Users Guide
是的。所有数据都通过安全端口 636 和/或 3269 进行传输。在测试设置过程中,iDRAC 仅执行 LDAP
CONNECT
以隔离该问题,而不是在非安全连接上执行 LDAP BIND。
为什么 iDRAC 默认启用证书验证?
iDRAC 强制实行强大的安全机制来确保 iDRAC 连接到的域控制器的身份。如果不实行证书验证,黑客可以欺
骗域控制器并劫持
SSL 连接。在安全区域内,如果您选择信任所有没有证书验证的域控制器,可通过 Web 界
面或 RACADM 将其禁用。
iDRAC 是否支持 NetBIOS 名称?
此版本不支持。
为什么使用 Active Directory 单一登录或智能卡登录时需要长达四分钟才能登录到 iDRAC?
Active Directory 单一登录和智能卡登录通常只需要不到 10 秒钟就能完成,但是如果您指定了首选 DNS 服务
器和备用 DNS 服务器,而首选 DNS 服务器已发生故障,则可能需要长达四分钟才能登录。当 DNS 服务器关
闭时
,预计会出现 DNS 超时。在这种情况下,iDRAC 会使用备用 DNS 服务器进行登录。
Active Directory 针对 Windows Server 2008 Active Directory 中存在的域进行配置。该域包含子域,用户
和组位于同一子域中,并且用户是该组的成员。当您尝试使用子域中的用户登录到 iDRAC 时,Active
Directory
单一登录会失败。
这可能是由于组类型不正确。Active Directory 服务器中包括两种组类型:
• Security(安全) - 安全组允许您管理用户并使用计算机访问共享资源以及筛选组策略设置。
• 分发 - 分发组仅供用于电子邮件分发列表。
请始终确保组类型为“安全”。您不能使用分发组来在任何对象上分配权限,但是可以使用它们来过滤组策略设
置。
单一登录
SSO 登录在 Windows Server 2008 R2 x64 上失败。需要执行哪些设置才能解决此问题?
1. 为域控制器和域策略运行 technet.microsoft.com/en-us/library/dd560670(WS.10).aspx 中介绍的操
作。
2. 配置计算机以使用 DES-CBC-MD5 密码组。
这些设置可能会影响环境中客户端计算机或服务以及应用程序的兼容性。Kerberos 策略允许的配置加密
类型位于 Computer Configuration(计算机配置) → Security Settings(安全设置) → Local
Policies(
本地策略) → Security Options(安全选项)下。
3. 请确保域客户端具有更新的 GPO。
4. 在命令行处,键入 gpupdate /force 并使用 klist purge 命令删除旧 Keytab。
5. 更新 GPO 后,创建新的 keytab。
6. 将 keytab 上载到 iDRAC。
现在可以使用 SSO 登录 iDRAC。
为什么在 Windows 7 和 Windows Server 2008 R2 上,Active Directory 用户进行单一登录失败?
您必须启用 Windows 7 和 Windows Server 2008 R2 的加密类型。要启用加密类型:
326