Users Guide
iDRAC6 へのスマートカードログオンのトラブルシューティング
以下は、スマートカードにアクセスできないときのデバッグに役立つヒントです。
ActiveX プラグインがスマートカードリーダーを検出しません
スマートカードが Microsoft Windows オペレーティングシステムでサポートされていることを確認します。Windows がサポートしているスマートカード暗号サービスプロバイダ(CSP)の数は限られ
ています。
ヒント:スマートカード CSP が特定のクライアントに含まれているかどうかを確認する一般的なチェックとして、Windows のログオン(Ctrl-Alt-Del) 画面で、スマートカードをリーダーに挿入し、
Windows でスマートカードが検出され、PIN ダイアログボックスが表示されるかどうかを調べます。
間違ったスマートカード PIN
間違った PIN でログインを試みた回数が多すぎるためにスマートカードがロックアウトされたかどうかをチェックします。このような場合は、新しいスマートカードの入手方法について、組織のスマートカ
ード発行者に問い合わせてください。
ローカル iDRAC6 へのログインを無効にする
ローカルの iDRAC6 ユーザーがログインできない場合は、ユーザー名とユーザー証明書が iDRAC6 にアップロードされているかどうか確認します。iDRAC6 のトレースログに、エラーに関する重要な
ログメッセージが含まれていることがあります。ただし、セキュリティ上の理由から、エラーメッセージは意図的に曖昧になっている場合があります。
Active Directory ユーザーとして iDRAC6 にログインできない
l Active Directory ユーザーとして iDRAC6 にログインできない場合は、スマートカードログオンを有効にせずに、iDRAC6 にログインしてみてください。CRL チェックを有効にしている場合は、
CRL チェックを有効にせずに、Active Directory にログインしてみてください。iDRAC6 トレースログには、CRL に失敗した場合の重要なメッセージが入っています。
l また、racadm config -g cfgActiveDirectory -o cfgADSmartCardLogonEnable 0 コマンドを使用してローカル RACADM からスマートカードのログオンを無効にすることもでき
ます。
l 64 ビット Windows プラットフォームの場合、64 ビットバージョンの「Microsoft Visual C++ 2005 再頒布可能パッケージ」が導入されていると、iDRAC6 認証 Active-X プラグインがイ
ンストールされません。Active-X プラグインを正しくインストールして実行するには、32 ビットバージョンの Microsoft Visual C++ 2005 SP1 再配布可能パッケージ(x86)を導入します。
このパッケージは、Internet Explorer ブラウザで 仮想コンソールセッションを起動するのに必要です。
l エラーメッセージ"Not able to load the Smart Card Plug-in. Please check your IE settings or you may have insufficient privileges to use the Smart Card Plug-
in"「(スマートカードプラグインをロードできません。IE の設定を確認するか、スマートカードプラグインを使用する権限がない可能性があります)」というメッセージが表示された
場合は、Microsoft Visual C++ 2005 SP1 再配布可能パッケージ(x86)をインストールしてください。このファイルは Microsoft のウェブサイト www.microsoft.com から入手できま
す。C++ 再配布可能パッケージの 2 種類の配布バージョンがテストされており、Dell スマートカードプラグインのロードが可能です。詳細については、「表8-2」を参照してください。
表 8-2C++再配布可能パッケージの配布バージョン
l Kerberos 認証が機能するには、iDRAC6 とドメインコントローラサーバーの時刻の差が 5 分以内である必要があります。RAC の時刻 は システム ® リモートアクセス ® プロパティ
® iDRAC 情報 ページ、ドメインコントローラの時刻は画面の右下隅の時刻を右クリックして表示します。タイムゾーンのオフセットはポップアップ画面に表示されます。米国中央標準時(CST)
の場合、これは -6 です。iDRAC6 の時刻を同期するには(リモートまたは Telnet/SSH RACADM から)、次の RACADM のタイムゾーンオフセットコマンドを使用します。racadm config
-g cfgRacTuning -o cfgRacTuneTimeZoneOffset <オフセット値(分)> たとえば、システムの時刻が GMT -6(米国 CST)で、時刻が 2PM であれば、iDRAC6 の時刻を GMT
時刻の 18:00 に設定します。その場合、上記のコマンドのオフセット値に「360」と入力します。また、cfgRacTuneDaylightoffset を使用すると、夏時間の調整ができます。この操作により、
毎年 2 回夏時間の調整をするときに時刻を変更しなくても済みます。あるいは、上の例のオフセットに「300」を使用して誤差を見込みます。
SSO についてよくあるお問い合わせ(FAQ)
Windows Server 2008 R2 x64 では SSO のログインに失敗します。SSO を Windows Server 2008 R2 x64 で使用できるようにするにはどうすればよいですか。
1. ドメインコントローラとドメインポリシーに対して http://technet.microsoft.com/en-us/library/dd560670(WS.10).aspx を実行します。DES-CBC-MD5 暗号スイートを使用
するようにコンピュータを設定します。これらの設定は、クライアントコンピュータまたはサービス、およびお使いの環境内のアプリケーションとの互換性に影響を与える場合があります。
Kerberos で許可された暗号化タイプの設定 ポリシーの設定は、Computer Configuration\Security Settings\Local Policies\Security Options にあります。
2. ドメインクライアントには更新された GPO が必要です。コマンドラインで gpupdate /force を入力し、古いキータブを klist purge cmd と入れ替えます。
3. GPO を更新したら、新しいキータブを作成します。
メモ: スマートカードユーザーが Active Directory に存在する場合は、スマートカードの PIN と同時に Active Directory のパスワードが必要です。今後のリリースでは、Active
Directory パスワードが不要になる可能性があります。
再配布パッケージのファイル名
バージョン
リリース日
サイズ
説明
vcredist_x86.exe
6.0.2900.2180
2006 年 3 月 21 日
2.56 MB
MS Redistributable 2005
vcredist_x86.exe
9.0.21022.8
2007 年 11 月 7 日
1.73 MB
MS Redistributable 2008