Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.5

151

152

153

154

155

156

157

158

159

160

racadm config -g cfgldaprolegroup -i 1 -o cfgLdapRoleGroupPrivilege 0x0001

Zeigen Sie die Einstellungen unter Verwendung der nachstehenden Befehle an

racadm getconfig -g cfgldap

racadm getconfig -g cfgldaprolegroup -i 1

VerwendenSieRACADM,umzuprüfen,obdieAnmeldungmöglichist

racadm -r <iDRAC6–IP> -u user.1 -p password getractime

ZusätzlicheEinstellungenzumTestenderOptionBindDN

racadm config -g cfgldap -o cfgLdapBindDN "cn=idrac_admin,ou=iDRAC_admins,ou=People,dc=common,dc=com"

racadm config -g cfgldap -o cfgLdapBindPassword password

HäufiggestellteFragenzuActiveDirectory

Meine Active Directory-Anmeldung ist gescheitert. Wie kann ich dieses Problem beheben?

iDRAC6bietetüberdieWebschnittstelleeinDiagnoseprogramman.MeldenSiesichaufderWebschnittstellealslokalerBenutzermitAdministratorrechtenan.

Klicken Sie auf Remote-Zugriff® Register Netzwerk/Sicherheit ® Verzeichnisdienst® Microsoft Active Directory. Verwenden Sie den Bildlauf, um an den

unteren Rand der Seite Active Directory-Konfiguration und Verwaltungzu gelangen, und klicken Sie auf Einstellungenüberprüfen. Geben Sie einen Test-

Benutzernamen und ein Kennwort ein und klicken Sie auf Überprüfungstarten.iDRAC6führtdieÜberprüfungenSchrittfürSchrittdurchundzeigtdasErgebnis

fürjedenSchrittan.EindetaillierterTestberichtzurUnterstützungbeimLösenvonProblemenwirdebenfallsaufgezeichnet.WechselnSiezurSeiteActive

Directory-Konfiguration und -Verwaltungzurück.VerwendenSiedenBildlauf,umandenunterenRandderSeitezugelangen,undklickenSieaufActive

Directory konfigurieren,umIhreKonfigurationzuändern,undführenSiedenTesterneutdurch,bisderTestbenutzerdieAutorisierungerhält.

IchhabedieÜberprüfungdesZertifikatsaktiviert,meineActiveDirectory-Anmeldungistabertrotzdemgescheitert.IchhabedieDiagnosevonderGUI

ausdurchgeführtunddieTestergebnissezeigendiefolgendeFehlermeldungan:

ERROR: Can't contact LDAP server, error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check the correct

Certificate Authority (CA) certificate has been uploaded to iDRAC. Please also check if the iDRAC date is within the valid period of the certificates and if

the Domain Controller Address configured in iDRAC matches the subject of the Directory Server Certificate. (FEHLER: Keine Verbindung zum LDAP-

Servermöglich,Fehler:14090086:SSL-Routinen:SSL3_GET_SERVER_CERTIFICATE:Zertifikatprüfungfehlgeschlagen:BitteüberprüfenSie,obdas

korrekte CA-ZertifikataufdeniDRAChochgeladenwurde.KontrollierenSiebitteauch,dassdieGültigkeitdesiDRACdiederZertifikatenicht

überschreitetunddieAdressedesimiDRACkonfiguriertenDomänen-Controllers mit dem Directory-Server-Zertifikatübereinstimmt).

WokönntedasProblemliegen,undwiekannichesbeheben?

WenndieFunktionzurÜberprüfungdesZertifikatsaktiviertist,nutztiDRAC6beibestehenderSSL-VerbindungmitdemServerdasverfügbareCA-Zertifikat zur

ÜberprüfungdesActiveDirectoryServer-Zertifikats.DiehäufigstenGründefürdasScheiternderZertifizierungsind:



1. DasGültigkeitsdatumdesiDRAC6liegtüberdemdesServer-Zertifikats oder des CA-Zertifikats.ÜberprüfenSiedieaktuelleiDRAC6-Zeit und die

GültigkeitsdauerIhresZertifikats.



2. DieiniDRAC6konfiguriertenDomänen-Controller-Adressen stimmen nicht mit dem Servernamen oder alternativen Servernamen im Directory- Server-

Zertifikatüberein.FallsSieeineIP-Adresse verwenden, lesen Sie bitte die folgende Frage und Antwort. Wenn Sie einen FQDN verwenden, stellen Sie

bittesicher,dassSiedenFQDNdesDomänen-ControllersverwendenundnichtdenderDomäneselbst,zumBeispielservername.example.com anstelle

von example.com.

Ich verwende eine IP-AdressealsAdressedesDomänen-ControllersunderhaltekeineGenehmigungfürmeinZertifikat.WoliegtdasProblem?

PrüfenSiedasFeldServernameoderalternativerServernameIhresDomänen-Controller-Zertifikats. Normalerweise verwendet Active Directory den Host-

Namen und nicht die IP-AdressedesDomänen-ControllersimFeldServernameoderalternativerServernamedesDomänen-Controller-Zertifikats. Das Problem

lässtsichaufverschiedeneWeisenbeheben.



1. KonfigurierenSiedenHostnamen(FQDN)desDomänen-Controllers als Adresse(n)desDomänen-Controllers auf dem iDRAC6, damit er mit dem

Servernamen oder alternativen Servernamen des Server-Zertifikatsübereinstimmt.



2. Erstellen Sie das Server-Zertifikat erneut, damit im Feld "Servername" oder "Alternativer Servername" eine IP-Adresse verwendet wird, die auf dem

iDRAC6 konfiguriert ist.



3. DeaktivierenSiedieÜberprüfungdesZertifikats,wennSiedemDomänen-Controller beim SSL-HandshakeohnedieseÜberprüfungvertrauen.

IchverwendedaserweiterteSchemaineinerUmgebungmitmehrerenDomänen.WiekannichdieAdresse(n)desDomänen-Controllers konfigurieren?

Es sollte der Host-Name (FQDN) oder die IP-AdressedesDomänen-Controllerssein,derdieDomänebedient,indersichdasiDRAC6-Objekt befindet.

Muss ich Adressen des globalen Katalogs konfigurieren?

Wenn Sie ein erweitertes Schema verwenden, wird die Adresse des globalen Katalogs nicht verwendet.

ANMERKUNG: KonfigurierenSieiDRAC6zurVerwendungeinesDomänennamenservers,wodurchderLDAP-Server-Host-Nameaufgelöstwird,fürdessen

Verwendung in der LDAP-Serveradresse der iDRAC6 konfiguriert ist. Der Host-Name muss mit dem "CN" oder "Subjekt" im Zertifikat des LDAP-Servers

übereinstimmen.