Users Guide

ManualsBrandsDell ManualsC SeriesPowerEdge R740xd

321

322

323

324

325

326

327

328

329

330

• ユーザーと iDRAC オブジェクトが別のドメイン内にある場合は、User Domain from Login（ログインからのユーザードメ

イン）オプションを選択しないでください。代わりに、Specify a Domain（ドメインを指定する）オプションを選択し、

iDRAC オブジェクトが属するドメイン名を入力します。

• ドメインコントローラの SSL 証明書で、iDRAC の日付が証明書の有効期間内であることを確認します。

証明書の検証が有効の場合でも、Active Directory へのログインに失敗します。テスト結果には、次のエラーメッセージが表示さ

れます。この原因は何ですか? どのように解決すればよいですか?

ERROR: Can't contact LDAP server, error:14090086:SSL

routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check the correct

Certificate Authority (CA) certificate has been uploaded to iDRAC. Please also check if the

iDRAC date is within the valid period of the certificates and if the Domain Controller

Address configured in iDRAC matches the subject of the Directory Server Certificate.

証明書の検証が有効な場合、iDRAC はディレクトリサーバとの SSL 接続を確立すると、アップロードされた CA 証明書を使用して

ディレクトリサーバ証明書を検証します。証明書の検証に失敗する主な理由は次のとおりです。

• iDRAC の日付がサーバ証明書または CA 証明書の有効期間内ではない。iDRAC の日付と証明書の有効期間を確認してくださ

い。

• iDRAC で設定されたドメインコントローラアドレスがディレクトリサーバ証明書のサブジェクト名またはサブジェクト代替名

と一致しない。IP アドレスを使用している場合は、次の質問をご覧ください。FQDN を使用している場合は、ドメインではな

く、ドメインコントローラの FQDN を使用していることを確認します。たとえば、example.com ではなく、

servername.example.com を使用します。

IP アドレスをドメインコントローラアドレスとして使用しても証明書の検証に失敗します。どのように解決すればよいですか?

ドメインコントローラ証明書のサブジェクト名フィールドまたはサブジェクト代替名フィールドを確認します。通常、Active

Directory は、ドメインコントローラ証明書のサブジェクト名フィールドまたはサブジェクト代替名フィールドには、ドメインコ

ントローラの IP アドレスではなく、ホスト名を使用します。これを解決するには、次の手順のいずれかを実行します。

• サーバー証明書のサブジェクトまたはサブジェクト代替名と一致するように、iDRAC でドメインコントローラのホスト名

（FQDN）をドメインコントローラアドレスとして設定します。

• iDRAC で設定された IP アドレスと一致する IP アドレスをサブジェクトフィールドまたはサブジェクト代替名フィールドで使用

するようにサーバー証明書を再発行します。

• SSL ハンドシェイク中の証明書の検証なしでドメインコントローラを信頼することを選択した場合は、証明書の検証を無効に

します。

複数ドメイン環境で拡張スキーマを使用している場合は、ドメインコントローラアドレスをどのように設定しますか?

このアドレスは、iDRAC オブジェクトが属するドメイン用のドメインコントローラのホスト名（FQDN）または IP アドレスである

必要があります。

グローバルカタログアドレスを設定するのはいつですか?

標準スキーマを使用しており、ユーザーおよび役割グループが異なるドメインに属する場合は、グローバルカタログアドレスが必

要です。この場合、ユニバーサルグループのみを使用できます。

標準スキーマを使用し、すべてのユーザーおよび役割グループが同じドメインに属する場合は、グローバルカタログアドレスは必

要はありません。

拡張スキーマを使用している場合、グローバルカタログアドレスは使用されません。

標準スキーマクエリの仕組みを教えてください。

iDRAC は、最初に、設定されたドメインコントローラアドレスに接続します。ユーザーおよび役割グループがそのドメインにある

場合は、権限が保存されます。

グローバルコントローラアドレスが設定されている場合、iDRAC はグローバルカタログのクエリを続行します。グローバルカタロ

グから追加の権限が検出された場合、これらの権限は蓄積されます。

iDRAC は、常に LDAP over SSL を使用しますか?

はい。すべての転送は、安全なポート 636 および 3269 の両方またはいずれか一方を使用して行われます。テスト設定では、

iDRAC は問題を分離するためだけに LDAP 接続を行います。安全ではない接続で LDAP バインドを実行することはありません。

iDRAC で、証明書の検証がデフォルトで有効になっているのはなぜですか?

iDRAC は、iDRAC が接続するドメインコントローラの ID を保護するために強力なセキュリティを施行します。証明書の検証なし

では、ハッカーがドメインコントローラを偽造し、SSL 接続を乗っ取ることが可能になります。証明書の検証を行わずにセキュリ

ティ境界内のすべてのドメインコントローラを信頼することを選択する場合、ウェブインタフェースまたは RACADM から証明書

の検証を無効にできます。

iDRAC は NetBIOS 名をサポートしていますか?

このリリースでは、サポートされていません。

よくあるお問い合わせ（

FAQ） 323