一方向の信頼を持つ複数のフォレストのシナリオでRADIUS認証)を許可するようにWindowsネットワークポリシーサーバーを設定しようとしています。ユーザーを含む複数のドメイン(それぞれが単一のドメインフォレスト内)がありますアカウント、およびサーバーとサービスを備えた1つのドメイン「OPS」。OPSは他のドメインを信頼しますが、OPSは信頼しません。
ユーザーがOPSドメインの特定のグループにいるときにアクセスを許可するポリシーを使用してNPSを構成しました。これは、OPS\carlpett
などのドメインローカルユーザーには問題なく機能しますが、EXTAD\john.doe
などの別のドメインのアカウントを使用しようとすると、イベントID4402と説明でログに記録されたエラーが発生します。
ドメインEXTADで使用できるドメインコントローラーはありません。
情報イベント6274もログに記録され、拒否されたリクエストの詳細が示されます。理由は次のように設定されます。
NPSサーバーは、ハードウェアリソースが少ないか、ドメインコントローラーの名前を受信できなかったために使用できません。これは、ローカルコンピューターのセキュリティアカウントマネージャー(SAM)データベースの障害またはNTディレクトリサービス(NTDS)の障害が原因である可能性があります。 。
ただし、EXTADから複数のドメインコントローラーに接続できます。私はTest-NetConnection -Port 389 dc01.extad.domain.com
と、多くの接続テストを行うMicrosofts PortQry
ツールの両方を試しました。
ドメインローカルアカウントを使用する場合、これはログに記録されます。
ドメインOPS用のドメインコントローラーad01.ops.domain.netとのLDAP接続が確立されます。
これは、LDAPのみが必要であることを示しているようですか?外部アカウントを使用しようとしているときに開いているTCP接続を確認すると、ポート389でドメイン内のドメインコントローラーへの接続が確立されていることがわかります。
何を試すべきかアイデアはありますか? NPSサーバーを「RASおよびIASサーバー」グループに追加するためのいくつかの推奨事項を見てきましたが、それには双方向の信頼が必要なようです。
はい、 Technet から:
NPSは、2つのフォレストにWindows Server 2008、Windows Server 2003、Standard Edition、Windows Server 2003、Enterprise Editionを実行するドメインコントローラーで構成されるドメインのみが含まれている場合、RADIUSプロキシなしで、フォレスト間の認証をサポートします。 Windows Server 2003、DatacenterEdition。フォレストの機能レベルはWindows Server2008またはWindowsServer 2003である必要があり、フォレスト間に双方向の信頼関係が存在する必要があります認証方法として証明書を使用してEAP-TLSまたはPEAP-TLSを使用する場合、Windows Server 2008ドメインとWindows Server 2003ドメインで構成されるフォレスト間での認証にはRADIUSプロキシを使用する必要があります。
上記を選択認証の信頼で機能させることができました。 NPSサーバーを保持するグローバルグループを作成し、そのグループに、ユーザードメインのドメインコントローラーのコンピューターアカウントに「 認証が許可されている 」権限が設定されていることを確認します。
これは、NPSが信頼できるフォレスト内のユーザーを認証するために必要な最も制限の厳しい設定です。それ以外の場合は、ユーザードメインにRADIUSプロキシサーバーとNPSサーバーを設定する必要があります。