Users Guide
问题是什么以及如何修复?
如果启用证书验证,则 iDRAC6 在与目录服务器建立 SSL 连接时会使用上载的 CA 证书验证目录服务器证书。证书验证失败的最常见原因是:
l iDRAC6 日期不在服务器证书或 CA 证书的有效期内。检查 iDRAC6 时间和证书的有效期。
l iDRAC 中配置的域控制器地址与目录服务器证书的主题或主题备用名称不相符。
¡ 如果您使用 IP 地址,请参阅“我使用域控制器地址的 IP 地址且不能通过证书验证。是什么问题?”。
¡ 如果您使用 FQDN,请保证您使用域控制器的 FQDN 而不是域本身。例如,使用 servername.example.com,而
不是
example.com。
如果不能使用 Active Directory 登录到 iDRAC6,应检查什么?
首先用检测设置功能诊断问题。有关说明,请参阅“我的 Active Directory 登录失败。我应该怎么做?”。
然后,解决检测结果所指明的具体问题。有关详情,请参阅“检测配置”。
本节解释最常见的问题。但一般来说,您应检查如下内容:
1. 确保在登录期间使用正确的用户域名,而不是 NetBIOS 名称。
2. 如果具有本地 iDRAC6 用户帐户,请使用本地凭据登录 iDRAC6。
3. 检查以下设置:
a. 导航至“Active Directory Configuration and Management”( Active Directory 配置与管理)屏幕。选择“System”(系统)® “Remote Access”(远 程
访问)® iDRAC6,单击“Network/ Security”(网络/安全性)选项卡,然后单击 Active Directory 子选项卡。
b. 确保在“Step 2 of 4 Active Directory Configuration and Management”(Active Directory 配置与管理第 2 步,共 4 步)页中选中“Active
Directory Enabled”(启用 Active Directory)复选框。
c. 如果已启用证书验证,确保已将正确的 Active Directory 根 CA 证书上载到 iDRAC6。此证书在“Current Active Directory CA Certificate”(当前 Active
Directory CA 证书)区域中显示。确保 iDRAC6 时间在 CA 证书的有效期内。
d. 如果使用扩展架构,则确保 iDRAC6 名称和 iDRAC6 域名与 Active Directory 环境配置相符。
如果使用标准架构,则确保组名称和组域与 Active Directory 配置相符。
e. 导航至“Network”(网络)屏幕。选择“System”(系统 ) ® “Remote Access”(远程访问)® iDRAC6 ® “Network/Security”(网络/安全性)
® “Network”(网络)。
确保 DNS 设置正确。
f. 检查域控制器 SSL 证书以确保 iDRAC6 时间在证书的有效期内。
Active Directory 证书验证
我使用域控制器地址的 IP 地址且不能通过证书验证。是什么问题?
检查域控制器证书的“Subject”(主题)或“Subject Alternative Name”(主题备用名称)字段。通常 Active Directory 在域控制器证书的“Subject”(主题)或“Subject
Alternative Name”(主题备用名称)字段使用域控制器的主机名而不是 IP 地址。您可通过以下措施解决此问题:
l 在 iDRAC6 上将域控制器的主机名 (FQDN) 配置为
域控制器地址
,以与服务器证书的主题或主题备用名称相符。
l 重新签发服务器证书,使用在“Subject”(主题)或“Subject Alternative Name”(主题备用名称)字段中的 IP 地址,以便与 iDRAC6 中配置的 IP 地址相符。
l 如果选择信任此域控制器而无需在 SSL 握手过程中验证证书,请禁用证书验证。
为什么 iDRAC6 默认启用证书验证?
iDRAC6 执行严格的安全策略以确保其所连接域控制器的身份。如果不验证证书,黑客可欺骗域控制器和劫持 SSL 连接。如果您选择信任您安全边界内的所有域控制器而无需验证证书,您
可通过 GUI 或 CLI 将其禁用。
扩展架构和标准架构
我在多域环境中使用扩展架构。我该如何配置域控制器地址?
使用 iDRAC6 对象所在域中域控制器的主机名称 (FQDN) 或 IP 地址。