我正在尝试设置 Windows 网络策略服务器,以允许在具有单向信任的多林方案中进行 RADIUS 身份验证。我们有多个包含用户帐户的域(每个域都在一个域林中),以及一个包含服务器和服务的域“OPS”。OPS 信任其他域,但它们不信任 OPS。
我已为 NPS 配置了一项策略,当用户属于 OPS 域中的特定组时,该策略将授予访问权限。这对于域本地用户(例如)来说很有效,OPS\carlpett
但当我尝试使用来自其他域(例如)的帐户时EXTAD\john.doe
,我收到一条错误日志,事件 ID 为 4402,描述为
域 EXTAD 没有可用的域控制器。
还会记录一个信息事件 6274,其中包含被拒绝请求的详细信息,其中原因设置为
NPS 服务器由于硬件资源不足或无法接收域控制器的名称而不可用,这可能是由于本地计算机上的安全帐户管理器 (SAM) 数据库故障或 NT 目录服务 (NTDS) 故障造成的。
但是,我可以从 EXTAD 联系多个域控制器。我尝试了这两种工具Test-NetConnection -Port 389 dc01.extad.domain.com
以及 Microsofts 的PortQry
工具,它们都做过大量连接测试。
使用域本地帐户时,将记录以下内容:
已与域 OPS 的域控制器 ad01.ops.domain.net 建立 LDAP 连接。
这似乎表明只需要 LDAP?尝试使用外部帐户时检查打开的 TCP 连接,我可以看到在端口 389 上建立了与其域中的域控制器的连接。
有什么想法可以尝试吗?我看到一些建议将 NPS 服务器添加到“RAS 和 IAS 服务器”组,但这似乎需要双向信任。
答案1
是的,来自科技网:
当两个林仅包含由运行 Windows Server 2008、Windows Server 2003 标准版、Windows Server 2003 企业版和 Windows Server 2003 数据中心版的域控制器组成的域时,NPS 支持跨林进行身份验证,而无需 RADIUS 代理。林功能级别必须是 Windows Server 2008 或 Windows Server 2003,并且森林之间必须存在双向信任关系. 如果使用带证书的 EAP-TLS 或 PEAP-TLS 作为身份验证方法,则必须使用 RADIUS 代理跨由 Windows Server 2008 和 Windows Server 2003 域组成的林进行身份验证。
我让上述内容与选择性身份验证信任一起工作。创建一个将容纳您的 NPS 服务器的全局组,并确保该组具有“允许验证“在用户域中的域控制器上的计算机帐户上设置权限。
这是 NPS 在受信任林中对用户进行身份验证所需的最严格的设置,否则您将需要在用户域中设置 RADIUS 代理和 NPS 服务器。