过去两周我一直在尝试解决这个问题,这让我很抓狂。希望有人能帮助我。
我们正在将 Windows 7 客户端从多个子域迁移到一个根域。我们有一个迁移脚本,可将它们从 child.domain.net 连接到 domain.net。效果很好。但是,我们现在面临的挑战是,我们的一些位置正在交换机上使用 802.1x,这些交换机根据根域中的 Windows 2003 IAS 服务器对客户端进行身份验证。IAS 服务器位于城市 A,并在同一个子网中有一个域控制器,它根据该子网验证请求。如果我们将城市 B 中的客户端迁移到新域,则域加入过程将在城市 B 的本地域控制器上进行。城市 A 和城市 B 中的 DC 最多需要 15 分钟才能相互复制。加入域后,客户端将重新启动并能够根据本地 DC 进行身份验证。但是,交换机正在询问城市 A 中的 IAS 服务器是否允许客户端接入网络。 IAS 服务器询问其本地 DC,但本地 DC 对新对象一无所知并拒绝该请求,因此客户端必须等待复制周期完成。
有什么方法可以解决这个问题吗?我希望我可以告诉 IAS 服务器允许任何具有 *.domain.net FQDN 的客户端允许访问而无需验证凭据。但我所有的研究都告诉我这是不可能的。我不喜欢接受失败,所以我希望有人遇到过相同或类似的问题并能提供一些建议。
感谢任何帮助。谢谢。
答案1
配置变更通知在您的 AD 站点链接上,这样您就不会遇到 15 分钟的复制延迟。
另外:您应该使用 ADMT 之类的工具将用户、组和计算机迁移到根域。它的功能比您描述的脚本多得多(例如重新设置 ACL 服务器)。