Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC9 - 3.0x Series

271

272

273

274

275

276

277

278

279

280

检查域控制器证书的“Subject or Subject Alternative Name”（主题或主题备用名称）字段。正常情况下，Active Directory 使用主机

名称而不是域控制器证书的“Subject or Subject Alternative Name”（主题或主题备用名称）字段中域控制器的 IP 地址。要解决此问

题，请执行以下操作之一：

• 在 iDRAC 上将域控制器的主机名 (FQDN) 配置为

域控制器地址

，以与服务器证书的主题或主题备用名称匹配。

• 重新颁发服务器证书以在“主题”或“主题备用名称”字段中使用 IP 地址，从而与在 iDRAC 中配置的 IP 地址匹配。

• 如果选择信任此域控制器而无需在 SSL 握手过程中验证证书，请禁用证书验证。

当在多域环境中使用扩展架构时，如何配置域控制器地址？

这必须是 iDRAC 对象所在域中域控制器的主机名 (FQDN) 或 IP 地址。

何时配置 Global Catalog Address（全局编录地址）？

如果您使用标准架构且用户和角色组来自不同的域，则必须填写全局编录地址。在此情况下，您只能使用通用组。

如果使用的是标准架构且所有用户和角色组都在相同域中，则不必配置全局编录地址。

如果使用的是扩展架构，则不使用全局编录地址。

标准架构的查询方式是什么？

iDRAC 首先连接到所配置的域控制器地址。如果用户和角色组位于该域中，则保存权限。

如果配置了全局控制器地址，则 iDRAC 会继续查询全局编录。如果从全局编录检索到额外的权限，则会累加这些权限。

iDRAC 始终在 SSL 上使用 LDAP 吗？

可以。所有传输都通过安全端口 636 和/或 3269 进行传输。在测试设置过程中，iDRAC 仅执行 LDAP CONNECT 以隔离该问题，而

不是在非安全连接上执行 LDAP BIND。

为什么 iDRAC 默认启用证书验证？

iDRAC 强制实行强大的安全性，以确保 iDRAC 连接到域控制器的身份。没有证书验证，黑客可以欺骗域控制器并劫持 SSL 连接。如

果您选择信任安全边界内的所有域控制器而无需验证证书，那么您可通过 Web 界面或 RACADM 将其禁用。

iDRAC 是否支持 NetBIOS 名称？

此版本不支持。

为什么使用 Active Directory 单一登录或智能卡登录时需要长达四分钟才能登录到 iDRAC？

Active Directory 单一登录和智能卡登录通常只需要不到 10 秒钟就能完成，但是如果您指定了首选 DNS 服务器和备用 DNS 服务器，

而首选 DNS 服务器已发生故障，则可能需要长达四分钟才能登录。DNS 服务器停机时预期会出现 DNS 超时。iDRAC 将使用备用

DNS 服务器让您登录。

Active Directory 配置为 Windows Server 2008 Active Directory 中存在的域。该域中有一个子域，用户和组位于同一子域并且用

户是组的成员。尝试使用子域中的用户登录 iDRAC 时，Active Directory 单一登录将失败。

这可能由于组类型不正确。Active Directory 服务器中有两种组类型：

• Security（安全） - 安全组允许您管理用户并使用计算机访问共享资源以及筛选组策略设置。

• 分发 - 分发组仅供用于电子邮件分发列表。

始终确保该组类型是安全的。您不能使用分发组在任何对象上分配权限，但是可以使用它们来筛选组策略设置。

单一登录

在 Windows Server 2008 R2 x64 上 SSO 登录失败。解决此问题所需的设置是什么？

1. 为域控制器和域策略运行 technet.microsoft.com/en-us/library/dd560670(WS.10).aspx 中介绍的操作。

2. 配置计算机以使用 DES-CBC-MD5 密码组。

这些设置可能会影响您的环境中客户端计算机或服务与应用程序的兼容性。Kerberos 策略设置允许的配置加密类型位于：

Computer Configuration（计算机配置） > Security Settings（安全设置） > Local Policies（本地策略） > Security Options

（安全选项）。

3. 请确保域客户端具有更新的 GPO。

4. 在命令行处，键入 gpupdate /force 并使用 klist purge 命令删除旧 Keytab。

5. 更新 GPO 后，创建新的 keytab。

6. 将 keytab 上载到 iDRAC。

现在可以使用 SSO 登录 iDRAC。

为什么在 Windows 7 和 Windows Server 2008 R2 上，Active Directory 用户进行单一登录失败？

常见问题

275