PowerEdge: Jak nakonfigurovat protokol LDAPS pro integraci služby Active Directory

Při konfiguraci produktu Dell, například OpenManage Enterprise nebo iDRAC, za účelem integrace se službou Microsoft Active Directory může připojení k řadiči domény prostřednictvím protokolu LDAPS selhat, i když je nastavení adresáře správné a port 636 je dostupný. K tomu může dojít, pokud cílový řadič domény nemá nainstalovaný platný certifikát.

Ve výchozím nastavení se služba Active Directory Domain Services váže na port 389 pro nezabezpečené požadavky LDAP a 636 pro požadavky LDAP přes SSL (LDAPS). I když je port 636 otevřený v bráně firewall systému Windows a přijímá připojení TCP, všechny požadavky na adresář provedené přes port 636 budou odmítnuty, pokud řadič domény nemá důvěryhodný certifikát, který by se připojil ke službě během spouštění.

Připojení LDAPS můžete otestovat pomocí nástroje LDP, který je ve výchozím nastavení nainstalován na řadiči domény jako součást funkcí správy služby Active Directory.

1. V příkazovém řádku správce na řadiči domény spusťte následující příkaz.

ldp.exe

2. Klikněte na možnost Connection > Connect.
3. Zadejte plně kvalifikovaný název domény řadiče domény a připojte se přes port 636 pomocí protokolu SSL.

4. Zkontrolujte výstup. Pokud se připojení nezdaří s chybou „Error <0x51> Fail to connect“, řadič domény nemá certifikát LDAPS a produkty Dell nemohou používat integraci služby Active Directory s tímto řadičem domény, dokud nebude certifikát nainstalován.

Řešení tohoto problému vyžaduje instalaci platného certifikátu na všechny řadiče domény, které systém používá pro integraci služby AD. Společnost Microsoft zveřejnila článek dokumentující požadavky na certifikáty LDAPS a proces vyžádání certifikátu ze serveru certifikační autority: https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-ldap-over-ssl-3rd-certification-authority

Vzhledem k tomu, že certifikátu musí důvěřovat pouze samotný řadič domény, mohou zákazníci bez serveru certifikační autority povolit protokol LDAPS vytvořením certifikátu podepsaného svým držitelem na řadiče domény pomocí níže uvedených kroků.

1. Otevřete na řadiči domény okno PowerShell jako správce.
2. Spuštěním následujícího příkazu vytvořte certifikát:

New-SelfSignedCertificate -DnsName dc1.domain.local, dc1 -CertStoreLocation cert:\LocalMachine\My

(replacing "dc1.domain.local" and "dc1" with the FQDN and name of your domain controller)

3. Spuštěním následujícího příkazu otevřete modul snap-in správy certifikátů pro místní počítač.

certlm.msc

4. Přejděte do části Osobní > Certifikáty, vyhledejte nově vytvořený certifikát a zkopírujte jej do složky Důvěryhodné kořenové certifikační autority > Certifikáty.
5. Počkejte, až se LDAPS naváže na port 636 pomocí nového certifikátu. To se provádí automaticky a trvá to méně než minutu.
6. Pomocí následujícího příkazu ověřte připojení k řadiči domény pomocí protokolu SSL přes port 636.

ldp.exe

Po instalaci platného certifikátu do řadiče domény a úspěšném připojení testu ldp.exe může test integrace adresářové služby v řadiči iDRAC/OME komunikovat s řadičem domény.

PowerEdge R240, PowerEdge R250, PowerEdge R340, PowerEdge R350, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R740 , PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R840, PowerEdge R940, PowerEdge R940xa, PowerEdge T140, PowerEdge T150, PowerEdge T340, PowerEdge T350, PowerEdge T440, PowerEdge T550, PowerEdge T640 ... 扩大查看范围 缩小查看范围