migrando usuários do AD no XP e Win 7 clientes do domínio filho para o domínio pai sobre VPN

Estamos procurando migrar 35k usuários em todo o mundo de mais de 60 domínios filhos para o domínio pai (raiz). Somos capazes de migrar os usuários usando o ADMT. Os usuários podem depois logon com suas credenciais de domínio raiz e tudo funciona bem. No entanto, temos um bom número de usuários que se conectam somente por VPN. Estamos usando uma VPN baseada em certificado de usuário. O usuário precisa primeiro fazer logon na estação de trabalho usando suas credenciais armazenadas em cache do domínio herdado e, em seguida, estabelecer uma conexão segura com a rede corporativa (autenticada por meio do certificado do usuário em relação ao ponto final da VPN). Somos capazes de migrar os usuários para o domínio pai. Desde que o cliente não tenha conectividade com um controlador de domínio, o usuário poderá fazer logon com suas credenciais armazenadas em cache e até mesmo iniciar a conexão VPN. Neste ponto, ele teria que fazer logoff e, em seguida, fazer logon com suas novas credenciais de domínio (raiz). No entanto, assim que ele fizer logoff, o túnel da VPN será encerrado e o usuário não poderá autenticar no DC do domínio raiz. Sem essa primeira autenticação, não há credenciais em cache do domínio raiz que podem ser armazenadas no cliente e voltamos ao início. Infelizmente, o cliente VPN não pode ser configurado de forma a permitir que o usuário faça logoff e mantenha o túnel VPN estabelecido. Nós também tentamos fazer um "runas" ou um "Switch user", mas isso não funcionaria.

Alguma sugestão? Espero ter sido claro, se não me avise e ficarei feliz em elaborar.