Principale utente con più risposte
Windows 2012 - RADIUS NPS - Event id 6273

Domanda
-
Buongiorno a tutti,
all' interno della nostra infrastruttura di rete abbiamo installato Controller e AP wifi. Per l' abilitazione alla WIFI abbiamo creato un gruppo Active Directory dove i controller, tramite RADIUS, eseguono ldap e concedono l' autorizzazione di accesso. Ora, nel nostro caso, io ruolo di Domain Controller Dominio A (Windows 2008 R2) e Servizio NPS (Radius) coincidono, quindi stesso server.
All' interno del RADIUS, l' Authentication Methods è PEAP con "Other Certificate"; il certificato è "issued" dallo stesso DC.
Per i notebook attestati al Dominio A, tramite wifi, nessun problema; si autenticano alla WIFI tramite RADIUS e lavorano correttamente.
Ho problemi invece con gli utenti del Dominio B, in trust con il Dominio A, che utilizzano lo stesso RADIUS; gli utenti non si autenticano e su gli eventi del Domain Controller ricevo il seguente messaggio:
Event ID 6273:
The certificate chain was issued by an authority that is not trusted...
Credo che il problema sia di certificato. A bordo dei notebook attestati nel Dominio B non sono presenti i certificati del Dominio A, e sul Server RADIUS, che coincide con il Domain Controller del Dominio A, neanche.
Vi chiedo se è possibile risolvere inserendo i certificati del Dominio A nel PC del Dominio B (tramite GPO) o inserire i certificati del Dominio B nel DC del Dominio A o risolvere diversamente.
Grazie per il supporto.
- Modificato SysAdmin_IT venerdì 3 novembre 2017 08:32
Risposte
-
gli utenti del dominio B potrebbero anche richiedere i certificati alla CA del dominio A utilizzando la pagina web CertSrv/default.asp
Edoardo Benussi
Microsoft MVP - Cloud and Datacenter Management
e[dot]benussi[at]outlook[dot]it- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 13 novembre 2017 12:03
Tutte le risposte
-
-
Ciao e grazie per la risposta.
se ho capito bene, nel mio caso, l' unica soluzione possibile è quella di mettere un RADIUS Proxy che reindirizza ai rispettivi RADIUS di dominio A e B e configurarlo all' interno dei Controller WIFI.
Però oltre il Proxy, devo predisporre anche un Server RADIUS per il dominio B, che ora ne è sprovvisto.
Giusto?
Grazie per il supporto.
:)
-
prima di proseguire puoi dirmi se i certificati rilasciati per connettersi in wifi sono assegnati ai computer o agli user e qual'è la CA che li rilascia ?
Edoardo Benussi
Microsoft MVP - Cloud and Datacenter Management
e[dot]benussi[at]outlook[dot]it -
Ciao Edoardo,
non ho veri e propri certificati adhoc per il wifi; ogni dominio ha la sua CA (Dominio A e Dominio B) ed il RADIUS, essendo il DC del Dominio A, ha solo certificati del Dominio A.
La CA rilascia certificati per user.
Fammi sapere se occorre altro.
Grazie ancora
-
gli users del dominio B possono richiedere certificati alla CA del dominio A ?
se non possono farlo, credo che con qualche modifica alle ACL dei certificati, dovrebbero poterlo fare visto che il dominio B è in trust col dominio A.
poi dovrai solo fornire il root certificate della CA del dominio A a tutti gli utenti del dominio B.
Edoardo Benussi
Microsoft MVP - Cloud and Datacenter Management
e[dot]benussi[at]outlook[dot]it -
Ciao Edoardo,
non credo di aver configurato la richiesta dei certificati degli utenti del Dominio B al Dominio A; al momento non saprei neanche come fare :(
Quello che posso fare nell' immediato, tramite GPO, è distribuire la root CA e Subordinate del Dominio A nel Dominio B, ad utenti e PC; che ne dici? Possiamo iniziare da qui...
Fammi sapere.
Grazie per il supporto.
-
gli utenti del dominio B potrebbero anche richiedere i certificati alla CA del dominio A utilizzando la pagina web CertSrv/default.asp
Edoardo Benussi
Microsoft MVP - Cloud and Datacenter Management
e[dot]benussi[at]outlook[dot]it- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 13 novembre 2017 12:03