Die Anmeldung bei Active Directory schlägt selbst dann fehl, wenn die Zertifikatüberprüfung aktiviert ist. Die
Testergebnisse zeigen die folgende Fehlermeldung an. Warum tritt dieses Verhalten auf, und wie kann es gelöst
werden?
ERROR: Can't contact LDAP server, error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check
the correct Certificate Authority (CA) certificate has been uploaded to iDRAC7.
Please also check if the iDRAC7 date is within the valid period of the
certificates and if the Domain Controller Address configured in iDRAC7 matches
the subject of the Directory Server Certificate. (FEHLER: Kontakt zu LDAP-
Server nicht möglich, Fehler:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Überprüfen Sie,
dass das richtige Zertifizierungsstellenzertifikat in iDRAC7 hochgeladen wurde.
Überprüfen Sie außerdem, ob das iDRAC7-Datum innerhalb des Gültigkeitszeitraums
des Zertifikats liegt und ob die in iDRAC7 konfigurierte Domänen-Controller-
Adresse dem Betreff des Verzeichnisserverzertifikats entspricht.)
Wenn die Zertifikatsüberprüfung aktiviert ist, sobald der iDRAC7 die SSL-Verbindung zum Verzeichnisserver herstellt,
verwendet iDRAC7 das hochgeladene Zertifizierungsstellenzertifikat, um das Zertifikat des Verzeichnisservers zu
überprüfen. Die häufigsten Gründe für eine fehlgeschlagene Zertifikatsüberprüfung sind Folgende:
•
Das Gültigkeitsdatum des iDRAC7 liegt nicht innerhalb des Gültigkeitszeitraums des Serverzertifikats oder des
Zertifizierungsstellenzertifikats. Überprüfen Sie die Gültigkeit des iDRAC7-Zertifikats und Ihres Zertifikats.
•
Die in iDRAC7 konfigurierten Domänen-Controller-Adressen stimmen nicht mit dem Servernamen oder alternativen
Servernamen im Directory-Server-Zertifikat überein. Falls Sie eine IP-Adresse verwenden, lesen Sie bitte die
folgende Frage. Wenn Sie einen FQDN verwenden, stellen Sie bitte sicher, dass Sie den FQDN des Domänen-
Controllers verwenden und nicht den der Domäne selbst, zum Beispiel servername.example.com anstelle von
example.com.
Die Zertifikatüberprüfung schlägt fehl, auch wenn die IP-Adresse als Domänen-Controller-Adresse verwendet wird. Wie
kann dieses Verhalten gelöst werden?
Prüfen Sie das Feld Servername oder alternativer Servername Ihres Domänen-Controller-Zertifikats. Normalerweise
verwendet Active Directory den Host-Namen und nicht die IP-Adresse des Domänen-Controllers im Feld Servername
oder alternativer Servername des Domänen-Controller-Zertifikats. Um das Problem zu lösen, führen Sie einen der
folgenden Schritte aus:
•
Konfigurieren Sie den Hostnamen (FQDN) des Domänen-Controllers als
dem iDRAC7, damit er mit dem Servernamen oder alternativen Servernamen des Server-Zertifikats übereinstimmt.
•
Erstellen Sie das Server-Zertifikat erneut, damit im Feld "Servername" oder "Alternativer Servername" eine IP-
Adresse verwendet wird, die auf dem iDRAC7 konfiguriert ist.
•
Deaktivieren Sie die Überprüfung des Zertifikats, wenn Sie dem Domänen-Controller beim SSL-Handshake ohne
diese Überprüfung vertrauen.
Wie werden die Domänen-Controller-Adressen konfiguriert, wenn das erweiterte Schema in einer Umgebung mit
mehreren Domänen verwendet wird?
Es musste der Host-Name (FQDN) oder die IP-Adresse des Domänen-Controllers sein, der die Domäne bedient, in der
sich das iDRAC7-Objekt befindet.
Wann muss ich Adressen des globalen Katalogs konfigurieren?
Wenn Sie das Standardschema verwenden und die Benutzer und Rollengruppen verschiedenen Domänen angehören,
sind Adressen des globalen Katalogs erforderlich. In diesem Fall können Sie nur die Universalgruppe benutzen.
Wenn Sie das Standardschema verwenden und alle Benutzer und Rollengruppen derselben Domäne angehören, sind
keine Adressen des globalen Katalogs erforderlich.
Wenn Sie ein erweitertes Schema verwenden, wird die Adresse des globalen Katalogs nicht verwendet.
Wie funktioniert die Abfrage im Standardschema?
Adresse(n) des Domänen-Controllers auf
259