Я пытаюсь настроить Сервер политики Windows Network для разрешения аутентификации RADIUS в нескольких лесной сценарий с односторонними трестами. У нас есть несколько доменов (каждый в единственном доменном лесу) содержащий учетные записи пользователей и один домен "OPS" с серверами и сервисами. OPS доверяет другим доменам, но они не доверяют OPS.
Я настроил NPS с политикой, которая предоставляет доступ, когда пользователи находятся в определенной группе в домене OPS. Это хорошо работает для доменных локальных пользователей, такой как OPS\carlpett
, но когда я пытаюсь использовать учетную запись от другого домена такой как EXTAD\john.doe
, Я зарегистрировал ошибку с идентификатором 4402 события и описанием
Нет никакого контроллера домена, доступного для домена EXTAD.
Информационное событие 6274 также зарегистрировано с деталями отклоненного запроса, где причина установлена на
Сервер NPS недоступен из-за низких аппаратных ресурсов или потому что ему не удалось получить название контроллера домена, который может произойти из-за отказа базы данных администратора учетных данных в системе защиты (SAM) на локальном компьютере или службе каталогов NT (NTDS) отказ.
Однако я могу связаться с несколькими контроллерами домена от EXTAD. Я попробовал обоих Test-NetConnection -Port 389 dc01.extad.domain.com
и Microsofts PortQry
инструмент, который делает много тестов соединения.
При использовании доменной локальной учетной записи это зарегистрировано:
Соединение LDAP с контроллером домена ad01.ops.domain.net для домена OPS устанавливается.
Это, кажется, указывает, что только LDAP необходим? Проверяя открытые соединения TCP при попытке использовать счет по внешним расчетам, я вижу установленное соединение на порте 389 к контроллеру домена в их домене.
Какие-либо идеи, что попробовать? Я видел некоторые рекомендации добавить сервер NPS к "RAS и группе" Серверов IAS, но это, казалось бы, потребовало бы двухстороннего доверия.
Да, из Technet :
Сервер политики сети поддерживает аутентификацию в лесах без прокси-сервера RADIUS, когда два леса содержат только домены, состоящие из домена контроллеры под управлением Windows Server 2008, Windows Server 2003, Standard Издание; Windows Server 2003, Enterprise Edition; и Windows Server Выпуск 2003 г. для центра обработки данных. Функциональный уровень леса должен быть Windows Server 2008 или Windows Server 2003 и должно быть двустороннее доверие отношения между лесами . Если вы используете EAP-TLS или PEAP-TLS с сертификаты в качестве метода аутентификации, вы должны использовать RADIUS прокси для проверки подлинности в лесах, состоящих из Windows Server 2008 и Windows Server 2003.
Я получил вышеуказанное для работы с доверием выборочной аутентификации. Создайте глобальную группу, которая будет содержать ваши серверы NPS, и убедитесь, что эта группа имеет право « Разрешено аутентифицировать », установленное для учетных записей компьютеров на контроллерах домена в пользовательских доменах.
Это наиболее строгий параметр, необходимый для NPS для аутентификации пользователей в доверенном лесу, в противном случае вам потребуются прокси-сервер RADIUS и серверы NPS, настроенные в домене (ах) пользователя.