跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

如何为 Active Directory 集成配置 LDAPS

摘要: 本文包含有关在 Windows 域控制器上测试 LDAPS 连接以及如何启用 LDAPS 以与戴尔产品配合使用的说明。

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

说明

将 OpenManage Enterprise 或 iDRAC 等戴尔产品配置为与 Microsoft Active Directory 集成时,即使目录设置看似正确且端口 636 可访问,通过 LDAPS 与域控制器的连接仍可能会失败。如果目标域控制器没有安装有效的证书,则这种情况可能会发生。

默认情况下,Active Directory Domain Services 绑定到端口 389 以处理不安全的 LDAP 请求;绑定到端口 636 以实现 LDAP over SSL (LDAPS) 连接。然而,即使端口 636 在 Windows 防火墙中处于打开状态并接受 TCP 连接,但如果 DC 在启动期间没有可绑定到该服务的可信证书,则通过端口 636 发出的任何目录请求都会遭到拒绝。

您可以使用 LDP 工具测试 LDAPS 连接,默认情况下,该工具作为 Active Directory 管理功能的一部分安装在域控制器上。
  1. 在域控制器上的管理命令提示符窗口中运行以下命令。
ldp.exe
  1. 单击 Connection > Connect
  2. 输入域控制器的 FQDN,并使用 SSL 通过端口 636 进行连接。
LDP.EXE 连接性检测
  1. 检查输出。如果连接失败,并显示“Error <0x51> Fail to connect”(错误 连接失败),则域控制器没有 LDAPS 证书,并且在安装证书之前,戴尔产品无法使用 Active Directory 与此域控制器集成。
要解决此问题,需要在系统用于 AD 集成的所有域控制器上安装有效的证书。Microsoft 有一篇文章,记载了 LDAPS 证书的要求以及从证书颁发机构服务器申请证书的过程:https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-ldap-over-ssl-3rd-certification-authority 此超链接会将您带往 Dell Technologies 之外的网站。

另外,由于证书只能由域控制器本身信任,因此没有证书颁发机构服务器的客户可以通过使用下面列出的步骤在 DC 上创建自签名证书来启用 LDAPS。
  1. 在域控制器上打开“管理 PowerShell”窗口。
  2. 运行以下命令以创建证书:
New-SelfSignedCertificate -DnsName dc1.domain.local, dc1 -CertStoreLocation cert:\LocalMachine\My

(replacing "dc1.domain.local" and "dc1" with the FQDN and name of your domain controller)
  1. 运行以下命令以打开本地计算机的证书管理管理单元。
certlm.msc
  1. 浏览到 Personal > Certificates,找到新创建的证书,然后将其复制到 Trusted Root Certification Authorities > Certificates
  2. 等待 LDAPS 使用新证书绑定到端口 636。此过程自动完成,所需时间不到一分钟。
  3. 使用以下命令验证通过端口 636 使用 SSL 与 DC 的连接。
ldp.exe
在域控制器上安装有效证书并且 ldp.exe 测试成功连接后,iDRAC/OME 上的目录服务集成测试可以与域控制器通信。

受影响的产品

Dell OpenManage Enterprise, iDRAC7, iDRAC8, iDRAC9, Dell EMC OpenManage Enterprise, Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022
文章属性
文章编号: 000213104
文章类型: How To
上次修改时间: 04 12月 2024
版本:  3
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。