Users Guide
iDRAC 强制实行强大的安全机制来确保 iDRAC 连接到的域控制器的身份。如果不实行证书验证,黑客可以欺骗域控制器并劫持 SSL
连接。在安全区域内,如果您选择信任所有没有证书验证的域控制器,可通过 Web 界面或 RACADM 将其禁用。
iDRAC 是否支持 NetBIOS 名称?
此版本不支持。
为什么使用 Active Directory 单一登录或智能卡登录时需要长达四分钟才能登录到 iDRAC?
Active Directory 单一登录和智能卡登录通常只需要不到 10 秒钟就能完成,但是如果您指定了首选 DNS 服务器和备用 DNS 服务器,
而首选 DNS 服务器已发生故障,则可能需要长达四分钟才能登录。当 DNS 服务器关闭时,预计会出现 DNS 超时。在这种情况下,
iDRAC 会使用备用 DNS 服务器进行登录。
Active Directory 针对 Windows Server 2008 Active Directory 中存在的域进行配置。该域包含子域,用户和组位于同一子域中,并且
用户是该组的成员。当您尝试使用子域中的用户登录到
iDRAC 时,Active Directory 单一登录会失败。
这可能是由于组类型不正确。Active Directory 服务器中包括两种组类型:
• Security(安全) - 安全组允许您管理用户并使用计算机访问共享资源以及筛选组策略设置。
• 分发 - 分发组仅供用于电子邮件分发列表。
请始终确保组类型为“安全”。您不能使用分发组来在任何对象上分配权限,但是可以使用它们来过滤组策略设置。
单一登录
SSO 登录在 Windows Server 2008 R2 x64 上失败。需要执行哪些设置才能解决此问题?
1 为域控制器和域策略运行 technet.microsoft.com/en-us/library/dd560670(WS.10).aspx 中介绍的操作。
2 配置计算机以使用 DES-CBC-MD5 密码组。
这些设置可能会影响环境中客户端计算机或服务以及应用程序的兼容性。Kerberos 策略允许的配置加密类型位于 Computer
Conguration
(计算机配置) > Security Settings(安全设置) > Local Policies(本地策略) > Security Options(安全选项)
下。
3 请确保域客户端具有更新的 GPO。
4 在命令行处,键入 gpupdate /force 并使用 klist purge 命令删除旧 Keytab。
5 更新 GPO 后,创建新的 keytab。
6 将 keytab 上载到 iDRAC。
现在可以使用 SSO 登录 iDRAC。
为什么在 Windows 7 和 Windows Server 2008 R2 上,Active Directory 用户进行单一登录失败?
您必须启用 Windows 7 和 Windows Server 2008 R2 的加密类型。要启用加密类型:
1 以管理员或具有管理权限的用户身份登录。
2 转至 Start(开始)并运行 gpedit.msc。随即会显示 Local Group Policy Editor(本地组策略编辑器)窗口。
3 转至本地计算机设置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项。
4 右键单击 Network Security: Congure encryption types allowed for kerberos(网络安全:配置 Kerberos 允许的加密类型)并
选择
Properties(属性)。
5 启用所有选项。
6 单击确定。现在可以使用 SSO 登录 iDRAC。
对于 Extended Schema(扩展架构),执行以下附加设置:
常见问题
311