Назад | Перейти на главную страницу

Проверка подлинности NPS / RADIUS через одностороннее доверие

Я пытаюсь настроить Windows Network Policy Server, чтобы разрешить проверку подлинности RADIUS в сценарии с несколькими лесами с односторонним доверием. У нас есть несколько доменов (каждый в одном домене-лесу), содержащих учетные записи пользователей, и один домен «OPS» с серверами и службами. OPS доверяет другим доменам, но они не доверяют OPS.

Я настроил NPS с политикой, которая предоставляет доступ, когда пользователи находятся в определенной группе в домене OPS. Это отлично работает для локальных пользователей домена, таких как OPS\carlpett, но когда я пытаюсь использовать учетную запись из другого домена, например EXTAD\john.doe, Я получаю сообщение об ошибке с идентификатором события 4402 и описанием

Для домена EXTAD нет доступного контроллера домена.

Информационное событие 6274 также регистрируется с подробностями об отклоненном запросе, причина которого установлена ​​на

Сервер NPS недоступен из-за нехватки аппаратных ресурсов или из-за того, что ему не удалось получить имя контроллера домена, что может быть из-за сбоя базы данных диспетчера учетных записей (SAM) на локальном компьютере или сбоя службы каталогов NT (NTDS) .

Однако я могу связаться с несколькими контроллерами домена из EXTAD. Я пробовал оба Test-NetConnection -Port 389 dc01.extad.domain.com и Microsoft PortQry инструмент, который выполняет множество тестов подключения.

При использовании локальной учетной записи домена регистрируется:

Установлено соединение LDAP с контроллером домена ad01.ops.domain.net для домена OPS.

Кажется, это означает, что нужен только LDAP? Проверяя открытые TCP-соединения при попытке использовать внешнюю учетную запись, я вижу установленное соединение на порту 389 с контроллером домена в их домене.

Есть идеи, что попробовать? Я видел несколько рекомендаций по добавлению NPS-сервера в группу «Серверы RAS и IAS», но, похоже, это требует двустороннего доверия.

Да из Технет:

Сервер политики сети поддерживает проверку подлинности в лесах без прокси-сервера RADIUS, когда два леса содержат только домены, состоящие из контроллеров домена под управлением Windows Server 2008, Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; и Windows Server 2003, Datacenter Edition. Функциональный уровень леса должен быть Windows Server 2008 или Windows Server 2003, и между лесами должны быть двусторонние доверительные отношения. Если вы используете EAP-TLS или PEAP-TLS с сертификатами в качестве метода проверки подлинности, необходимо использовать прокси-сервер RADIUS для проверки подлинности в лесах, состоящих из доменов Windows Server 2008 и Windows Server 2003.

Я получил указанное выше для работы с доверием выборочной проверки подлинности. Создайте глобальную группу, которая будет содержать ваши серверы NPS, и убедитесь, что у этой группы есть "Разрешено аутентифицировать"Право, установленное на учетных записях компьютеров на контроллерах домена в пользовательских доменах.

Это наиболее строгий параметр, необходимый для NPS для проверки подлинности пользователей в доверенном лесу, в противном случае вам потребуются прокси-сервер RADIUS и серверы NPS, настроенные в пользовательских доменах.