PowerEdge: Як налаштувати LDAPS для інтеграції з Active Directory

Під час налаштування продукту Dell, такого як OpenManage Enterprise або iDRAC, для інтеграції з Microsoft Active Directory, підключення до контролера домену через LDAPS може не вдатися, навіть якщо налаштування каталогу виглядають правильно, а порт 636 доступний. Це може статися, якщо на контролері цільового домену не встановлено дійсний сертифікат.

За замовчуванням служби доменів Active Directory прив'язуються до порту 389 для небезпечних запитів LDAP і 636 для LDAP через SSL (LDAP). Однак, незважаючи на те, що порт 636 відкритий у брандмауері Windows і приймає TCP-з'єднання, будь-які запити до каталогу, зроблені через порт 636, відхиляються, якщо DC не має довіреного сертифіката для прив'язки до служби під час запуску.

Ви можете перевірити підключення LDAPS за допомогою інструмента LDP, який за замовчуванням інстальовано на контролері домену як частина функцій керування Active Directory.

1. Запустіть наведену нижче команду в адміністративному командному рядку на контролері домену.

ldp.exe

2. Натисніть Connection > Connect.
3. Введіть FQDN контролера домену та підключіться через порт 636 за допомогою SSL.

4. Перевірте вихід. Якщо з'єднання не вдається виконати з повідомленням «Помилка <0x51> не вдалося підключитися», це означає, що контролер домену не має сертифіката LDAP, і продукти Dell не можуть використовувати інтеграцію Active Directory з цим контролером домену, доки сертифікат не буде встановлено.

Щоб вирішити цю проблему, потрібно встановити діючий сертифікат на всіх контролерах домену, які система використовує для інтеграції з AD. У корпорації Майкрософт є стаття, в якій описано вимоги до сертифікатів LDAPS і процес запиту сертифіката від сервера центру сертифікації: https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-ldap-over-ssl-3rd-certification-authority

Крім того, оскільки сертифікат має довіряти лише сам контролер домену, користувачі без сервера центру сертифікації можуть увімкнути LDAP, створивши самопідписаний сертифікат на постійного струму за допомогою наведених нижче кроків.

1. Відкрийте адміністративне вікно PowerShell на контролері домену.
2. Щоб створити сертифікат, виконайте наступну команду:

New-SelfSignedCertificate -DnsName dc1.domain.local, dc1 -CertStoreLocation cert:\LocalMachine\My

(replacing "dc1.domain.local" and "dc1" with the FQDN and name of your domain controller)

3. Виконайте наведену нижче команду, щоб відкрити оснастку керування сертифікатами для локального комп'ютера.

certlm.msc

4. Перейдіть до розділу «Особисті > сертифікати», знайдіть щойно створений сертифікат і скопіюйте його в розділ «Сертифікати довірених кореневих центрів > сертифікації».
5. Зачекайте, поки LDAPS прив'яжеться до порту 636 за допомогою нового сертифіката. Це робиться автоматично і займає менше хвилини.
6. Використовуйте наступну команду, щоб перевірити підключення до постійного струму за допомогою SSL через порт 636.

ldp.exe

Після встановлення дійсного сертифіката на контролер домену та успішного підключення ldp.exe тесту можна зв'язатися з контролером домену під час тесту інтеграції служби каталогів на iDRAC/OME.

PowerEdge R240, PowerEdge R250, PowerEdge R340, PowerEdge R350, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R740 , PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R840, PowerEdge R940, PowerEdge R940xa, PowerEdge T140, PowerEdge T150, PowerEdge T340, PowerEdge T350, PowerEdge T440, PowerEdge T550, PowerEdge T640 ... View More View Less