Users Guide
• La conguración de DNS se ha congurado correctamente en la página Conguración de redes iDRAC.
• Se ha cargado el certicado de CA raíz de Active Directory correcto en iDRAC si se ha activado la validación de certicados.
• El nombre de iDRAC y el nombre de dominio de iDRAC coinciden con la conguración del entorno de Active Directory si utiliza el
esquema extendido.
• El nombre de grupo y el nombre de dominio de grupo coinciden con la conguración del entorno de Active Directory si utiliza el
esquema estándar.
• Si el usuario y el objeto de la iDRAC se encuentran en un dominio diferente, no seleccione la opción User Domain from Login
(Dominio de usuario desde inicio de sesión). En cambio, seleccione la opción Specify a Domain (Especicar un dominio) e
introduzca el nombre del dominio en el que reside el objeto de la iDRAC.
• Verique los certicados SSL de la controladora de dominio para asegurarse de que la hora de iDRAC se encuentre en el plazo de
vigencia del certicado.
Ocurre un error de inicio de sesión en Active Directory incluso si la validación de certicados está habilitada. Los resultados de la
prueba muestran el siguiente mensaje de error. ¿Por qué sucede esto y cómo se resuelve?
ERROR: Can't contact LDAP server, error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check the correct
Certificate Authority (CA) certificate has been uploaded to iDRAC. Please also check if the
iDRAC date is within the valid period of the certificates and if the Domain Controller Address
configured in iDRAC matches the subject of the Directory Server Certificate.
Si se ha habilitado la validación de certicados, cuando la iDRAC establece la conexión SSL con el servidor de directorios, la iDRAC utiliza el
certicado de CA cargado para vericar el certicado de servidor de directorios. Los motivos más comunes de error en esta validación son
los siguientes:
• La fecha de la iDRAC no se encuentra dentro del período de validez del certicado del servidor o de CA. Compruebe la hora de la iDRAC
y el período de validez del certicado.
• Las direcciones de la controladora de dominio conguradas en la iDRAC no coinciden con el asunto o el nombre alternativo del asunto
del certicado de servidor de directorios. Si utiliza una dirección IP, lea la siguiente pregunta. Si utiliza FQDN, asegúrese de utilizar el
FQDN de la controladora de dominio, y no el dominio. Por ejemplo, nombredeservidor.ejemplo.com en lugar de ejemplo.com.
Ocurre un error durante la validación de certicados incluso si la dirección IP se utiliza como dirección de la controladora de dominio.
¿Cómo se resuelve este problema?
Compruebe el campo Subject (Asunto) o Subject Alternative Name (Nombre alternativo del asunto) del certicado de la controladora de
dominio. Normalmente, Active Directory utiliza el nombre de host y no la dirección IP de la controladora de dominio en el campo de asunto o
de nombre alternativo del asunto del certicado de la controladora de dominio. Para solucionar esto, realice cualquiera de las siguientes
acciones:
• Congure el nombre del host (FQDN) de la controladora de dominio como las direcciones de controladora de dominio en iDRAC para
que coincidan con el Asunto o el Nombre alternativo del asunto del certicado del servidor.
• Vuelva a emitir el certicado del servidor de modo que use una dirección IP en el campo Asunto o Nombre alternativo del asunto y que
coincida con la dirección IP congurada en iDRAC.
• Desactive la validación de certicados si preere conar en esta controladora de dominio sin validación de certicados durante el
protocolo de enlace SSL.
¿Cómo se conguran las direcciones de controladora de dominio cuando se utiliza el esquema extendido en un entorno de varios
dominios?
Debe usar el nombre del host (FQDN) o la dirección IP de las controladoras de dominio que sirven al dominio donde reside el objeto iDRAC.
¿Cuándo deben congurarse las direcciones del catálogo global?
Si está utilizando un esquema estándar y los usuarios y grupos de roles se encuentran en dominios diferentes, son necesarias las
direcciones de catálogo global. En este caso, solo puede utilizar el grupo universal.
Si está utilizando un esquema estándar y todos los usuarios y grupos de roles se encuentran en el mismo dominio, no son necesarias las
direcciones de catálogo global.
Si utiliza un esquema extendido, no se utiliza la dirección de catálogo global.
Preguntas frecuentes
341