Users Guide
166
使用 iDRAC6 Directory Service
可能出现了什么问题,我应该如何解决?
如果启用证书验证,则 iDRAC6 在与目录服务器建立 SSL 连接时会使用
上载的 CA 证书验证目录服务器证书。证书验证失败的最常见原因是:
1
iDRAC6
日期不在服务器证书或
CA
证书的有效期内。请检查
iDRAC6
时间和证书的有效期。
2
在
iDRAC6
中配置的域控制器地址与目录服务器证书的主题或主题备
用名称不相符。如果使用的是
IP
地址,请阅读以下问题和解答。如果
使用的是
FQDN
,请确保使用的是域控制器的
FQDN
,而不是域的
FQDN
,例如,是
servername.example.com
,而不是
example.com
。
我使用 IP 地址作为域控制器地址,未能通过证书验证。问题在哪里?
检查域控制器证书的
“
Subject
”(主题)或 “
Subject Alternative Name
”
(主题备用名称)
字段。通常, Active Directory 在域控制器证书的
“
Subject
”(主题)或 “
Subject Alternative Name
”(主题备用名称)
字段
中使用域控制器的主机名,而不是 IP 地址。可以使用多种方法解决此问
题:
1
在
iDRAC6
上将域控制器的主机名
(FQDN)
配置为域控制器地址,
以与服务器证书的主题或主题备用名称相符。
2
重新颁发服务器证书以在 “
Subject
”(主题)或 “
Subject Alternative
Name
”(主题备用名称)字段中使用
IP
地址,从而与在
iDRAC6
中配
置的
IP
地址匹配。
3
如果选择信任此域控制器而无需在
SSL
握手过程中验证证书,请禁用
证书验证。
我在多域环境中使用扩展架构。我该如何配置域控制器地址?
这应该是 iDRAC6 对象所在域中域控制器的主机名 (FQDN) 或 IP 地址。
何时需要配置全局编录地址?
如果使用的是扩展架构,则不使用全局编录地址。
如果使用的是标准架构且用户和角色组来自不同的域,则必须配置全局编
录地址。在此情况下,仅可使用通用组。
如果使用的是标准架构且所有用户和所有角色组都在相同域中,则不必配
置全局编录地址。
标准架构的查询方式是什么?
iDRAC6 先连接到所配置的域控制器地址,如果用户和角色组位于该域,
将保存权限。