跨单向信任的NPS/RADIUS认证

Question

我正在尝试设置，以便在具有单向信任的多林场景中允许RADIUS身份验证。我们有几个域(每个域-森林)包含用户帐户，以及一个带有服务器和服务的域"OPS“。OPS信任其他域，但不信任OPS。

我已经配置了NPS策略，当用户在OPS域中的特定组中时，该策略授予访问权。这对于域本地用户(如OPS\carlpett )很好，但是当我尝试使用来自另一个域(如EXTAD\john.doe )的帐户时，我会得到一个用事件id 4402和描述记录的错误。

域EXTAD没有可用的域控制器。

还会记录信息事件6274，其中包含拒绝请求的详细信息，其中原因设置为

NPS服务器不可用，原因是硬件资源不足或无法接收域控制器的名称，这可能是由于本地计算机上的安全帐户管理器(SAM)数据库故障或NT目录服务(NTDS)故障造成的。

不过，我可以联系几个领域控制器从EXTAD。我已经尝试过Test-NetConnection -Port 389 dc01.extad.domain.com和Microsofts PortQry工具，它做了很多连接测试。

当使用域本地帐户时，将记录以下内容：

建立了域OPS与域控制器ad01.ops.domain.net的LDAP连接。

这似乎表明只需要LDAP？在尝试使用外部帐户时检查打开的TCP连接，我可以看到端口389上已建立的连接到其域中的域控制器。

有什么办法吗？我看到了一些将NPS服务器添加到"RAS和IAS服务器“组的建议，但这似乎需要双向信任。

Answer 1

是的，来自Technet：

当两个林只包含运行Windows Server 2008、Windows Server 2003标准版、Windows Server 2003企业版和Windows Server 2003数据中心版的域控制器时，NPS支持跨林的身份验证，而不使用RADIUS代理。林功能级别必须是Windows 2008或Windows 2003，并且林之间必须存在双向信任关系。如果使用带有证书的EAP-TLS或PEAP-TLS作为身份验证方法，则必须使用RADIUS代理进行跨林(包括Windows Server 2008和Windows Server 2003域)的身份验证。

我在上面使用了一个选择性身份验证信任。创建一个将保存NPS服务器的全局组，并确保该组在用户域中域控制器(S)上的计算机帐户上设置了"允许认证“权限。

这是NPS认证受信任林中的用户所需的最严格的设置，否则您将需要在用户域中设置RADIUS代理和NPS服务器(S)。