Users Guide
Die Anmeldung bei Active Directory schlägt selbst dann fehl, wenn die Zertifikatüberprüfung aktiviert ist. Die
Testergebnisse zeigen die folgende Fehlermeldung an. Warum tritt dieses Verhalten auf, und wie kann es gelöst
werden?
ERROR: Can't contact LDAP server, error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check the correct
Certificate Authority (CA) certificate has been uploaded to iDRAC. Please also check if
the iDRAC date is within the valid period of the certificates and if the Domain
Controller Address configured in iDRAC matches the subject of the Directory Server
Certificate.
Wenn die Zertifikatsüberprüfung aktiviert ist, sobald der iDRAC die SSL-Verbindung zum Verzeichnisserver herstellt, verwendet
iDRAC das hochgeladene Zertifizierungsstellenzertifikat, um das Zertifikat des Verzeichnisservers zu überprüfen. Die häufigsten
Gründe für eine fehlgeschlagene Zertifikatsüberprüfung sind Folgende:
● Das Gültigkeitsdatum des iDRAC liegt nicht innerhalb des Gültigkeitszeitraums des Serverzertifikats oder des
Zertifizierungsstellenzertifikats. Überprüfen Sie die Gültigkeit des iDRAC-Zertifikats und Ihres Zertifikats.
● Die in iDRAC konfigurierten Domänen-Controller-Adressen stimmen nicht mit dem Servernamen oder alternativen
Servernamen im Directory-Server-Zertifikat überein. Falls Sie eine IP-Adresse verwenden, lesen Sie bitte die folgende Frage.
Wenn Sie einen FQDN verwenden, stellen Sie bitte sicher, dass Sie den FQDN des Domänen-Controllers verwenden und
nicht den der Domäne selbst, zum Beispiel servername.example.com anstelle von example.com.
Die Zertifikatüberprüfung schlägt fehl, auch wenn die IP-Adresse als Domänen-Controller-Adresse verwendet wird.
Wie kann dieses Verhalten gelöst werden?
Prüfen Sie das Feld Servername oder alternativer Servername Ihres Domänen-Controller-Zertifikats. Normalerweise verwendet
Active Directory den Host-Namen und nicht die IP-Adresse des Domänen-Controllers im Feld Servername oder alternativer
Servername des Domänen-Controller-Zertifikats. Um das Problem zu lösen, führen Sie einen der folgenden Schritte aus:
● Konfigurieren Sie den Hostnamen (FQDN) des Domänen-Controllers als Adresse(n) des Domänen-Controllers auf dem
iDRAC, damit er mit dem Servernamen oder alternativen Servernamen des Server-Zertifikats übereinstimmt.
● Erstellen Sie das Server-Zertifikat erneut, damit im Feld "Servername" oder "Alternativer Servername" eine IP-Adresse
verwendet wird, die auf dem iDRAC konfiguriert ist.
● Deaktivieren Sie die Überprüfung des Zertifikats, wenn Sie dem Domänen-Controller beim SSL-Handshake ohne diese
Überprüfung vertrauen.
Wie werden die Domänen-Controller-Adressen konfiguriert, wenn das erweiterte Schema in einer Umgebung mit
mehreren Domänen verwendet wird?
Es musste der Host-Name (FQDN) oder die IP-Adresse des Domänen-Controllers sein, der die Domäne bedient, in der sich das
iDRAC-Objekt befindet.
Wann muss ich Adressen des globalen Katalogs konfigurieren?
Wenn Sie das Standardschema verwenden und die Benutzer und Rollengruppen verschiedenen Domänen angehören, sind
Adressen des globalen Katalogs erforderlich. In diesem Fall können Sie nur die Universalgruppe benutzen.
Wenn Sie das Standardschema verwenden und alle Benutzer und Rollengruppen derselben Domäne angehören, sind keine
Adressen des globalen Katalogs erforderlich.
Wenn Sie ein erweitertes Schema verwenden, wird die Adresse des globalen Katalogs nicht verwendet.
Wie funktioniert die Abfrage im Standardschema?
iDRAC verbindet sich zuerst mit den konfigurierten Domänen-Controller-Adressen, wenn sich die Benutzer und Rollengruppen in
dieser Domäne befinden. Die Berechtigungen werden gespeichert.
Wenn Global Controller-Adressen konfiguriert werden, fragt iDRAC6 weiterhin den Global Catalog ab. Wenn zusätzliche
Berechtigungen vom Global Catalog erfasst werden, werden diese Berechtigungen aufgespeichert.
Verwendet iDRAC immer LDAP über SSL?
Ja. Der gesamte Transfer erfolgt über den geschützten Anschluss 636 und/oder 3269. Unter Einstellungen testen führt iDRAC
einen LDAP CONNECT durch, um das Problem zu isolieren, er führt jedoch keinen LDAP BIND auf einer unsicheren Verbindung
aus.
Warum ist in der Standardkonfiguration des iDRAC die Überprüfung des Zertifikats aktiviert?
iDRAC setzt eine hohe Sicherheit durch, um die Identität des Domänen-Controllers, mit dem iDRAC eine Verbindung herstellt,
sicherzustellen. Ohne Überprüfung des Zertifikats kann ein Hacker über einen vorgetäuschten Domänen-Controller die SSL-
Verbindung übernehmen. Wenn Sie allen Domänen-Controllern in Ihrem Sicherheitsbereich ohne Überprüfung des Zertifikats
vertrauen, können Sie die Überprüfung durch die Web-Schnittstelle oder RACADM deaktivieren.
Unterstützt iDRAC den NetBIOS-Namen?
Häufig gestellte Fragen
321