xaero1982
Goto Top

Radius mit mehreren Domains

Nabend Zusammen,

folgendes Problem:
Es gibt zwei Radiusserver in der Domain A. Der zweite ist nur Fallback.
Diese Domain hat Vertrauensstellungen zu Domain B, C und D.

Diese funktionieren alle problemlos offensichtlich. Pingen geht ohne Probleme. Namensauflösung ist auch korrekt.

Domain A klappt alles problemlos.
Aktuell gibt es in der Domain B nur Drucker und Telefone die sich authentifizieren über 802.1x - ebenfalls ohne Probleme.
Bei dem Auth steht dann im NPS Log: Verbindung zu DC.B.de wurde erfolgreich hergestellt für die Domain B (sinngemäß)

Beim Auth zu Domain C steht: Es konnte kein Domänencontroller für C gefunden werden.
Danach sieht man dann den Authversuch des Nutzers aus Domäne C, die natürlich fehl schlägt.

D ist aktuell noch nicht relevant - kann ich ggf. morgen testen.

Domain C endet mit .com - falls relevant.

Web hab ich schon durchforstet und auch das mit dem DefaultDomain Eintrag im RasMan Zweig gesetzt. Ohne Ergebnis.

Hat noch jemand eine Idee?

Viele Grüße und Danke

Content-ID: 1491617329

Url: https://administrator.de/contentid/1491617329

Ausgedruckt am: 19.12.2024 um 04:12 Uhr

jsysde
jsysde 10.11.2021 um 22:48:07 Uhr
Goto Top
N'Abend.

Die Vertrauensstellung sind bidirektional? Transitiv? Alle identisch konfiguriert?
Domänenweite Authentifizierung? Firewall auf DCs der Domain C entsprechend konfiguriert?

Cheers,
jsysde
Xaero1982
Xaero1982 11.11.2021 um 09:01:19 Uhr
Goto Top
Moin,

die Vertrauensstellungen sind bidirektional. Jede Domain vertraut jeder anderen. Alle sind identisch konfiguriert. Habe sie auch nochmal neu eingerichtet.
Korrekt, Domänenweite Authentifizierung.

Ja, bzw. wurden auch zum Test mal abgedreht, ohne Erfolg.

Wie gesagt, ich kann DC.C.Com pingen, ich kann C.com pingen. Nslookup löst korrekt auf. Es ist im Grunde alles wie bei Domain B und die funktioniert.

Bin da mit meinen Ideen auch am Ende.

Grüße
wellknown
wellknown 11.11.2021 um 09:30:18 Uhr
Goto Top
Die Domänen haben sicherlich unterschiedliche IP-Adressbereiche. Das Routing zwischen den IP-Bereichen funktioniert (in beiden Richtungen) ?
Xaero1982
Xaero1982 11.11.2021 um 09:50:25 Uhr
Goto Top
Ja, das funktioniert alles. Zugriffe auf Freigaben in beide Richtungen etc.
Alles ohne Probleme.
Xaero1982
Xaero1982 11.11.2021 um 13:20:29 Uhr
Goto Top
Ich konnte nun auch noch einen Test an Domäne D durchführen. Hier auch alles ohne Probleme.
wellknown
wellknown 11.11.2021 um 19:27:41 Uhr
Goto Top
Dann würde ich Domäne B sichern (Backup) und neu machen.
Xaero1982
Lösung Xaero1982 11.11.2021 um 19:50:26 Uhr
Goto Top
Zitat von @wellknown:

Dann würde ich Domäne B sichern (Backup) und neu machen.

Haben wir vor einer Woche getan wegen nicht mehr reparablem defektem Komponentenspeicher auf dem DC01. DC02 war neu gemacht und fritte. Also haben wir das Ding schon neu aufgesetzt - und den alten DC01 dann platt gemacht.

Ich habe es nun anders gelöst, was mir eigentlich auch besser gefällt.

1. Auf dem DC von Domain C habe ich einen NPS installiert mit Zertifizierungsstelle und eingerichtet.
2. Auf dem DC von Domain A (hier liegt der Zielradius vom Switch und dem WLAN) habe ich unter Radius-Remotservergruppen: Eine neue erstellt und dort den NPS aus Domain C angegeben.
3. In den Verbindungsanforderungsrichtlinien auf dem NPS von Domain C habe ich eine neue Richtlinie für die Domain C erstellt.
Als Bedingungen gibt es dort:
Benutzername: ^DomainC\\.+
NAS-Porttyp: Drahtlos OR Ethernet
4. Auf dem NPS von Domain C habe ich den Radius-Client angelegt: NPS von Domain A
5. Verbindungsanforderungsrichtlinie erstellt: Drahtlos OR Ethernet
6. Netzwerkrichtlinie: NAS-Porttyp: Drahtlos OR Ethernet, WindowsGruppe: xxx
7. Noch die sonstigen Settings wie Zertifikat und VLAN eingerichtet und zack, läuft.

Grüße