Users Guide
• Le paramètre DNS est correct dans la page Conguration réseau iDRAC .
• Le certicat CA racine Active Directory correct est téléversé vers iDRAC si la validation de certicat a été activée.
• Le nom iDRAC et le nom de domaine iDRAC correspondent à la conguration de l'environnement Active Directory si vous utilisez le
schéma étendu.
• Le nom de groupe et le nom de domaine correspondent à la conguration Active Directory si vous utilisez le schéma standard.
• Si l’utilisateur et l’objet iDRAC se trouvent dans un domaine diérent, ne sélectionnez pas l’option Domaine utilisateur de
l’ouverture de session. À la place, sélectionnez Dénir un domaine et saisissez le nom du domaine sur lequel réside l’objet iDRAC.
• Vériez les certicats SSL des contrôleurs de domaine pour vous assurer que l'heure iDRAC est comprise dans la période de validité du
certicat.
L'ouverture de session Active Directory échoue si la validation de certicat est activée. Les résultats du test contiennent le message
d'erreur suivant. Pourquoi et comment résoudre le problème ?
ERROR: Can't contact LDAP server, error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check the correct
Certificate Authority (CA) certificate has been uploaded to iDRAC. Please also check if the
iDRAC date is within the valid period of the certificates and if the Domain Controller Address
configured in iDRAC matches the subject of the Directory Server Certificate.
Si la validation de certicat est activée, lorsqu'iDRAC établit la connexion SSL avec le serveur de répertoire, il utilise le certicat CA
téléversé pour vérier le certicat du serveur de répertoire. Les principales causes de l'échec de la validation de certication sont les
suivantes :
• La date iDRAC ne se trouve pas dans la période de validité du certicat du serveur ou du certicat CA. Vériez l'heure iDRAC et la
période de validité de votre certicat.
• Les adresses des contrôleurs de domaine dénies dans iDRAC ne correspondent pas à l'objet ou à l'autre nom d'objet du certicat du
serveur de répertoire. Si vous utilisez une adresse IP, lisez la question suivante. Si vous utilisez le nom de domaine complet qualié
(FQDN), veillez à utiliser le nom de domaine complet qualié du contrôleur de domaine et non pas du domaine. Par exemple,
nomserveur.exemple.com au lieu de exemple.com.
La validation de certicat échoue si l'adresse IP est utilisée comme adresse de contrôleur de domaine. Comment résoudre ce
problème ?
Vériez le champ Objet ou Autre nom d'objet du certicat du contrôleur de domaine. Normalement, Active Directory utilise le nom d'hôte et
non pas l'adresse IP du contrôleur de domaine dans le champ Objet ou Autre nom de l'objet du certicat du contrôleur de domaine. Pour
résoudre ce problème, procédez de l'une des manières suivantes :
• Dénissez le nom d'hôte (nom de domaine complet qualié) du contrôleur de domaine comme adresse(s) de contrôleur de domaine
dans iDRAC pour qu'il corresponde au champ Objet ou Autre nom de l'objet dans le certicat du serveur.
• Réémettez le certicat de serveur pour utiliser une adresse IP dans le champ Objet ou Autre nom de l'objet pour qu'il corresponde à
l'adresse IP dénie dans iDRAC.
• Désactivez la validation de certicat si vous choisissez de faire conance à ce contrôleur de domaine sans validation de certicat los de
l'établissement de liaisons SSL.
Comment congurer l'adresse (ou les adresses) de contrôleur de domaine en utilisant le schéma étendu dans un environnement
multi-domaine ?
Il doit s'agir du nom d'hôte (nom de domaine complet qualié) ou de l'adresse IP du (ou des) contrôleur(s) de domaine qui gère(nt) le
domaine dans lequel l'objet iDRAC réside.
Quand faut-il dénir une adresse (ou des adresses) de catalogue global ?
Si vous utilisez le schéma standard et que les utilisateurs et les groupes de rôles appartiennent à des domaines diérents, une adresse (ou
plusieurs adresses) de catalogue global est nécessaire. Dans ce cas, vous pouvez utiliser uniquement le groupe universel.
Si vous utilisez le schéma standard et que tous les utilisateurs et groupes de rôles proviennent du même domaine, une ou des adresses du
catalogue global ne sont pas requises.
Si vous utilisez le schéma étendu, l'adresse du catalogue global n'est pas utilisée.
Questions fréquemment posées
339