Добрый день!

Есть парк оборудования Cisco, есть NPS (RADIUS от Microsoft), авторизующий пользователей в AD. Все прекрасно работает, но недавно на меня вышли админы головной организации, они тоже у себя подняли такой же NPS и требуют, чтобы они могли заходить на мое железо, но под учетками своего домена (раньше они заходили под локальными учетками).
Вощемта не вопрос, думаю я, пишу такой код:
aaa new-model
!
!
aaa group server radius MY
server name MY
deadtime 1
!
aaa group server radius HEAD
server name HEAD-DC1
server name HEAD-DC2
deadtime 2
!
aaa authentication login default local group MY group HEAD
aaa authentication enable default none
!
radius server MY
address ipv4 10.0.0.254 auth-port 1645 acct-port 1646
key 7 XXXXXXXXXXXXX
!
radius server HEAD-DC1
address ipv4 10.99.0.94 auth-port 1645 acct-port 1646
timeout 3
retransmit 1
key 7 YYYYYYYYYYY
!
radius server HEAD-DC2
address ipv4 10.99.0.95 auth-port 1645 acct-port 1646
timeout 3
retransmit 1
key 7 YYYYYYYYYYY

Вроде бы все должно быть в шоколаде, но, главадмины не могут зайти. Циски, получив от МОЕГО NPS reject, сразу отказывают во входе, а не спрашивают у следующего по списку.
Если я поставлю aaa authentication login default local group HEAD group MY (т.е. поменяю последовательность серверов с списке) то зайти уже не могу я, а главадмины заходят.
Отсюда вопрос, можно ли и как сделать, чтобы циски, получив reject от первого radius-сервера, спрашивали у следующего?