我们希望将全球 60 多个子域中的 35,000 名用户迁移到父域(根域)。我们能够使用 ADMT 迁移用户。用户随后可以使用其根域凭据登录,一切正常。但是,我们有大量用户仅通过 VPN 连接。我们正在使用基于用户证书的 VPN。用户必须先使用其来自旧域的缓存凭据登录工作站,然后才能建立与公司网络的安全连接(通过用户证书对 VPN 端点进行身份验证)。我们能够将用户迁移到父域。只要客户端没有连接到 DC,用户就可以使用其缓存凭据登录,甚至启动 VPN 连接。此时,他必须注销,然后使用其新的(根)域凭据登录。但是,一旦他注销,VPN 隧道就会终止,用户无法针对根域的 DC 进行身份验证。没有第一次身份验证,就没有可以存储在客户端上的根域的缓存凭据,我们又回到了开始。不幸的是,VPN 客户端无法配置为允许用户注销并保持 VPN 隧道建立。我们还尝试执行“runas”或“切换用户”,但不起作用。
有什么建议吗?我希望我说清楚了,如果没有,请告诉我,我很乐意详细说明。
答案1
我也遇到过类似的情况。我们有三个不错的解决方案:
- 在每个人都通过 VPN 连接的远程办公室中,向他们发送站点到站点的 VPN 设备以供连接。
- 让用户将他们的笔记本电脑发送到具有完整公司连接的区域中心进行迁移。
- 交叉运送已为其计算机型号制作映像的硬盘。
我们最终使用了所有三种解决方案,具体取决于当地工作人员。由于机器 SID 会发生变化,因此您不能依赖在登录前使用证书进行连接的 VPN 解决方案,因为 SID 更改后私钥将会丢失。
我尝试设计一个基于 PPTP VPN 且带有本地用户帐户的解决方案,但是无法编写某些部分的脚本,而且它可能在许多地方出现故障/中断,这令我感到不安。