EAP-PEAP认证时需要将ClearPass加入AD域，EAP-TLS、PAP认证不需要将ClearPass加入AD域。

如果需要到多个AD domain认证用户，无论是一个forest下的多个AD domain还是不同forest下的AD domain，只要domain之间有信任关系，就只需要加入一个AD domain，如果domain之间没有信任关系，就需要同时加入多个没有信任关系的AD domain。一般情况下，同一forest下的多个domain之间是有信任关系的，例如abc.com和se.abc.com两个domain，所以这种情况下ClearPass只需要添加到root domain即可；不同的forest一般是没有信任关系的，这种情况下，ClearPass就需要加入多个AD。