PowerEdge: Sådan konfigureres LDAPS til Active Directory-integration

Når du konfigurerer et Dell-produkt som f.eks. OpenManage Enterprise eller en iDRAC til at integrere med Microsoft Active Directory, kan forbindelsen til domænecontrolleren via LDAPS mislykkes, selvom mappeindstillingerne ser korrekte ud, og port 636 er tilgængelig. Dette kan ske, hvis måldomænecontrolleren ikke har et gyldigt certifikat installeret.

Active Directory-domænetjenester binder som standard til port 389 for usikre LDAP-anmodninger og 636 for LDAP over SSL (LDAPS). Men selvom port 636 er åben i Windows-firewallen og accepterer TCP-forbindelser, afvises alle biblioteksanmodninger, der foretages via port 636, hvis DC ikke har et certifikat, der er tillid til, til at binde til tjenesten under start.

Du kan teste LDAPS-forbindelsen ved hjælp af LDP-værktøjet, der som standard er installeret på domænecontrolleren som en del af Active Directory-administrationsfunktionerne.

1. Kør følgende kommando i en administrativ kommandoprompt på domænecontrolleren.

ldp.exe

2. Klik på Opret forbindelse > .
3. Indtast domænecontrollerens FQDN, og opret forbindelse via port 636 ved hjælp af SSL.

4. Tjek outputtet. Hvis forbindelsen mislykkes med "Fejl <0x51> kan ikke oprette forbindelse", har domænecontrolleren ikke et LDAPS-certifikat, og Dell-produkter kan ikke bruge Active Directory-integration med denne domænecontroller, før et certifikat er installeret.

Løsning af dette problem kræver installation af et gyldigt certifikat på alle domænecontrollere, som systemet bruger til AD-integration. Microsoft har en artikel, der dokumenterer kravene til LDAPS-certifikater og processen for anmodning om et certifikat fra en nøglecenterserver: https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-ldap-over-ssl-3rd-certification-authority

Da domænecontrolleren kun skal have tillid til certifikatet, kan kunder uden en certifikatcenterserver aktivere LDAPS ved at oprette et selvsigneret certifikat på DC ved hjælp af nedenstående trin.

1. Åbn et administrativt PowerShell-vindue på domænecontrolleren.
2. Kør følgende kommando for at oprette certifikatet:

New-SelfSignedCertificate -DnsName dc1.domain.local, dc1 -CertStoreLocation cert:\LocalMachine\My

(replacing "dc1.domain.local" and "dc1" with the FQDN and name of your domain controller)

3. Kør følgende kommando for at åbne snap-in'en til certifikatstyring for den lokale computer.

certlm.msc

4. Gå til Personlige > certifikater, find det nyoprettede certifikat, og kopiér det til Rodnøglecentre > , der er tillid til.
5. Vent på, at LDAPS binder til port 636 ved hjælp af det nye certifikat. Dette gøres automatisk og tager mindre end et minut.
6. Brug følgende kommando til at kontrollere forbindelsen til DC ved hjælp af SSL over port 636.

ldp.exe

Når et gyldigt certifikat er installeret på domænecontrolleren, og ldp.exe-testen opretter forbindelse korrekt, kan testen af bibliotekstjenestens integration på iDRAC/OME kommunikere med domænecontrolleren.

PowerEdge R240, PowerEdge R250, PowerEdge R340, PowerEdge R350, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R740 , PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R840, PowerEdge R940, PowerEdge R940xa, PowerEdge T140, PowerEdge T150, PowerEdge T340, PowerEdge T350, PowerEdge T440, PowerEdge T550, PowerEdge T640 ... View More View Less