确保 iDRAC6 连接的域控制器的身份。如果没有证书验证,黑客可能欺骗域控制器并劫持 SSL 连接。如果选择信任安全边界内的所有域控制器而不采用证书验
证,则可通过 GUI 或 CLI 禁用证书验证。
扩展架构和标准架构
我在多域环境中使用扩展架构。我应该如何配置域控制器地址?
使用向 iDRAC6 对象所在域提供服务的域控制器的主机名 (FQDN) 或 IP 地址。
我需要配置全局编录地址吗?
如果使用扩展架构,您将无法配置全局编录地址,因为这种地址不能用于扩展架构。
如果使用标准架构,并且用户和角色组来自不同的域,则必须配置全局编录地址。在这种情况下,只能使用通用组。
如果使用标准架构,并且所有用户和所有角色组位于同一个域,则不必配置全局编录地址。
标准架构查询的工作原理是怎样的?
iDRAC6 先连接到所配置的域控制器地址。如果用户和角色组位于该域中,则保存权限。
如果配置了全局控制器地址,则 iDRAC6 将继续查询全局编录。如果从全局编录中检索到其它权限,则累积这些权限。
其它
iDRAC6 总是使用 SSL 上的 LDAP (LDAP over SSL)?
是。所有传输都是通过安全端口 636 和/或 3269 进行。
在检测设置期间,iDRAC6 只建立 LDAP 连接来帮助隔离问题,而不会在不安全连接上进行 LDAP 绑定。
iDRAC6 支持 NetBIOS 名称吗?