ict03 10 Geschrieben 4. August 2003 Melden Geschrieben 4. August 2003 folgende Umgebung: eine root dc namens root.local und eine child domain namens sub.root.local. auf dem dc der sub.root.local läuft der IAS zwecks Authentisierung via RADIUS. Wenn sich allerdings ein User aus der root.local domain authentisieren möchte, verwirft der IAS die Anfrage mit der Fehlermeldung, er (der IAS)wäre nicht berechtigt dazu. Wie kann ich ihn dazu berechtigen?? DANKE! Zitieren
grizzly999 11 Geschrieben 4. August 2003 Melden Geschrieben 4. August 2003 Ist der IAS im AD authorisiert und dier RADIUS-Client korrekt angegeben? grizzly999 Zitieren
ict03 10 Geschrieben 4. August 2003 Autor Melden Geschrieben 4. August 2003 also, der client ist auf jeden fall korrekt konfiguriert, da die authentisierung von usern aus sub.root.local einwandfrei funktioniert. des weiteren taucht der dc von sub.root.local unter computer im dc von root.local auf. ich hab ihn auch in die gruppe "ias server" mit aufgenommen.... Zitieren
grizzly999 11 Geschrieben 4. August 2003 Melden Geschrieben 4. August 2003 Wer sind denn die RAS-Server? Alle RAS-Server sind zur RADIUS-Authentifizierung konfiguriert? des weiteren taucht der dc von sub.root.localunter computer im dc von root.local auf. ich hab ihn auch in die gruppe "ias server" mit aufgenommen Kannst du den bitte genauer erklären... grizzly999 Zitieren
ict03 10 Geschrieben 4. August 2003 Autor Melden Geschrieben 4. August 2003 was meinst du mit RAS server?? die rechner, die sich authentisieren wollen? im zusammenhang mit radius nennt man diese rechner allgemein NAS (Networt access...). In meinem Fall ist der NAS ein Enterasys switch, mit dem port based security nach ieee802.1x gefahren wird. sollte hier aber gar nicht interessieren und irritieren... nochmal: 2 Domänen, (root.local und sub.root.local), also 2 Domain controller. auf dem controller von sub.root.local läuft der IAS. versucht sich ein user der sub.root.local domaine anzumelden, also mueller@sub.root.local, funktioniert das einwandfrei! Versucht sich allerdings ein User aus der root.local domaine anzumelden, also schmidt@root.local, verweigert sich der IAS die authentisierung durchzuführen. er müsste ja die user-db vom root.local abfragen. die fehlermeldung lautet dann sinngemäß, er habe nicht die berechtigung dazu. das problem an der sache könnte sein, dass dies eine abfrage vom child richtung parent domaine ist. u.U. geht das in diese Richtung nicht, aber ich bin leider kein MS profi... Danke fürs nachdenken bei der hitze.... Zitieren
grizzly999 11 Geschrieben 4. August 2003 Melden Geschrieben 4. August 2003 Original geschrieben von ict03 was meinst du mit RAS server?? die rechner, die sich authentisieren wollen? im zusammenhang mit radius nennt man diese rechner allgemein NAS (Networt access...). In meinem Fall ist der NAS ein Enterasys switch, mit dem port based security nach ieee802.1x gefahren wird. sollte hier aber gar nicht interessieren und irritieren... Hätte ja sein können, das es ein Microsoft RAS-Server ist und nicht korrekt konfiguriert wurde. Die Authentifizierung sollte egal für welche Domäne stattfinden, die sind ja über Vertrauensstellungen miteinander verbunden. Wo erscheint denn die Fehlermeldung und wie lautet sie denn genau? Was steht im Ereignislog des IAS-Servers? Man kann auf dem IAS die Protokollierung einschalten. Ist zwar ein Protokoll im unübersichtlihcen Format, aber dennoch eine Hilfe bei der Fehlersuche grizzly999 Zitieren
ict03 10 Geschrieben 5. August 2003 Autor Melden Geschrieben 5. August 2003 Moin! Ich hab mal das ganze anders herum probiert, also den IAS auf dem DC von root.local laufen gelassen, hat funktioniert, auch mit Usern aus sub.root.local! Bei IAS auf sub.root.local gibts beim Versuch einer Authentisierung eines Users aus root.local folgende Fehlermeldung im Event-Viewer: "Reason-Code = 2 Reason = The service does not have sufficient access rights to process the request. " Ich wüßte nun gerne, wie ich ihm diese Rechte geben kann, wenn es denn überhaupt geht! Zitieren
grizzly999 11 Geschrieben 5. August 2003 Melden Geschrieben 5. August 2003 Das mit der nur "Down-to-Child" Authentifizierung ist offensichtlich by Design so. Vielleicht hilft dir dieser Artikel bei deinem Problem weiter: http://support.microsoft.com/default.aspx?scid=kb;en-us;296094 grizzly999 Zitieren
ict03 10 Geschrieben 5. August 2003 Autor Melden Geschrieben 5. August 2003 über diesen artikel bin ich gestern auch schon gestolpert. aber steck in einer erklärung, wie es für ein to-child-authentisierung funktioniert gleichzeitig die aussage das es anders herum gar nicht funktioniert??? ich glaube bald, die antwort weiß gar keiner... Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.