Users Guide

ManualsBrandsDell ManualsComputer HardwarePowerEdge T430

311

312

313

314

315

316

317

318

319

320

Active Directory est configuré pour un domaine présent dans Active Directory Windows Server 2008. Un domaine

enfant ou un sous-domaine est présent pour le domaine, l'utilisateur et le groupe sont présents dans le même

domaine enfant et l'utilisateur est membre du groupe. Lors de l'ouverture d'une session dans iDRAC en utilisant

l'utilisateur présent dans le domaine enfant, l'ouverture de session par connexion directe Active Directory échoue.

Ce problème peut être provoqué par un type de groupe incorrect. Il existe deux types de groupes dans le serveur Active

Directory :

● Sécurité : les groupes de sécurité permettent de gérer l'accès des utilisateurs et des ordinateurs aux ressources partagées et

de filtrer les paramètres de stratégies de groupe.

● Distribution : les groupes de distribution servent exclusivement de listes de distribution par e-mail.

Veillez à toujours utiliser le type de groupe Sécurité. Vous ne pouvez pas utiliser des groupes de distribution pour affecter des

droits à un objet. Utilisez-les pour filtrer les paramètres de stratégie de groupe.

Connexion directe

L'ouverture de session par connexion directe échoue sur Windows Server 2008 R2 x64. Quels sont les paramètres à

définir pour résoudre le problème ?

1. Exécutez technet.microsoft.com/en-us/library/dd560670(WS.10).aspx pour le contrôleur de domaine et la stratégie

de contrôleur et de domaine.

2. Configurez les ordinateurs pour qu'ils utilisent la suite de chiffrement DES-CBC-MD5.

Ces paramètres peuvent affecter la compatibilité avec les ordinateurs clients ou les services et les applications de votre

environnement. L'option de configuration des types de chiffrement autorisés pour le paramétrage de stratégie Kerberos se

trouve dansConfiguration de l'ordinateur > Paramètres de sécurité > Stratégies locales > Options de sécurité.

3. Vérifiez que les clients du domaine disposent de l'objet de stratégie de groupe à jour.

4. Sur la ligne de commande, tapez gpupdate /force et supprimez l'ancien fichier keytab avec la commande klist

purge.

5. Après avoir mis à jour l'objet de stratégie de groupe, créez le nouveau fichier keytab.

6. Téléversez le fichier keytab vers iDRAC.

Vous pouvez désormais ouvrir une session iDRAC via la connexion directe (SSO).

Pourquoi l'ouverture de session par connexion directe échoue-t-elle avec les utilisateurs Active Directory sur

Windows 7 et Windows Server 2008 R2 ?

Vous devez activer les types de cryptage pour Windows 7 et Windows Server 2008 R2. Pour activer les types de cryptage :

1. Ouvrez une session comme administrateur ou utilisateur doté du privilège d'administration.

2. Accédez à Démarrer et exécutez gpedit.msc. La fenêtre de Éditeur de stratégie de groupe s'affiche.

3. Accédez à Paramètres de l'ordinateur local > Paramètres Windows > Paramètres de sécurité > Stratégies locales >

Options de sécurité..

4. Cliquez avec le bouton droit de la souris sur Sécurité réseau : Configurer les types de cryptage autorisés pour

Kerberos et sélectionnez Propriétés.

5. Activez toutes les options.

6. Cliquez sur OK. Vous pouvez désormais ouvrir une session dans iDRAC via la connexion directe (SSO).

Définissez les paramètres supplémentaires suivants pour le schéma étendu :

1. Dans la fenêtre de Éditeur de stratégie de groupe locale, accédez à Paramètres de l'ordinateur local > Paramètres

Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.

2. Cliquez avec le bouton droit de la souris sur Sécurité réseau : Restreindre NTLM : trafic NTLM sortant vers le serveur

distant et sélectionnez Propriétés.

3. Cliquez sur Autoriser tous, puis sur OK et fermez la fenêtre Éditeur de stratégie de groupe local.

4. Accédez à Démarrer et exécutez cmd. La fenêtre de l'invite de commande s'affiche.

5. Exécutez la commande gpupdate /force. Les stratégies de groupe sont mises à jour. Fermez la fenêtre de l'invite de

commande.

6. Accédez à Démarrer et exécutez regedit. La fenêtre Éditeur de registre s'affiche.

7. Accédez à HKEY_LOCAL_MACHINE > System > CurrentControlSet > Control > LSA.

8. Dans le volet de droite, cliquez avec le bouton droit de la souris et sélectionnez .Nouvelle > Valeur DWORD (32 bits).

9. Nommez la nouvelle clé SuppressExtendedProtection.

10. Cliquez avec le bouton droit de la souris sur SuppressExtendedProtection et cliquez sur Modifier.

11. Dans le champ de données Valeur, tapez 1 et cliquez sur OK.

316

Questions fréquemment posées