Поделиться через

Имена областей

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Этот раздел можно использовать для обзора использования имен областей в обработке запросов на подключение к серверу политики сети.

Атрибут RADIUS имени пользователя — это символьная строка, которая обычно содержит расположение учетной записи пользователя и имя учетной записи пользователя. Расположение учетной записи пользователя также называется именем области или области и синонимом концепции домена, включая домены DNS, домены Active Directory® и домены Windows NT 4.0. Например, если учетная запись пользователя находится в базе данных учетных записей пользователей для домена с именем example.com, то example.com — это имя области.

В другом примере, если атрибут RADIUS имени пользователя содержит имя user1@example.comпользователя, user1 — имя учетной записи пользователя, а example.com — это имя области. Имена областей можно представить в имени пользователя в виде префикса или в виде суффикса:

  • Пример\user1. В этом примере имя области является префиксом. Это также имя домена доменных служб Active Directory® (AD DS).

  • user1@example.com. В этом примере имя области example.com является суффиксом, и это dns-имя или имя домена AD DS.

Имена областей, настроенные в политиках запросов подключения, можно использовать при проектировании и развертывании инфраструктуры RADIUS, чтобы обеспечить маршрутизацию запросов на подключение от клиентов RADIUS, также называемых серверами сетевого доступа, на серверы RADIUS, которые могут проходить проверку подлинности и авторизовать запрос на подключение.

Если NPS настроен в качестве сервера RADIUS с политикой запроса подключения по умолчанию, NPS обрабатывает запросы на подключение к домену, в котором NPS является членом и доверенными доменами.

Чтобы настроить NPS в качестве прокси-сервера RADIUS и перенаправить запросы на подключение к ненадежным доменам, необходимо создать новую политику запроса подключения. В новой политике запроса на подключение необходимо настроить атрибут имени пользователя с именем области, которая будет содержаться в атрибуте user-Name запросов на подключение, которые требуется пересылать. Необходимо также настроить политику запроса подключения с помощью удаленной группы серверов RADIUS. Политика запроса на подключение позволяет NPS вычислять запросы на подключение для перенаправления в удаленную группу серверов RADIUS на основе части области атрибута User-Name.

Получение имени области

Часть имени области предоставляется, когда учетные данные на основе паролей типы учетных данных на основе пароля при попытке подключения или когда профиль диспетчер подключений (CM) на компьютере пользователя настроен для автоматического предоставления имени области.

Вы можете указать, что пользователи вашей сети предоставляют имя области при вводе учетных данных во время попыток подключения к сети.

Например, можно требовать, чтобы пользователи вводили имя пользователя, включая имя учетной записи пользователя и имя области, в диалоговом окне Подключение при подключении к телефонной или виртуальной частной сети (VPN).

Кроме того, при создании настраиваемого пакета набора абонентов с помощью пакета диспетчер подключений Администратор istration Kit (CMAK) вы можете помочь пользователям автоматически добавить имя области в имя учетной записи пользователя в профилях CM, установленных на компьютерах пользователей. Например, можно указать имя области и синтаксис имени пользователя в профиле CM, чтобы пользователь должен указывать только имя учетной записи пользователя при вводе учетных данных. В этом случае пользователю не нужно знать или запоминать домен, в котором находится учетная запись пользователя.

В процессе проверки подлинности после ввода учетных данных на основе паролей имя пользователя передается от клиента доступа к серверу сетевого доступа. Сервер доступа к сети создает запрос на подключение и включает имя области в атрибуте RADIUS имени пользователя в сообщении Access-Request, которое отправляется прокси-серверу RADIUS или серверу.

Если сервер RADIUS является NPS, сообщение Access-Request вычисляется по набору настроенных политик запроса подключения. Условия политики запроса подключения могут включать спецификацию содержимого атрибута User-Name.

Можно настроить набор политик запросов на подключение, относящихся к имени области в атрибуте User-Name входящих сообщений. Это позволяет создавать правила маршрутизации, пересылающие сообщения RADIUS с определенным именем области в определенный набор серверов RADIUS, когда NPS используется в качестве прокси-сервера RADIUS.

Правила манипуляции атрибутами

Перед локальной обработкой сообщения RADIUS (когда NPS используется в качестве сервера RADIUS) или перенаправлен на другой сервер RADIUS (когда NPS используется в качестве прокси-сервера RADIUS), атрибут user-Name в сообщении может быть изменен правилами манипуляции атрибутами. Правила обработки атрибутов для атрибута User-Name можно настроить, выбрав имя пользователя на вкладке "Условия " в свойствах политики запроса подключения. Правила обработки атрибутов NPS используют синтаксис регулярных выражений.

Примечание.

Манипуляция с областью не работает с PEAP.
Необходимое поведение можно выполнить путем переключения на EAP-TLS или EAP-MSCHAPv2 для проверки подлинности или добавления суффикса имени участника-пользователя в домен для каждого дополнительного доменного имени, необходимого для разрешения.

Для атрибута User-Name можно настроить правила обработки атрибутов, чтобы изменить следующее:

  • Удалите имя области из имени пользователя (также известное как удаление области). Например, имя user1@example.com пользователя изменяется на user1.

  • Измените имя области, но не его синтаксис. Например, имя user1@example.com пользователя изменяется user1@wcoast.example.comна .

  • Измените синтаксис имени области. Например, имя пользователя\user1 изменено user1@example.comна .

После изменения атрибута User-Name в соответствии с правилами обработки атрибутов, настроенными, для определения того, используются ли дополнительные параметры первой политики запроса на подключение:

  • NPS обрабатывает сообщение Access-Request локально (если NPS используется в качестве сервера RADIUS).

  • NPS перенаправит сообщение другому серверу RADIUS (если NPS используется в качестве прокси-сервера RADIUS).

Настройка доменного имени, предоставленного NPS

Если имя пользователя не содержит доменное имя, NPS предоставляет один. По умолчанию доменное имя, предоставленное NPS, является доменом, в котором NPS является членом. Вы можете указать доменное имя, предоставленное NPS, с помощью следующего параметра реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\
Name:  DefaultDomain
Type:  REG_SZ
Value: the FQDN for the domain, like test.contoso.com

Внимание

Неправильное изменение реестра может вызвать серьезные проблемы. Перед внесением изменений в реестр рекомендуется создать резервную копию всех важных данных.

Некоторые серверы доступа к сети, отличные от Майкрософт, удаляют или изменяют доменное имя, указанное пользователем. В результате запрос доступа к сети проходит проверку подлинности в домене по умолчанию, который может не быть доменом для учетной записи пользователя. Чтобы устранить эту проблему, настройте серверы RADIUS для изменения имени пользователя в правильном формате с точным доменным именем.