web-dev-qa-db-ja.com

別のセカンダリドメインに対するPEAP検証?

少し紛らわしいかもしれませんので、状況を説明させていただきます。

当社は、LAN認証を使用して企業のワイヤレスPEAPを実装したいと考えています。残念ながら、10年前に誰かがActiveDirectoryの設計に大きな間違いを犯しました。

私たちが使用しているドメイン名company.chは、私たちの会社ではなく、他の誰かが所有しています。これにより、SSLサーバーに対してパブリックRADIUS証明書を発行できなくなり、ActiveDirectoryドメインが大きすぎて名前を変更できません。

プライベートPKIを使用し、GPOを介してCAで生成された証明書を展開することについてはすでに考えましたが、これは企業が管理するクライアントのみを対象とし、環境内のデバイスは対象外です。 BYODポリシー(スマートフォン、タブレット、ラップトップ..)

company2.chのようなセカンダリドメイン名を追加し、それに対して公開証明書を発行し、そのセカンダリドメインにもRADIUSを参加させる方法はありますか?そうすれば、DHCPすべてのクライアントプールに対して?

または、たとえば、company2.chドメインへの何らかの信頼で接続されている独自のドメイン(company.ch)上の新しいRADIUSサーバーを使用する別の方法はありますか?

私はクライアントサーバーの人ではありませんが、うまくいけばあなたは私のドリフトを得るでしょう。

active-directorydomainwifiradiuspeap
2
sam

まず第一に、あなた(まあ、あなたの上司かもしれません)は本当にあなたが所有していないドメインの使用をやめる必要があると言わせてください。あなたは今それをするのは大きすぎると言いますが、あなたは近視眼的です。今変更するのが「大きすぎる」場合、それがさらに大きくなると、将来どうなりますか? (会社が実際に成功し、成長し続ける場合)問題が実際に「大きすぎて」処理できなくなり、素晴らしい金額を費やすまで、問題を拡大させているだけです。お金と時間の節約と、はるかに少ない労力で今修正できると思われるものを修正するためのユーザーへの影響をたくさん生み出します。少なくとも、ADが使用しているドメインを現在の所有者から購入できるかどうかを確認する必要があります。これは、これを修正する最も簡単な方法です。

とにかく、言って、あなたの上司が実際に合理的で賢い、または次のボーナスチェックよりも将来を考えようとしないと仮定すると、実際にはこれを回避するかなり東の方法があります、あなたはあなたの質問で述べました。

あなたがしたいことは次のとおりです。

  1. Active Directoryフォレストに2番目の子ドメインを作成します
    • 今回所有するドメインを選択するか、選択したドメインを購入して、神の愛を求めてください。
  2. 新しいドメインと古いドメインの間に信頼関係を作成します(AD 内)。
  3. 新しいドメインに適切なユーザーグループ、リソース、権限を作成します。
    • ここにRADIUS/NPSサーバーをセットアップします。このサーバーには、古いドメインまたはRADIUS対応デバイスに対して認証する権限があり、古いドメインに対して認証できるようにします(または必要に応じて)それを行うには)。
  4. 古いドメインの権限を管理して、新しいドメインのユーザーがアクセスを要求できるようにします。
    • たとえば、このドメイン用に購入したSSL証明書が、古いドメインで受け入れられることを確認してください。
  5. (オプションですが、強くお勧めします)新しい子ドメインを使用して、実際には所有していない古いドメインから移行します
    • 信頼が確立されて機能するようになったら、それらを使用して、所有していない古いドメインから自分が行っているドメインにユーザーを移行し、最終的に問題を解決できます。
      • 私は実際にWindowsActive Directoryドメインの移行の最中であり、これも私たちがそれを処理する方法です。
      • 2つ目の子ドメインを作成し、信頼を確立し、ユーザー、サービス、マシン(すべて)を新しいドメインにゆっくりと移行し始めたため、古い壊れたドメインは最終的に空になり、使用されなくなります。その時点で破棄します。それの。
2
HopelessN00b