Users Guide
Warum dauert es bis zu vier Minuten, sich über die Active Directory-basierte Einmal- oder Smart Card-
Anmeldung bei iDRAC anzumelden?
Die Active Directory-Einmal- oder die Smart Card-Anmeldung dauert in der Regel weniger als 10
Sekunden; die Anmeldung kann allerdings bis zu vier Minuten dauern, wenn Sie den bevorzugten DNS-
Server und den alternativen DNS-Server angegeben haben und der bevorzugte DNS-Server fehlschlägt.
DNS-Zeitüberschreitungen werden erwartet, wenn ein DNS-Server heruntergefahren ist. iDRAC meldet
Sie unter Verwendung des alternativen DNS-Servers an.
Das Active Directory für eine vorhandene Domäne ist in Windows Server 2008 Active Directory
kofiguriert. Eine untergeordnete Domäne bzw. Subdomäne ist für die Domäne vorhanden, der
Benutzer und die Gruppe sind in derselben untergeordneten Domäne vorhanden und der Benutzer ist
ein Mitglied dieser Gruppe. Bei dem Versuch, sich unter Verwendung des Benutzers, der sich in der
untergeordneten Domäne befindet, am iDRAC anzumelden, schlägt das Einmalige Anmelden über
Active Directory fehl.
Dies kann möglicherweise auf den falschen Gruppentyp zurückzuführen sein. Im Active Directory-Server
gibt es zwei Arten von Gruppentypen:
• Sicherheit – Sicherheitsgruppen ermöglichen Ihnen, den Benutzer- und Computerzugriff auf
freigegebene Ressourcen zu verwalten und Gruppenrichtlinieneinstellungen zu filtern.
• Verteilung – Verteilungsgruppen sind nur als E-Mail-Verteilerlisten vorgesehen.
Stellen Sie immer sicher, dass der Gruppentyp Sicherheit lautet. Sie können zum Zuweisen von
Berechtigungen für Objekte keine Verteilergruppen verwenden, verwenden Sie diese jedoch zum Filtern
von Gruppenrichtlinieneinstellungen.
Einmaliges Anmelden
Die SSO-Anmeldung schlägt auf Windows Server 2008 R2 x64 fehl. Welche Einstellungen sind zum
Lösen dieses Problems erforderlich?
1. Führen Sie http://technet.microsoft.com/en-us/library/dd560670(WS.10).aspx für den Domänen-
Controller und die Domänenregel aus.
2. Konfigurieren Sie die Computer zur Verwendung der DES-CBC-MD5-Cipher-Suite.
Diese Einstellungen haben möglicherweise Einfluss auf die Kompatibilität mit Client-Computern
oder -Diensten und Anwendungen in Ihrer Umgebung. Die Regeleinstellung Für Kerberos zulässige
Verschlüsselungstypen konfigurieren ist unter Computer-Konfiguration → Sicherheitseinstellungen
→ Lokale Richtlinien → Sicherheitsoptionen gespeichert.
3. Stellen Sie sicher, dass die Domänen-Clients über das aktualiserte GPO verfügen.
4. Geben Sie in der Befehlszeile den Befehl gpupdate /force ein und löschen Sie die alte Keytab mit
Befehl klist purge.
5. Nachdem das GPO aktualisiert wurde, erstellen Sie die neue Keytab.
6. Laden Sie das Keytab zu iDRAC hoch.
Sie können sich jetzt unter Verwendung der SSO am iDRAC anmelden.
Warum scheitert die SSO-Anmeldung bei Active Directory-Benutzern auf Windows 7 und Windows
Server 2008 R2?
390