Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC9 - 3.0x Series

301

302

303

304

305

306

307

308

309

310

iDRAC date is within the valid period of the certificates and if the Domain Controller

Address configured in iDRAC matches the subject of the Directory Server Certificate.

証明書の検証が有効な場合、iDRAC はディレクトリサーバとの SSL 接続を確立すると、アップロードされた CA 証明書を使用して

ディレクトリサーバ証明書を検証します。証明書の検証に失敗する主な理由は次のとおりです。

• iDRAC の日付がサーバ証明書または CA 証明書の有効期間内ではない。iDRAC の日付と証明書の有効期間を確認してください。

• iDRAC で設定されたドメインコントローラアドレスがディレクトリサーバ証明書のサブジェクト名またはサブジェクト代替名

と一致しない。IP アドレスを使用している場合は、次の質問をご覧ください。FQDN を使用している場合は、ドメインではな

く、ドメインコントローラの FQDN を使用していることを確認します。たとえば、example.com ではなく、

servername.example.com を使用します。

IP アドレスをドメインコントローラアドレスとして使用しても証明書の検証に失敗します。どのように解決すればよいですか?

ドメインコントローラ証明書のサブジェクト名フィールドまたはサブジェクト代替名フィールドを確認します。通常、Active

Directory は、ドメインコントローラ証明書のサブジェクト名フィールドまたはサブジェクト代替名フィールドには、ドメインコ

ントローラの IP アドレスではなく、ホスト名を使用します。これを解決するには、次の手順のいずれかを実行します。

• サーバー証明書のサブジェクトまたはサブジェクト代替名と一致するように、iDRAC でドメインコントローラのホスト名

（FQDN）をドメインコントローラアドレスとして設定します。

• iDRAC で設定された IP アドレスと一致する IP アドレスをサブジェクトフィールドまたはサブジェクト代替名フィールドで使用

するようにサーバー証明書を再発行します。

• SSL ハンドシェイク中の証明書の検証なしでドメインコントローラを信頼することを選択した場合は、証明書の検証を無効にし

ます。

複数ドメイン環境で拡張スキーマを使用している場合は、ドメインコントローラアドレスをどのように設定しますか?

このアドレスは、iDRAC オブジェクトが属するドメイン用のドメインコントローラのホスト名（FQDN）または IP アドレスである

必要があります。

グローバルカタログアドレスを設定するのはいつですか?

標準スキーマを使用しており、ユーザーおよび役割グループが異なるドメインに属する場合は、グローバルカタログアドレスが必要

です。この場合、ユニバーサルグループのみを使用できます。

標準スキーマを使用し、すべてのユーザーおよび役割グループが同じドメインに属する場合は、グローバルカタログアドレスは必要

はありません。

拡張スキーマを使用している場合、グローバルカタログアドレスは使用されません。

標準スキーマクエリの仕組みを教えてください。

iDRAC は、最初に、設定されたドメインコントローラアドレスに接続します。ユーザーおよび役割グループがそのドメインにある場

合は、権限が保存されます。

グローバルコントローラアドレスが設定されている場合、iDRAC はグローバルカタログのクエリを続行します。グローバルカタログ

から追加の権限が検出された場合、これらの権限は蓄積されます。

iDRAC は、常に LDAP over SSL を使用しますか?

はい。すべての転送は、安全なポート 636 および 3269 の両方またはいずれか一方を使用して行われます。テスト設定では、iDRAC

は問題を分離するためだけに LDAP 接続を行います。安全ではない接続で LDAP バインドを実行することはありません。

iDRAC で、証明書の検証がデフォルトで有効になっているのはなぜですか?

iDRAC は、iDRAC が接続するドメインコントローラの ID を保護するために強力なセキュリティを施行します。証明書の検証なしで

は、ハッカーがドメインコントローラを偽造し、SSL 接続を乗っ取ることが可能になります。証明書の検証を行わずにセキュリテ

ィ境界内のすべてのドメインコントローラを信頼することを選択する場合、ウェブインタフェースまたは RACADM から証明書の検

証を無効にできます。

iDRAC は NetBIOS 名をサポートしていますか?

このリリースでは、サポートされていません。

Active Directory のシングルサインオンまたはスマートカードログインを使用して iDRAC にログインするのに最大 4 分かかるの

はなぜですか?

通常、Active Directory のシングルサインオンまたはスマートカードのログインにかかる時間は 10 秒未満ですが、優先 DNS サーバお

よび代替 DNS サーバを指定しており、優先 DNS サーバで障害が発生すると、ログインに最大 4 分かかる場合があります。DNS サ

ーバがダウンしている場合は、DNS タイムアウトが発生します。iDRAC は、代替 DNS を使用してユーザーをログインします。

Active Directory は、Windows Server 2008 の Active Directory に属するドメイン用に設定されています。ドメインには子ドメイ

ン、つまりサブドメインが存在し、ユーザーおよびグループは同じ子ドメインに属します。ユーザーは、このグループのメンバーで

す。子ドメインに属するユーザーを使用して iDRAC にログインしようとすると、Active Directory のシングルサインオンログイン

が失敗します。

よくあるお問い合わせ（FAQ） 303