在很多校园网和企业无线改造项目里，甲方会同时提出两个诉求：一是账号体系要和AD域打通，二是接入侧希望兼顾访客体验和终端管控。很多团队会把这两个诉求混成一个问题，结果在AC选型时一步到位上802.1X，实施周期和联调难度反而失控。

先把边界讲清楚：AD域本质是账号与组织身份的数据源，负责的是‘账号从哪里来、密码在哪里校验、组织属性如何继承’；Portal和802.1X属于接入认证方式，负责的是‘终端以什么流程发起上网认证’。两层能力有关联，但不是同一层。

因此，在‘必须先落地、先稳定上线’的阶段，AC只要稳定支持外部Portal流程，能够把认证请求正确重定向到认证平台，并把会话状态、下线控制、重认证策略做好，就可以先完成AD域账号对接和基础认证闭环。

802.1X不是不能做，而是要看条件：终端类型是否可控、证书体系是否已准备、交换机或无线控制器策略是否可灰度、用户支持团队是否具备批量处置能力。如果这些条件不足，强推802.1X通常会在开学季或办公高峰期引发大面积接入投诉。

从实施顺序看，推荐‘先Portal打底、再按场景引入802.1X’。先把账号源、角色映射、时段策略、计费策略、审计留痕跑通，再在教职工终端、固定办公终端、重点区域逐步开启802.1X，能够把风险控制在可回退范围内。

AC选型时要把可验证指标写成清单：是否支持外部Portal链路的完整重定向；是否支持RADIUS属性透传；是否支持会话强制下线；是否支持终端并发峰值下的认证排队保护；是否支持故障回退策略。没有这些基础能力，再谈‘全网802.1X’没有意义。

和AD域联调时还要重点确认字段映射：用户名格式、部门组织树、用户状态同步频率、密码策略例外、锁定策略传递。很多项目的真实阻塞点不在AC，而在账号清洗和目录结构治理。这个阶段建议先做样本部门灰度，不要一次性全量切换。

访客场景、BYOD场景、老旧终端场景通常更适合Portal长期存在。也就是说，最终架构不是‘Portal或802.1X二选一’，而是‘按人群与终端能力分层并存’。把这条策略在方案里讲透，客户对上线节奏和预期会更稳定。

对于集成商沟通口径，建议避免绝对承诺。可以说‘在现网满足外部Portal与RADIUS对接前提下，可先完成AD域账号认证闭环’；不建议说‘任何环境零改造当天上802.1X’。前者可落地，后者属于高风险话术。

如果项目还涉及计费、套餐、审计联动，建议把认证平台、计费平台、日志平台的接口边界一次性列清：认证成功事件、下线事件、计费扣费事件、审计留痕事件分别由谁产生、谁消费、谁留存。这样后续扩展802.1X时不会重复返工。

上线验收阶段要做三类压测：高峰并发认证压测、异常回退压测、跨网络漫游重认证压测。通过压测再放量，能显著减少‘白天正常、晚高峰故障’的情况。

结论很明确：要和AD域对接，AC并不天然要求先支持802.1X；在多数需要先稳态上线的项目里，先确保外部Portal链路可控更现实。802.1X应作为第二阶段能力，在条件成熟时按场景推进。

在项目管理层面，建议把实施拆成四个里程碑：账号源对接、Portal稳定运行、策略精细化、802.1X灰度上线。每个里程碑都要有可量化验收指标，例如认证成功率、平均认证时延、投诉工单数量、回退耗时。

对运维团队而言，最关键的是可观测性。上线前要明确哪些日志用于排查账号问题，哪些日志用于排查网络链路问题，哪些日志用于排查策略误拦截。没有观测闭环，现场争议会非常高。

在校园场景里，学生终端型号跨度大、操作系统版本多、假期与开学流量波峰明显，先用Portal建立稳定认证底座，再分人群推进802.1X，通常比一步到位更可控。

在企业场景里，固定办公终端往往更适合优先尝试802.1X；而访客网络、会议网络、外包终端区域更适合保留Portal。把网络分区和认证分层配套推进，能够平衡安全与运维成本。

如果客户同时关注合规留痕，建议在方案中明确认证平台与日志平台的数据交付关系，避免把认证系统直接描述成行为审计系统。认证日志能支撑身份与会话关联，但深度行为审计通常需要独立能力。

AC选型评审时，可以增加一张‘失败回退清单’：当RADIUS不可达、目录同步延迟、字段映射异常、证书策略不一致时，系统是否能快速回退到可用策略。回退能力是上线稳定性的关键保障。

对于预算紧张且时间窗口短的项目，建议优先保障Portal外部对接的稳定性和账号链路的准确性，再规划802.1X分阶段建设。这样既能尽快上线，也能给后续升级留出空间。

最终给客户的口径应当是：AD域对接与802.1X并非绑定关系；AC选型首先看外部Portal能力和联调可控性，再按终端条件决定802.1X推进节奏。