IAS 身份验证问题

更改域（child.domain.net --> domain.net）后，我们的 Windows 7 客户端不再能够向 IAS 服务器进行身份验证（802.1x 交换机端口不允许它们进入网络）。客户端、IAS 服务器和域控制器（来自旧域和新域）都位于同一子网中（因此这不是 AD 复制问题）。IAS 服务器是 domain.net 的成员服务器，而不是 DC。我检查了日志文件，发现身份验证失败。我们正在使用 802.1x 的计算机身份验证

事件类型：警告

事件来源：IAS

事件类别：无

事件 ID：2

日期：2014 年 11 月 7 日

时间：下午 5:19:54

用户：N/A

计算机：IASServer

描述：

用户 host/client.domain.net 被拒绝访问。

完全合格用户名 = DOMAINNETBIOS\host/client.domain.net

NAS-IP 地址 = xxxx

NAS 标识符 =

被叫站标识符 = ff-ee-dd-cc-bb-aa

呼叫站标识符 = aa-bb-CC-dd-ee-ff

客户端友好名称 = mySwitch

客户端 IP 地址 = xxxx

NAS 端口类型 = 以太网

NAS 端口 = 50339

AD 迁移期间的 Proxy-Policy-Name = 802.1x

身份验证提供程序 = Windows

身份验证服务器 =

政策名称 =

身份验证类型 = EAP

EAP 类型 =

原因代码 = 8

原因 = 指定的用户帐户不存在。

加入域后，计算机对象可以在 AD 中找到（使用 IAS 服务器的 dsquery 检查）。我还尝试修改连接请求策略，将用户名更改为正确的格式 DOMAINNETBIOS\client$，但这并没有按预期工作。

如果我们等待一段时间（几个小时），问题就会自行解决。我不知道客户端或 AD 究竟发生了什么，几个小时后这个问题才会解决。

有谁遇到过类似的问题吗？

谢谢。

11 月 11 日更新：我找到了解决方案。显然，IAS 正在 Active Directory 中查找计算机对象的 ServicePrincipalName 和 DNSHostName。出于某种原因，SPN 和 DNSHostName 在加入新域时不会立即更新。您可以使用 ADSIEdit 更新这些属性。这为我们解决了这个问题。