Users Guide
Table Of Contents
- Integrated Dell Remote Access Controller 9 用户指南
- 目录
- iDRAC 概览
- 登录 iDRAC
- 强制更改密码 (FCP)
- 使用 OpenID Connect 登录 iDRAC
- 以本地用户、Active Directory 用户或 LDAP 用户身份登录 iDRAC
- 使用智能卡作为本地用户登录 iDRAC
- 使用单一登录登录 iDRAC
- 使用远程 RACADM 访问 iDRAC
- 使用本地 RACADM 访问 iDRAC
- 使用固件 RACADM 访问 iDRAC
- 简单的双重身份验证(简单 2FA)
- RSA SecurID 2FA
- 查看系统运行状况
- 使用公共密钥验证登录 iDRAC
- 多个 iDRAC 会话
- 安全默认密码
- 更改默认登录密码
- 启用或禁用默认密码警告消息
- 密码强度策略
- IP 阻止
- 使用 Web 界面启用或禁用 OS 到 iDRAC 直通
- 使用 RACADM 启用或禁用警报
- 设置受管系统
- 设置 iDRAC IP 地址
- 修改本地管理员帐户设置
- 设置受管系统位置
- 优化系统性能和功耗
- 设置管理站
- 配置支持的 Web 浏览器
- 更新设备固件
- 查看和管理分阶段更新
- 回滚设备固件
- 使用其他系统管理工具监测 iDRAC
- 支持服务器配置配置文件 — 导入和导出
- BIOS 设置或 F2 中的安全引导配置
- BIOS 恢复
- 配置 iDRAC
- 使用 OAuth 2.0 的委派授权
- 查看 iDRAC 和受管系统信息
- 设置 iDRAC 通信
- 配置用户帐户和权限
- 系统配置锁定模式
- 配置 iDRAC 以进行单一登录或智能卡登录
- 配置 iDRAC 以发送警报
- iDRAC 9 Group Manager
- 管理日志
- 在 iDRAC 中监测和管理电源
- iDRAC 直接更新
- 对网络设备执行资源清册、监测和配置操作
- 管理存储设备
- BIOS 设置
- 配置并使用虚拟控制台
- 使用 iDRAC 服务模块
- 使用 USB 端口进行服务器管理
- 使用 Quick Sync 2
- 管理虚拟介质
- 管理 vFlash SD 卡
- 使用 SMCLP
- 部署操作系统
- 使用 iDRAC 排除受管系统故障
- iDRAC 中的 SupportAssist 集成
- 常见问题
- 使用案例场景
标准架构的查询方式是什么?
iDRAC 首先连接到所配置的域控制器地址。如果用户和角色组位于该域中,则保存权限。
如果配置了全局控制器地址,则 iDRAC 会继续查询全局编录。如果从全局编录检索到额外的权限,则会累加这些权限。
iDRAC 始终在 SSL 上使用 LDAP 吗?
可以。所有传输都通过安全端口 636 和/或 3269 进行传输。在测试设置过程中,iDRAC 仅执行 LDAP CONNECT 以隔离该问题,而
不是在非安全连接上执行 LDAP BIND。
为什么 iDRAC 默认启用证书验证?
iDRAC 强制实行强大的安全性,以确保 iDRAC 连接到域控制器的身份。没有证书验证,黑客可以欺骗域控制器并劫持 SSL 连接。如
果您选择信任安全边界内的所有域控制器而无需验证证书,那么您可通过 Web 界面或 RACADM 将其禁用。
iDRAC 是否支持 NetBIOS 名称?
此版本不支持。
为什么使用 Active Directory 单一登录或智能卡登录时需要长达四分钟才能登录到 iDRAC?
Active Directory 单一登录和智能卡登录通常只需要不到 10 秒钟就能完成,但是如果您指定了首选 DNS 服务器和备用 DNS 服务器,
而首选 DNS 服务器已发生故障,则可能需要长达四分钟才能登录。DNS 服务器停机时预期会出现 DNS 超时。iDRAC 将使用备用
DNS 服务器让您登录。
Active Directory 配置为 Windows Server 2008 Active Directory 中存在的域。该域中有一个子域,用户和组位于同一子域并且用
户是组的成员。尝试使用子域中的用户登录 iDRAC 时,Active Directory 单一登录将失败。
这可能由于组类型不正确。Active Directory 服务器中有两种组类型:
● Security(安全) - 安全组允许您管理用户并使用计算机访问共享资源以及筛选组策略设置。
● 分发 - 分发组仅供用于电子邮件分发列表。
始终确保该组类型是安全的。您不能使用分发组在任何对象上分配权限,但是可以使用它们来筛选组策略设置。
Identifier
GUID-770B8156-BCFE-4AD4-977D-F37589BC4842
Version 1
Status Translation Validated
单一登录
在 Windows Server 2008 R2 x64 上 SSO 登录失败。解决此问题所需的设置是什么?
1. 为域控制器和域策略运行 technet.microsoft.com/en-us/library/dd560670(WS.10).aspx 中介绍的操作。
2. 配置计算机以使用 DES-CBC-MD5 密码组。
这些设置可能会影响您的环境中客户端计算机或服务与应用程序的兼容性。Kerberos 策略设置允许的配置加密类型位于:
Computer Configuration(计算机配置) > Security Settings(安全设置) > Local Policies(本地策略) > Security Options
(安全选项)。
3. 请确保域客户端具有更新的 GPO。
4. 在命令行处,键入 gpupdate /force 并使用 klist purge 命令删除旧 Keytab。
5. 更新 GPO 后,创建新的 keytab。
6. 将 keytab 上载到 iDRAC。
现在可以使用 SSO 登录 iDRAC。
为什么在 Windows 7 和 Windows Server 2008 R2 上,Active Directory 用户进行单一登录失败?
您必须启用 Windows 7 和 Windows Server 2008 R2 的加密类型。要启用加密类型:
1. 以管理员或具有管理权限的用户身份登录。
2. 转至开始并运行 gpedit.msc。将显示 ocal Group Policy Editor(本地组策略编辑器)窗口。
3. 转至 Local Computer Settings(本地计算机设置) > Windows Settings(Windows 设置) > Security Settings(安全设置)
> Local Policies(本地策略) > Security Options(安全选项)。
4. 右键单击 Network Security: Configure encryption types allowed for kerberos(网络安全:配置 Kerberos 允许的加密类型)
并选择 Properties(属性)。
5. 启用所有选项。
6. 单击 OK(确定)。现在可以使用 SSO 登录 iDRAC。
对于 Extended Schema(扩展架构),执行以下附加设置:
常见问题 359
DRAFT