可能有点令人困惑,所以让我解释一下情况。
我们公司想实现一个LAN带PEAP身份验证的企业无线网络。不幸的是,10 年前有人在我们的 Active Directory 设计中犯了一个大错误。
我们使用的域名company.ch不属于我们公司,而是属于其他人。这使得我们无法SSL为RADIUS服务器颁发公共证书,而且我们的 Active Directory 域太大而无法重命名。
我们已经考虑过使用我们的私人PKI证书并通过 CA 生成证书推出,GPO但这只能覆盖我们公司管理的客户,而不包括我们环境中符合 BYOD 政策的任何设备(智能手机、平板电脑、笔记本电脑......)
有没有办法添加一个二级域名,比如company2.ch,向其颁发公共证书并加入RADIUS到该二级域名,以便我们可以通过该二级域名DHCP为所有客户端池配置?
或者还有其他方法吗,例如,RADIUS在自己的域上建立一个新服务器(company2.ch),该服务器与该域有某种信任关系company.ch?
我并不是一个客户端服务器人员,但希望您能明白我的意思。
答案1
首先,我要说的是,你(好吧,也许你的老板们)真的需要停止使用你不拥有的域名。你说现在这样做太大了,但你目光短浅。如果现在“太大”而无法改变,那么将来当它变得更大时会发生什么?你只是让问题越来越大,直到(如果公司确实成功并继续发展)你最终会遇到一个真正“太大”而无法处理的问题,你将花费大量的金钱和时间,并产生大量的用户影响来纠正你现在可能可以以更少的努力纠正的问题。至少,你应该看看你是否可以从当前所有者那里购买你的 AD 正在使用的域名,这将是纠正此问题的最快方法。
无论如何,话虽如此,并且假设你的老板实际上不愿意变得通情达理、聪明,或者除了下一份奖金之外还不愿意考虑更长远的未来,那么实际上有一个相当简单的方法可以解决这个问题,正如你在问题中提到的那样。
你想要做的是:
- 在 Active Directory 林中创建第二个子域。
- 这次选择一个您拥有的域名,或者为了上帝的爱购买您选择的任何域名。
- 在新域和旧域之间建立信任(在 AD 内)。
- 在新域中创建适当的用户组、资源和权限。
- 在这里设置一个
RADIUS/NPS服务器,该服务器具有针对旧域或可能只是支持 RADIUS 的设备进行身份验证的权限,并允许它们针对旧域进行身份验证(或者无论您想如何执行此操作)。
- 在这里设置一个
- 管理旧域中的权限,以便新域的用户具有所需的访问权限。
- 例如,如果您选择这种方式,请确保
SSL您为该域名购买的任何证书都会被旧域名接受。
- 例如,如果您选择这种方式,请确保
- (可选,但强烈推荐)使用新的子域名迁移您实际上并不拥有的旧域名
- 一旦建立信任并发挥作用,您可以使用它们将用户从您不拥有的旧域迁移到您所拥有的域中,并最终使问题消失。
- 我实际上正处于 Windows Active Directory 域迁移的过程中,这也是我们的处理方式。
- 我们创建了第二个子域,建立了信任,并慢慢开始将用户、服务、机器(一切)迁移到新域,因此旧的、损坏的域最终将变为空的和未使用的,此时我们将处理它。
- 一旦建立信任并发挥作用,您可以使用它们将用户从您不拥有的旧域迁移到您所拥有的域中,并最终使问题消失。