網域名稱
您可以使用此主題概述在網路策略伺服器連接請求處理中使用網域名稱的情況。
User-Name RADIUS 屬性是一個字符串,通常包含使用者帳戶的位置和使用者帳戶名稱。 使用者帳戶位置也稱為範疇或網域名稱,與網域的概念同義,包括 DNS 網域、Active Directory® 網域和 Windows NT 4.0 網域。 例如,如果使用者帳戶位於名為 example.com 的網域的使用者帳戶資料庫中,那麼 example.com 就是網域名稱。
在另一個範例中,如果 User-Name RADIUS 屬性包含使用者名稱user1@example.comuser1 是使用者帳號名,example.com 是網域名稱。 網域名稱可以作為字首或字尾呈現在使用者名稱中:
Example\user1。 在此範例中,網域名稱範例是字首; 它也是 Active Directory® 網域服務 (AD DS) 網域的名稱。
user1@example.com. 在此範例中,網域名稱example.com 是字尾; 它可以是 DNS 網域名,也可以是 AD DS 網域的名稱。
在設計和設置 RADIUS 基礎結構時,您可以使用連接請求策略中設置的網域名稱,以確保連接請求從 RADIUS 客戶端(也稱為網路造訪伺服器)路由到能夠對連接請求進行驗證和授權的 RADIUS 伺服器。
當 NPS 被設置為具有預設連接請求策略的 RADIUS 伺服器時,NPS 將處理屬於其成員的網域和受信任網域的連接請求。
要將 NPS 設置為充當 RADIUS 代理並將連接請求轉發到不受信任的網域,您必須建立一個新的連接請求策略。 在新的連接請求策略中,您必須使用網域名稱設置使用者名稱屬性,該網域名稱將包含在您想要轉發的連接請求的 User-Name 屬性中。 您還必須使用遠端 RADIUS 伺服器組設置連接請求策略。 連接請求策略允許 NPS 依據 User-Name 屬性的範疇部分計算應將哪些連接請求轉發到遠端 RADIUS 伺服器組。
獲取網域名稱
使用者名稱的網域名稱部分是在使用者嘗試連接時輸入基於密碼的憑證,或者當使用者電腦上的連接管理員(CM)設置為自動提供網域名稱時提供的。
您可以指定您網路的使用者在網路連接嘗試期間輸入憑證時提供他們的網域名稱。
例如,在建立撥接或虛擬私人網路 (VPN) 連線時,您可以要求使用者在「連線」對話框的「使用者名稱」中輸入其使用者名, in the 包括使用者帳戶名稱和網域名稱。
此外,如果使用 Connection Manager Administration Kit (CMAK) 建立客製化撥號套件,您可以透過自動將網域名稱增加到安裝在使用者電腦上的 CM 設置資料中的使用者帳戶名稱來幫助使用者。 例如,您可以在 CM 設置資料中指定網域名稱和使用者名稱語法,這樣使用者在輸入憑證時只需指定使用者帳戶名稱。 在這種情況下,使用者無需知道或記住其使用者帳戶所在的網域。
在認證過程中,使用者在輸入基於密碼的憑證後,使用者名稱從造訪客戶端傳遞到網路造訪伺服器。 網路造訪伺服器構建一個連接請求,並在發送到 RADIUS 代理或伺服器的 Access-Request 消息中的 User-Name RADIUS 屬性中包含網域名稱。
如果 RADIUS 伺服器是 NPS,Access-Request 消息將依據設置的連接請求策略集進行評估。 連接請求策略上的條件可以包括指定 User-Name 屬性的內容。
您可以設置一組特定於傳入消息的 User-Name 屬性中的網域名稱的連接請求策略。 這可以讓您建立路由規則,當 NPS 作為 RADIUS 代理時,可以將具有特定網域名稱的 RADIUS 消息轉發到特定的 RADIUS 伺服器集。
屬性操作規則
在 RADIUS 訊息被本地處理(當 NPS 作為 RADIUS 伺服器時)或轉發到另一個 RADIUS 伺服器(當 NPS 作為 RADIUS 代理時)之前,消息中的 User-Name 屬性可以透過屬性操作規則進行修改。 您可以透過在連線請求策略屬性的「條件」標籤上選擇使用者名稱來設置使用者名稱屬性的屬性操作規則。 NPS 屬性操作規則使用正則表達式語法。
注意
範疇操作在 PEAP 中不起作用。
可以透過切換到 EAP-TLS 或 EAP-MSCHAPv2進行身份驗證或為需要解析的每個其他網域增加 UPN 字尾來實現所需的行為。
您可以設置 User-Name 屬性的屬性操作規則來更改以下內容:
從使用者名稱中刪除網域名稱(也稱為範疇剝離)。 例如,將使用者名稱user1@example.com變更為 user1。
更改網域名稱但不更改其語法。 例如,將使用者名稱user1@example.com更改為user1@wcoast.example.com。
更改網域名稱的語法。 例如,使用者名稱 example\user1 變更為user1@example.com。
在依據您設置的屬性操作規則修改 User-Name 屬性之後,將使用第一個匹配的連接請求策略的其他設置來確定是否:
NPS 本地處理 Access-Request 消息(當 NPS 作為 RADIUS 伺服器時)。
NPS 將消息轉發到另一個 RADIUS 伺服器(當 NPS 作為 RADIUS 代理時)。
設置由 NPS 提供的網域名
當使用者名稱不包含網域名時,NPS 將提供一個。 預設情況下,NPS 提供的網域名是 NPS 所屬的網域。 您可以透過以下註冊表設置指定 NPS 提供的網域名:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\
Name: DefaultDomain
Type: REG_SZ
Value: the FQDN for the domain, like test.contoso.com
警告
不當編輯登錄可能會造成系統嚴重受損。 變更登錄之前,您應該先備份電腦所有的重要資料。
一些非 Microsoft 的網路造訪伺服器依據使用者指定刪除或修改網域名。 因此,網路造訪請求將依據預設網域進行驗證,這可能不是使用者帳戶所在的網域。 為解決此問題,設置您的 RADIUS 伺服器以將使用者名稱更改為正確的格式,並使用準確的網域名。