Integrated Dell Remote Access Controller 9ユーザーズ ガイド

Active Directoryログイン設定に失敗しました。この問題を解決するにはどうすればよいですか？

問題を診断するには、Active Directoryの構成と管理ページで設定のテストをクリックします。テスト結果を確認し、問題を修正します。構成を変更し、テスト ユーザーが認証ステップに合格するまでテストを実行します。

一般的には、次を確認します。

• ログイン中は、NetBIOS名ではなく、正しいユーザー ドメイン名を使用していることを確認してください。ローカルiDRACユーザー アカウントを持っている場合は、ローカル認証情報を使用してiDRACにログインします。ログイン後、次のことを確認してください。
  • Active Directory 設定と管理 ページで Active Directory 有効 オプションが選択されている。
  • iDRAC ネットワーク設定 ページで DNS が正しく設定されている。
  • 証明書の検証が有効の場合、正しい Active Directory のルート CA 証明書が iDRAC にアップロードされている。
  • 拡張スキーマを使用している場合、iDRAC 名および iDRAC ドメイン名が Active Directory の環境設定に一致する。
  • 標準スキーマを使用している場合、グループ名とグループドメイン名が Active Directory 設定に一致する。
  • ユーザーとiDRACオブジェクトが異なるドメインにある場合は、ログインからユーザー ドメインオプションを選択しないでください。代わりにドメインを指定するオプションを選択して、iDRACオブジェクトが存在するドメイン名を入力します。
• ドメインコントローラの SSL 証明書で、iDRAC の日付が証明書の有効期間内であることを確認します。

証明書の検証が有効になっていても、Active Directoryログインに失敗します。テスト結果が次のエラー メッセージを表示します。この原因と解決方法を教えてください。

ERROR: Can't contact LDAP server, error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check the correct Certificate Authority (CA) certificate has been uploaded to iDRAC. Please also check if the iDRAC date is within the valid period of the certificates and if the Domain Controller Address configured in iDRAC matches the subject of the Directory Server Certificate.

証明書の検証が有効な場合、iDRACはディレクトリー サーバーとのSSL接続を確立すると、アップロードされたCA証明書を使用してディレクトリー サーバー証明書を検証します。証明書の検証に失敗する最も一般的な理由は次のとおりです。

• iDRACの日付が、サーバー証明書またはCA証明書の有効期間内ではありません。証明書のiDRAC時刻と有効期間を確認してください。
• iDRACで設定されたドメイン コントローラー アドレスが、ディレクトリー サーバー証明書のサブジェクトまたはサブジェクト代替名と一致しません。IPアドレスを使用している場合は、次の質問をお読みください。FQDNを使用している場合は、ドメインではなく、ドメイン コントローラーのFQDNを使用していることを確認してください。たとえば、example.comではservername.example.comを使用します。

IPアドレスをドメイン コントローラー アドレスとして使用しても証明書の検証に失敗します。この問題を解決するにはどうすればよいですか？

ドメイン コントローラー証明書のサブジェクトまたはサブジェクト代替名フィールドを確認します。通常、Active Directoryは、ドメイン コントローラー証明書の［サブジェクト］または［サブジェクト代替名］フィールドに、ドメイン コントローラーのIPアドレスではなく、ホスト名を使用します。この問題を解決するには、次のいずれかを実行します。

• サーバー証明書のサブジェクトまたはサブジェクト代替名と一致するように、ドメイン コントローラーのホスト名(FQDN)をiDRAC上のドメイン コントローラー アドレスとして設定します。
• iDRAC で設定された IP アドレスと一致する IP アドレスをサブジェクトフィールドまたはサブジェクト代替名フィールドで使用するようにサーバー証明書を再発行します。
• SSL ハンドシェイク中の証明書の検証なしでドメインコントローラを信頼することを選択した場合は、証明書の検証を無効にします。

複数ドメイン環境で拡張スキーマを使用している場合は、ドメインコントローラアドレスをどのように設定しますか?

このアドレスは、iDRAC オブジェクトが属するドメイン用のドメインコントローラのホスト名（FQDN）または IP アドレスである必要があります。

グローバルカタログアドレスを設定するのはいつですか?

標準スキーマを使用し、ユーザーとロール グループが異なるドメインに属す場合、グローバル カタログ アドレスが必要です。この場合、ユニバーサル グループのみを使用できます。

標準スキーマを使用し、すべてのユーザーおよび役割グループが同じドメインに属する場合は、グローバルカタログアドレスは必要はありません。

拡張スキーマを使用している場合、グローバルカタログアドレスは使用されません。

標準スキーマクエリの仕組みを教えてください。

iDRACは、最初に設定されたドメイン コントローラー アドレスに接続します。そのドメインにユーザーとロール グループがある場合は、特権が保存されます。

グローバル コントローラー アドレスが設定されている場合、iDRACはグローバル カタログのクエリを続行します。グローバル カタログから追加の権限を取得すると、これらの権限が蓄積されます。

iDRAC は、常に LDAP over SSL を使用しますか?

はい。すべての輸送は、セキュア ポート636と3269、またはそのいずれかを介して行われます。テスト設定では、iDRACは問題を分離するためだけにLDAP接続を行います。安全ではない接続でLDAPバインドを実行することはありません。

iDRAC で、証明書の検証がデフォルトで有効になっているのはなぜですか?

iDRACは、iDRACが接続するドメイン コントローラーのIDを確保するために、強力なセキュリティを適用します。証明書を検証しないと、ハッカーはドメイン コントローラーになりすまし、SSL接続を乗っ取ることができます。証明書の検証を行わずにセキュリティ境界内のすべてのドメイン コントローラーを信頼することを選択した場合は、WebインターフェイスまたはRACADMを使用してセキュリティ境界を無効にすることができます。

iDRAC は NetBIOS 名をサポートしていますか?

このリリースでは、サポートされていません。

Active Directory のシングルサインオンまたはスマートカードログインを使用して iDRAC にログインするのに最大 4 分かかるのはなぜですか?

通常、Active Directoryのシングル サインオンまたはスマート カード ログインにかかる時間は通常10秒未満ですが、優先DNSサーバーと代替DNSサーバーを指定している場合、優先DNSサーバーで障害が発生すると、ログインに最大4分かかる場合があります。DNSサーバーがダウンしている場合は、DNSタイムアウトが発生します。iDRACは、代替DNSを使用してユーザーがログインできるようにします。

Active Directoryは、Windows Server 2008 Active Directoryに存在するドメイン用に構成されます。ドメインに子ドメインまたはサブ ドメインが存在し、ユーザーとグループが同じ子ドメインに存在し、ユーザーがそのグループのメンバーです。子ドメインに存在するユーザーを使用してiDRACにログインしようとすると、Active Directoryシングルサインオン ログインが失敗します。

これは、グループ タイプが正しくないことが原因である可能性があります。Active Directoryサーバーには、次の2つのグループ タイプがあります。

• セキュリティ — セキュリティグループでは、ユーザーとコンピュータによる共有リソースへのアクセスの管理や、グループポリシー設定のフィルタが可能です。
• 配布 — 配布グループは、Eメール配布リストとして使用することだけを目的としたものです。

グループ タイプが［セキュリティ］であることを常に確認します。配布グループを使用してオブジェクトにアクセス権限を割り当てることはできませんが、グループ ポリシー設定のフィルタリングには使えます。