Users Guide
即使已启用证书验证,Active Directory 登录也会失败。测试结果会显示以下错误消息。为什么会发生这种情
况
?如何解决?
ERROR: Can't contact LDAP server, error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check
the correct Certificate Authority (CA) certificate has been uploaded to iDRAC.
Please also check if the iDRAC date is within the valid period of the
certificates and if the Domain Controller Address configured in iDRAC matches
the subject of the Directory Server Certificate.(
错误:无法连接到 LDAP 服务器,错
误:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:证书验证失败:请检查是否已将正
确的证书认证机构
(CA) 证书上载到 iDRAC。请同时检查 iDRAC 日期是否在证书的有效期内,并且在
iDRAC 中配置的域控制器地址与目录服务器证书的主题匹配。)
如果已启用证书验证,当 iDRAC 与目录服务器建立 SSL 连接时,iDRAC 将使用已上载的 CA 证书验证目录服
务器证书。导致证书验证失败的最常见原因包括
:
• iDRAC 日期超出服务器证书或 CA 证书的有效期。检查 iDRAC 时间和证书的有效期。
• 在 iDRAC 中配置的域控制器地址与目录服务器证书的“主题”或“主题备用名称”不匹配。如果您使用 IP 地
址
,请阅读下一个问题。如果您使用 FQDN,请确保您使用的是域控制器(而不是域)的 FQDN。例如
servername.example.com(而不是 example.com)。
即使使用 IP 地址作为域控制器地址,证书验证也会失败。如果解决此问题?
请检查域控制器证书的 Subject(主题)或 Subject Alternative Name(主题备用名称)字段。通常,在域控
制器证书的 Subject(主题)或 Subject Alternative Name(主题备用名称)字段中,Active Directory 使用主
机名而不是 IP 地址。要解决此问题,请执行以下操作:
• 在 iDRAC 上将域控制器的主机名 (FQDN) 配置为
域控制器地址
,以与服务器证书的主题或主题备用名称匹
配。
• 重新颁发服务器证书以在“主题”或“主题备用名称”字段中使用 IP 地址,从而与在 iDRAC 中配置的 IP 地址
匹配。
• 如果选择信任此域控制器而无需在 SSL 握手过程中验证证书,请禁用证书验证。
当在多域环境中使用扩展架构时,如何配置域控制器地址?
这必须是 iDRAC 对象所在域中域控制器的主机名 (FQDN) 或 IP 地址。
何时配置 Global Catalog Address(全局编录地址)?
如果您使用标准架构且用户和角色组来自不同的域,则必须填写全局编录地址。在这种情况下,您仅可以使用
Universal Group(通用组)。
如果使用的是标准架构且所有用户和角色组都在相同域中,则不必配置全局编录地址。
如果使用的是扩展架构,则不使用全局编录地址。
标准架构的查询方式是什么?
iDRAC 先连接到所配置的域控制器地址,如果用户和角色组位于该域中,将保存权限。
如果已配置“全局控制器地址”,iDRAC 会继续查询“全局编录”。如果从全局编录中检索到其他权限,这些权限
会累积。
iDRAC 始终在 SSL 上使用 LDAP 吗?
325