Users Guide

J'aiactivélavalidationdecertificat,maismonouverturedesessionActiveDirectoryaéchoué.J'aiexécutélesdiagnosticsdepuisl'IUGetlesrésultats
dutestaffichentlemessaged'erreursuivant:
ERREUR:impossibledecontacterleserveurLDAP,erreur:14090086:routinesSSL:SSL3_GET_SERVER_CERTIFICATE:échecdelavérificationdu
certificat:veuillezvérifierquelecertificatdel'ACcorrectaététéléverséversiDRAC.Veuillezégalementvérifierqueladated'iDRACestcomprise
danslapériodedevaliditédescertificatsetquel'adresseducontrôleurdedomaineconfiguréedansiDRACcorrespondàl'objetducertificatdeserveur
derépertoire.
Quelpeutêtreleproblèmeetcommentlerésoudre?
Silavalidationdecertificatestactivée,iDRAC6utiliselecertificatd'autoritédecertificationtéléversépourvérifierlecertificatduserveurderépertoire
lorsqu'iDRAC6établitlaconnexionSSLavecleserveurderépertoire.Lesraisonslespluscourantesdel'échecdelavalidationdecertificatsont:
1. Ladated'iDRAC6n'estpascomprisedanslapériodedevaliditéducertificatdeserveurouducertificatd'autoritédecertification.Vérifiezl'heure
d'iDRAC6etlapériodedevaliditédevotrecertificat.
2. LesadressesducontrôleurdedomaineconfiguréesdansiDRAC6necorrespondentpasàl'objetouàl'autrenomdel'objetducertificatdeserveurde
répertoire.SivousutilisezuneadresseIP,veuillezlirelaquestionetlaréponsesuivantes.SivousutilisezunFQDN,veuillezvousassurerquevous
utilisezleFQDNducontrôleurdedomaine,etnonledomaine,parexemple,nomduserveur.exemple.com au lieu de exemple.com.
J'utiliseuneadresseIPcommeadressedecontrôleurdedomaineetjenesuispasparvenuàvaliderlecertificat.Quelestleproblème?
CochezlechampObjetouAutrenomdel'objetducertificatdevotrecontrôleurdedomaine.ActiveDirectoryutilisegénéralementlenomd'hôte,etnon
l'adresseIP,ducontrôleurdedomainedanslechampObjetouAutrenomdel'objetducertificatducontrôleurdedomaine.Vouspouvezrésoudreleproblème
deplusieursfaçons:
1. Configurerlenomd'hôte(FQDN)ducontrôleurdedomaineentantqu'adresse(s)ducontrôleurdedomainesuriDRAC6afindecorrespondreàl'objetouà
l'autre nom de l'objet du certificat de serveur.
2. ÉmettreànouveaulecertificatdeserveurpourutiliseruneadresseIPdanslechampObjetouAutrenomdel'objetafinquecelui-cicorrespondeà
l'adresseIPconfiguréedansiDRAC6.
3. Désactiverlavalidationdecertificatssivouschoisissezdefaireconfianceàcecontrôleurdedomainesansvalidationdecertificatdurantl'établissement
de liaisons SSL.
J'utiliseunschémaétendudansunenvironnementàdomainesmultiples.Commentdois-jeconfigurerlesadressesducontrôleurdedomaine?
Utilisezlenomd'hôte(FQDN)oul'adresseIPduoudescontrôleursdedomainedesservantledomainedanslequell'objetiDRAC6réside.
Dois-jeconfigurerlaoulesadressesducatalogueglobal?
Sivousutilisezunschémaétendu,l'adresseducatalogueglobaln'estpasutilisée.
Sivousutilisezleschémastandardetquelesutilisateursetlesgroupesderôlesproviennentdedomainesdifférents,uneoudesadressesducatalogue
globalsontrequises.Danscecas,seullegroupeuniverselpeutêtreutilisé.
Sivousutilisezleschémastandardetquetouslesutilisateursetgroupesderôlesproviennentdumêmedomaine,uneoudesadressesducatalogueglobal
ne sont pas requises.
Commentfonctionnelarequêtedeschémastandard?
iDRAC6seconnectetoutd'abordàouauxadressesducontrôleurdedomaineconfiguréesetsil'utilisateuretlesgroupesderôlessontdanscedomaine,les
privilègesserontenregistrés.
Siuneoudesadressesdecontrôleurglobalsontconfigurées,iDRAC6continued'interrogerlecatalogueglobal.Sidesprivilègessupplémentairessont
récupérésducatalogueglobal,cesprivilègessontaccumulés.
iDRAC6 utilise-t-iltoujoursLDAPsurSSL?
Oui.Touslestransportssefontvialeportsécurisé636et/ou3269.
Durant la définitiondutest,iDRAC6effectueuneconnexionLDAPCONNECTuniquementpouraideràisolerleproblème,maisiln'effectuepasdeliaisonLDAP
BINDsuruneconnexionnonsécurisée.
Pourquoi iDRAC6 active-t-illavalidationdecertificatpardéfaut?
iDRAC6renforcelasécuritéafind'assurerl'identitéducontrôleurdedomaineauqueliDRAC6seconnecte.Àdéfautdelavalidationdecertificat,unpirate
pourraitusurperuncontrôleurdedomaineetdétournerlaconnexionSSL.Sivouschoisissezdefaireconfianceàtouslescontrôleursdedomainedevotre
étenduedesécuritésansvalidationdecertificat,vouspouvezladésactivervial'IUGoulaCLI.
iDRAC6 prend-ilenchargelenomNetBIOS?
Pas dans cette version.
Que dois-jevérifiersijeneparvienspasàouvrirunesessionsuriDRAC6avecActiveDirectory?
VouspouvezdiagnostiquerleproblèmeencliquantsurParamètresdetest au bas de la page Configuration et gestion d'Active Directory dans l'interface
WebiDRAC6.Corrigezensuiteleproblèmespécifiqueindiquéparlesrésultatsdutest.Pourdeplusamplesinformations,voirTest de vos configurations.
Laplupartdesproblèmescourantssontexpliquésdanscettesection;toutefois,engénéral,vousdevezvérifierlespointssuivants:
1. Assurez-vous que vous utilisez le nom de domaine utilisateur correct pendant l'ouverture de session, et non le nom NetBIOS.