7
Radius mit mehreren Domains
Nabend Zusammen,
folgendes Problem:
Es gibt zwei Radiusserver in der Domain A. Der zweite ist nur Fallback.
Diese Domain hat Vertrauensstellungen zu Domain B, C und D.
Diese funktionieren alle problemlos offensichtlich. Pingen geht ohne Probleme. Namensauflösung ist auch korrekt.
Domain A klappt alles problemlos.
Aktuell gibt es in der Domain B nur Drucker und Telefone die sich authentifizieren über 802.1x - ebenfalls ohne Probleme.
Bei dem Auth steht dann im NPS Log: Verbindung zu DC.B.de wurde erfolgreich hergestellt für die Domain B (sinngemäß)
Beim Auth zu Domain C steht: Es konnte kein Domänencontroller für C gefunden werden.
Danach sieht man dann den Authversuch des Nutzers aus Domäne C, die natürlich fehl schlägt.
D ist aktuell noch nicht relevant - kann ich ggf. morgen testen.
Domain C endet mit .com - falls relevant.
Web hab ich schon durchforstet und auch das mit dem DefaultDomain Eintrag im RasMan Zweig gesetzt. Ohne Ergebnis.
Hat noch jemand eine Idee?
Viele Grüße und Danke
folgendes Problem:
Es gibt zwei Radiusserver in der Domain A. Der zweite ist nur Fallback.
Diese Domain hat Vertrauensstellungen zu Domain B, C und D.
Diese funktionieren alle problemlos offensichtlich. Pingen geht ohne Probleme. Namensauflösung ist auch korrekt.
Domain A klappt alles problemlos.
Aktuell gibt es in der Domain B nur Drucker und Telefone die sich authentifizieren über 802.1x - ebenfalls ohne Probleme.
Bei dem Auth steht dann im NPS Log: Verbindung zu DC.B.de wurde erfolgreich hergestellt für die Domain B (sinngemäß)
Beim Auth zu Domain C steht: Es konnte kein Domänencontroller für C gefunden werden.
Danach sieht man dann den Authversuch des Nutzers aus Domäne C, die natürlich fehl schlägt.
D ist aktuell noch nicht relevant - kann ich ggf. morgen testen.
Domain C endet mit .com - falls relevant.
Web hab ich schon durchforstet und auch das mit dem DefaultDomain Eintrag im RasMan Zweig gesetzt. Ohne Ergebnis.
Hat noch jemand eine Idee?
Viele Grüße und Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1491617329
Url: https://administrator.de/contentid/1491617329
Printed on: May 9, 2024 at 02:05 o'clock
7 Comments
Latest comment
N'Abend.
Die Vertrauensstellung sind bidirektional? Transitiv? Alle identisch konfiguriert?
Domänenweite Authentifizierung? Firewall auf DCs der Domain C entsprechend konfiguriert?
Cheers,
jsysde
Die Vertrauensstellung sind bidirektional? Transitiv? Alle identisch konfiguriert?
Domänenweite Authentifizierung? Firewall auf DCs der Domain C entsprechend konfiguriert?
Cheers,
jsysde
Moin,
die Vertrauensstellungen sind bidirektional. Jede Domain vertraut jeder anderen. Alle sind identisch konfiguriert. Habe sie auch nochmal neu eingerichtet.
Korrekt, Domänenweite Authentifizierung.
Ja, bzw. wurden auch zum Test mal abgedreht, ohne Erfolg.
Wie gesagt, ich kann DC.C.Com pingen, ich kann C.com pingen. Nslookup löst korrekt auf. Es ist im Grunde alles wie bei Domain B und die funktioniert.
Bin da mit meinen Ideen auch am Ende.
Grüße
die Vertrauensstellungen sind bidirektional. Jede Domain vertraut jeder anderen. Alle sind identisch konfiguriert. Habe sie auch nochmal neu eingerichtet.
Korrekt, Domänenweite Authentifizierung.
Ja, bzw. wurden auch zum Test mal abgedreht, ohne Erfolg.
Wie gesagt, ich kann DC.C.Com pingen, ich kann C.com pingen. Nslookup löst korrekt auf. Es ist im Grunde alles wie bei Domain B und die funktioniert.
Bin da mit meinen Ideen auch am Ende.
Grüße
Die Domänen haben sicherlich unterschiedliche IP-Adressbereiche. Das Routing zwischen den IP-Bereichen funktioniert (in beiden Richtungen) ?
Ja, das funktioniert alles. Zugriffe auf Freigaben in beide Richtungen etc.
Alles ohne Probleme.
Alles ohne Probleme.
Ich konnte nun auch noch einen Test an Domäne D durchführen. Hier auch alles ohne Probleme.
Dann würde ich Domäne B sichern (Backup) und neu machen.
Haben wir vor einer Woche getan wegen nicht mehr reparablem defektem Komponentenspeicher auf dem DC01. DC02 war neu gemacht und fritte. Also haben wir das Ding schon neu aufgesetzt - und den alten DC01 dann platt gemacht.
Ich habe es nun anders gelöst, was mir eigentlich auch besser gefällt.
1. Auf dem DC von Domain C habe ich einen NPS installiert mit Zertifizierungsstelle und eingerichtet.
2. Auf dem DC von Domain A (hier liegt der Zielradius vom Switch und dem WLAN) habe ich unter Radius-Remotservergruppen: Eine neue erstellt und dort den NPS aus Domain C angegeben.
3. In den Verbindungsanforderungsrichtlinien auf dem NPS von Domain C habe ich eine neue Richtlinie für die Domain C erstellt.
Als Bedingungen gibt es dort:
Benutzername: ^DomainC\\.+
NAS-Porttyp: Drahtlos OR Ethernet
4. Auf dem NPS von Domain C habe ich den Radius-Client angelegt: NPS von Domain A
5. Verbindungsanforderungsrichtlinie erstellt: Drahtlos OR Ethernet
6. Netzwerkrichtlinie: NAS-Porttyp: Drahtlos OR Ethernet, WindowsGruppe: xxx
7. Noch die sonstigen Settings wie Zertifikat und VLAN eingerichtet und zack, läuft.
Grüße
