PowerEdge: Konfigurowanie LDAPS do integracji z usługą Active Directory

Podczas konfigurowania produktu firmy Dell, takiego jak OpenManage Enterprise lub iDRAC, w celu integracji z usługą Microsoft Active Directory, połączenie z kontrolerem domeny za pośrednictwem protokołu LDAPS może się nie powieść, nawet jeśli ustawienia katalogu są prawidłowe, a port 636 jest dostępny. Taka sytuacja może wystąpić, jeśli docelowy kontroler domeny nie ma zainstalowanego ważnego certyfikatu.

Domyślnie usługi domenowe Active Directory Domain Services wiążą się z portem 389 dla niezabezpieczonych żądań LDAP i 636 dla LDAP przez SSL (LDAPS). Jednak mimo że port 636 jest otwarty w zaporze systemu Windows i akceptuje połączenia TCP, wszelkie żądania katalogu wysyłane za pośrednictwem portu 636 są odrzucane, jeśli kontroler domeny nie ma zaufanego certyfikatu do powiązania z usługą podczas uruchamiania.

Łączność LDAPS można przetestować za pomocą narzędzia LDP, które jest domyślnie instalowane na kontrolerze domeny w ramach funkcji zarządzania usługą Active Directory.

1. Uruchom następujące polecenie w wierszu poleceń administratora na kontrolerze domeny.

ldp.exe

2. Kliknij kolejno Connection > Connect.
3. Wprowadź nazwę FQDN kontrolera Domain Controller i połącz się za pośrednictwem portu 636 przy użyciu protokołu SSL.

4. Sprawdź dane wyjściowe. Jeśli połączenie nie powiedzie się i zostanie wyświetlony komunikat „Error <0x51> Failed to connect", kontroler Domain Controller nie ma certyfikatu LDAPS i produkty firmy Dell nie mogą korzystać z integracji usługi Active Directory z tym kontrolerem Domain Controller do momentu zainstalowania certyfikatu.

Rozwiązanie tego problemu wymaga zainstalowania ważnego certyfikatu na wszystkich kontrolerach domeny używanych przez system do integracji z usługą AD. Firma Microsoft opublikowała artykuł dokumentujący wymagania dotyczące certyfikatów LDAPS i proces żądania certyfikatu od serwera urzędu certyfikacji: https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-ldap-over-ssl-3rd-certification-authority

Alternatywnie, ponieważ certyfikat musi być zaufany tylko dla samego kontrolera domeny, klienci nieposiadający serwera urzędu certyfikacji mogą włączyć protokół LDAPS, tworząc certyfikat z podpisem własnym na kontrolera domeny, wykonując czynności wymienione poniżej.

1. Otwórz okno administracyjne programu PowerShell na kontrolerze domeny.
2. Uruchom następujące polecenie, aby utworzyć certyfikat:

New-SelfSignedCertificate -DnsName dc1.domain.local, dc1 -CertStoreLocation cert:\LocalMachine\My

(replacing "dc1.domain.local" and "dc1" with the FQDN and name of your domain controller)

3. Uruchom następujące polecenie, aby otworzyć przystawkę zarządzania certyfikatami dla komputera lokalnego.

certlm.msc

4. Przejdź do pozycji Personal > Certificates, znajdź nowo utworzony certyfikat i skopiuj do Trusted Root Certification Authorities > Certificates.
5. Poczekaj, aż LDAPS powiąże się z portem 636 przy użyciu nowego certyfikatu. Odbywa się to automatycznie i zajmuje mniej niż minutę.
6. Użyj następującego polecenia, aby sprawdzić połączenie z kontrolerem domeny przy użyciu protokołu SSL przez port 636.

ldp.exe

Po zainstalowaniu ważnego certyfikatu na kontrolerze domeny i pomyślnym nawiązaniu połączenia z testem ldp.exe test integracji usługi katalogowej kontrolera iDRAC/OME może komunikować się z kontrolerem domeny.

PowerEdge R240, PowerEdge R250, PowerEdge R340, PowerEdge R350, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R740 , PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R840, PowerEdge R940, PowerEdge R940xa, PowerEdge T140, PowerEdge T150, PowerEdge T340, PowerEdge T350, PowerEdge T440, PowerEdge T550, PowerEdge T640 ... View More View Less