PowerEdge: Anleitung zum Konfigurieren von LDAPS für die Active-Directory-Integration

Bei der Konfiguration eines Dell Produkts wie OpenManage Enterprise oder eines iDRAC für die Integration in Microsoft Active Directory kann die Verbindung zum Domain Controller über LDAPS fehlschlagen, obwohl die Verzeichniseinstellungen korrekt angezeigt werden und auf Port 636 zugegriffen werden kann. Dies kann auftreten, wenn auf dem Ziel-Domaincontroller kein gültiges Zertifikat installiert ist.

Standardmäßig binden sich Active Directory Domain Services an Port 389 im Fall von unsicheren LDAP-Anfragen und an Port 636 im Fall von LDAP-over-SSL (LDAPS). Obwohl Port 636 in der Windows-Firewall geöffnet ist und TCP-Verbindungen akzeptiert, werden alle Verzeichnisanfragen, die über Port 636 gestellt werden, abgelehnt, wenn der DC nicht über ein vertrauenswürdiges Zertifikat verfügt, um ihn während des Startvorgangs an den Service zu binden.

Sie können die LDAPS-Konnektivität mithilfe des LDP-Tools testen, das standardmäßig als Teil der Managementfunktionen für Active Directory auf dem Domaincontroller installiert ist.

1. Führen Sie den folgenden Befehl in einer administrativen Eingabeaufforderung auf dem Domaincontroller aus.

ldp.exe

2. Klicken Sie auf Connection > Connect.
3. Geben Sie den FQDN des Domaincontrollers ein und stellen Sie eine Verbindung über Port 636 mit SSL her.

4. Überprüfen Sie die Ausgabe. Wenn die Verbindung mit der Meldung „Error <0x51> Fail to connect“ fehlschlägt, verfügt der Domaincontroller nicht über ein LDAPS-Zertifikat und Dell Produkte können die Active-Directory-Integration mit diesem Domaincontroller erst verwenden, wenn ein Zertifikat installiert wurde.

Zur Behebung dieses Problems muss ein gültiges Zertifikat auf allen Domaincontrollern installiert werden, die das System für die AD-Integration verwendet. Microsoft hat einen Artikel veröffentlicht, in dem die Anforderungen für LDAPS-Zertifikate und der Prozess zum Anfordern eines Zertifikats von einem Zertifizierungsstellenserver dokumentiert sind: https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-ldap-over-ssl-3rd-certification-authority

Da das Zertifikat nur vom Domain Controller selbst als vertrauenswürdig eingestuft werden darf, können Kunden ohne Zertifizierungsstellenserver LDAPS alternativ aktivieren, indem sie ein selbstsigniertes Zertifikat auf erstellen den DC mit den unten aufgeführten Schritten.

1. Öffnen Sie ein PowerShell-Administratorfenster auf dem Domaincontroller.
2. Führen Sie den folgenden Befehl aus, um das Zertifikat zu erstellen:

New-SelfSignedCertificate -DnsName dc1.domain.local, dc1 -CertStoreLocation cert:\LocalMachine\My

(replacing "dc1.domain.local" and "dc1" with the FQDN and name of your domain controller)

3. Führen Sie den folgenden Befehl aus, um das Zertifikatmanagement-Snap-In für den lokalen Rechner zu öffnen.

certlm.msc

4. Navigieren Sie zu Personal > Certificates, suchen Sie das neu erstellte Zertifikat und kopieren Sie es in Trusted Root Certification Authorities > Certificates.
5. Warten Sie, bis LDAPS mit dem neuen Zertifikat an Port 636 gebunden wurde. Dies erfolgt automatisch und dauert weniger als eine Minute.
6. Verwenden Sie den folgenden Befehl, um die Verbindung zum DC mithilfe von SSL an Port 636 zu überprüfen.

ldp.exe

Nachdem ein gültiges Zertifikat auf dem Domaincontroller installiert wurde und der Test über ldp.exe erfolgreich eine Verbindung hergestellt hat, kann der Integrationstest für Verzeichnisdienste auf dem iDRAC/OME mit dem Domaincontroller kommunizieren.

PowerEdge R240, PowerEdge R250, PowerEdge R340, PowerEdge R350, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R740 , PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R840, PowerEdge R940, PowerEdge R940xa, PowerEdge T140, PowerEdge T150, PowerEdge T340, PowerEdge T350, PowerEdge T440, PowerEdge T550, PowerEdge T640 ... View More View Less