none
Windows 2012 - RADIUS NPS - Event id 6273 RRS feed

  • Domanda

  • Buongiorno a tutti,

    all' interno della nostra infrastruttura di rete abbiamo installato Controller e AP wifi. Per l' abilitazione alla WIFI abbiamo creato un gruppo Active Directory dove i controller, tramite RADIUS, eseguono ldap e concedono l' autorizzazione di accesso. Ora, nel nostro caso, io ruolo di Domain Controller Dominio A (Windows 2008 R2) e Servizio NPS (Radius) coincidono, quindi stesso server.

    All' interno del RADIUS, l' Authentication Methods è PEAP con "Other Certificate"; il certificato è "issued" dallo stesso DC.

    Per i notebook attestati al Dominio A, tramite wifi, nessun problema; si autenticano alla WIFI tramite RADIUS e lavorano correttamente. 

    Ho problemi invece con gli utenti del Dominio B, in trust con il Dominio A, che utilizzano lo stesso RADIUS; gli utenti non si autenticano e su gli eventi del Domain Controller ricevo il seguente messaggio:

    Event ID 6273:

    The certificate chain was issued by an authority that is not trusted...

    Credo che il problema sia di certificato. A bordo dei notebook attestati nel Dominio B non sono presenti i certificati del Dominio A, e sul Server RADIUS, che coincide con il Domain Controller del Dominio A, neanche.

    Vi chiedo se è possibile risolvere inserendo i certificati del Dominio A nel PC del Dominio B (tramite GPO) o inserire i certificati del Dominio B nel DC del Dominio A o risolvere diversamente.

    Grazie per il supporto.


    • Modificato SysAdmin_IT venerdì 3 novembre 2017 08:32
    venerdì 3 novembre 2017 08:24

Risposte

Tutte le risposte

  • https://social.technet.microsoft.com/Forums/windowsserver/en-US/30715f28-26d0-43a8-840e-ef78cf54eaad/npsradius-authentication-from-mulitple-domains?forum=winserverNAP

    ciao vedi se può esserti di aiuto.

    Marco

    venerdì 3 novembre 2017 08:30
  • Ciao e grazie per la risposta.

    se ho capito bene, nel mio caso, l' unica soluzione possibile è quella di mettere un RADIUS Proxy che reindirizza ai rispettivi RADIUS di dominio A e B e configurarlo all' interno dei Controller WIFI.

    Però oltre il Proxy, devo predisporre anche un Server RADIUS per il dominio B, che ora ne è sprovvisto.

    Giusto?

    Grazie per il supporto.

    :)

    venerdì 3 novembre 2017 12:21
  • prima di proseguire puoi dirmi se i certificati rilasciati per connettersi in wifi sono assegnati ai computer o agli user e qual'è la CA che li rilascia ?

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 6 novembre 2017 10:38
    Moderatore
  • Ciao Edoardo,

    non ho veri e propri certificati adhoc per il wifi; ogni dominio ha la sua CA (Dominio A e Dominio B) ed il RADIUS, essendo il DC del Dominio A, ha solo certificati del Dominio A.

    La CA rilascia certificati per user.

    Fammi sapere se occorre altro.

    Grazie ancora

    lunedì 6 novembre 2017 12:57
  • gli users del dominio B possono richiedere certificati alla CA del dominio A ?

    se non possono farlo, credo che con qualche modifica alle ACL dei certificati, dovrebbero poterlo fare visto che il dominio B è in trust col dominio A.

    poi dovrai solo fornire il root certificate della CA del dominio A a tutti gli utenti del dominio B.


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 6 novembre 2017 13:11
    Moderatore
  • Ciao Edoardo,

    non credo di aver configurato la richiesta dei certificati degli utenti del Dominio B al Dominio A; al momento non saprei neanche come fare :(

    Quello che posso fare nell' immediato, tramite GPO, è distribuire la root CA e Subordinate del Dominio A nel Dominio B, ad utenti e PC; che ne dici? Possiamo iniziare da qui...

    Fammi sapere.

    Grazie per il supporto.

    martedì 7 novembre 2017 13:52
  • gli utenti del dominio B potrebbero anche richiedere i certificati alla CA del dominio A utilizzando la pagina web CertSrv/default.asp

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    martedì 7 novembre 2017 14:06
    Moderatore