Users Guide
Ja. Der gesamte Transfer erfolgt über den geschützten Anschluss 636 und/oder 3269. Unter Einstellungen testen führt iDRAC einen
LDAP CONNECT durch, um das Problem zu isolieren, er führt jedoch keinen LDAP BIND auf einer unsicheren Verbindung aus.
Warum ist in der Standardkonguration des iDRAC die Überprüfung des Zertikats aktiviert?
iDRAC setzt eine hohe Sicherheit durch, um die Identität des Domänen-Controllers, mit dem iDRAC eine Verbindung herstellt,
sicherzustellen. Ohne Überprüfung des Zertikats kann ein Hacker über einen vorgetäuschten Domänen-Controller die SSL-
Verbindung übernehmen. Wenn Sie allen Domänen-Controllern in Ihrem Sicherheitsbereich ohne Überprüfung des Zertikats
vertrauen, können Sie die Überprüfung durch die Web-Schnittstelle oder RACADM deaktivieren.
Unterstützt iDRAC den NetBIOS-Namen?
Nicht in dieser Version.
Warum dauert es bis zu vier Minuten, sich über die Active Directory-basierte Einmal- oder Smart Card-Anmeldung bei iDRAC
anzumelden?
Die Active Directory-Einmal- oder die Smart Card-Anmeldung dauert in der Regel weniger als 10 Sekunden; die Anmeldung kann
allerdings bis zu vier Minuten dauern, wenn Sie den bevorzugten DNS-Server und den alternativen DNS-Server angegeben haben
und der bevorzugte DNS-Server fehlschlägt. DNS-Zeitüberschreitungen werden erwartet, wenn ein DNS-Server heruntergefahren
ist. iDRAC meldet Sie unter Verwendung des alternativen DNS-Servers an.
Das Active Directory für eine vorhandene Domäne ist in Windows Server 2008 Active Directory koguriert. Eine
untergeordnete Domäne bzw. Subdomäne ist für die Domäne vorhanden, der Benutzer und die Gruppe sind in derselben
untergeordneten Domäne vorhanden und der Benutzer ist ein Mitglied dieser Gruppe. Bei dem Versuch, sich unter Verwendung
des Benutzers, der sich in der untergeordneten Domäne bendet, am iDRAC anzumelden, schlägt das Einmalige Anmelden
über Active Directory fehl.
Dies kann möglicherweise auf den falschen Gruppentyp zurückzuführen sein. Im Active Directory-Server gibt es zwei Arten von
Gruppentypen:
• Sicherheit – Sicherheitsgruppen ermöglichen Ihnen, den Benutzer- und Computerzugri auf freigegebene Ressourcen zu
verwalten und Gruppenrichtlinieneinstellungen zu ltern.
• Verteilung – Verteilungsgruppen sind nur als E-Mail-Verteilerlisten vorgesehen.
Stellen Sie immer sicher, dass der Gruppentyp Sicherheit lautet. Sie können zum Zuweisen von Berechtigungen für Objekte keine
Verteilergruppen verwenden, verwenden Sie diese jedoch zum Filtern von Gruppenrichtlinieneinstellungen.
Einmaliges Anmelden
Die SSO-Anmeldung schlägt auf Windows Server 2008 R2 x64 fehl. Welche Einstellungen sind zum Lösen dieses Problems
erforderlich?
1. Führen Sie http://technet.microsoft.com/en-us/library/dd560670(WS.10).aspx für den Domänen-Controller und die
Domänenregel aus.
2. Kongurieren Sie die Computer zur Verwendung der DES-CBC-MD5-Cipher-Suite.
Diese Einstellungen haben möglicherweise Einuss auf die Kompatibilität mit Client-Computern oder -Diensten und
Anwendungen in Ihrer Umgebung. Die Regeleinstellung Für Kerberos zulässige Verschlüsselungstypen kongurieren ist unter
Computer-Konguration → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen gespeichert.
3. Stellen Sie sicher, dass die Domänen-Clients über das aktualiserte GPO verfügen.
4. Geben Sie in der Befehlszeile den Befehl gpupdate /force ein und löschen Sie die alte Keytab mit Befehl klist purge.
5. Nachdem das GPO aktualisiert wurde, erstellen Sie die neue Keytab.
6. Laden Sie das Keytab zu iDRAC hoch.
Sie können sich jetzt unter Verwendung der SSO am iDRAC anmelden.
Warum scheitert die SSO-Anmeldung bei Active Directory-Benutzern auf Windows 7 und Windows Server 2008 R2?
320