环境介绍

在自己的Homelab环境中碰到一个现象给大家分享一下，有两个AD域ARUBALAB.COM和HZ.COM，Clearpass加入了这两个AD域，由于我平时测试只使用ARUBALAB.COM这个AD域，所以HZ.COM域处于关闭状态

802.1X认证失败现象

测试802.1x认证一直失败，失败的报错如下：

首先想到的是会不会是由于脱域导致的(防火墙都已经确认关闭)，所以重新执行了退域加域，也在clearpass上show domain确保ARUBALAB.COM AD域是在线的。

此时再重新进行802.1x认证，还是报同样的错误。通过查看Access Tracker详细日志发现和HZ.COM域有关，但是配置的认证源只有ARUBALAB认证源，并没有HZ的认证源，很奇怪

由于怀疑和HZ.COM域有关，因此将HZ.COM域开启，开启之后，Clearpass上 show domain观察HZ.COM域一直处于脱机状态，802.1X认证也还是不成功。

因此接下来将Clearpass 退出了HZ.COM域，退出HZ.COM域之后，再次进行802.1x认证，可以成功认证，Clearpass重新加入HZ.COM域，802.1x认证也可以正常通过。

总结

如果Clearpass加入过了多个AD域，如果某个AD域不再被使用，建议直接将Clearpass退出该域，避免802.1x认证可能失败。