PowerEdge: Så här konfigurerar du LDAPS för Active Directory-integrering

När du konfigurerar en Dell-produkt som OpenManage Enterprise eller en iDRAC för integrering med Microsoft Active Directory kan det hända att anslutningen till domänkontrollanten via LDAPS misslyckas trots att kataloginställningarna verkar korrekta och port 636 är tillgänglig. Detta kan inträffa om måldomänkontrollanten inte har ett giltigt certifikat installerat.

Som standard binder Active Directory Domain Services till port 389 för osäkra LDAP-begäranden och 636 för LDAP över SSL (LDAPS). Men även om port 636 är öppen i Windows-brandväggen och accepterar TCP-anslutningar, avvisas alla katalogbegäranden som görs via port 636 om domänkontrollanten inte har ett betrott certifikat som binder till tjänsten under starten.

Du kan testa LDAPS-anslutningen med hjälp av LDP-verktyget, som installeras på domänkontrollanten som standard som en del av Active Directory-hanteringsfunktionerna.

1. Kör följande kommando i en administrativ kommandotolk på domänkontrollanten.

ldp.exe

2. Klicka på Anslutning > anslut.
3. Ange FQDN för domänkontrollanten och anslut via port 636 med SSL.

4. Kontrollera utdata. Om anslutningen misslyckas med "Fel <0x51> det inte går att ansluta" har domänkontrollanten inget LDAPS-certifikat och Dell-produkter kan inte använda Active Directory-integrering med den här domänkontrollanten förrän ett certifikat har installerats.

För att lösa det här problemet måste du installera ett giltigt certifikat på alla domänkontrollanter som systemet använder för AD-integrering. Microsoft har en artikel som dokumenterar kraven för LDAPS-certifikat och processen för att begära ett certifikat från en certifikatutfärdares server: https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-ldap-over-ssl-3rd-certification-authority

Alternativt, eftersom certifikatet endast måste vara betrott av domänkontrollanten själv, kan kunder utan en certifikatutfärdarserver aktivera LDAPS genom att skapa ett självsignerat certifikat på domänkontrollanten med hjälp av stegen nedan.

1. Öppna ett administrativt PowerShell-fönster på domänkontrollanten.
2. Kör följande kommando för att skapa certifikatet:

New-SelfSignedCertificate -DnsName dc1.domain.local, dc1 -CertStoreLocation cert:\LocalMachine\My

(replacing "dc1.domain.local" and "dc1" with the FQDN and name of your domain controller)

3. Kör följande kommando för att öppna snapin-modulen för certifikathantering för den lokala datorn.

certlm.msc

4. Bläddra till Personliga > certifikat, leta upp det nyligen skapade certifikatet och kopiera det till Certifikat för betrodda rotcertifikatutfärdare>.
5. Vänta tills LDAPS binder till port 636 med det nya certifikatet. Detta görs automatiskt och tar mindre än en minut.
6. Använd följande kommando för att verifiera anslutningen till domänkontrollanten med SSL via port 636.

ldp.exe

När ett giltigt certifikat har installerats på domänkontrollanten och ldp.exe testet har anslutits kan katalogtjänstintegreringstestet på iDRAC/OME kommunicera med domänkontrollanten.

PowerEdge R240, PowerEdge R250, PowerEdge R340, PowerEdge R350, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R740 , PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R840, PowerEdge R940, PowerEdge R940xa, PowerEdge T140, PowerEdge T150, PowerEdge T340, PowerEdge T350, PowerEdge T440, PowerEdge T550, PowerEdge T640 ... 扩大查看范围 缩小查看范围