PowerEdge: LDAPS configureren voor Active Directory-integratie

Bij het configureren van een Dell product zoals OpenManage Enterprise of een iDRAC voor integratie met Microsoft Active Directory, kan de verbinding met de domeincontroller via LDAPS mislukken, ook al lijken de directory-instellingen correct en is poort 636 toegankelijk. Dit kan gebeuren als op de doeldomeincontroller geen geldig certificaat is geïnstalleerd.

Standaard binden Active Directory Domain Services aan poort 389 voor onveilige LDAP-aanvragen en 636 voor LDAP via SSL (LDAPS). Hoewel poort 636 is geopend in de Windows-firewall en TCP-verbindingen accepteert, worden alle mapaanvragen via poort 636 geweigerd als de DC geen vertrouwd certificaat heeft om tijdens het opstarten aan de service te binden.

U kunt de LDAPS-connectiviteit testen met behulp van het LDP-hulpprogramma, dat standaard op de domeincontroller is geïnstalleerd als onderdeel van de Active Directory-beheerfuncties.

1. Voer de volgende opdracht uit in een administrator-opdrachtprompt op de domeincontroller.

ldp.exe

2. Klik op Verbinding > maken.
3. Voer de FQDN van de domeincontroller in en maak verbinding via poort 636 met behulp van SSL.

4. Controleer de uitvoer. Als de verbinding mislukt met "Error <0x51> Failed to connect", heeft de domeincontroller geen LDAPS-certificaat en kunnen Dell producten geen Active Directory-integratie met deze domeincontroller gebruiken totdat er een certificaat is geïnstalleerd.

Het oplossen van dit probleem vereist het installeren van een geldig certificaat op alle domeincontrollers die het systeem gebruikt voor AD-integratie. Microsoft heeft een artikel waarin de vereisten voor LDAPS-certificaten en het proces voor het aanvragen van een certificaat bij een certificeringsinstantieserver worden beschreven: https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-ldap-over-ssl-3rd-certification-authority

Omdat het certificaat alleen door de domeincontroller zelf moet worden vertrouwd, kunnen klanten zonder certificeringsinstantieserver LDAPS inschakelen door een zelfondertekend certificaat te maken op de DC met behulp van de onderstaande stappen.

1. Open een administratief PowerShell-venster op de domeincontroller.
2. Voer de volgende opdracht uit om het certificaat te maken:

New-SelfSignedCertificate -DnsName dc1.domain.local, dc1 -CertStoreLocation cert:\LocalMachine\My

(replacing "dc1.domain.local" and "dc1" with the FQDN and name of your domain controller)

3. Voer de volgende opdracht uit om de module certificaatbeheer voor de lokale computer te openen.

certlm.msc

4. Blader naar Persoonlijke > certificaten, zoek het zojuist gemaakte certificaat en kopieer het naar Trusted Root Certification Authorities > Certificates.
5. Wacht tot LDAPS met behulp van het nieuwe certificaat aan poort 636 is gekoppeld. Dit gebeurt automatisch en duurt minder dan een minuut.
6. Gebruik de volgende opdracht om de verbinding met de DC te verifiëren met behulp van SSL via poort 636.

ldp.exe

Nadat een geldig certificaat op de domeincontroller is geïnstalleerd en de ldp.exe-test verbinding heeft gemaakt, kan de directoryservice-integratietest op de iDRAC/OME communiceren met de domeincontroller.

PowerEdge R240, PowerEdge R250, PowerEdge R340, PowerEdge R350, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R740 , PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R840, PowerEdge R940, PowerEdge R940xa, PowerEdge T140, PowerEdge T150, PowerEdge T340, PowerEdge T350, PowerEdge T440, PowerEdge T550, PowerEdge T640 ... View More View Less