Table of contents
TOC
De inhoudsopgave samenvouwen
De inhoudsopgave uitvouwen

Realm-namen

James McIllece|Laatst bijgewerkt: 10-3-2017
|
1 Inzender

Van toepassing op: WindowsServer 2016

U kunt dit onderwerp gebruiken voor een overzicht van het gebruik van de realm-namen in de verwerking van verbindingsaanvragen Network Policy Server.

De gebruikersnaam RADIUS-kenmerk is een tekenreeks die normaal gesproken een gebruiker accountlocatie en naam van een gebruikersaccount bestaat. De locatie van de gebruiker wordt ook wel de realm of realm-naam en is gelijk aan het concept van een domein, met inbegrip van DNS-domeinen, Active Directory® domeinen en Windows NT 4.0-domeinen. Bijvoorbeeld, als een gebruikersaccount in de database met gebruikersaccounts voor een domein met de naam example.com bevindt zich, is example.com de realm-naam.

In een ander voorbeeld: als de gebruikersnaam RADIUS-kenmerk de naam van de gebruiker user1@example.com bevat, is de accountnaam van de gebruiker Gebruiker1 en example.com is de realm-naam. Realm-namen kunnen worden weergegeven in de naam van de gebruiker als een voorvoegsel of als een achtervoegsel:

  • Example\user1. In dit voorbeeld wordt de naam van de realm voorbeeld is een voorvoegsel; en het is ook de naam van een Active Directory® Domain Services (AD DS) domein.

  • user1@example.com. In dit voorbeeld wordt de naam van de realm example.com is een achtervoegsel; en is een DNS-naam of de naam van een AD DS-domein.

U kunt realm-namen die zijn geconfigureerd in de beleidsregels voor verbindingsaanvragen tijdens het ontwerpen en implementeren van de RADIUS-infrastructuur gebruiken om ervoor te zorgen dat verbindingsaanvragen van RADIUS-clients, ook wel netwerktoegangsservers, naar RADIUS-servers die kunnen verifiëren en autoriseren van de verbindingsaanvraag worden gerouteerd.

Wanneer NPS is geconfigureerd als een RADIUS-server met het standaardbeleid voor verbindingsaanvragen, verwerkt NPS verbindingsaanvragen voor het domein waarin de NPS-server lid is en voor vertrouwde domeinen.

Als u wilt configureren in NPS om te fungeren als een RADIUS-proxy en verbindingsaanvragen wilt doorsturen naar niet-vertrouwde domeinen, moet u een nieuw beleid voor verbindingsaanvragen maken. In het nieuwe beleid voor verbindingsaanvragen, moet u het kenmerk gebruikersnaam configureren met de naam van de realm, worden opgeslagen in het kenmerk User-Name van verbindingsaanvragen die u wilt doorsturen. Ook moet u het beleid voor verbindingsaanvragen configureren met een externe RADIUS-servergroep. Het beleid voor verbindingsaanvragen kan NPS voor het berekenen van welke verbindingsaanvragen voor het doorsturen naar de externe RADIUS-servergroep op basis van de realm-gedeelte van het kenmerk User-Name.

Naam van de realm aanschaffen

De realm-gedeelte van de gebruikersnaam is beschikbaar wanneer de gebruiker typen wachtwoorden gebaseerde referenties tijdens een verbinding probeert of wanneer een profiel Connection Manager (CM) op de computer van de gebruiker is geconfigureerd voor de naam van de realm automatisch bieden.

U kunt opgeven dat gebruikers van uw netwerk hun realm-naam opgeven bij het typen van hun referenties tijdens de netwerkverbinding proberen te maken.

U kunt bijvoorbeeld vereisen dat gebruikers hun gebruikersnaam, met inbegrip van de accountnaam van de gebruiker en de naam van de realm in typen gebruikersnaam in de verbinden in het dialoogvenster bij het maken van een inbel- of virtueel particulier netwerk (VPN)-verbinding.

Als u een aangepast kiezen-pakket met de Connection Manager Administration Kit (CMAK) maakt, kunt u bovendien gebruikers assisteren door de naam van de realm automatisch toe te voegen aan de naam van het gebruikersaccount in CM-profielen die zijn geïnstalleerd op computers van gebruikers. Bijvoorbeeld, kunt u syntaxis voor een realm naam en de gebruiker in het profiel CM zodat de gebruiker alleen de gebruikersaccountnaam opgeven tijdens het typen referenties heeft. In dit geval hoeft de gebruiker niet te onthouden van het domein waar hun gebruikersaccount zich bevindt.

Tijdens het verificatieproces nadat gebruikers hun referenties op basis van wachtwoorden typt wordt de gebruikersnaam doorgegeven van de toegangsclient aan de network access server. De network access server vormt een verbindingsaanvraag en bevat de naam van de realm binnen de gebruikersnaam RADIUS-kenmerk in de Access-Request-bericht dat wordt verzonden naar de RADIUS-proxy of de server.

Als de RADIUS-server een NPS-server is, is het bericht toegang aanvraag geëvalueerd op basis van de reeks geconfigureerde beleidsregels voor verbindingsaanvragen. Voorwaarden voor het beleid voor verbindingsaanvragen, kunnen de specificatie van de inhoud van het kenmerk User-Name bevatten.

U kunt een set van beleidsregels voor verbindingsaanvragen die specifiek voor de naam van de realm binnen het kenmerk User-Name van binnenkomende berichten zijn configureren. Hiermee kunt u routeringsregels maken waarmee RADIUS-berichten met een specifieke realm-naam aan een specifieke reeks RADIUS-servers worden doorgestuurd bij NPS als RADIUS-proxy wordt gebruikt.

Bewerkingsregels

Voordat het RADIUS-bericht wordt verwerkt lokaal (Wanneer NPS wordt gebruikt als een RADIUS-server) of doorgestuurd naar een andere RADIUS-server (Wanneer NPS als RADIUS-proxy wordt gebruikt), kan de gebruikersnaam kenmerk in het bericht door bewerkingsregels worden gewijzigd. U kunt bewerkingsregels voor het kenmerk User-Name door het selecteren van gebruikersnaam op de voorwaarden tabblad in de eigenschappen van een beleid voor verbindingsaanvragen. NPS bewerkingsregels reguliere expressies gebruiken.

U kunt bewerkingsregels voor het kenmerk naam van de gebruiker te wijzigen van de volgende configureren:

  • Verwijderen van de realm-naam van de gebruikersnaam (ook wel bekend als de realm-verwijdering '). Bijvoorbeeld, wordt de naam van de gebruiker user1@example.com gewijzigd in gebruiker1.

  • Naam van de realm, maar de syntaxis ervan niet wijzigen. Bijvoorbeeld, wordt de naam van de gebruiker user1@example.com gewijzigd in user1@wcoast.example.com.

  • De syntaxis van de realm-naam wijzigen. Bijvoorbeeld, wordt de naam van gebruiker example\user1 gewijzigd in user1@example.com.

Nadat het kenmerk gebruikersnaam is gewijzigd volgens de bewerkingsregels die u configureert, aanvullende instellingen van de eerste overeenkomende beleid voor verbindingsaanvragen worden gebruikt om te bepalen of:

  • De NPS-server verwerkt het Access-Request-bericht lokaal (Wanneer NPS als een RADIUS-server wordt gebruikt).

  • De NPS-server stuurt het bericht naar een andere RADIUS-server (Wanneer NPS als RADIUS-proxy wordt gebruikt).

Naam van het domein opgegeven NPS configureren

Wanneer de gebruikersnaam bevat geen een domeinnaam, NPS Eén wordt geleverd. Standaard is de NPS-bepaalde domeinnaam het domein waarvan de NPS-server lid is. U kunt opgeven dat de naam van het domein NPS geleverd via de volgende registerinstelling:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
Let op

Het register verkeerd bewerkt, kunt u uw systeem ernstig beschadigen. Voordat u wijzigingen in het register, moet u back-up van alle belangrijke gegevens op de computer.

Een aantal niet-Microsoft netwerktoegangsservers verwijderen of wijzigen van de domeinnaam zoals opgegeven door de gebruiker. Als het resultaat wordt de aanvraag geverifieerd met het standaarddomein, mogelijk niet het domein voor het gebruikersaccount. U lost dit probleem, configureer de RADIUS-servers voor het wijzigen van de gebruikersnaam in de juiste indeling met de juiste domeinnaam.

© 2017 Microsoft