Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
U kunt dit onderwerp gebruiken voor een overzicht van het gebruik van realmnamen in de verwerking van netwerkbeleidsserververbindingsaanvragen.
Het kenmerk User-Name RADIUS is een tekenreeks die doorgaans een locatie van een gebruikersaccount en een gebruikersnaam bevat. De locatie van het gebruikersaccount wordt ook wel de realm- of realmnaam genoemd en is synoniem voor het concept domein, waaronder DNS-domeinen, Active Directory-domeinen® en Windows NT 4.0-domeinen. Als een gebruikersaccount zich bijvoorbeeld in de database met gebruikersaccounts bevindt voor een domein met de naam example.com, is example.com de realmnaam.
Als het kenmerk User-Name RADIUS de gebruikersnaam user1@example.combevat, is gebruiker1 de gebruikersnaam en example.com de realmnaam. Realmnamen kunnen als voorvoegsel of als achtervoegsel worden weergegeven in de gebruikersnaam:
Voorbeeld\gebruiker1. In dit voorbeeld is het voorbeeld van de realmnaam een voorvoegsel; en het is ook de naam van een Ad DS-domein (Active Directory® Domain Services).
user1@example.com. In dit voorbeeld is de realmnaam example.com een achtervoegsel; en het is een DNS-domeinnaam of de naam van een AD DS-domein.
U kunt realmnamen gebruiken die zijn geconfigureerd in verbindingsaanvraagbeleid tijdens het ontwerpen en implementeren van uw RADIUS-infrastructuur om ervoor te zorgen dat verbindingsaanvragen worden gerouteerd van RADIUS-clients, ook wel netwerktoegangsservers genoemd, naar RADIUS-servers die de verbindingsaanvraag kunnen verifiëren en autoriseren.
Wanneer NPS is geconfigureerd als een RADIUS-server met het standaardbeleid voor verbindingsaanvragen, verwerkt NPS verbindingsaanvragen voor het domein waarin de NPS lid is en voor vertrouwde domeinen.
Als u NPS wilt configureren om te fungeren als een RADIUS-proxy en verbindingsaanvragen door te sturen naar niet-vertrouwde domeinen, moet u een nieuw beleid voor verbindingsaanvragen maken. In het nieuwe beleid voor verbindingsaanvragen moet u het kenmerk Gebruikersnaam configureren met de realmnaam die wordt opgenomen in het User-Name kenmerk van verbindingsaanvragen die u wilt doorsturen. U moet ook het beleid voor verbindingsaanvragen configureren met een externe RADIUS-servergroep. Met het beleid voor verbindingsaanvragen kan NPS berekenen welke verbindingsaanvragen moeten worden doorgestuurd naar de externe RADIUS-servergroep op basis van het realmgedeelte van het kenmerk User-Name.
De realmnaam verkrijgen
Het realmnaamgedeelte van de gebruikersnaam wordt opgegeven wanneer de gebruiker referenties op basis van een wachtwoord typt tijdens een verbindingspoging of wanneer een CM-profiel (Connection Manager) op de computer van de gebruiker is geconfigureerd om automatisch de realmnaam op te geven.
U kunt opgeven dat gebruikers van uw netwerk hun realmnaam opgeven bij het typen van hun referenties tijdens netwerkverbindingspogingen.
U kunt bijvoorbeeld vereisen dat gebruikers hun gebruikersnaam, die zowel de accountnaam als de realmnaam omvat, invoeren in Gebruikersnaam in het dialoogvenster Verbinding maken wanneer ze een inbelverbinding of VPN-verbinding (virtueel particulier netwerk) maken.
Als u bovendien een aangepast kiespakket maakt met de CMAK (Connection Manager Administration Kit), kunt u gebruikers helpen door de realmnaam automatisch toe te voegen aan de naam van het gebruikersaccount in CM-profielen die zijn geïnstalleerd op de computers van gebruikers. U kunt bijvoorbeeld een realmnaam en syntaxis van de gebruikersnaam opgeven in het CM-profiel, zodat de gebruiker alleen de naam van het gebruikersaccount hoeft op te geven bij het typen van referenties. In dit geval hoeft de gebruiker het domein waar het gebruikersaccount zich bevindt, niet te kennen of te onthouden.
Nadat gebruikers tijdens het verificatieproces hun referenties op basis van een wachtwoord hebben getypt, wordt de gebruikersnaam doorgegeven van de toegangsclient naar de netwerktoegangsserver. De netwerktoegangsserver maakt een verbindingsaanvraag en bevat de realmnaam binnen het kenmerk User-Name RADIUS in het Access-Request bericht dat naar de RADIUS-proxy of -server wordt verzonden.
Als de RADIUS-server een NPS is, wordt het Access-Request bericht geëvalueerd op basis van de set geconfigureerde beleidsregels voor verbindingsaanvragen. Voorwaarden voor het beleid voor verbindingsaanvragen kunnen de specificatie van de inhoud van het kenmerk User-Name bevatten.
U kunt een set beleidsregels voor verbindingsaanvragen configureren die specifiek zijn voor de realmnaam binnen het User-Name kenmerk van binnenkomende berichten. Hiermee kunt u routeringsregels maken waarmee RADIUS-berichten met een specifieke realmnaam worden doorgestuurd naar een specifieke set RADIUS-servers wanneer NPS wordt gebruikt als EEN RADIUS-proxy.
Regels voor kenmerkmanipulatie
Voordat het RADIUS-bericht lokaal wordt verwerkt (wanneer NPS wordt gebruikt als een RADIUS-server) of wordt doorgestuurd naar een andere RADIUS-server (wanneer NPS wordt gebruikt als een RADIUS-proxy), kan het User-Name kenmerk in het bericht worden gewijzigd door kenmerkmanipulatieregels. U kunt regels voor het bewerken van kenmerken voor het kenmerk User-Name configureren door Gebruikersnaam te selecteren op het tabblad Voorwaarden in de eigenschappen van een beleid voor verbindingsaanvragen. Regels voor het bewerken van NPS-kenmerken maken gebruik van de syntaxis van reguliere expressies.
Opmerking
Realmmanipulatie werkt niet met PEAP.
Het gewenste gedrag kan worden bereikt door over te schakelen naar EAP-TLS of EAP-MSCHAPv2 voor verificatie of het toevoegen van een UPN-achtervoegsel aan het domein voor elke extra domeinnaam die u moet oplossen.
U kunt regels voor kenmerkbewerking configureren voor het User-Name kenmerk om het volgende te wijzigen:
Verwijder de realm-naam uit de gebruikersnaam (ook wel bekend als realm stripping). De gebruikersnaam user1@example.com wordt bijvoorbeeld gewijzigd in gebruiker1.
Wijzig de realmnaam, maar pas de syntaxis niet aan. De gebruikersnaam user1@example.com wordt bijvoorbeeld gewijzigd in user1@wcoast.example.com.
Wijzig de syntaxis van de realmnaam. Het voorbeeld van de gebruikersnaam\gebruiker1 wordt bijvoorbeeld gewijzigd in user1@example.com.
Nadat het kenmerk User-Name is gewijzigd volgens de regels voor kenmerkbewerking die u configureert, worden aanvullende instellingen van het eerste overeenkomende beleid voor verbindingsaanvragen gebruikt om te bepalen of:
De NPS verwerkt het Access-Request bericht lokaal (wanneer NPS wordt gebruikt als een RADIUS-server).
De NPS stuurt het bericht door naar een andere RADIUS-server (wanneer NPS wordt gebruikt als een RADIUS-proxy).
De door NPS geleverde domeinnaam configureren
Wanneer de gebruikersnaam geen domeinnaam bevat, levert NPS er een. Standaard is de door NPS opgegeven domeinnaam het domein waarvan de NPS lid is. U kunt de door NPS opgegeven domeinnaam opgeven via de volgende registerinstelling:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\
Name: DefaultDomain
Type: REG_SZ
Value: the FQDN for the domain, like test.contoso.com
Waarschuwing
Het onjuist bewerken van het register kan uw systeem ernstig beschadigen. Voordat u wijzigingen aanbrengt in het register, moet u een back-up maken van waardegegevens op de computer.
Sommige niet-Microsoft-netwerktoegangsservers verwijderen of wijzigen de domeinnaam zoals opgegeven door de gebruiker. Als gevolg hiervan wordt de aanvraag voor netwerktoegang geverifieerd voor het standaarddomein. Dit is mogelijk niet het domein voor het account van de gebruiker. U kunt dit probleem oplossen door uw RADIUS-servers zo te configureren dat de gebruikersnaam wordt gewijzigd in de juiste indeling met de juiste domeinnaam.