Radius -Server für zwei Domänen konfigurieren
Hallo zusammen,
da wir aktuell in der Migrationsphase von einer Domäne in eine Konzern-Domäne sind, wollte ich fragen, ob es möglich ist, einen Radius Server (Domäne A) so zu konfigurieren, dass er auch Objekte von Domäne B in unser WLAN-Netzwerk lässt?
Aktuell befinden sich die User-Objekte noch in Domäne A, Computerobjekte in Domäne B.
Der Radius-Server befindet sich in Domäne A, kann aber gerne auch umgezogen werden, falls es in dieser Konstellation nicht funktioniert.
Ist es möglich, dass sich ein User (Domäne A) mit seinem Computer (Domäne B) am Radius authentifizieren kann?
Aktuell ist nur die Konstellation User + Computer beide in Domäne A möglich.
Ein Trust zwischen den Domänen ist natürlich vorhanden.
Vielen Dank im Voraus und viele Grüße,
Tomschaf91
da wir aktuell in der Migrationsphase von einer Domäne in eine Konzern-Domäne sind, wollte ich fragen, ob es möglich ist, einen Radius Server (Domäne A) so zu konfigurieren, dass er auch Objekte von Domäne B in unser WLAN-Netzwerk lässt?
Aktuell befinden sich die User-Objekte noch in Domäne A, Computerobjekte in Domäne B.
Der Radius-Server befindet sich in Domäne A, kann aber gerne auch umgezogen werden, falls es in dieser Konstellation nicht funktioniert.
Ist es möglich, dass sich ein User (Domäne A) mit seinem Computer (Domäne B) am Radius authentifizieren kann?
Aktuell ist nur die Konstellation User + Computer beide in Domäne A möglich.
Ein Trust zwischen den Domänen ist natürlich vorhanden.
Vielen Dank im Voraus und viele Grüße,
Tomschaf91
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 370902
Url: https://administrator.de/forum/radius-server-fuer-zwei-domaenen-konfigurieren-370902.html
Ausgedruckt am: 26.12.2024 um 04:12 Uhr
8 Kommentare
Neuester Kommentar
Zitat von @aqui:
Der TO ist vermutlich reiner Microsoft Knecht und meint das (vermutlich) nur auf den MS NPS bezogen.
Der TO ist vermutlich reiner Microsoft Knecht und meint das (vermutlich) nur auf den MS NPS bezogen.
Bin ich auch davon ausgegangen.
Habs grad mal bei uns getestet.
Man kann Gruppen, Computer und User aus einer Trusted Domain in den Policies des Netzwerkrichtlinienservers hinzufügen.
Ob der Zugriff klappt kann ich jetzt nicht auf Anhieb testen, am besten einfach mal mit nem Testclient machen.
Trust ist ja vorhanden wie du sagst, du muss dann nur sicherstellen, das die verwendete Certificate Authority für EAP auf dem sich anmeldenden Client auch in den vertrauenswürdigen Stammzertifizierungsstellen eingetragen ist, am besten per GPO.
Man kann Gruppen, Computer und User aus einer Trusted Domain in den Policies des Netzwerkrichtlinienservers hinzufügen.
Ob der Zugriff klappt kann ich jetzt nicht auf Anhieb testen, am besten einfach mal mit nem Testclient machen.
Trust ist ja vorhanden wie du sagst, du muss dann nur sicherstellen, das die verwendete Certificate Authority für EAP auf dem sich anmeldenden Client auch in den vertrauenswürdigen Stammzertifizierungsstellen eingetragen ist, am besten per GPO.
Janeisklar.
Dafür hat man die Datenhaltung dann halt fünfmal, bei Microdoof deaktivier ich einfach Rechner oder User im AD. Fertig.
Zitat von @Tomschaf91:
Hi rzlbrnft,
ja, ich habe auch schon die Gruppen aus der anderen Domäne hinzugefügt, das geht einwandfrei;
aktuell funktioniert
User A + Computer A
User B + Computer B
aber leider keine Quer-Kombinationen...
Hi rzlbrnft,
ja, ich habe auch schon die Gruppen aus der anderen Domäne hinzugefügt, das geht einwandfrei;
aktuell funktioniert
User A + Computer A
User B + Computer B
aber leider keine Quer-Kombinationen...
Da ich solche Kombis selbst nicht einsetze kann ich dazu nichts sagen, aber hört sich für mich plausibel an das der Request eindeutig in einer der beiden Domänen authentifiziert werden muss, der Radius fragt den DC, wenn der eins von beiden nicht findet wird er die Authentifizierung ablehnen.
Wir prüfen lediglich gegen das Computerkonto, da ansonsten beim Hochfahren kein WLAN Zugriff besteht und somit die GPO für Computer nicht ausgeführt wird. In der Ereignisanzeige des Auth Servers solltest du dazu mehr finden.
Wie meinst du das mit der Certificate Authority? In meinem Falle sind das ja Certificate Authoritys aus beiden Domänen; oder nur die CA aus der Domäne, in der sich der Radius-Server befindet?
im Eventlog meines Computers (Computer B und User A) erscheint die Fehlermeldung **36882 - Schannel
Das vom Remoteserver empfangene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Aus diesem Grund können keine der im Zertifikat enthalten Daten überprüft werden. Fehler bei der TLS-Verbindungsanforderung. Die angefügten Daten enthalten das Serverzertifikat.
im Eventlog meines Computers (Computer B und User A) erscheint die Fehlermeldung **36882 - Schannel
Das vom Remoteserver empfangene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Aus diesem Grund können keine der im Zertifikat enthalten Daten überprüft werden. Fehler bei der TLS-Verbindungsanforderung. Die angefügten Daten enthalten das Serverzertifikat.
Das heißt das dein Client der Zertifizierungsstelle, von der der Radius Server das Zertifikat bekommen hat, nicht vertraut. Der Trust muss beidseitig bestehen, der Server muss der Zertifizierungsstelle der Clientcomputer vertrauen und umgekehrt.
Um das zu ändern musst du die Zertifikatverwaltung des Computers über die MMC aufrufen und das Zertifizierungsstellenzertifikat(langes Wort) in die vertrauenswürdigen Stammzertifizierungsstellen importieren. Falls es sich um eine Zertifikatskette handelt, musst du alle Bestandteile der Kette importieren.
Du kannst das in der Domain des Clients auch über die GPO verbreiten, dann sollte es hinhauen.