Manualshelf

Users Guide

ManualsBrandsDell ManualsActive System ManageriDRAC9 - 3.3x Series
331332333334335336337338339340
Sie haben das richtige Stamm-CA-Zertifikat des Active Directory auf den iDRAC hochgeladen, falls Überprüfung des Zertifikats
aktiviert wurde.
Der iDRAC-Name und der iDRAC-Domänenname stimmen mit der Active Directory-Umgebungskonfiguration überein, wenn Sie
das erweiterte Schema verwenden.
Der Gruppenname und der Gruppendomänenname stimmen mit der Active Directory-Konfiguration überein, wenn Sie das
Standardschema verwenden.
Wenn sich der Benutzer und das iDRAC-Objekt in unterschiedlichen Domänen befinden, wählen Sie die Option User Domain from
Login (Benutzerdomäne von Anmeldung) nicht aus. Wählen Sie stattdessen die Option Specify a Domain (Domäne angeben)
aus und geben Sie den Namen der Domäne ein, in der sich das iDRAC-Objekt befindet.
Überprüfen Sie die SSL-Zertifikate des Domänen-Controllers, um sicherzustellen, dass die iDRAC-Zeit innerhalb der Gültigkeitsdauer
des Zertifikats liegt.
Die Anmeldung bei Active Directory schlägt selbst dann fehl, wenn die Zertifikatüberprüfung aktiviert ist. In den
Testergebnissen wird die folgende Fehlmeldung angezeigt: Warum tritt dieses Problem auf und wie kann es gelöst werden?
ERROR: Can't contact LDAP server, error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check the correct
Certificate Authority (CA) certificate has been uploaded to iDRAC. Please also check if the
iDRAC date is within the valid period of the certificates and if the Domain Controller
Address configured in iDRAC matches the subject of the Directory Server Certificate.
Wenn die Zertifikatüberprüfung aktiviert ist, wenn iDRAC die SSL-Verbindung mit dem Verzeichnisserver aufbaut, verwendet iDRAC das
hochgeladene Zertifizierungsstellenzertifikat, um das Zertifikat des Verzeichnisservers zu überprüfen. Die häufigsten Gründe für das
Scheitern der Zertifizierung sind:
Das iDRAC-Datum liegt nicht innerhalb des Gültigkeitszeitraums des Serverzertifikats oder des Zertifizierungsstellenzertifikats.
Überprüfen Sie die iDRAC-Zeit und den Gültigkeitszeitraum Ihres Zertifikats.
Die in iDRAC konfigurierten Domänen-Controller-Adressen stimmen nicht mit dem Servernamen oder dem alternativen Servernamen
des Verzeichnisserverzertifikats überein. Falls Sie eine IP-Adresse verwenden, lesen Sie bitte die folgende Frage. Wenn Sie einen
FQDN verwenden, stellen Sie bitte sicher, dass Sie den FQDN des Domänen-Controllers verwenden und nicht den der Domäne. Zum
Beispiel servername.beispiel.com, und nicht beispiel.com.
Die Zertifikatüberprüfung schlägt fehl, auch wenn die IP-Adresse als Domänen-Controller-Adresse verwendet wird. Wie
kann ich dieses Problem lösen?
Prüfen Sie die Angaben für Servername und alternativer Servername Ihres Domänen-Controller-Zertifikats. Active Directory verwendet in
der Regel den Hostnamen, und nicht die IP-Adresse, des Domänen-Controllers als Servernamen oder alternativen Servernamen des
Domänen-Controller-Zertifikats. Führen Sie die folgenden Schritte aus, um dieses Problem zu lösen:
Konfigurieren Sie den Hostnamen (FQDN) des Domänen-Controllers als Adresse(n) des Domänen-Controllers auf dem iDRAC, damit
er mit dem Servernamen oder alternativen Servernamen des Server-Zertifikats übereinstimmt.
Erstellen Sie das Server-Zertifikat erneut, damit im Feld "Servername" oder "Alternativer Servername" eine IP-Adresse verwendet
wird, die auf dem iDRAC konfiguriert ist.
Deaktivieren Sie die Überprüfung des Zertifikats, wenn Sie dem Domänen-Controller beim SSL-Handshake ohne diese Überprüfung
vertrauen.
Wie werden die Domänen-Controller-Adressen konfiguriert, wenn das erweiterte Schema in einer Umgebung mit mehreren
Domänen verwendet wird?
Es musste der Host-Name (FQDN) oder die IP-Adresse des Domänen-Controllers sein, der die Domäne bedient, in der sich das iDRAC-
Objekt befindet.
Wann muss ich Adressen des globalen Katalogs konfigurieren?
Wenn Sie das Standardschema verwenden und die Benutzer und Rollengruppen verschiedenen Domänen angehören, sind Adressen des
globalen Katalogs erforderlich. In diesem Fall können Sie nur die Universalgruppe verwenden.
Wenn Sie das Standardschema verwenden und alle Benutzer und Rollengruppen derselben Domäne angehören, sind keine Adressen des
globalen Katalogs erforderlich.
Wenn Sie ein erweitertes Schema verwenden, wird die Adresse des globalen Katalogs nicht verwendet.
Wie funktioniert die Abfrage im Standardschema?
iDRAC stellt zunächst eine Verbindung mit den konfigurierten Domänen-Controller-Adressen her. Wenn Benutzer und Rollengruppen
dieser Domäne angehören, wenden die Berechtigungen gespeichert.
Wenn globale Controller-Adressen konfiguriert sind, fragt iDRAC weiterhin den globalen Katalog ab. Wenn zusätzliche Berechtigungen
vom globalen Katalog abgerufen werden, werden diese Berechtigungen kumuliert.
Verwendet iDRAC immer LDAP über SSL?
Häufig gestellte Fragen
337