8
Radius -Server für zwei Domänen konfigurieren
Hallo zusammen,
da wir aktuell in der Migrationsphase von einer Domäne in eine Konzern-Domäne sind, wollte ich fragen, ob es möglich ist, einen Radius Server (Domäne A) so zu konfigurieren, dass er auch Objekte von Domäne B in unser WLAN-Netzwerk lässt?
Aktuell befinden sich die User-Objekte noch in Domäne A, Computerobjekte in Domäne B.
Der Radius-Server befindet sich in Domäne A, kann aber gerne auch umgezogen werden, falls es in dieser Konstellation nicht funktioniert.
Ist es möglich, dass sich ein User (Domäne A) mit seinem Computer (Domäne B) am Radius authentifizieren kann?
Aktuell ist nur die Konstellation User + Computer beide in Domäne A möglich.
Ein Trust zwischen den Domänen ist natürlich vorhanden.
Vielen Dank im Voraus und viele Grüße,
Tomschaf91
da wir aktuell in der Migrationsphase von einer Domäne in eine Konzern-Domäne sind, wollte ich fragen, ob es möglich ist, einen Radius Server (Domäne A) so zu konfigurieren, dass er auch Objekte von Domäne B in unser WLAN-Netzwerk lässt?
Aktuell befinden sich die User-Objekte noch in Domäne A, Computerobjekte in Domäne B.
Der Radius-Server befindet sich in Domäne A, kann aber gerne auch umgezogen werden, falls es in dieser Konstellation nicht funktioniert.
Ist es möglich, dass sich ein User (Domäne A) mit seinem Computer (Domäne B) am Radius authentifizieren kann?
Aktuell ist nur die Konstellation User + Computer beide in Domäne A möglich.
Ein Trust zwischen den Domänen ist natürlich vorhanden.
Vielen Dank im Voraus und viele Grüße,
Tomschaf91
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 370902
Url: https://administrator.de/contentid/370902
Ausgedruckt am: 23.11.2024 um 05:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
ohne es jemals getestet zu haben. Radius Forwarding?
ohne es jemals getestet zu haben. Radius Forwarding?
Dem Radius Server selbst ist es ja völlig wumpe in und für welche Domain er authentisiert.
Der TO ist vermutlich reiner Microsoft Knecht und meint das (vermutlich) nur auf den MS NPS bezogen.
Dem Klassiker FreeRadius sind MS Domänen Latte.
Der TO ist vermutlich reiner Microsoft Knecht und meint das (vermutlich) nur auf den MS NPS bezogen.
Dem Klassiker FreeRadius sind MS Domänen Latte.
Zitat von @aqui:
Der TO ist vermutlich reiner Microsoft Knecht und meint das (vermutlich) nur auf den MS NPS bezogen.
Der TO ist vermutlich reiner Microsoft Knecht und meint das (vermutlich) nur auf den MS NPS bezogen.
Bin ich auch davon ausgegangen.
Habs grad mal bei uns getestet.
Man kann Gruppen, Computer und User aus einer Trusted Domain in den Policies des Netzwerkrichtlinienservers hinzufügen.
Ob der Zugriff klappt kann ich jetzt nicht auf Anhieb testen, am besten einfach mal mit nem Testclient machen.
Trust ist ja vorhanden wie du sagst, du muss dann nur sicherstellen, das die verwendete Certificate Authority für EAP auf dem sich anmeldenden Client auch in den vertrauenswürdigen Stammzertifizierungsstellen eingetragen ist, am besten per GPO.
Man kann Gruppen, Computer und User aus einer Trusted Domain in den Policies des Netzwerkrichtlinienservers hinzufügen.
Ob der Zugriff klappt kann ich jetzt nicht auf Anhieb testen, am besten einfach mal mit nem Testclient machen.
Trust ist ja vorhanden wie du sagst, du muss dann nur sicherstellen, das die verwendete Certificate Authority für EAP auf dem sich anmeldenden Client auch in den vertrauenswürdigen Stammzertifizierungsstellen eingetragen ist, am besten per GPO.
Oder FreeRadius nehmen dann hat man dieses Gefrickel erst gar nicht... 
Janeisklar.
Dafür hat man die Datenhaltung dann halt fünfmal, bei Microdoof deaktivier ich einfach Rechner oder User im AD. Fertig.
Hi rzlbrnft,
ja, ich habe auch schon die Gruppen aus der anderen Domäne hinzugefügt, das geht einwandfrei;
aktuell funktioniert
User A + Computer A
User B + Computer B
aber leider keine Quer-Kombinationen...
Wie meinst du das mit der Certificate Authority? In meinem Falle sind das ja Certificate Authoritys aus beiden Domänen; oder nur die CA aus der Domäne, in der sich der Radius-Server befindet?
im Eventlog meines Computers (Computer B und User A) erscheint die Fehlermeldung 36882 - Schannel
Das vom Remoteserver empfangene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Aus diesem Grund können keine der im Zertifikat enthalten Daten überprüft werden. Fehler bei der TLS-Verbindungsanforderung. Die angefügten Daten enthalten das Serverzertifikat.
Ich habe jetzt schon mehrere Kombinationen aus Zertifikats-Imports durch, aber leider kein Erfolg
Danke und VG,
Tom
ja, ich habe auch schon die Gruppen aus der anderen Domäne hinzugefügt, das geht einwandfrei;
aktuell funktioniert
User A + Computer A
User B + Computer B
aber leider keine Quer-Kombinationen...
Wie meinst du das mit der Certificate Authority? In meinem Falle sind das ja Certificate Authoritys aus beiden Domänen; oder nur die CA aus der Domäne, in der sich der Radius-Server befindet?
im Eventlog meines Computers (Computer B und User A) erscheint die Fehlermeldung 36882 - Schannel
Das vom Remoteserver empfangene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Aus diesem Grund können keine der im Zertifikat enthalten Daten überprüft werden. Fehler bei der TLS-Verbindungsanforderung. Die angefügten Daten enthalten das Serverzertifikat.
Ich habe jetzt schon mehrere Kombinationen aus Zertifikats-Imports durch, aber leider kein Erfolg
Danke und VG,
Tom
Zitat von @Tomschaf91:
Hi rzlbrnft,
ja, ich habe auch schon die Gruppen aus der anderen Domäne hinzugefügt, das geht einwandfrei;
aktuell funktioniert
User A + Computer A
User B + Computer B
aber leider keine Quer-Kombinationen...
Hi rzlbrnft,
ja, ich habe auch schon die Gruppen aus der anderen Domäne hinzugefügt, das geht einwandfrei;
aktuell funktioniert
User A + Computer A
User B + Computer B
aber leider keine Quer-Kombinationen...
Da ich solche Kombis selbst nicht einsetze kann ich dazu nichts sagen, aber hört sich für mich plausibel an das der Request eindeutig in einer der beiden Domänen authentifiziert werden muss, der Radius fragt den DC, wenn der eins von beiden nicht findet wird er die Authentifizierung ablehnen.
Wir prüfen lediglich gegen das Computerkonto, da ansonsten beim Hochfahren kein WLAN Zugriff besteht und somit die GPO für Computer nicht ausgeführt wird. In der Ereignisanzeige des Auth Servers solltest du dazu mehr finden.
Wie meinst du das mit der Certificate Authority? In meinem Falle sind das ja Certificate Authoritys aus beiden Domänen; oder nur die CA aus der Domäne, in der sich der Radius-Server befindet?
im Eventlog meines Computers (Computer B und User A) erscheint die Fehlermeldung **36882 - Schannel
Das vom Remoteserver empfangene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Aus diesem Grund können keine der im Zertifikat enthalten Daten überprüft werden. Fehler bei der TLS-Verbindungsanforderung. Die angefügten Daten enthalten das Serverzertifikat.
im Eventlog meines Computers (Computer B und User A) erscheint die Fehlermeldung **36882 - Schannel
Das vom Remoteserver empfangene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Aus diesem Grund können keine der im Zertifikat enthalten Daten überprüft werden. Fehler bei der TLS-Verbindungsanforderung. Die angefügten Daten enthalten das Serverzertifikat.
Das heißt das dein Client der Zertifizierungsstelle, von der der Radius Server das Zertifikat bekommen hat, nicht vertraut. Der Trust muss beidseitig bestehen, der Server muss der Zertifizierungsstelle der Clientcomputer vertrauen und umgekehrt.
Um das zu ändern musst du die Zertifikatverwaltung des Computers über die MMC aufrufen und das Zertifizierungsstellenzertifikat(langes Wort) in die vertrauenswürdigen Stammzertifizierungsstellen importieren. Falls es sich um eine Zertifikatskette handelt, musst du alle Bestandteile der Kette importieren.
Du kannst das in der Domain des Clients auch über die GPO verbreiten, dann sollte es hinhauen.
