Users Guide
1. 以管理员或具有管理权限的用户身份登录。
2.
转至 Start(开始)并运行 gpedit.msc。随即会显示 Local Group Policy Editor(本地组策略编辑器)
窗口。
3. 转至本地计算机设置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项。
4. 右键单击 Network Security: Configure encryption types allowed for kerberos(网络安全:配置
Kerberos 允许的加密类型)并选择 Properties(属性)。
5. 启用所有选项。
6. 单击确定。现在可以使用 SSO 登录 iDRAC。
对于 Extended Schema(扩展架构),执行以下附加设置:
1. 在 Local Group Policy Editor(本地组策略编辑器)窗口中,导航至 Local Computer Settings(本地
计算机设置) → Windows Settings(Windows 设置) → Security Settings(安全设置) → Local
Policies(
本地策略) → Security Options(安全选项)。
2. 右键单击 Network Security: Restrict NTLM: Outgoing NTLM traffic to remote server(网络安全:限
制 NTLM:发往远程服务器的出站 NTLM 通信量)并选择 Properties(属性)。
3. 选择 Allow all(全部允许),单击 OK(确定),然后关闭 Local Group Policy Editor(本地组策略编
辑器
)窗口。
4. 转至 Start(开始)并运行 cmd。随即会显示命令提示窗口。
5. 运行命令 gpupdate /force。组策略即会更新。完成后,请关闭命令提示窗口。
6. 转至 Start(开始)并运行 regedit。随即会显示 Registry Editor(注册表编辑器)窗口。
7. 导航至 HKEY_LOCAL_MACHINE → System → CurrentControlSet → Control → LSA。
8. 在右侧窗格中,右键单击并选择 New(新建) → DWORD (32-bit) Value(DWORD [32 位] 值)。
9. 将新注册表项命名为 SuppressExtendedProtection。
10. 右键单击 SuppressExtendedProtection 并单击 Modify(修改)。
11. 在 Value data(值数据)字段中键入 1 并单击 OK(确定)。
12. 关闭注册表编辑器窗口。现在可以使用 SSO 登录 iDRAC。
如果为 iDRAC 启用了 SSO 并使用 Internet Explorer 登录 iDRAC,SSO 会失败并提示输入用户名和密码。如
何解决此问题?
请确保 iDRAC IP 地址列于工具 → Internet 选项 → 安全 → 受信任的站点中。如果未列于其中,SSO 会失败
并提示您输入用户名和密码。请单击取消并继续。
智能卡登录
使用 Active Directory 智能卡登录功能登录 iDRAC 需要最多四分钟时间。
正常的 Active Directory 智能卡登录过程通常不超过 10 秒,但如果您在网络页面中指定了首选 DNS 服务器和
备用 DNS 服务器,并且首选 DNS 服务器失败,则可能需要长达四分钟。DNS 服务器停机时预期会出现 DNS
超时。iDRAC 将使用备用 DNS 服务器让您登录。
ActiveX 插件无法检测到智能卡阅读器。
确保 Microsoft Windows 操作系统支持智能卡。Windows 支持有限数量的智能卡加密服务提供商 (CSP)。
一般来说,要检查特定客户端上是否存在智能卡 CSP,在出现 Windows 登录 (Ctrl-Alt-Del) 屏幕时将智能卡
插入读卡器并查看 Windows 是否检测到智能卡并显示 PIN 对话框。
327