O servidor NPS as Radius usa o Active Directory para executar a autenticação.
-
Ao usar o PEAP (MSCHAPv2), o cliente envia ao servidor radius um hash da sua senha. Este hash é eventualmente comparado com o conteúdo do diretório (sem descriptografia aqui). Você poderia considerar o NPS como uma espécie de repasse aqui. Não consigo ver por que a comunicação entre os dois não conseguiu ultrapassar os limites da VLAN. Meu palpite é que as comunicações entre o NPS e o AD são criptografadas
-
Ao usar o EAP-TLS, o NPS examinará o certificado apresentado pelo cliente e o verificará em relação a um conjunto de requisitos (por exemplo, ele foi revogado ou não?). Essa verificação pode envolver comunicação com os Serviços de Certificados do AD (verificação de revogação).
Se o NPS descobrir que o certificado é válido, ele considerará que o assunto está autenticado. O assunto é nomeado no certificado apresentado pelo cliente e normalmente é o nome distinto do usuário no Active Directory (esse é o mapeamento do certificado para o usuário no Active Directory).