Bereichsnamen
In diesem Thema finden Sie eine Übersicht über die Verwendung von Bereichsnamen bei der Verarbeitung von Verbindungsanforderungen des Netzwerkrichtlinienservers.
Das RADIUS-Attribut „User-Name“ ist eine Zeichenfolge, die normalerweise einen Standort und einen Namen für ein Benutzerkonto enthält. Der Standort des Benutzerkontos wird auch als Bereich oder Bereichsname bezeichnet und steht für das Konzept der Domäne, etwa DNS-Domänen, Active Directory®-Domänen und Windows NT 4.0-Domänen. Wenn sich beispielsweise ein Benutzerkonto in der Benutzerkontodatenbank für eine Domäne namens example.com befindet, lautet der Bereichsname „example.com“.
Wenn das RADIUS-Attribut User-Name den Benutzernamen user1@example.com enthält, ist „user1“ der Benutzername, und „example.com“ ist der Bereichsname. Bereichsnamen können im Benutzernamen als Präfix oder als Suffix dargestellt werden:
Beispiel\user1. In diesem Beispiel ist der Bereichsname Beispiel ein Präfix und außerdem der Name einer AD DS-Domäne (Active Directory® Domain Services).
user1@example.com. In diesem Beispiel ist der Bereichsname example.com ein Suffix und entweder ein DNS-Domänenname oder der Name einer AD DS-Domäne.
Sie können beim Entwerfen und Bereitstellen Ihrer RADIUS-Infrastruktur in Verbindungsanforderungsrichtlinien konfigurierte Bereichsnamen verwenden, um sicherzustellen, dass Verbindungsanforderungen von RADIUS-Clients, auch als Netzwerkzugriffsserver bezeichnet, an RADIUS-Server weitergeleitet werden, die die Verbindungsanforderung authentifizieren und autorisieren können.
Wenn der NPS als RADIUS-Server mit der Standardrichtlinie für Verbindungsanforderungen konfiguriert ist, verarbeitet er Verbindungsanforderungen für die Domäne, in der er Mitglied ist, sowie für vertrauenswürdige Domänen.
Um den NPS so zu konfigurieren, dass er als RADIUS-Proxy fungiert und Verbindungsanforderungen an nicht vertrauenswürdige Domänen weiterleitet, müssen Sie eine neue Verbindungsanforderungsrichtlinie erstellen. In der neuen Verbindungsanforderungsrichtlinie müssen Sie das Attribut „Benutzername“ mit dem Bereichsnamen konfigurieren, der im Attribut „User-Name“ der weiterzuleitenden Verbindungsanforderungen enthalten ist. Außerdem müssen Sie die Verbindungsanforderungsrichtlinie mit einer RADIUS-Remoteservergruppe konfigurieren. Die Verbindungsanforderungsrichtlinie ermöglicht dem NPS, zu berechnen, welche Verbindungsanforderungen basierend auf dem Bereichsteil des Attributs „User-Name“ an die RADIUS-Remoteservergruppe weitergeleitet werden sollen.
Abrufen des Bereichsnamens
Der Bereichsname des Benutzernamens wird bereitgestellt, wenn der oder die Benutzer*in bei einem Verbindungsversuch kennwortbasierte Anmeldeinformationen eingibt oder wenn ein CM-Profil (Verbindungs-Manager) auf dem Computer des Benutzers bzw. der Benutzerin für die automatische Bereitstellung des Bereichsnamens konfiguriert ist.
Sie können festlegen, dass Benutzer*innen Ihres Netzwerks beim Eingeben der Anmeldeinformationen während der Netzwerkverbindung ihren Bereichsnamen angeben.
Beispielsweise können Sie fordern, dass Benutzer*innen beim Herstellen einer Einwahl- oder VPN-Verbindung ihren Benutzernamen einschließlich Benutzerkontoname und Bereichsnamen unter Benutzername im Dialogfeld Verbinden eingeben.
Wenn Sie außerdem ein benutzerdefiniertes Wählpaket mit dem Verbindungs-Manager-Verwaltungskit (CMAK) erstellen, können Sie Benutzer*innen helfen, indem Sie in CM-Profilen, die auf den Computern der Benutzer*innen installiert sind, dem Benutzerkontonamen automatisch den Bereichsnamen hinzufügen. Sie können beispielsweise einen Bereichsnamen und eine Benutzernamenssyntax im CM-Profil angeben, sodass Benutzer*innen bei der Eingabe von Anmeldeinformationen nur den Namen des Benutzerkontos angeben müssen. In diesem Fall muss der oder die Benutzer*in die Domäne, in der sich das Benutzerkonto befindet, nicht kennen oder sich merken.
Nachdem Benutzer*innen während der Authentifizierung ihre kennwortbasierten Anmeldeinformationen eingegeben haben, wird der Benutzername vom Zugriffsclient an den Netzwerkzugriffsserver übergeben. Der Netzwerkzugriffsserver erstellt eine Verbindungsanforderung und schließt den Bereichsnamen im RADIUS-Attribut „User-Name“ in die Access-Request-Nachricht ein, die an den RADIUS-Proxy oder -Server gesendet wird.
Wenn der RADIUS-Server ein NPS ist, wird die Access-Request-Nachricht anhand der konfigurierten Verbindungsanforderungsrichtlinien ausgewertet. Bedingungen der Verbindungsanforderungsrichtlinie können eine Spezifikation für den Inhalt des Attributs „User-Name“ einschließen.
Sie können eine Reihe von Verbindungsanforderungsrichtlinien konfigurieren, die spezifisch für den Bereichsnamen im Attribut „User-Name“ eingehender Nachrichten sind. Dadurch können Sie Routingregeln erstellen, die RADIUS-Nachrichten mit einem bestimmten Bereichsnamen an eine entsprechende Gruppe von RADIUS-Servern weiterleiten, wenn der NPS als RADIUS-Proxy verwendet wird.
Regeln der Attributbearbeitung
Bevor die RADIUS-Nachricht lokal verarbeitet (NPS als RADIUS-Server) oder an einen anderen RADIUS-Server weitergeleitet wird (NPS als RADIUS-Proxy), kann das Attribut „User-Name“ in der Nachricht durch Attributbearbeitungsregeln geändert werden. Sie können Attributbearbeitungsregeln für das Attribut „User-Name“ konfigurieren, indem Sie in den Eigenschaften einer Verbindungsanforderungsrichtlinie auf der Registerkarte Bedingungen die Option Benutzername auswählen. In NPS-Attributbearbeitungsregeln wird die Syntax für reguläre Ausdrücke verwendet.
Hinweis
Die Bereichsbearbeitung funktioniert nicht mit PEAP.
Das gewünschte Verhalten kann durch Wechseln zu EAP-TLS oder EAP-MSCHAPv2 für die Authentifizierung oder durch Hinzufügen eines UPN-Suffix zur Domäne für jeden zusätzlichen Domänennamen, den Sie auflösen müssen, erreicht werden.
Sie können Attributbearbeitungsregeln für das Attribut „User-Name“ zu folgenden Zwecken konfigurieren:
Entfernen des Bereichsnamens aus dem Benutzernamen (auch als „Realmstripping“ bezeichnet). Beispiel: Ändern des Benutzernamens user1@example.com in „user1“.
Ändern des Bereichsnamens, aber nicht der Syntax. Beispiel: Ändern des Benutzernamens user1@example.com in user1@wcoast.example.com.
Ändern der Syntax des Bereichsnamens. Beispiel: Ändern des Benutzernamens „example\user1“ in user1@example.com.
Nachdem das Attribut „User-Name“ entsprechend den konfigurierten Regeln zur Attributbearbeitung geändert wurde, werden weitere Einstellungen der ersten übereinstimmenden Verbindungsanforderungsrichtlinie verwendet, um Folgendes zu ermitteln:
Verarbeitet der NPS die Access-Request-Nachricht lokal (NPS als RADIUS-Server)?
Leitet der NPS die Nachricht an einen anderen RADIUS-Server weiter (NPS als RADIUS-Proxy)?
Konfigurieren des vom NPS bereitgestellten Domänennamens
Wenn der Benutzername keinen Domänennamen enthält, stellt NPS einen bereit. Standardmäßig ist der vom NPS bereitgestellte Domänenname die Domäne, in der der NPS Mitglied ist. Sie können den vom NPS bereitgestellten Domänennamen über die folgende Registrierungseinstellung angeben:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\
Name: DefaultDomain
Type: REG_SZ
Value: the FQDN for the domain, like test.contoso.com
Achtung
Ein fehlerhaftes Bearbeiten der Registrierung kann eine schwerwiegende Beschädigung des Systems zur Folge haben. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie alle wichtigen Computerdaten sichern.
Einige nicht von Microsoft stammenden Netzwerkzugriffsserver löschen oder ändern den Domänennamen entsprechend der Benutzerangabe. Daher wird die Netzwerkzugriffsanforderung bei der Standarddomäne authentifiziert, die möglicherweise nicht die Domäne für das Benutzerkonto ist. Konfigurieren Sie zum Beheben dieses Problems Ihre RADIUS-Server so, dass der Benutzername in das richtige Format mit dem richtigen Domänennamen geändert wird.