PowerEdge：如何為 Active Directory 整合設定 LDAPS

設定 OpenManage Enterprise 或 iDRAC 等 Dell 產品以與 Microsoft Active Directory 整合時，即使目錄設定顯示正確，且可存取連接埠 636，透過 LDAPS 連線至網域控制站仍可能會失敗。如果目標網域控制站未安裝有效憑證，則可能會發生這種情況。

根據預設，Active Directory Domain Services 會針對不安全的 LDAP 要求綁定至連接埠 389，針對 LDAP over SSL (LDAPS) 則透過 636。但是，即使連接埠 636 在 Windows 防火牆中為開啟並接受 TCP 連線，如果 DC 在啟動期間沒有要綁定至服務的受信任憑證，則透過連接埠 636 發出的任何目錄要求都會被拒絕。

您可以使用 LDP 工具來測試 LDAPS 連線能力，該工具安裝在網域控制站上，預設為 Active Directory 管理功能的一部分。

1. 在網域控制站的管理命令提示字元中執行下列命令。

ldp.exe

2. 按一下連線 > 連線。
3. 輸入網域控制站的 FQDN，並使用 SSL 透過連接埠 636 連線。

4. 檢查輸出。如果連線失敗並顯示「錯誤 <0x51> 無法連線」，則網域控制站沒有 LDAPS 憑證，而且在安裝憑證之前，Dell 產品無法搭配使用 Active Directory 整合與此網域控制站。

需要在系統用於 AD 整合的所有網域控制站上安裝有效的憑證才能解決此問題。Microsoft有一篇文章記錄了LDAPS證書的要求以及從證書頒發機構伺服器請求證書的過程： https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-ldap-over-ssl-3rd-certification-authority

或者，由於證書只能由域控制器本身信任，因此沒有證書頒發機構伺服器的客戶可以通過在使用下面列出的步驟的 DC。

1. 在網域控制站上開啟系統管理 PowerShell 視窗。
2. 執行下列命令以建立憑證：

New-SelfSignedCertificate -DnsName dc1.domain.local, dc1 -CertStoreLocation cert:\LocalMachine\My

(replacing "dc1.domain.local" and "dc1" with the FQDN and name of your domain controller)

3. 執行下列命令以開啟近端機器憑證管理的管理單元。

certlm.msc

4. 瀏覽至個人 > 憑證，找到新建立的憑證，然後將其複製到信任的根憑證授權單位 > 憑證中。
5. 等待 LDAPS 使用新憑證綁定至連接埠 636。此操作會自動完成，所需時間不到一分鐘。
6. 使用以下命令，透過連接埠 636 使用 SSL 驗證與 DC 的連線。

ldp.exe

在網域控制站上安裝有效憑證，且 ldp.exe 測試連線成功後，在 iDRAC/OME 上的目錄服務整合測試即可與網域控制站通訊。

PowerEdge R240, PowerEdge R250, PowerEdge R340, PowerEdge R350, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R740 , PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R840, PowerEdge R940, PowerEdge R940xa, PowerEdge T140, PowerEdge T150, PowerEdge T340, PowerEdge T350, PowerEdge T440, PowerEdge T550, PowerEdge T640 ... View More View Less