Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC6 for Monolithic Servers Version 1.9

151

152

153

154

155

156

157

158

159

160

Active Directory についてよくあるお問い合わせ（FAQ）

Active Directory のログインに失敗しました。この問題はどのようにトラブルシュートできますか。

iDRAC6 は、ウェブインタフェースから診断ツールを提供しています。ウェブインタフェースから、システム管理者権限のあるローカルユーザーとしてログインします。iDRAC の設定® ネットワーク /

セキュリティタブ® ディレクトリサービス® Microsoft Active Directory の順にクリックします。 Active Directory 設定と管理ページの下にスクロールし、設定のテストをクリックしま

す。テストユーザー名とパスワードを入力し、テストの開始をクリックします。iDRAC6 は、順を追ってテストを実行し、各手順の結果を表示します。問題の解決に役立つように、詳細なテスト結果がログ

に記録されます。Active Directory の設定と管理ページに戻ります。設定を変更し、テストユーザーが認証手順に合格するまでテストを再実行するには、ページの下までスクロールし、Active

Directory の設定をクリックします。

証明書の検証を有効にしましたが、Active Directory のログインに失敗しました。GUI から診断を実行しましたが、テスト結果に次のエラーメッセージが表示されています。

ERROR（エラー）: Can't contact LDAP server（LDAP サーバーと通信できません）, error（エラー）:14090086:SSL routines（SSL ルーチ

ン）:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed（証明書の検証に失敗しました）: Please check the correct Certificate Authority (CA) certificate

has been uploaded to iDRAC（iDRAC に正しい認証局（CA）証明書がアップロードされていることを確認してください。） iDRAC の日付が証明書の有効期限内かどうか、また

iDRAC で設定されたドメインコントローラのアドレスがディレクトリサーバーの証明書の件名と一致するかどうか確認してください。

何が問題なのでしょうか。どうすれば修正できますか。

証明書の検証が有効になっていると、iDRAC6 がディレクトリサーバーとの SSL 接続を確立したときに、iDRAC6 はアップロードされた CA 証明書を使用してディレクトリサーバーの証明書を検証しま

す。認証の検証を失敗する最も一般的な理由として、次が挙げられます。



1. iDRAC6 の日付がサーバー証明書または CA 証明書の有効期限内ではない。証明書の iDRAC6 の日付と有効期限を確認してください。



2. iDRAC6 で設定されたドメインコントローラのアドレスがディレクトリサーバー証明書のサブジェクトまたはサブジェクト代替名と一致しない。IP アドレスを使用している場合は、次の質問と回答を

お読みください。FQDN を使用している場合は、ドメインではなく、ドメインコントローラの FQDN を使用しているかどうか確認してください（たとえば、example.com ではなく、

servername.example.com ）。

ドメインコントローラのアドレスに IP アドレスを使用していますが、証明書の検証に失敗します。何が問題なのでしょうか。

ドメインコントローラ証明書のサブジェクトまたはサブジェクト代替名フィールドを確認してください。通常、Active Directory はドメインコントローラ証明書のサブジェクトまたはサブジェクト代替名フィ

ールドにドメインコントローラの IP アドレスではなく、ホスト名を使用します。この問題は複数の方法で修正できます。



1. サーバー証明書のサブジェクトまたはサブジェクト代替名と一致するように、iDRAC6 で指定するドメインコントローラアドレスにドメインコントローラのホスト名（FQDN）を設定します。



2. iDRAC6 で設定された IP アドレスと一致する IP アドレスをサブジェクトまたはサブジェクト代替名のフィールドで使用するようにサーバー証明書を再発行します。



3. SSL ハンドシェイク時に証明書の検証がなくても、このドメインコントローラを信頼する場合は、証明書の検証を無効にします。

マルチドメイン環境において拡張スキーマを使用しています。ドメインコントローラのアドレスは、どのように設定すればいいですか。

iDRAC6 オブジェクトが属するドメインのドメインコントローラのホスト名（FQDN）または IP アドレスを使用します。

いつグローバルカタログアドレスを設定する必要がありますか。

拡張スキーマを使用している場合、グローバルカタログアドレスは使用されません。

標準スキーマを使用し、ユーザーと役割グループが異なるドメインに属する場合は、グローバルカタログアドレスを設定する必要があります。この場合、使用できるのはユニバーサルグループのみです。

標準スキーマを使用し、すべてのユーザーと役割グループが同じドメインに属する場合は、グローバルカタログアドレスを設定する必要はありません。

標準スキーマクエリの仕組みを教えてください。

iDRAC6 は、まず設定されたドメインコントローラアドレスに接続し、ユーザーと役割グループがそのドメインにある場合は、権限が保存されます。

グローバルコントローラアドレスが設定されている場合は、iDRAC6 グローバルカタログのクエリを継続します。グローバルカタログから追加の権限が取得された場合は、これらの権限が蓄積されます。

iDRAC6 は、常に LDAP オーバー SSL を使用しますか。

はい。伝送はすべて、636 または 3269、あるいはその両方のセキュアポートを経由します。

設定のテスト中、iDRAC6 は問題を特定するためにのみ、LDAP CONNECT を行いますが、不安定な接続では LDAP BIND を行いません。

iDRAC6 で、証明書の検証がデフォルトで有効になっているのはなぜですか。

iDRAC6 は、接続先となるドメインコントローラの身元を確認するために、強力なセキュリティ対策を実施しています。証明書を検証しないと、ハッカーはドメインコントローラになりすまし、SSL 接続を乗

っ取る危険があります。証明書の検証なしに、自分のセキュリティ境界内のドメインコントローラをすべて信頼する場合は、GUI または CLI を使用して無効にすることもできます。

iDRAC6 は NetBIOS 名をサポートしていますか。

このリリースでは、サポートされていません。

Active Directory を使用して iDRAC6 にログインできない場合は、何を確認すればいいですか。

iDRAC6 ウェブベースのインタフェースの Active Directory 設定と管理ページの下部にある設定のテストをクリックすると、問題を診断できます。次に、テスト結果で特定された問題を修正しま

す。詳細については、設定のテスト参照してください。

本項では、最もよくある問題について説明します。一般的に、次の事項を確認してください。

