Users Guide
Ja. Der gesamte Transfer erfolgt über den geschützten Anschluss 636 und/oder 3269. Unter „Test settings“ (Einstellungen testen) führt
iDRAC einen LDAP CONNECT durch, um das Problem zu isolieren, er führt jedoch keinen LDAP BIND auf einer unsicheren Verbindung
aus.
Warum ist in der Standardkonfiguration des iDRAC die Überprüfung des Zertifikats aktiviert?
iDRAC erzwingt hohe Sicherheit, um die Identität des Domänen-Controllers zu sichern, mit dem iDRAC eine Verbindung herstellt. Ohne die
Überprüfung des Zertifikats kann ein Hacker mithilfe eines gefälschten Domänen-Controllers die SSL-Verbindung hacken. Wenn Sie alle
Domänen-Controller in Ihrer Sicherheitsbegrenzung ohne Überprüfung des Zertifikats als vertrauenswürdig festlegen, können Sie die
Überprüfung über die Webschnittstelle oder RACADM deaktivieren.
Unterstützt iDRAC den NetBIOS-Namen?
Nicht in dieser Version.
Warum dauert es bis zu vier Minuten, sich über die Active Directory-basierte Einmal- oder Smart Card-Anmeldung bei iDRAC
anzumelden?
Die Active Directory-basierte Einmal- oder Smart Card-Anmeldung dauert in der Regel weniger als 10 Sekunden, sie kann jedoch bis zu vier
Minuten dauern, wenn Sie den bevorzugten DNS-Server und den alternativen DNS-Server angegeben haben und der bevorzugte DNS-
Server ausfällt. DNS-Zeitüberschreitungen sind zu erwarten, wenn ein DNS-Server ausgeschaltet ist. iDRAC meldet Sie unter Verwendung
des alternativen DNS-Servers an.
Active Directory wird für eine Domäne in Windows Server 2008 Active Directory konfiguriert. Eine untergeordnete Domäne
bzw. Unterdomäne ist für die Domäne vorhanden, der Benutzer und die Gruppe gehören derselben untergeordneten Domäne
an und der Benutzer ist Mitglied dieser Gruppe. Bei dem Versuch, sich mit dem Benutzer bei iDRAC anzumelden, der
derselben untergeordneten Domäne angehört, schlägt das einmalige Anmelden über Active Directory fehl.
Dies kann möglicherweise auf den falschen Gruppentyp zurückzuführen sein. Auf dem Active Directory-Server gibt es zwei Arten von
Gruppentypen:
• Sicherheit – Sicherheitsgruppen ermöglichen Ihnen, den Benutzer- und Computerzugriff auf freigegebene Ressourcen zu verwalten
und Gruppenrichtlinieneinstellungen zu filtern.
• Verteilung – Verteilungsgruppen sind nur als E-Mail-Verteilerlisten vorgesehen.
Stellen Sie immer sicher, dass der Gruppentyp „Security“ (Sicherheit) lautet. Sie können zum Zuweisen von Berechtigungen für Objekte
keine Verteilergruppen verwenden. Verwenden Sie diese jedoch zum Filtern von Gruppenrichtlinieneinstellungen.
Einmaliges Anmelden
Die SSO-Anmeldung schlägt auf Windows Server 2008 R2 x64 fehl. Welche Einstellungen sind zum Lösen dieses Problems
erforderlich?
1. Führen Sie http://technet.microsoft.com/en-us/library/dd560670(WS.10).aspx für den Domänen-Controller und die
Domänenregel aus.
2. Konfigurieren Sie die Computer zur Verwendung der DES-CBC-MD5-Cipher-Suite.
Diese Einstellungen haben möglicherweise Auswirkungen auf die Kompatibilität mit Client-Computern oder -Diensten und -
Anwendungen in Ihrer Umgebung. Die für die Kerberos-Richtlinieneinstellung zulässigen konfigurierbaren Verschlüsselungstypen sind
unter Computer Configuration (Computerkonfiguration) > Security Settings (Sicherheitseinstellungen) > Local Policies
(Lokale Richtlinien) > Security Optionen (Sicherheitsoptionen) verfügbar.
3. Stellen Sie sicher, dass die Domänen-Clients über das aktualiserte GPO verfügen.
4. Geben Sie in der Befehlszeile den Befehl gpupdate /force ein und löschen Sie die alte Keytab mit dem Befehl klist purge.
5. Nachdem das GPO aktualisiert wurde, erstellen Sie die neue Keytab.
6. Laden Sie das Keytab zu iDRAC hoch.
Sie können sich jetzt unter Verwendung der SSO am iDRAC anmelden.
Warum scheitert die SSO-Anmeldung bei Active Directory-Benutzern auf Windows 7 und Windows Server 2008 R2?
Sie müssen die Verschlüsselungstypen für Windows 7 und Windows Server 2008 R2 aktivieren. So aktivieren Sie die
Verschlüsselungstypen:
1. Melden Sie sich als Administrator oder als Benutzer mit Administratorrechten an.
2. Gehen Sie zu Start und führen Sie gpedit.msc aus. Das Fenster Local Group Policy Editor (Editor für lokale Gruppenrichtlinien)
wird angezeigt.
3. Wechseln Sie zu Local Computer Settings (Lokale Computereinstellungen) > Windows Settings (Windows-Einstellungen)
> Security Settings (Sicherheitseinstellungen) > Local Policies (Lokale Richtlinien) > Security Options
(Sicherheitsoptionen).
338
Häufig gestellte Fragen