Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.9

151

152

153

154

155

156

157

158

159

160

racadm getconfig -g cfgldaprolegroup -i 1

VerwendenSieRACADM,umzuprüfen,obdieAnmeldungmöglichist

racadm -r <iDRAC6–IP> -u user.1 -p password getractime

ZusätzlicheEinstellungenzumTestenderOptionBindDN

racadm config -g cfgldap -o cfgLdapBindDN "cn=idrac_admin,ou=iDRAC_admins,ou=People,dc=common,dc=com"

racadm config -g cfgldap -o cfgLdapBindPassword password

HäufiggestellteFragenzuActiveDirectory

Meine Active Directory-Anmeldung ist gescheitert. Wie kann ich dieses Problem beheben?

iDRAC6bietetüberdieWebschnittstelleeinDiagnoseprogramman.MeldenSiesichaufderWebschnittstellealslokalerBenutzermitAdministratorrechtenan.

Klicken Sie auf iDRAC-Einstellungen® Register Netzwerk/Sicherheit ® Verzeichnisdienst® Microsoft Active Directory. Verwenden Sie den Bildlauf, um an

den unteren Rand der Seite Active Directory-Konfiguration und Verwaltungzu gelangen, und klicken Sie auf Einstellungenüberprüfen. Geben Sie einen

Test-Benutzernamen und ein Kennwort ein und klicken Sie auf Überprüfungstarten.iDRAC6führtdieÜberprüfungenSchrittfürSchrittdurchundzeigtdas

ErgebnisfürjedenSchrittan.EindetaillierterTestberichtzurUnterstützungbeimLösenvonProblemenwirdebenfallsaufgezeichnet.WechselnSiezurSeite

Active Directory-Konfiguration und -Verwaltungzurück.VerwendenSiedenBildlauf,umandenunterenRandderSeitezugelangen,undklickenSieauf

Active Directory konfigurieren,umIhreKonfigurationzuändern,undführenSiedenTesterneutdurch,bisderTestbenutzerdieAutorisierungerhält.

IchhabedieÜberprüfungdesZertifikatsaktiviert,meineActiveDirectory-Anmeldungistabertrotzdemgescheitert.IchhabedieDiagnosevonderGUI

ausdurchgeführtunddieTestergebnissezeigendiefolgendeFehlermeldungan:

FEHLER: Keine Verbindung zum LDAP-Servermöglich,Fehler:14090086:SSL-Routinen:SSL3_GET_SERVER_CERTIFICATE:Zertifikatprüfung

fehlgeschlagen:BitteüberprüfenSie,obdaskorrekteCA-ZertifikataufdeniDRAChochgeladenwurde.KontrollierenSiebitteauch,dassdieGültigkeit

desiDRACdiederZertifikatenichtüberschreitetunddieAdressedesimiDRACkonfiguriertenDomänen-Controllers mit dem Directory-Server-Zertifikat

übereinstimmt.

WokönntedasProblemliegen,undwiekannichesbeheben?

WenndieFunktionzurÜberprüfungdesZertifikatsaktiviertist,nutztiDRAC6beibestehenderSSL-VerbindungmitdemServerdasverfügbareCA-Zertifikat zur

ÜberprüfungdesActiveDirectoryServer-Zertifikats.DiehäufigstenGründefürdasScheiternderZertifizierungsind:



1. DasGültigkeitsdatumdesiDRAC6liegtüberdemdesServer-Zertifikats oder des CA-Zertifikats.ÜberprüfenSiedieaktuelleiDRAC6-Zeit und die

GültigkeitsdauerIhresZertifikats.



2. DieiniDRAC6konfiguriertenDomänen-Controller-Adressen stimmen nicht mit dem Servernamen oder alternativen Servernamen im Directory- Server-

Zertifikatüberein.FallsSieeineIP-Adresse verwenden, lesen Sie bitte die folgende Frage und Antwort. Wenn Sie einen FQDN verwenden, stellen Sie

bittesicher,dassSiedenFQDNdesDomänen-ControllersverwendenundnichtdenderDomäneselbst,zumBeispielservername.example.com anstelle

von example.com.

Ich verwende eine IP-AdressealsAdressedesDomänen-ControllersunderhaltekeineGenehmigungfürmeinZertifikat.WoliegtdasProblem?

PrüfenSiedasFeldServernameoderalternativerServernameIhresDomänen-Controller-Zertifikats. Normalerweise verwendet Active Directory den Host-

Namen und nicht die IP-AdressedesDomänen-ControllersimFeldServernameoderalternativerServernamedesDomänen-Controller-Zertifikats. Das Problem

lässtsichaufverschiedeneWeisenbeheben.



1. KonfigurierenSiedenHostnamen(FQDN)desDomänen-Controllers als Adresse(n)desDomänen-Controllers auf dem iDRAC6, damit er mit dem

Servernamen oder alternativen Servernamen des Server-Zertifikatsübereinstimmt.



2. Erstellen Sie das Server-Zertifikat erneut, damit im Feld „Servername“ oder „Alternativer Servername“ eine IP-Adresse verwendet wird, die auf dem

iDRAC6 konfiguriert ist.



3. DeaktivierenSiedieÜberprüfungdesZertifikats,wennSiedemDomänen-Controller beim SSL-HandshakeohnedieseÜberprüfungvertrauen.

IchverwendedaserweiterteSchemaineinerUmgebungmitmehrerenDomänen.WiekannichdieAdresse(n)desDomänen-Controllers konfigurieren?

Es sollte der Host-Name (FQDN) oder die IP-AdressedesDomänen-Controllerssein,derdieDomänebedient,indersichdasiDRAC6-Objekt befindet.

Muss ich Adressen des globalen Katalogs konfigurieren?

Wenn Sie ein erweitertes Schema verwenden, wird die Adresse des globalen Katalogs nicht verwendet.

WennSiedasStandardschemaverwendenundBenutzerundRollengruppenverschiedenenDomänenangehören,sindAdressendesglobalenKatalogs

erforderlich. In diesem Fall kann nur die Universalgruppe verwendet werden.

WennSiedasStandardschemaverwendenundalleBenutzerundalleRollengruppenderselbenDomäneangehören,sindkeineAdressendesglobalen

Katalogs erforderlich.

Wie funktioniert die Abfrage im Standardschema?

iDRAC6verbindetsichzuerstmitdenkonfiguriertenDomänen-Controller-Adressen,wennsichdieBenutzerundRollengruppenindieserDomänebefinden.Die

Berechtigungen werden gespeichert.

WennAdressendesglobalenKatalogskonfiguriertsind,fragtiDRAC6weiterhindenglobalenKatalogab.WennzusätzlicheBerechtigungenvomglobalen

ANMERKUNG: KonfigurierenSieiDRAC6zurVerwendungeinesDomänennamenservers,wodurchderLDAP-Server-Host-Nameaufgelöstwird,fürdessen

Verwendung in der LDAP-Serveradresse der iDRAC6 konfiguriert ist. Der Host-Name muss mit dem „CN“ oder „Subjekt“ im Zertifikat des LDAP-Servers

übereinstimmen.