IAS 身份验证问题

IAS 身份验证问题

更改域(child.domain.net --> domain.net)后,我们的 Windows 7 客户端不再能够向 IAS 服务器进行身份验证(802.1x 交换机端口不允许它们进入网络)。客户端、IAS 服务器和域控制器(来自旧域和新域)都位于同一子网中(因此这不是 AD 复制问题)。IAS 服务器是 domain.net 的成员服务器,而不是 DC。我检查了日志文件,发现身份验证失败。我们正在使用 802.1x 的计算机身份验证

事件类型:警告

事件来源:IAS

事件类别:无

事件 ID:2

日期:2014 年 11 月 7 日

时间:下午 5:19:54

用户:N/A

计算机:IASServer

描述:

用户 host/client.domain.net 被拒绝访问。

完全合格用户名 = DOMAINNETBIOS\host/client.domain.net

NAS-IP 地址 = xxxx

NAS 标识符 =

被叫站标识符 = ff-ee-dd-cc-bb-aa

呼叫站标识符 = aa-bb-CC-dd-ee-ff

客户端友好名称 = mySwitch

客户端 IP 地址 = xxxx

NAS 端口类型 = 以太网

NAS 端口 = 50339

AD 迁移期间的 Proxy-Policy-Name = 802.1x

身份验证提供程序 = Windows

身份验证服务器 =

政策名称 =

身份验证类型 = EAP

EAP 类型 =

原因代码 = 8

原因 = 指定的用户帐户不存在。

加入域后,计算机对象可以在 AD 中找到(使用 IAS 服务器的 dsquery 检查)。我还尝试修改连接请求策略,将用户名更改为正确的格式 DOMAINNETBIOS\client$,但这并没有按预期工作。

如果我们等待一段时间(几个小时),问题就会自行解决。我不知道客户端或 AD 究竟发生了什么,几个小时后这个问题才会解决。

有谁遇到过类似的问题吗?

谢谢。

11 月 11 日更新:我找到了解决方案。显然,IAS 正在 Active Directory 中查找计算机对象的 ServicePrincipalName 和 DNSHostName。出于某种原因,SPN 和 DNSHostName 在加入新域时不会立即更新。您可以使用 ADSIEdit 更新这些属性。这为我们解决了这个问题。

答案1

我找到了解决方案。显然,IAS 正在 Active Directory 中寻找计算机对象的 ServicePrincipalName 和 DNSHostName。出于某种原因,SPN 和 DNSHostName 在加入新域时不会立即更新(它们仍指向旧域)。您可以使用 ADSIEdit 更新这些属性。这为我们解决了这个问题。

相关内容