Users Guide
Active Directory のシングルサインオンまたはスマートカードログインを使用して iDRAC にログインするのに最大 4 分かかるの
はなぜですか?
通常、Active Directory のシングルサインオンまたはスマートカードのログインにかかる時間は 10 秒未満ですが、優先 DNS サーバ
および代替 DNS サーバを指定しており、優先 DNS サーバで障害が発生すると、ログインに最大 4 分かかる場合があります。DNS
サーバがダウンしている場合は、DNS タイムアウトが発生します。iDRAC は、代替 DNS を使用してユーザーをログインします。
Active Directory は、Windows Server 2008 の Active Directory に属するドメイン用に設定されています。ドメインには子ドメ
イン、つまりサブドメインが存在し、ユーザーおよびグループは同じ子ドメインに属します。ユーザーは、このグループのメンバ
ーです。子ドメインに属するユーザーを使用して iDRAC にログインしようとすると、Active Directory のシングルサインオンロ
グインが失敗します。
これは、誤ったグループタイプが原因です。Active Directory サーバには 2 種類のグループタイプがあります。
• セキュリティ — セキュリティグループでは、ユーザーとコンピュータによる共有リソースへのアクセスの管理や、グループポ
リシー設定のフィルタが可能です。
• 配布 — 配布グループは、電子メール配布リストとして使用することだけを目的としたものです。
グループタイプは、常にセキュリティにするようにしてください。配布グループはグループポリシー設定のフィルタに使用します
が、オブジェクトへの許可の割り当てに使用することはできません。
シングルサインオン
Windows Server 2008 R2 x64 で SSO ログインが失敗します。これを解決するには、どのような設定が必要ですか?
1. ドメインコントローラとドメインポリシーに対して technet.microsoft.com/en-us/library/dd560670(WS.10).aspx を実行し
ます。
2. DES-CBC-MD5 暗号スイートを使用するようにコンピュータを設定します。
これらの設定は、クライアントコンピュータ、またはお使いの環境内のサービスとアプリケーションとの互換性に影響を与え
る場合があります。Kerberos ポリシー設定に許可される暗号化タイプは、Computer Configuration(コンピュータ設定) >
Security Settings(セキュリティ設定) > Local Policies(ローカルポリシー) > Security Options(セキュリティオプショ
ン) にあります。
3. ドメインクライアントに、アップデート済みの GPO があることを確認してください。
4. コマンドラインで gpupdate /force と入力し、古いキータブを klist purge コマンドで削除します。
5. GPO を更新したら、新しいキータブを作成します。
6. キータブを iDRAC にアップロードします。
これで、SSO を使用して iDRAC にログインできます。
Windows 7 と Windows Server 2008 R2 の Active Directory ユーザーで SSO ログインが失敗するのはなぜですか?
Windows 7 と Windows Server 2008 R2 の暗号化タイプを有効にする必要があります。暗号化タイプの有効化には、次の手順を実
行します。
1. システム管理者としてログインするか、管理者権限を持つユーザーとしてログインします。
2. Start(スタート) から ggpedit.msc を実行します。Local Group Policy Editor(ローカルグループポリシーエディタ) ウィン
ドウが表示されます。
3. Local Computer Settings(ローカルコンピュータ設定) > Windows Settings(Windows 設定) > Security Settings(セキ
ュリティ設定) > Local Policies(ローカルポリシー) > Security Options(セキュリティオプション) と移動します。
4. ネットワークセキュリティ:kerberos に許可される暗号化方式の設定 を右クリックして、プロパティ を選択します。
5. すべてのオプションを有効にします。
6. OK をクリックします。これで、SSO を使用して iDRAC にログインできます。
拡張スキーマでは、次の追加設定を行います。
1. Local Group Policy Editor(ローカルグループポリシーエディタ) ウィンドウで、Local Computer Settings(ローカルコンピ
ュータ設定) > Windows Settings(Windows 設定) > Security Settings(セキュリティ設定) > Local Policies(ローカル
ポリシー) > Security Options(セキュリティオプション) と移動します。
2. ネットワークセキュリティ:NTLM の制限:リモートサーバーへの発信 NTLM トラフィック を右クリックして プロパティ を
選択します。
3. すべて許可 を選択し、OK をクリックしてから、ローカルグループポリシーエディタ ウィンドウを閉じます。
4. Start(スタート) から cmd を実行します。コマンドプロンプトウィンドウが表示されます。
5. gpupdate /force コマンドを実行します。グループポリシーがアップデートされます。コマンドプロンプトウィンドウを閉
じます。
6. Start(スタート) から regedit を実行します。レジストリエディタ ウィンドウが表示されます。
7. HKEY_LOCAL_MACHINE > System(システム) > CurrentControlSet > Control(制御) > LSA と移動します。
324
よくあるお問い合わせ(FAQ)