Users Guide
156 iDRAC6 ディレクトリサービスの使用
Active Directory 証明書の検証
ドメインコントローラのアドレスに IP アドレスを使用していますが、証明書の検証
に失敗しました。何が問題なのでしょうか。
ドメインコントローラ証明書の
サブジェクトまたはサブジェクト代替名
フィー
ルドを確認してください。通常、
Active Directory
はドメインコントローラ証
明書の
件名または代替名
フィールドにドメインコントローラの
IP
アドレスで
はなく、ホスト名を利用します。
次のいずれかの処置を実施することで、問題を解決できます。
•
サーバー証明書のサブジェクトまたはサブジェクト代替名と一致するよう
に、
iDRAC6
で指定する
ドメインコントローラアドレス
にドメインコント
ローラのホスト名(
FQDN
)を設定します。
•
iDRAC6
で設定された
IP
アドレスと一致するように、件名または代替名に
IP
アドレスを使用するようサーバー証明書を再発行します。
•
SSL
ハンドシェイク時に証明書の検証がなくても、このドメインコントロー
ラを信頼する場合は、証明書の検証を無効にします。
iDRAC6 で、証明書の検証がデフォルトで有効になっているのはなぜですか
iDRAC6
は、接続先となるドメインコントローラの身元を確認するために、強
力なセキュリティ対策を実施しています。証明書を検証しないと、ハッカーは
ドメインコントローラになりすまし、
SSL
接続を乗っ取る危険があります。証
明書の検証なしに、自分のセキュリティ境界内のドメインコントローラをすべ
て信頼する場合は、
GUI
または
CLI
を使用して無効にすることもできます。
拡張および標準スキーマ
マルチドメイン環境において拡張スキーマを使用しています。ドメインコントロー
ラのアドレスは、どのように設定すればいいですか
iDRAC6
オブジェクトが存在するドメインにサービスを提供しているドメイン
コントローラのホスト名(
FQDN
)または
IP
アドレスを使用します。
グローバルカタログアドレスを設定する必要はありますか
拡張スキーマを使用している場合、拡張スキーマで使用されないグローバルカ
タログアドレスを設定できません。
標準スキーマを使用し、ユーザーと役割グループが異なるドメインに属する場
合は、グローバルカタログアドレスを設定する必要があります。この場合は、
ユニバーサルグループしか使用できません。
標準スキーマを使用し、すべてのユーザーと役割グループが同じドメインに属
する場合は、グローバルカタログアドレスを設定する必要はありません。