Аутентификация NPS/RADIUS через одностороннее доверие

Я пытаюсь настроить Сервер политики Windows Network для разрешения аутентификации RADIUS в нескольких лесной сценарий с односторонними трестами. У нас есть несколько доменов (каждый в единственном доменном лесу) содержащий учетные записи пользователей и один домен "OPS" с серверами и сервисами. OPS доверяет другим доменам, но они не доверяют OPS.

Я настроил NPS с политикой, которая предоставляет доступ, когда пользователи находятся в определенной группе в домене OPS. Это хорошо работает для доменных локальных пользователей, такой как OPS\carlpett, но когда я пытаюсь использовать учетную запись от другого домена такой как EXTAD\john.doe, Я зарегистрировал ошибку с идентификатором 4402 события и описанием

Нет никакого контроллера домена, доступного для домена EXTAD.

Информационное событие 6274 также зарегистрировано с деталями отклоненного запроса, где причина установлена на

Сервер NPS недоступен из-за низких аппаратных ресурсов или потому что ему не удалось получить название контроллера домена, который может произойти из-за отказа базы данных администратора учетных данных в системе защиты (SAM) на локальном компьютере или службе каталогов NT (NTDS) отказ.

Однако я могу связаться с несколькими контроллерами домена от EXTAD. Я попробовал обоих Test-NetConnection -Port 389 dc01.extad.domain.com и Microsofts PortQry инструмент, который делает много тестов соединения.

При использовании доменной локальной учетной записи это зарегистрировано:

Соединение LDAP с контроллером домена ad01.ops.domain.net для домена OPS устанавливается.

Это, кажется, указывает, что только LDAP необходим? Проверяя открытые соединения TCP при попытке использовать счет по внешним расчетам, я вижу установленное соединение на порте 389 к контроллеру домена в их домене.

Какие-либо идеи, что попробовать? Я видел некоторые рекомендации добавить сервер NPS к "RAS и группе" Серверов IAS, но это, казалось бы, потребовало бы двухстороннего доверия.