Users Guide
Die Anmeldung bei Active Directory schlägt selbst dann fehl, wenn die Zertikatüberprüfung aktiviert ist. Die Testergebnisse
zeigen die folgende Fehlermeldung an. Warum tritt dieses Verhalten auf, und wie kann es gelöst werden?
ERROR: Can't contact LDAP server, error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check the correct
Certificate Authority (CA) certificate has been uploaded to iDRAC. Please also check if the
iDRAC date is within the valid period of the certificates and if the Domain Controller
Address configured in iDRAC matches the subject of the Directory Server Certificate.
Wenn die Zertikatsüberprüfung aktiviert ist, sobald der iDRAC die SSL-Verbindung zum Verzeichnisserver herstellt, verwendet
iDRAC das hochgeladene Zertizierungsstellenzertikat, um das Zertikat des Verzeichnisservers zu überprüfen. Die häugsten
Gründe für eine fehlgeschlagene Zertikatsüberprüfung sind Folgende:
• Das Gültigkeitsdatum des iDRAC liegt nicht innerhalb des Gültigkeitszeitraums des Serverzertikats oder des
Zertizierungsstellenzertikats. Überprüfen Sie die Gültigkeit des iDRAC-Zertikats und Ihres Zertikats.
• Die in iDRAC kongurierten Domänen-Controller-Adressen stimmen nicht mit dem Servernamen oder alternativen Servernamen
im Directory-Server-Zertikat überein. Falls Sie eine IP-Adresse verwenden, lesen Sie bitte die folgende Frage. Wenn Sie einen
FQDN verwenden, stellen Sie bitte sicher, dass Sie den FQDN des Domänen-Controllers verwenden und nicht den der Domäne
selbst, zum Beispiel servername.example.com anstelle von example.com.
Die Zertikatüberprüfung schlägt fehl, auch wenn die IP-Adresse als Domänen-Controller-Adresse verwendet wird. Wie kann
dieses Verhalten gelöst werden?
Prüfen Sie das Feld Servername oder alternativer Servername Ihres Domänen-Controller-Zertikats. Normalerweise verwendet
Active Directory den Host-Namen und nicht die IP-Adresse des Domänen-Controllers im Feld Servername oder alternativer
Servername des Domänen-Controller-Zertikats. Um das Problem zu lösen, führen Sie einen der folgenden Schritte aus:
• Kongurieren Sie den Hostnamen (FQDN) des Domänen-Controllers als Adresse(n) des Domänen-Controllers auf dem iDRAC,
damit er mit dem Servernamen oder alternativen Servernamen des Server-Zertikats übereinstimmt.
• Erstellen Sie das Server-Zertikat erneut, damit im Feld "Servername" oder "Alternativer Servername" eine IP-Adresse verwendet
wird, die auf dem iDRAC konguriert ist.
• Deaktivieren Sie die Überprüfung des Zertikats, wenn Sie dem Domänen-Controller beim SSL-Handshake ohne diese
Überprüfung vertrauen.
Wie werden die Domänen-Controller-Adressen konguriert, wenn das erweiterte Schema in einer Umgebung mit mehreren
Domänen verwendet wird?
Es musste der Host-Name (FQDN) oder die IP-Adresse des Domänen-Controllers sein, der die Domäne bedient, in der sich das
iDRAC-Objekt bendet.
Wann muss ich Adressen des globalen Katalogs kongurieren?
Wenn Sie das Standardschema verwenden und die Benutzer und Rollengruppen verschiedenen Domänen angehören, sind Adressen
des globalen Katalogs erforderlich. In diesem Fall können Sie nur die Universalgruppe benutzen.
Wenn Sie das Standardschema verwenden und alle Benutzer und Rollengruppen derselben Domäne angehören, sind keine Adressen
des globalen Katalogs erforderlich.
Wenn Sie ein erweitertes Schema verwenden, wird die Adresse des globalen Katalogs nicht verwendet.
Wie funktioniert die Abfrage im Standardschema?
iDRAC verbindet sich zuerst mit den kongurierten Domänen-Controller-Adressen, wenn sich die Benutzer und Rollengruppen in
dieser Domäne benden. Die Berechtigungen werden gespeichert.
Wenn Global Controller-Adressen konguriert werden, fragt iDRAC6 weiterhin den Global Catalog ab. Wenn zusätzliche
Berechtigungen vom Global Catalog erfasst werden, werden diese Berechtigungen aufgespeichert.
Verwendet iDRAC immer LDAP über SSL?
319