Users Guide
1. iDRAC6 日期不在服务器证书或 CA 证书的有效期内。请检查 iDRAC6 时间和证书的有效期。
2. iDRAC 中配置的域控制器地址与目录服务器证书的主题或主题备用名称不相符。如果使用的是 IP 地址,请阅读以下问题和解答。如果使用的是 FQDN,请确保使用的是域控制器的
FQDN,而不是域的 FQDN,例如,是 servername.example.com,而不是 example.com。
我使用域控制器地址的 IP 地址且不能通过证书验证。 问题在 哪 里?
检查域控制器证书的主题或主题替代名称字段。通常 Active Directory 在域控制器证书的"Subject"(主题)或"Subject Alternative Name"(主题备用名称)字段中使用域控制器的主
机名而不是 IP 地址。可以使用多种方法解决此问题:
1. 在 iDRAC6 上将域控制器的主机名称 (FQDN) 配置为
域控制器地址
,以与服务器证书的主题或主题备用名称相符。
2. 重新颁发服务器证书以在"Subject"(主题)或"Subject Alternative Name"(主题备用名称)字段中使用 IP 地址,从而与在 iDRAC6 中配置的 IP 地址匹配。
3. 如果选择信任此域控制器而无需在 SSL 握手过程中验证证书,请禁用证书验证。
我在多域环境中使用扩展架构。我该如何配置域控制器地址?
这应该是 iDRAC6 对象所在域中域控制器的主机名 (FQDN) 或 IP 地址。
何时需要配置全局编录地址?
如果使用的是扩展模式,则不使用全局编录地址。
如果使用的是标准模式且用户和角色组来自不同的域,则必须配置全局编录地址。在此情况下,仅可使用通用组。
如果使用的是标准模式且所有用户和所有角色组都在相同域中,则不要求配置全局编录地址。
标准模式的查询方式是什么?
iDRAC6 先连接到所配置的域控制器地址,如果用户和角色组位于该域,将保存权限。
如果配置了全局控制器地址,则 iDRAC6 会继续查询全局编录。如果从全局编录中检索到其它权限,则会累积这些权限。
iDRAC6 总在 SSL 上使用 LDAP 吗?
可以。所有传输都通过安全端口 636 和/或 3269。
在
检测设置
期间,iDRAC6 执行 LDAP CONNECT 操作仅是为了找出问题,而不会对不安全的连接执行 LDAP BIND 操作。
为什么 iDRAC6 默认启用证书验证?
iDRAC6 执行严格的安全策略以确保其所连接域控制器的身份。如果不验证证书,黑客可欺骗域控制器和劫持 SSL 连接。如果您选择信任您安全边界内的所有域控制器而无需证书验证,您
可通过 GUI 或 CLI 将其禁用。
iDRAC6 支持 NetBIOS 名 称 吗 ?
此版本不支持。
如果不能使用 Active Directory 登录到 iDRAC6,应检查什么?
可以在 iDRAC6 基于 Web 的界面中的"Active Directory Configuration and Management"(Active Directory 配置和管理)页底部单击"Test Settings"(检测设置),从而诊断
问题。然后根据测试结果修复具体问题。有关详情,请参阅"检测配置"。
本节说明了多数常见问题,但一般而言,您应检查以下各项:
1. 确保在登录期间使用正确的用户域名,而不是 NetBIOS 名称。
2. 如果具有本地 iDRAC6 用户帐户,请使用本地凭据登录 iDRAC6。
登录后:
a. 确保已选中 iDRAC6 的"Active Directory Configuration and Management"(Active Directory 配置和管理)页上的"Enable Active Directory"(启用
Active Directory)框。
b. 确保 iDRAC6 网络配置页上的 DNS 设置正确。
c. 如果启用了证书验证,请确保已将正确的 Active Directory 根 CA 证书上载到 iDRAC6。确保 iDRAC6 时间在 CA 证书的有效期内。
d. 如果使用扩展模式,则确保 iDRAC6 名称 和 iDRAC6 域名与 Active Directory 环境配置相符。
如果使用标准模式,则确保组名称和组域名与 Active Directory 配置相符。
3. 检查域控制器 SSL 证书以保证 iDRAC6 时间在证书的有效期内。
目录