将 OpenManage Enterprise 或 iDRAC 等戴尔产品配置为与 Microsoft Active Directory 集成时,即使目录设置看似正确且端口 636 可访问,通过 LDAPS 与域控制器的连接仍可能会失败。如果目标域控制器没有安装有效的证书,则这种情况可能会发生。
默认情况下,Active Directory Domain Services 绑定到端口 389 以处理不安全的 LDAP 请求;绑定到端口 636 以实现 LDAP over SSL (LDAPS) 连接。然而,即使端口 636 在 Windows 防火墙中处于打开状态并接受 TCP 连接,但如果 DC 在启动期间没有可绑定到该服务的可信证书,则通过端口 636 发出的任何目录请求都会遭到拒绝。
您可以使用 LDP 工具测试 LDAPS 连接,默认情况下,该工具作为 Active Directory 管理功能的一部分安装在域控制器上。
- 在域控制器上的管理命令提示符窗口中运行以下命令。
ldp.exe
- 单击 Connection > Connect。
- 输入域控制器的 FQDN,并使用 SSL 通过端口 636 进行连接。
- 检查输出。如果连接失败,并显示“Error <0x51> Fail to connect”(错误 连接失败),则域控制器没有 LDAPS 证书,并且在安装证书之前,戴尔产品无法使用 Active Directory 与此域控制器集成。
要解决此问题,需要在系统用于 AD 集成的所有域控制器上安装有效的证书。Microsoft 有一篇文章,记载了 LDAPS 证书的要求以及从证书颁发机构服务器申请证书的过程:
https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-ldap-over-ssl-3rd-certification-authority
另外,由于证书只能由域控制器本身信任,因此没有证书颁发机构服务器的客户可以通过使用下面列出的步骤在 DC 上创建自签名证书来启用 LDAPS。
- 在域控制器上打开“管理 PowerShell”窗口。
- 运行以下命令以创建证书:
New-SelfSignedCertificate -DnsName dc1.domain.local, dc1 -CertStoreLocation cert:\LocalMachine\My
(replacing "dc1.domain.local" and "dc1" with the FQDN and name of your domain controller)
- 运行以下命令以打开本地计算机的证书管理管理单元。
certlm.msc
- 浏览到 Personal > Certificates,找到新创建的证书,然后将其复制到 Trusted Root Certification Authorities > Certificates。
- 等待 LDAPS 使用新证书绑定到端口 636。此过程自动完成,所需时间不到一分钟。
- 使用以下命令验证通过端口 636 使用 SSL 与 DC 的连接。
ldp.exe
在域控制器上安装有效证书并且 ldp.exe 测试成功连接后,iDRAC/OME 上的目录服务集成测试可以与域控制器通信。