Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.0

381

382

383

384

385

386

387

388

389

390

置 Active Directory）以更改配置并再次运行检测，直到检测用户通过验证步骤为止。

我启用了证书验证，但我的 Active Directory 登录失败了。我从 GUI 运行诊断，检测结果显示以下错误信息：

ERROR（错误）：Can't contact LDAP server（不能联系 LDAP 服务器），error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed（证书

验证失败）：Please check the correct Certificate Authority (CA) certificate has been uploaded to iDRAC（请检查正确的认证机构 (CA) 证书是否已上载到 iDRAC）。另请检

查 iDRAC 日期是否在证书有效期内，且 iDRAC 中配置的域控制器地址是否与目录服务器证书的主题相符。

可能出现了什么问题，我应该如何解决？

如果启用证书验证，则 iDRAC6 在与目录服务器建立 SSL 连接时会使用上载的 CA 证书验证目录服务器证书。证书验证失败的最常见原因是：



1. iDRAC6 日期不在服务器证书或 CA 证书的有效期内。请检查 iDRAC6 时间和证书的有效期。



2. iDRAC 中配置的域控制器地址与目录服务器证书的主题或主题替代名称不相符。如果使用的是 IP 地址，请阅读以下问题和解答。如果使用的是 FQDN，请确保使用的是域控制器的

FQDN，而不是域的 FQDN，例如，是 servername.example.com，而不是 example.com。

我使用域控制器地址的 IP 地址且不能通过证书验证。问题在哪里？

请检查域控制器证书的"Subject"（主题）或"Subject Alternative Name"（主题备用名称）字段。通常 Active Directory 在域控制器证书的"Subject"（主题）或"Subject

Alternative Name"（主题备用名称）字段中使用域控制器的主机名而不是 IP 地址。可以使用多种方法解决此问题：



1. 在 iDRAC6 上将域控制器的主机名称 (FQDN) 配置为

域控制器地址

，以与服务器证书的主题或主题替代名称相符。



2. 重新颁发服务器证书以在"Subject"（主题）或"Subject Alternative Name"（主题备用名称）字段中使用 IP 地址，从而与在 iDRAC6 中配置的 IP 地址匹配。



3. 禁用证书验证，如果您选择信任此域控制器且在 SSL 握手中无需证书验证。

我目前在多域环境中使用扩展架构，我该如何配置域控制器地址？

这应该是 iDRAC6 对象所在域中域控制器的主机名 (FQDN) 或 IP 地址。

何时需要配置全局编录地址？

如果使用的是扩展架构，则不使用全局编录地址。

如果使用的是标准架构且用户和角色组来自不同的域，则必须配置全局编录地址。在此情况下，仅可使用通用组。

如果使用的是标准架构且所有用户和所有角色组都在相同域中，则不要求配置全局编录地址。

标准架构的查询方式是什么？

iDRAC6 先连接到所配置的域控制器地址，如果用户和角色组位于该域，将保存权限。

如果配置了全局控制器地址，则 iDRAC6 会继续查询全局编录。如果从全局编录中检索到其它权限，则会累积这些权限。

iDRAC6 总在 SSL 上使用 LDAP 吗？

是。所有传输都通过安全端口 636 和/或 3269。

在

测试设置

中，iDRAC6 进行 LDAP CONNECT 仅是为了找出问题，而不是对不安全的连接进行 LDAP BIND。

为什么 iDRAC6 默认启用证书验证？

iDRAC6 执行严格的安全策略以确保其所连接域控制器的身份。如果无证书验证，黑客可欺骗域控制器和劫持 SSL 连接。如果您选择信任您安全边界内的所有域控制器而无需证书验证，您

可通过 GUI 或 CLI 将其禁用。

iDRAC6 支持 NetBIOS 名称吗？

此版本不支持。

如果不能使用 Active Directory 登录到 iDRAC6，应检查什么？

可以在 iDRAC6 基于 Web 的界面中的"Active Directory Configuration and Management"（Active Directory 配置和管理）页底部单击"Test Settings"（检测设

置），从而诊断问题。然后，可以解决检测结果指明的具体问题。有关详情，请参阅"测试您的配置"。

本节说明了多数常见问题，但一般而言，您应检查以下各项：



1. 确保在登录期间使用正确的用户域名，而不是 NetBIOS 名称。



2. 如果具有本地 iDRAC6 用户帐户，请使用本地凭据登录 iDRAC6。

登录后：

a. 确保已选中 iDRAC6 的"Active Directory Configuration and Management"（Active Directory 配置和管理）页上的"Enable Active Directory"（启用

Active Directory）框。

b. 确保 iDRAC6 网络配置页上的 DNS 设置正确。