Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.0

381

382

383

384

385

386

387

388

389

390

ERROR（エラー）: Can't contact LDAP server（LDAP サーバーと通信できません）, error（エラー）:14090086:SSL routines（SSL ルーチ

ン）:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed（証明書の検証に失敗しました）: Please check the correct Certificate Authority (CA) certificate has been

uploaded to iDRAC（iDRAC に正しい認証局（CA）証明書がアップロードされていることを確認してください。） iDRAC の日付が証明書の有効期限内であること、そして iDRAC で設定されたドメイン

コントローラのアドレスがディレクトリサーバーの証明書の件名と一致するか確認してください。

問題は何ですか。また、どのように修復できますか。

証明書の検証が有効になっている場合、iDRAC6 がディレクトリサーバーとの SSL 接続を確立したときに、iDRAC6 はアップロードされた CA 証明書を使用してディレクトリサーバーの証明書を検証し

ます。認証の検証を失敗する最も一般的な理由として、次が挙げられます。



1. iDRAC6 の日付がサーバー証明書または CA 証明書の有効期限内ではない。証明書の iDRAC6 の日付と有効期限を確認してください。



2. iDRAC6 で設定されたドメインコントローラのアドレスがディレクトリサーバー証明書の件名または代替名と一致しない。IP アドレスを使用している場合、次の質問と回答をお読みください。

FQDN を使用している場合、ドメインではなく、ドメインコントローラの FQDN を使用していることを確認してください。たとえば、 example.com ではなく、servername.example.com 。

ドメインコントローラのアドレスに IP アドレスを使用していますが、証明書の検証に失敗します。問題は何ですか。

ドメインコントローラ証明書の件名または代替名フィールドを確認してください。通常、Active Directory はドメインコントローラ証明書の件名または代替名フィールドにドメインコントローラの IP アド

レスではなく、ホスト名を利用します。この問題は複数の方法で修復できます。



1. サーバー証明書の件名または代替名と一致するように、iDRAC6 で指定するドメインコントロールアドレスにドメインコントローラのホスト名（FQDN）を設定します。



2. iDRAC6 で設定された IP アドレスと一致するように、件名または代替名に IP アドレスを使用するようサーバー証明書を再発行します。



3. SSL ハンドシェイク時に証明書の検証がなくとも、このドメインコントローラを信頼する場合は、証明書の検証を無効にします。

マルチドメイン環境において、拡張スキーマを使用していますが、ドメインコントローラのアドレスはどのように設定すればよいですか。

iDRAC6 オブジェクトが属するドメインのドメインコントローラのホスト名（FQDN）または IP アドレスを使用します。

いつグローバルカタログアドレスを設定する必要はありますか。

拡張スキーマを使用している場合、グローバルカタログアドレスは使用されません。

標準スキーマを使用し、ユーザーとロールグループが異なるドメインに属する場合は、グローバルカタログアドレスを設定する必要があります。この場合、ユニバーサルグループのみを利用できます。

標準スキーマを使用し、すべてのユーザーとロールグループが同じドメインに属する場合は、グローバルカタログアドレスを設定する必要はありません。

標準スキーマクエリはどのように動作しますか。

iDRAC6 はまず設定されたドメインコントローラアドレスに接続し、ユーザーと役割グループが同ドメインに属する場合、権限が保存されます。

グローバルコントローラアドレスが設定されている場合、iDRAC6 は継続してグローバルカタログをクエリします。グローバルカタログから追加の権限が取得された場合、これらの権限は上乗せされま

す。

iDRAC6 は、常に LDAP オーバー SSL を使用しますか。

はい。すべての伝送は、636 および/または 3269 のセキュアポートを介して行われます。

設定のテストにおいて、iDRAC6 は問題を特定するためにのみ、LDAP CONNECT を行いますが、安全ではない接続において、LDAP BIND を行いません。

iDRAC6 で、証明書の検証がデフォルトで有効になっているのはなぜですか。

iDRAC6 は、接続先となるドメインコントローラの身元を確認するために、強力なセキュリティ対策を実施しています。証明書を検証しない場合、ハッカーはドメインコントローラになりすまし、SSL 接続を

乗っ取ることも可能です。証明書の検証を行わなくても、自身のセキュリティ境界に属するすべてのドメインコントローラを信頼する場合は、GUI または CLI を介して無効にしても構いません。

iDRAC6 は NetBIOS 名をサポートしていますか。

本リリースでは、サポートされていません。

Active Directory を使用して iDRAC6 にログインできない場合は、何を確認すればいいですか。

iDRAC6 ウェブインタフェースの Active Directory 設定と管理ページの下の設定のテストをクリックすることで、問題を診断できます。次に、テスト結果で特定される問題を修正しま

す。詳細については、「設定のテスト」を参照してください。

本項では、最もよくある問題が説明されます。一般的に、以下の事項を確認してください。



1. ログインに NetBIOS 名でなく、正しいユーザードメイン名が使用されていることを確認します。



2. ローカル iDRAC6 ユーザーアカウントがある場合は、ローカルの資格情報を使用して iDRAC6 にログインします。

ログインした後、以下を行います。

a. iDRAC6 Active Directory 設定と管理ページにある Active Directory を有効にするボックスが選択されているのを確認します。

b. iDRAC6 ネットワーク設定ページの DNS 設定が正しいことを確認します。

c. 証明書の検証を有効にした場合、iDRAC6 に正しい Active Directory ルート CA 証明書がアップロードされていることを確認します。iDRAC6 の時刻が CA 証明書の有効期限内で

あることを確認します。

d. 拡張スキーマを使用している場合は、iDRAC6 名と iDRAC6 ドメイン名がご利用の Active Directory 環境設定と一致していることを確認します。