国际会计准则认证问题

Question

在更改域(child.domain.net -> domain.net)后，我们的Windows 7客户端不再能够向IAS服务器进行身份验证(802.1x交换机端口将不允许它们进入网络)。客户端、IAS服务器和域控制器(来自遗留域和新域)都位于同一个子网上(因此它不是AD复制问题)。IAS服务器是domain.net的成员服务器，而不是DC服务器。我检查了日志文件，发现身份验证失败了。我们正在使用802.1x的计算机身份验证

事件类型:警告

资料来源:国际会计准则

事件类别:无

活动ID: 2

日期:2014年7月11日

时间:下午5时19分54分

用户: N/A

计算机: IASServer

描述：

拒绝用户主机/client.domain.net访问。

完全限定用户名= DOMAINNETBIOS\host/client.domain.net

NAS-IP地址=x.x

NAS-标识符=

呼叫站标识符= ff-ee-dd-cc-bb-aa

呼叫-站-标识= aa-bb-CC-dd-ee-ff

客户端友好-Name= mySwitch

客户端IP地址=x.x

NAS-端口-类型=以太网

NAS-端口= 50339

代理-策略-名称= 802.1x在AD迁移期间

身份验证-提供者= Windows

身份验证-服务器=

政策名称=

身份验证-Type= EAP

EAP-类型=

理由-代码=8

原因=指定的用户帐户不存在。

在域连接发生之后，就可以在AD中找到计算机对象(使用IAS服务器的dsquery检查它)。我还试图利用连接请求策略将用户名更改为正确的DOMAINNETBIOS\client$格式，但这并不像预期的那样有效。

如果我们等一段时间(几个小时)，这个问题就会自行解决。我不知道客户端或AD到底发生了什么事，几个小时后就能解决这个问题。

有没有人遇到过类似的问题？

谢谢。

更新11/11:我找到了解决方案。显然，IAS正在寻找Active Directory中计算机对象的ServicePrincipalName和DNSHostName。由于某种原因，当加入新域时，SPN和DNSHostName不会立即更新。您可以使用ADSIEdit更新这些属性。为我们解决了这个问题。

Answer 1

我找到了解决办法。显然，IAS正在寻找Active Directory中计算机对象的ServicePrincipalName和DNSHostName。由于某种原因，SPN和DNSHostName在加入新域时不会立即更新(它们仍然指向遗留域)。您可以使用ADSIEdit更新这些属性。为我们解决了这个问题。