Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC8 with Lifecycle Controller version 2.75.75.75

291

292

293

294

295

296

297

298

299

300

• iDRAC で設定されたドメインコントローラアドレスがディレクトリサーバー証明書のサブジェクトまたはサブジェクト代替名

と一致しない。IP アドレスを使用している場合は、次の質問をご覧ください。FQDN を使用している場合は、ドメインではな

く、ドメインコントローラの FQDN を使用していることを確認します。たとえば、example.com ではなく、

servername.example.com を使用します。

IP アドレスをドメインコントローラアドレスとして使用しても証明書の検証に失敗します。どのように解決すればよいですか?

ドメインコントローラ証明書のサブジェクトフィールドまたはサブジェクト代替名フィールドを確認します。通常、Active Directory

は、ドメインコントローラ証明書のサブジェクトフィールドまたはサブジェクト代替名フィールドには、ドメインコントローラの IP

アドレスではなく、ホスト名を使用します。これを解決するには、次の手順のいずれかを実行します。

• サーバー証明書のサブジェクトまたはサブジェクト代替名と一致するように、iDRAC でドメインコントローラのホスト名

（FQDN）をドメインコントローラアドレスとして設定します。

• iDRAC で設定された IP アドレスと一致する IP アドレスをサブジェクトフィールドまたはサブジェクト代替名フィールドで使用

するようにサーバー証明書を再発行します。

• SSL ハンドシェイク中の証明書の検証なしでドメインコントローラを信頼することを選択した場合は、証明書の検証を無効にし

ます。

複数ドメイン環境で拡張スキーマを使用している場合は、ドメインコントローラアドレスをどのように設定しますか?

このアドレスは、iDRAC オブジェクトが属するドメイン用のドメインコントローラのホスト名（FQDN）または IP アドレスである

必要があります。

グローバルカタログアドレスを設定するのはいつですか?

標準スキーマを使用しており、ユーザーおよび役割グループが異なるドメインに属する場合は、グローバルカタログアドレスが必要

です。この場合、ユニバーサルグループのみを使用できます。

標準スキーマを使用し、すべてのユーザーおよび役割グループが同じドメインに属する場合は、グローバルカタログアドレスは必要

はありません。

拡張スキーマを使用している場合、グローバルカタログアドレスは使用されません。

標準スキーマクエリの仕組みを教えてください。

iDRAC は、まず設定されたドメインコントローラアドレスに接続し、ユーザーおよび役割グループがそのドメインにある場合は、権

限が保存されます。

グローバルコントローラアドレスが設定されている場合、iDRAC はグローバルカタログのクエリを続行します。グローバルカタログ

から追加の権限が検出された場合、これらの権限は蓄積されます。

iDRAC は、常に LDAP over SSL を使用しますか?

はい。すべての転送は、安全なポート 636 および 3269 の両方またはいずれか一方を使用して行われます。テスト設定では、iDRAC

は問題を分離するためだけに LDAP 接続を行います。安全ではない接続で LDAP バインドを実行することはありません。

iDRAC で、証明書の検証がデフォルトで有効になっているのはなぜですか?

iDRAC は、iDRAC が接続するドメインコントローラの ID を保護するために強力なセキュリティを施行します。証明書の検証なしで

は、ハッカーがドメインコントローラを偽造し、SSL 接続を乗っ取ることが可能になります。証明書の検証を行わずにセキュリテ

ィ境界内のすべてのドメインコントローラを信頼することを選択する場合、これはウェブインタフェースまたは RACADM から証明

書の検証を無効にできます。

iDRAC は NetBIOS 名をサポートしていますか?

このリリースでは、サポートされていません。

Active Directory のシングルサインオンまたはスマートカードログインを使用して iDRAC にログインするのに最大 4 分かかるの

はなぜですか?

通常、Active Directory のシングルサインオンまたはスマートカードログインにかかる時間は 10 秒未満ですが、優先 DNS サーバーお

よび代替 DNS サーバーを指定しており、優先 DNS サーバーで障害が発生すると、ログインに最大 4 分かかる場合があります。DNS

サーバーがダウンしている場合は、DNS タイムアウトが発生します。iDRAC は、代替 DNS を使用してユーザーをログインします。

Active Directory は、Windows Server 2008 の Active Directory に属するドメイン用に設定されています。ドメインには子ドメイ

ン、つまりサブドメインが存在し、ユーザーおよびグループは同じ子ドメインに属します。ユーザーは、このドメインのメンバーで

す。子ドメインに属するユーザーを使用して iDRAC にログインしようとすると、Active Directory のシングルサインオンログイン

が失敗します。

これは、誤ったグループタイプが原因です。Active Directory サーバーには 2 種類のグループタイプがあります。

• セキュリティ — セキュリティグループでは、ユーザーとコンピュータによる共有リソースへのアクセスの管理や、グループポリ

シー設定のフィルタが可能です。

• 配布 — 配布グループは、電子メール配布リストとして使用することだけを目的としたものです。

よくあるお問い合わせ（FAQ） 299