PowerEdge: LDAPS:n määrittäminen Active Directory -integrointia varten

Kun Dell-tuotetta, kuten OpenManage Enterprisea tai iDRACia, määritetään integroitumaan Microsoft Active Directoryn kanssa, yhteys toimialueen ohjauskoneeseen LDAPS:n kautta saattaa epäonnistua, vaikka hakemistoasetukset näyttävät oikeilta ja portti 636 on käytettävissä. Näin voi käydä, jos kohdetoimialueen ohjauspalvelimeen ei ole asennettu kelvollista varmennetta.

Active Directory -toimialueen palvelut sitoutuvat oletusarvoisesti porttiin 389 suojaamattomalle LDAP-pyynnölle ja porttiin 636 LDAP over SSL (LDAPS) -sovellukselle. Vaikka portti 636 on avoinna Windowsin palomuurissa ja hyväksyy TCP-yhteydet, portin 636 kautta tehdyt hakemistopyynnöt hylätään, jos ohjauskoneella ei ole luotettua varmennetta, joka sitoisi palveluun käynnistyksen aikana.

Voit testata LDAPS-yhteyden LDP-työkalulla, joka on oletusarvoisesti asennettu toimialueen ohjauskoneeseen osana Active Directory -hallintaominaisuuksia.

1. Suorita seuraava komento toimialueen ohjauskoneen järjestelmänvalvojan komentokehotteessa.

ldp.exe

2. Valitse Connection > Connect.
3. Anna toimialueen ohjauskoneen täydellinen toimialuenimi ja muodosta SSL-yhteys portin 636 kautta.

4. Tarkista tulos. Jos yhteys epäonnistuu ja näyttöön tulee virhe <0x51> yhteyden muodostaminen epäonnistuu, toimialueen ohjauskoneessa ei ole LDAPS-varmennetta eivätkä Dell-tuotteet voi käyttää Active Directory -integrointia tämän toimialueen ohjauskoneen kanssa, ennen kuin varmenne on asennettu.

Tämän ongelman ratkaiseminen edellyttää kelvollisen varmenteen asentamista kaikkiin toimialueen ohjauskoneisiin, joita järjestelmä käyttää AD-integrointiin. Microsoftilla on artikkeli, jossa dokumentoidaan LDAPS-varmenteiden vaatimukset ja prosessi, jolla varmennetta pyydetään varmenteen myöntäjän palvelimelta: https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-ldap-over-ssl-3rd-certification-authority

Koska varmenteeseen saa luottaa vain toimialueen ohjauskone itse, asiakkaat, joilla ei ole varmenteen myöntäjäpalvelinta, voivat ottaa LDAPS:n käyttöön luomalla itse allekirjoitetun varmenteen DC alla lueteltujen vaiheiden mukaisesti.

1. Avaa järjestelmänvalvojan PowerShell-ikkuna toimialueen ohjauspalvelimessa.
2. Luo varmenne suorittamalla seuraava komento:

New-SelfSignedCertificate -DnsName dc1.domain.local, dc1 -CertStoreLocation cert:\LocalMachine\My

(replacing "dc1.domain.local" and "dc1" with the FQDN and name of your domain controller)

3. Avaa paikallisen tietokoneen varmenteiden hallinnan laajennus suorittamalla seuraava komento.

certlm.msc

4. Siirry kohtaan Henkilökohtaiset > varmenteet, etsi juuri luotu varmenne ja kopioi se Trusted Root Certification Authorities Varmenteisiin>.
5. Odota, kunnes LDAPS muodostaa yhteyden porttiin 636 uudella varmenteella. Tämä tehdään automaattisesti ja kestää alle minuutin.
6. Tarkista seuraavalla komennolla yhteys toimialueen ohjauskoneeseen SSL over port 636 -toiminnolla.

ldp.exe

Kun kelvollinen varmenne on asennettu toimialueen ohjauspalvelimeen ja ldp.exe testi muodostaa yhteyden, iDRACin/OME:n hakemistopalvelun integrointitesti voi olla yhteydessä toimialueen ohjauskoneeseen.

PowerEdge R240, PowerEdge R250, PowerEdge R340, PowerEdge R350, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R740 , PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R840, PowerEdge R940, PowerEdge R940xa, PowerEdge T140, PowerEdge T150, PowerEdge T340, PowerEdge T350, PowerEdge T440, PowerEdge T550, PowerEdge T640 ... Näytä enemmän Näytä vähemmän