HTTP/https FQDN Verbindungsfehler bei der iDRAC8-Firmware-Version 2.81.81.81
概要: Die Dell EMC Integrated Dell Remote Access Controller 8 (iDRAC8)-Firmwareversion 2.81.81.81 blockiert den HTTP/HTTPS-Zugriff über einen vollständig qualifizierten Domain Namen (FQDN), wenn der FQDN nicht als Idrac RAC-Name definiert ist. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Die Dell EMC Integrated Dell Remote Access Controller 8 (iDRAC8)-Firmwareversion 2.81.81.81 hat http/https-Verbindungsänderungen eingeführt, die bei der Angabe der Adresse des vollständig qualifizierten Domain Namens (FQDN) Auswirkungen auf die Benutzer Verbindungen haben könnten. Aufgrund dieser Änderungen können iDRAC8-Benutzer auf Verbindungsfehler, Umleitung oder "400-Bad Request"-Fehler stoßen. Diese Verbindungs Beobachtungen treten auf, wenn der angegebene FQDN nicht mit den Werten Idrac "DNSRacName" oder "DNSDomänenname" übereinstimmt.
Browser Fehler Beispiel:
Curl-Fehler Beispiel:
root@rhel7-vm:~$ curl -k https://iR630-A.dell.com/ <!DOCTYPE html><head><title>Bad Request</title><link rel="shortcut icon" href="data:image/x-icon;," type="image/x-icon"></head><body><h2>Access Error: 400 -- Bad Request</h2><pre></pre></body></html>原因
Der Webserver in der iDRAC8-Firmware-Version 2.81.81.81.81 erzwingt standardmäßig eine HTTP/HTTPS Host-Header Überprüfung. Weitere Informationen finden Sie im Dell Sicherheitshinweis:DSA-2021-041: Dell Idrac 8 Sicherheitsaktualisierung für eine Hostheader Injection-Schwachstelle.
解決方法
Standardmäßig überprüft iDRAC8 die HTTP/HTTPS-Host Kopfzeile und vergleicht sie mit den definierten "DNSRacName" und "DNSDomänenname". Wenn die Werte nicht übereinstimmen, lehnt der Idrac die HTTP/HTTPS-Verbindung ab. In iDRAC8 2.81.81.81 kann diese Host Header Durchsetzung mit dem folgenden RACADM-Befehl deaktiviert werden.
#Disable host header check
racadm set idrac.webserver.HostHeaderCheck 0
Hinweis: Legen Sie den HostHeaderCheck-Wert nur auf ' 0 ' fest, wenn ein manueller Host-Datensatz in DNS Umgebung vorhanden ist.
Wenn die HTTP/HTTPS Host-Header Überprüfung aktiviert (sicherer) ist, kann auf Idrac über die IPv4/IPv6 Adresse, den RAC-Namen und/oder die definierte Idrac FQDN (DNSRacName. DNSDomänenname) zugegriffen werden. Wenn der Endbenutzer mit Hostnamen zugreift, die Idrac möglicherweise nicht kennt (z. b. ein manuelles DNS von Einträgen, die in DNS Datensätzen hinzugefügt wurden), hat die Firmwareversion der iDRAC8-Firmware 2.81.81.81 ein neues Attribut "ManualDNSEntry" eingeführt. Diese neue Einstellung kann mit bis zu 4 IP-Adressen/Hostnamen/FQDNs aktualisiert werden, um eine Allow-List von Hostheadern bereitzustellen. Dadurch wird sichergestellt, dass eingehende Anfragen nicht verworfen werden, wenn der HTTP/HTTPS Host-Header einen der Einträge in der Einstellung "ManualDNSEntry" enthält.
# Add manual entry to allow list
racadm set idrac.webserver.ManualDNSEntry 192.168.20.30
racadm set idrac.webserver.ManualDNSentry 192.168.20.30,idrac.mydomain.com
Diese zusätzliche Konfiguration ist in folgenden Fällen erforderlich:
- Endbenutzer verwendet manuell DNS Konfiguration für den Zugriff auf iDRAC (manuell DNS Host-Daten Satz
- Alternativer Antragsteller Name/Platzhalterzertifikat wird verwendet, um auf die Idrac
- Zugriff auf Idrac unter Verwendung der Host-IP-Adresse direkt (über ISM)
対象製品
iDRAC8 with Lifecycle Controller version 2.81.81.81文書のプロパティ
文書番号: 000189996
文書の種類: Solution
最終更新: 09 12月 2024
バージョン: 12
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。