Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.5

151

152

153

154

155

156

157

158

159

160

racadm config -g cfgldap -o cfgLdapBindDN "cn=idrac_admin,ou=iDRAC_admins,ou=People,dc=common,dc=com"

racadm config -g cfgldap -o cfgLdapBindPassword password

关于 Active Directory 的常见问题

我的 Active Directory 登录失败。我该如何排除此问题？

iDRAC6 在基于 Web 的界面中提供了一个诊断工具。从基于 Web 的界面以拥有管理员权限的本地用户身份登录。单击"Remote Access"（远程访问）

®"Network/Security"（网络/安全性）选项卡 ®"Directory Service"（目录服务）® Microsoft Active Directory。滚动到"Active Directory Configuration and

Management"（Active Directory 配置和管理）页底部，然后单击"Test Settings"（检测设置）。输入检测用户名和密码，然后单击"Start Test"（开始检测）。iDRAC6 会逐

步运行检测并显示每个步骤的结果。还会记录详细的检测结果，以帮助您解决问题。返回"Active Directory Configuration and Management"（Active Directory 配置和管理）

页：滚动到页面底部，然后单击"Configure Active Directory"（配置 Active Directory）以更改配置并再次运行检测，直到检测用户通过授权步骤为止。

我启用了证书验证，但我的 Active Directory 登录失败了。我从 GUI 运行诊断，检测结果显示以下错误信息：

ERROR: Can't contact LDAP server, error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check the correct

Certificate Authority (CA) certificate has been uploaded to iDRAC.（错误：不能联系 LDAP 服务器，错误：14090086：SSL 例程：

SSL3_GET_SERVER_CERTIFICATE：证书验证失败：请检查正确的认证机构 (CA) 证书是否已上载到 iDRAC。）另请检查 iDRAC 日期是否在证书有效期内，且

iDRAC 中配置的域控制器地址是否与目录服务器证书的主题相符。

可能出现了什么问题，我应该如何解决？

如果启用证书验证，则 iDRAC6 在与目录服务器建立 SSL 连接时会使用上载的 CA 证书验证目录服务器证书。证书验证失败的最常见原因是：



1. iDRAC6 日期不在服务器证书或 CA 证书的有效期内。请检查 iDRAC6 时间和证书的有效期。



2. 在 iDRAC6 中配置的域控制器地址与目录服务器证书的主题或主题备用名称不相符。如果使用的是 IP 地址，请阅读以下问题和解答。如果使用的是 FQDN，请确保使用的是域控制

器的 FQDN，而不是域的 FQDN，例如，是 servername.example.com，而不是 example.com。

我使用 IP 地址作为域控制器地址，未能通过证书验证。问题在哪里？

检查域控制器证书的"Subject"（主题）或"Subject Alternative Name"（主题备用名称）字段。通常，Active Directory 在域控制器证书的"Subject"（主题）或"Subject

Alternative Name"（主题备用名称）字段中使用域控制器的主机名，而不是 IP 地址。可以使用多种方法解决此问题：



1. 在 iDRAC6 上将域控制器的主机名 (FQDN) 配置为

域控制器地址

，以与服务器证书的主题或主题备用名称相符。



2. 重新颁发服务器证书以在"Subject"（主题）或"Subject Alternative Name"（主题备用名称）字段中使用 IP 地址，从而与在 iDRAC6 中配置的 IP 地址匹配。



3. 如果选择信任此域控制器而无需在 SSL 握手过程中验证证书，请禁用证书验证。

我在多域环境中使用扩展架构。我该如何配置域控制器地址？

这应该是 iDRAC6 对象所在域中域控制器的主机名 (FQDN) 或 IP 地址。

何时需要配置全局编录地址？

如果使用的是扩展架构，则不使用全局编录地址。

如果使用的是标准架构且用户和角色组来自不同的域，则必须配置全局编录地址。在此情况下，仅可使用通用组。

如果使用的是标准架构且所有用户和所有角色组都在相同域中，则不必配置全局编录地址。

标准架构的查询方式是什么？

iDRAC6 先连接到所配置的域控制器地址，如果用户和角色组位于该域，将保存权限。

如果配置了全局控制器地址，则 iDRAC6 会继续查询全局编录。如果从全局编录中检索到其它权限，则会累积这些权限。

iDRAC6 总在 SSL 上使用 LDAP 吗？

是。所有传输都通过安全端口 636 和/或 3269。

在

检测设置

过程中，iDRAC6 仅执行 LDAP CONNECT 操作以便隔离问题，而不会对不安全的连接执行 LDAP BIND 操作。

为什么 iDRAC6 默认启用证书验证？

iDRAC6 执行严格的安全策略以确保其所连接域控制器的身份。如果不验证证书，黑客可欺骗域控制器和劫持 SSL 连接。如果您选择信任您安全边界内的所有域控制器而无需验证证书，您

可通过 GUI 或 CLI 将其禁用。

iDRAC6 支持 NetBIOS 名称吗？

此版本不支持。

注：将 iDRAC6 配置为使用域名服务器，用于解析 iDRAC6 配置为在 LDAP 服务器地址中使用的 LDAP 服务器主机名。主机名必须匹配 LDAP 服务器证书中的 "CN"

或"Subject"（主题）。