после смены домена (child.domain.net -> domain.net) наши клиенты Windows 7 больше не могут проходить аутентификацию на сервере IAS (порт коммутатора 802.1x не позволяет им подключаться к сети). Клиенты, сервер IAS и контроллеры домена (из старого и нового домена) находятся в одной подсети (так что это не проблема репликации AD). Сервер IAS является рядовым сервером, а не контроллером домена domain.net. Я проверил файлы журнала и обнаружил, что аутентификация не выполняется. Мы используем компьютерную аутентификацию с 802.1x
Тип события: предупреждение
Источник события: IAS
Категория события: Нет
ID события: 2
Дата: 07.11.2014
Время: 17:19:54
Пользователь: N / A
Компьютер: IASServer
Описание:
Пользователю host / client.domain.net было отказано в доступе.
Полное имя пользователя = DOMAINNETBIOS \ host / client.domain.net
IP-адрес NAS = x.x.x.x
NAS-идентификатор =
Идентификатор вызываемой станции = ff-ee-dd-cc-bb-aa
Идентификатор вызывающей станции = aa-bb-CC-dd-ee-ff
Client-Friendly-Name = mySwitch
IP-адрес клиента = x.x.x.x
NAS-Port-Type = Ethernet
NAS-порт = 50339
Proxy-Policy-Name = 802.1x во время миграции AD
Authentication-Provider = Windows
Сервер аутентификации =
Политика-Имя =
Тип аутентификации = EAP
EAP-Type =
Код причины = 8
Причина = Указанная учетная запись пользователя не существует.
Объект компьютера можно найти в AD сразу после присоединения к домену (проверял с помощью dsquery с IAS-сервера). Я также попытался обмануть политики запросов на подключение, чтобы изменить имя пользователя на правильный формат DOMAINNETBIOS \ client $, но это не сработало, как ожидалось.
Если подождать некоторое время (несколько часов), проблема решится сама собой. Я не знаю точно, что происходит с клиентом или с AD, которое решило бы эту проблему через несколько часов.
Кто-нибудь сталкивался с подобной проблемой?
Спасибо.
ОБНОВЛЕНИЕ 11/11: Я нашел решение. По всей видимости, IAS ищет ServicePrincipalName и DNSHostName объекта компьютера в Active Directory. По той или иной причине SPN и DNSHostName не обновляются сразу при присоединении к новому домену. Вы можете обновить эти атрибуты с помощью ADSIEdit. Это устранило проблему для нас.
Я нашел решение. Судя по всему, IAS ищет ServicePrincipalName и DNSHostName объекта компьютера в Active Directory. По той или иной причине SPN и DNSHostName не обновляются сразу при присоединении к новому домену (они по-прежнему указывают на устаревший домен). Вы можете обновить эти атрибуты с помощью ADSIEdit. Это устранило проблему для нас.