iDRAC9 にリモートでアクセスできないのはなぜですか?

tag-icon tag-icon router rdp redirection drac
iDRAC9 にリモートでアクセスできないのはなぜですか?

iDRAC9 Basic を搭載した Dell PowerEdge T350 を使用しています。サーバーはスイッチに接続されており、スイッチはルーターの上流に接続され、ルーターはインターネットに接続されています。非常にシンプルです。サーバーの NIC1 はスイッチに接続されており、iDRAC 独自の UTP LAN カードにも接続されています。iDRAC を有効にすると、同じスイッチ (つまりイントラネット) に接続された別のホストから Web GUI にアクセスできます。

サーバーの両方の LAN インターフェイスには、静的イントラネット IP (192.168.1.x の範囲) が設定されており、DHCP は使用されていません。これは、ルーターのポート変換では固定 IP を使用する方がよいためです。ルーターのポート変換を設定して、RDP と iDRAC の 2 つのサービスにリモートでアクセスできるようにしました。RDP はサーバー OS 自体です。

ここからが興味深い部分です:

  1. イントラネット経由でRDPを使用してサーバーOSにアクセスできます
  2. RDPでリモートからサーバーOSにアクセスできます
  3. イントラネット経由でiDRAC Web GUIにアクセスできます
  4. iDRAC Web GUIにリモートでアクセスできない

iDRAC ポート リダイレクト (またはファイアウォール ピン ホールとも呼ばれます) は、RDP の場合と同じ方法で設定しました。RDP では TCP と UDP 3389 ポート リダイレクトの両方が必要ですが、iDRAC では TCP 443 ポート リダイレクトのみが必要です。

質問:

  1. iDRAC には、デフォルトでイントラネット アクセスを防止するスイッチまたは構成オプションがありますか? (ただし、ルーターによってアドレス変換/NAT が実行されているため、この質問は意味をなさない可能性があります)
  2. 問題のルーターは PACE 5268AC FXN です。マニュアルには、3389 (または別のマシンの RDP もピンホールしたため 3390 も) のリダイレクトは許可されるが、HTTPS では失敗することを示す記述が見つかりません。ファイアウォール ログには役立つ情報が何も見当たりません。どうやら、イントラネット 443 の着信パケットはルーターに届かないようです。わかりません。
  3. また、443 -> 443 の代わりに 33443 -> 443 や他のタイプのリダイレクトも試しましたが、これも機能しませんでした。
  4. また、iDRAC の SSL 証明書は無効 (無効) ですが、以前の段階で障害が発生したようです。ISP は AT&T です。

ちなみに私のiDRACファームウェアのバージョンは6.10.30.00(ビルド29)、iDRAC設定のバージョンは5.00.00.10です。

答え1

iDRAC ネットワーク設定を再確認したところ、ゲートウェイは適切でした (192.168.1.254)。また、iDRAC がゲートウェイに ping できるかどうかも確認しました (racadmin ping 192.168.1.254イントラネット上の iDRAC Web GUI にログインしたとき)。ルーターのポート ピンホール構成も確認しましたが、これも問題ないようです。Web GUI にリモートで数回アクセスしてみましたが、ルーターのファイアウォール ログにそれらのパケットが記録されておらず、ピンホール アクセスとして認識されていることを確認しました。

何が変わったのかはわかりませんが、おそらくブラウザは IP アドレスを見つけるとデフォルトで http プロトコルを試します (iDRAc にリモートでアクセスするのは静的 IP アドレスのみで、DNS 名は使用していません)。手動で https プロトコルを入力すると、タイムアウトではなくエラー メッセージが表示されました。

要求の形式が正しくありません

ブラウザからこのサーバーが理解できないリクエストが送信されました

さらに、ErrorDocument を使用してファイル要求を処理しようとしたときに、400 Bad Request エラーが発生しました。

これは、Firefox と Chromium ベースのブラウザの両方で発生しました。次に、この特定のエラー メッセージを検索し、ナレッジ ベースの記事で役立つ解決策を見つけました。iDRAC9 ファームウェア バージョン 5.10.00.000 での HTTP/HTTPS FQDN 接続エラー

原因 iDRAC9 ファームウェア バージョン 5.10.00.00 の Web サーバーは、デフォルトで HTTP/HTTPS ホスト ヘッダー チェックを強制します。 解決 デフォルトでは、iDRAC9 は HTTP / HTTPS ホスト ヘッダーをチェックし、定義された「DNSRacName」および「DNSDomainName」と比較します。値が一致しない場合、iDRAC は HTTP / HTTPS 接続を拒否します。iDRAC9 5.10.00.00 では、このホスト ヘッダーの強制は、次の RACADM コマンドで無効にできます。

#Disable host header check
racadm set idrac.webserver.HostHeaderCheck 0

これでセキュリティ上のリスクが生じるかどうか疑問に思います。iDRAC には固定 IP ではなく IP アドレスからアクセスし、IP アドレスでアドレス指定します。必要な HTTP ヘッダーを挿入する REST クライアントしか思いつきません。しかし、少なくとも iDRAC Web GUI にはアクセスできるようになりました。

答え2

解決策としては、FQDN の代わりに IP アドレスを使用することです。そうすれば機能します。

関連情報