Я пытаюсь настроить Windows Network Policy Server, чтобы разрешить проверку подлинности RADIUS в сценарии с несколькими лесами с односторонним доверием. У нас есть несколько доменов (каждый в одном домене-лесу), содержащих учетные записи пользователей, и один домен «OPS» с серверами и службами. OPS доверяет другим доменам, но они не доверяют OPS.
Я настроил NPS с политикой, которая предоставляет доступ, когда пользователи находятся в определенной группе в домене OPS. Это отлично работает для локальных пользователей домена, таких как OPS\carlpett
, но когда я пытаюсь использовать учетную запись из другого домена, например EXTAD\john.doe
, Я получаю сообщение об ошибке с идентификатором события 4402 и описанием
Для домена EXTAD нет доступного контроллера домена.
Информационное событие 6274 также регистрируется с подробностями об отклоненном запросе, причина которого установлена на
Сервер NPS недоступен из-за нехватки аппаратных ресурсов или из-за того, что ему не удалось получить имя контроллера домена, что может быть из-за сбоя базы данных диспетчера учетных записей (SAM) на локальном компьютере или сбоя службы каталогов NT (NTDS) .
Однако я могу связаться с несколькими контроллерами домена из EXTAD. Я пробовал оба Test-NetConnection -Port 389 dc01.extad.domain.com
и Microsoft PortQry
инструмент, который выполняет множество тестов подключения.
При использовании локальной учетной записи домена регистрируется:
Установлено соединение LDAP с контроллером домена ad01.ops.domain.net для домена OPS.
Кажется, это означает, что нужен только LDAP? Проверяя открытые TCP-соединения при попытке использовать внешнюю учетную запись, я вижу установленное соединение на порту 389 с контроллером домена в их домене.
Есть идеи, что попробовать? Я видел несколько рекомендаций по добавлению NPS-сервера в группу «Серверы RAS и IAS», но, похоже, это требует двустороннего доверия.
Да из Технет:
Сервер политики сети поддерживает проверку подлинности в лесах без прокси-сервера RADIUS, когда два леса содержат только домены, состоящие из контроллеров домена под управлением Windows Server 2008, Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; и Windows Server 2003, Datacenter Edition. Функциональный уровень леса должен быть Windows Server 2008 или Windows Server 2003, и между лесами должны быть двусторонние доверительные отношения. Если вы используете EAP-TLS или PEAP-TLS с сертификатами в качестве метода проверки подлинности, необходимо использовать прокси-сервер RADIUS для проверки подлинности в лесах, состоящих из доменов Windows Server 2008 и Windows Server 2003.
Я получил указанное выше для работы с доверием выборочной проверки подлинности. Создайте глобальную группу, которая будет содержать ваши серверы NPS, и убедитесь, что у этой группы есть "Разрешено аутентифицировать"Право, установленное на учетных записях компьютеров на контроллерах домена в пользовательских доменах.
Это наиболее строгий параметр, необходимый для NPS для проверки подлинности пользователей в доверенном лесу, в противном случае вам потребуются прокси-сервер RADIUS и серверы NPS, настроенные в пользовательских доменах.