Users Guide
Table Of Contents
- Integrated Dell Remote Access Controller 9 User's Guide
- Contents
- iDRAC 概览
- 登录 iDRAC
- 强制更改密码 (FCP)
- 使用 OpenID Connect 登录 iDRAC
- 以本地用户、Active Directory 用户或 LDAP 用户身份登录 iDRAC
- 使用智能卡作为本地用户登录 iDRAC
- 使用单一登录登录 iDRAC
- 使用远程 RACADM 访问 iDRAC
- 使用本地 RACADM 访问 iDRAC
- 使用固件 RACADM 访问 iDRAC
- 简单的双重身份验证(简单 2FA)
- RSA SecurID 2FA
- 查看系统运行状况
- 使用公共密钥验证登录 iDRAC
- 多个 iDRAC 会话
- 安全默认密码
- 更改默认登录密码
- 启用或禁用默认密码警告消息
- 密码强度策略
- IP 阻止
- 使用 Web 界面启用或禁用 OS 到 iDRAC 直通
- 使用 RACADM 启用或禁用警报
- 设置受管系统
- 设置 iDRAC IP 地址
- 修改本地管理员帐户设置
- 设置受管系统位置
- 优化系统性能和功耗
- 设置管理站
- 配置支持的 Web 浏览器
- 更新设备固件
- 查看和管理分阶段更新
- 回滚设备固件
- 使用其他系统管理工具监测 iDRAC
- 支持服务器配置配置文件 — 导入和导出
- BIOS 设置或 F2 中的安全引导配置
- BIOS 恢复
- 配置 iDRAC
- 使用 OAuth 2.0 的委派授权
- 查看 iDRAC 和受管系统信息
- 设置 iDRAC 通信
- 配置用户帐户和权限
- 系统配置锁定模式
- 配置 iDRAC 以进行单一登录或智能卡登录
- 配置 iDRAC 以发送警报
- iDRAC 9 Group Manager
- 管理日志
- 在 iDRAC 中监测和管理电源
- iDRAC 直接更新
- 对网络设备执行资源清册、监测和配置操作
- 管理存储设备
- BIOS 设置
- 配置并使用虚拟控制台
- 使用 iDRAC 服务模块
- 使用 USB 端口进行服务器管理
- 使用 Quick Sync 2
- 管理虚拟介质
- 管理 vFlash SD 卡
- 使用 SMCLP
- 部署操作系统
- 使用 iDRAC 排除受管系统故障
- iDRAC 中的 SupportAssist 集成
- 常见问题
- 使用案例场景
○ 在 Active Directory 配置和管理页面上选中启用 Active Directory 选项。
○ iDRAC 网络配置页面上的 DNS 设置正确。
○ 如果已启用证书验证,则将正确 Active Directory 根 CA 证书上载到 iDRAC。
○ 如果您使用扩展架构,iDRAC 名称和 iDRAC 域名与 Active Directory 环境配置匹配。
○ 如果您使用标准架构,组名和组域名与 Active Directory 配置匹配。
○ 如果用户和 iDRAC 对象位于不同的域中,则不要选择 User Domain from Login(登录的用户域)选项。而应选择
Specify a Domain(指定域)选项并输入 iDRAC 对象所在的域名。
● 检查域控制器 SSL 证书以确保 iDRAC 时间在证书有效期内。
Active Directory 登录失败,即使已启用证书验证。测试结果显示以下错误消息。为什么会发生这种情况,如何解决?
ERROR: Can't contact LDAP server, error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check the correct
Certificate Authority (CA) certificate has been uploaded to iDRAC. Please also check if
the iDRAC date is within the valid period of the certificates and if the Domain
Controller Address configured in iDRAC matches the subject of the Directory Server
Certificate.
如果已启用证书验证,当 iDRAC 与目录服务器建立 SSL 连接时,iDRAC 将使用已上传的 CA 证书验证目录服务器证书。导致证
书验证失败的最常见原因包括:
● iDRAC 日期不在服务器证书或 CA 认证的有效时间段内。检查证书的 iDRAC 时间和有效时间段。
● 在 iDRAC 中配置的域控制器地址与目录服务器证书的主题或主题备用名称不匹配。如果您使用 IP 地址,请阅读下一个问
题。如果您使用 FQDN,请确保您使用的是域控制器的 FQDN,而不是域。例如,是 servername.example.com 而不是
example.com。
即使使用 IP 地址作为域控制器地址,证书验证也会失败。如何解决此问题?
检查域控制器证书的“Subject or Subject Alternative Name”(主题或主题备用名称)字段。正常情况下,Active Directory 使用主
机名称而不是域控制器证书的“Subject or Subject Alternative Name”(主题或主题备用名称)字段中域控制器的 IP 地址。要解
决此问题,请执行以下操作之一:
● 在 iDRAC 上将域控制器的主机名 (FQDN) 配置为
域控制器地址
,以与服务器证书的主题或主题备用名称匹配。
● 重新颁发服务器证书以在“主题”或“主题备用名称”字段中使用 IP 地址,从而与在 iDRAC 中配置的 IP 地址匹配。
● 如果选择信任此域控制器而无需在 SSL 握手过程中验证证书,请禁用证书验证。
当在多域环境中使用扩展架构时,如何配置域控制器地址?
这必须是 iDRAC 对象所在域中域控制器的主机名 (FQDN) 或 IP 地址。
何时配置 Global Catalog Address(全局编录地址)?
如果您使用标准架构且用户和角色组来自不同的域,则必须填写全局编录地址。在此情况下,您只能使用通用组。
如果使用的是标准架构且所有用户和角色组都在相同域中,则不必配置全局编录地址。
如果使用的是扩展架构,则不使用全局编录地址。
标准架构的查询方式是什么?
iDRAC 首先连接到所配置的域控制器地址。如果用户和角色组位于该域中,则保存权限。
如果配置了全局控制器地址,则 iDRAC 会继续查询全局编录。如果从全局编录检索到额外的权限,则会累加这些权限。
iDRAC 始终在 SSL 上使用 LDAP 吗?
可以。所有传输都通过安全端口 636 和/或 3269 进行传输。在测试设置过程中,iDRAC 仅执行 LDAP CONNECT 以隔离该问
题,而不是在非安全连接上执行 LDAP BIND。
为什么 iDRAC 默认启用证书验证?
iDRAC 强制实行强大的安全性,以确保 iDRAC 连接到域控制器的身份。没有证书验证,黑客可以欺骗域控制器并劫持 SSL 连
接。如果您选择信任安全边界内的所有域控制器而无需验证证书,那么您可通过 Web 界面或 RACADM 将其禁用。
iDRAC 是否支持 NetBIOS 名称?
此版本不支持。
为什么使用 Active Directory 单一登录或智能卡登录时需要长达四分钟才能登录到 iDRAC?
Active Directory 单一登录和智能卡登录通常只需要不到 10 秒钟就能完成,但是如果您指定了首选 DNS 服务器和备用 DNS 服务
器,而首选 DNS 服务器已发生故障,则可能需要长达四分钟才能登录。DNS 服务器停机时预期会出现 DNS 超时。iDRAC 将使
用备用 DNS 服务器让您登录。
Active Directory 配置为 Windows Server 2008 Active Directory 中存在的域。该域中有一个子域,用户和组位于同一子域
并且用户是组的成员。尝试使用子域中的用户登录 iDRAC 时,Active Directory 单一登录将失败。
常为为为
321