Users Guide
Table Of Contents
- Integrated Dell Remote Access Controller 8 版本 2.70.70.70 用户指南
- 概览
- 登录 iDRAC
- 设置受管系统和管理站
- 配置 iDRAC
- 查看 iDRAC 和受管系统信息
- 设置 iDRAC 通信
- 配置用户帐户和权限
- 配置 iDRAC 以进行单一登录或智能卡登录
- 配置 iDRAC 以发送警报
- 管理日志
- 监测和管理电源
- 对网络设备执行资源清册、监测和配置操作
- 管理存储设备
- 配置并使用虚拟控制台
- 管理虚拟介质
- 安装和使用 VMCLI 公用程序
- 管理 vFlash SD 卡
- 使用 SMCLP
- 使用 iDRAC 服务模块
- 使用 USB 端口进行服务器管理
- 使用 iDRAC 快速同步功能
- 部署操作系统
- 使用 iDRAC 排除受管系统故障
- 常见问题
- 使用案例场景
iDRAC 包含一个默认的 iDRAC 服务器证书来确保在通过基于 Web 的界面和远程 RACADM 进行访问时的网络安全。该证书不是由可
信 CA 颁发的。要解决此问题,请上载一个由可信 CA(例如,Microsoft Certificate Authority、Thawte 或 Verisign)颁发的 iDRAC 服
务器证书。
为什么 DNS 服务器不注册 iDRAC?
某些 DNS 服务器注册包含多达 31 个字符的 iDRAC 名称。
访问 iDRAC 基于 Web 的界面时,系统会显示一条安全警告来声明 SSL 证书主机名与 iDRAC 主机名不匹配。
iDRAC 包含一个默认的 iDRAC 服务器证书来确保在通过基于 Web 的界面和远程 RACADM 进行访问时的网络安全。如果使用该证
书,Web 浏览器会显示一条安全警告,因为颁发给 iDRAC 的默认证书与 iDRAC 主机名(例如,IP 地址)不匹配。
要解决此问题,请上载一个颁发给该 IP 地址或 iDRAC 主机名的 iDRAC 服务器证书。当生成 CSR(用于颁发证书)时,请确保 CSR
的常用名 (CN) 与 iDRAC IP 地址(如果证书颁发给 IP)或注册的 DNS iDRAC 名称(如果证书颁发给 iDRAC 注册的名称)匹配。
要确保 CSR 与注册的 DNS iDRAC 名称匹配:
1. 在 iDRAC Web 界面中,转至概览 > iDRAC 设置 > 网络。随即会显示网络页面。
2. 在常见设置部分:
● 选择在 DNS 上注册 iDRAC 选项。
● 在 DNS iDRAC 名称字段中,输入 iDRAC 名称。
3. 单击应用。
Active Directory
Active directory 登录失败。如何解决此问题?
要诊断问题,请在 Active Directory 配置和管理页面上,单击测试设置。检查测试结果并修复问题。更改配置并运行测试,直到测
试用户通过授权步骤。
通常,请检查下列项目:
● 当登录时,请确保使用正确的用户域名(而不是 NetBIOS 名称)。如果您有本地 iDRAC 用户帐户,请使用本地凭据登录到
iDRAC。登录后,请确保:
○ 在 Active Directory 配置和管理页面上选中启用 Active Directory 选项。
○ iDRAC 网络配置页面上的 DNS 设置正确。
○ 如果已启用证书验证,则将正确 Active Directory 根 CA 证书上载到 iDRAC。
○ 如果您使用扩展架构,iDRAC 名称和 iDRAC 域名与 Active Directory 环境配置匹配。
○ 如果您使用标准架构,组名和组域名与 Active Directory 配置匹配。
○ 如果用户和 iDRAC 对象位于不同的域中,则不要选择来自登录的用户域选项。而应选择指定域选项,并输入 iDRAC 对象所在
的域名。
● 检查域控制器 SSL 证书以确保 iDRAC 时间在证书有效期内。
即使已启用证书验证,Active Directory 登录也会失败。测试结果会显示以下错误消息。为什么会发生这种情况,如何解决?
ERROR: Can't contact LDAP server, error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check the correct
Certificate Authority (CA) certificate has been uploaded to iDRAC. Please also check if the
iDRAC date is within the valid period of the certificates and if the Domain Controller
Address configured in iDRAC matches the subject of the Directory Server Certificate.
如果已启用证书验证,当 iDRAC 与目录服务器建立 SSL 连接时,iDRAC 将使用已上载的 CA 证书验证目录服务器证书。导致证书验
证失败的最常见原因包括:
● iDRAC 日期超出服务器证书或 CA 证书的有效期。检查 iDRAC 时间和证书的有效期。
● 在 iDRAC 中配置的域控制器地址与目录服务器证书的“主题”或“主题备用名称”不匹配。如果您使用 IP 地址,请阅读下一个
问题。如果您使用 FQDN,请确保您使用的是域控制器(而不是域)的 FQDN。例如,servername.example.com 而不是
example.com。
即使使用 IP 地址作为域控制器地址,证书验证也会失败。如何解决此问题?
请检查域控制器证书的主题或 主题备用名称字段。通常,在域控制器证书的主题或主题备用名称字段中,Active Directory 使用主机
名而不是 IP 地址。要解决此问题,请执行以下操作:
● 在 iDRAC 上将域控制器的主机名 (FQDN) 配置为
域控制器地址
,以与服务器证书的主题或主题备用名称匹配。
● 重新颁发服务器证书以在“主题”或“主题备用名称”字段中使用 IP 地址,从而与在 iDRAC 中配置的 IP 地址匹配。
● 如果选择信任此域控制器而无需在 SSL 握手过程中验证证书,请禁用证书验证。
当在多域环境中使用扩展架构时,如何配置域控制器地址?
272
常见问题