領域名

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

このトピックでは、ネットワーク ポリシー サーバー接続要求の処理における領域名の使用の概要について説明します。

User-Name RADIUS 属性は、通常、ユーザー アカウントの場所とユーザー アカウント名を含む文字列です。 ユーザー アカウントの場所は領域または領域名とも呼ばれ、DNS ドメイン、Active Directory® ドメイン、Windows NT 4.0 ドメインなどのドメインの概念と同じです。 たとえば、ユーザー アカウントが example.com という名前のドメインのユーザー アカウント データベースにある場合、example.com が領域名になります。

また別の例では、User-Name RADIUS 属性に user1@example.com というユーザー名が含まれている場合、user1 がユーザー アカウント名で、example.com が領域名です。 領域名は、次のようにプレフィックスまたはサフィックスとして、ユーザー名に含めることができます。

  • Example\user1。 この例では、領域名 Example はプレフィックスです。また、Active Directory® Domain Services (AD DS) ドメインの名前でもあります。

  • user1@example.com] の順にクリックします。 この例では、領域名 example.com はサフィックスです。これは、DNS ドメイン名か AD DS ドメイン名です。

RADIUS インフラストラクチャの設計および展開時に、接続要求ポリシーに構成されている領域名を使用して、接続要求が RADIUS クライアント (別称 : ネットワーク アクセス サーバー) から接続要求の認証と承認を行う RADIUS サーバーにルーティングされるようにすることができます。

NPS が RADIUS サーバーとして構成され、NPS に既定の接続要求ポリシーが構成されている場合、NPS では、その NPS がメンバーであるドメインと信頼されているドメインの接続要求が処理されます。

NPS を RADIUS プロキシとして構成し、信頼されていないドメインに接続要求を転送するには、新しい接続要求ポリシーを作成する必要があります。 新しい接続要求ポリシーでは、転送する接続要求の User-Name 属性に設定される領域名を User-Name 属性に構成する必要があります。 また、この接続要求ポリシーにはリモート RADIUS サーバー グループを構成する必要もあります。 接続要求ポリシーは、User-Name 属性の領域名部分の値を基に、どの接続要求をリモート RADIUS サーバー グループに転送するかを NPS が計算できるようにします。

領域名を取得する

ユーザー名の領域名部分の値は、接続試行時にユーザーがパスワード ベースの資格情報を入力するか、ユーザーのコンピューターの接続マネージャー (CM) プロファイルが領域名を自動的に提供するように構成されたときに指定されます。

ネットワークのユーザーが、ネットワーク接続試行時に各自の資格情報を入力するときに、領域名を提供するようにも指定できます。

たとえば、ユーザーがダイヤルアップ接続または仮想プライベート ネットワーク (VPN) 接続を行うときに、[接続] ダイアログ ボックスの [ユーザー名] にユーザー アカウント名と領域名を含むユーザー名を入力するよう要求できます。

また、接続マネージャー管理キット (CMAK) を使用してカスタムのダイヤル パッケージを作成する場合は、ユーザーのコンピューターにインストールされている CM プロファイルのユーザー アカウント名に自動的に領域名を追加して、ユーザーを支援することもできます。 たとえば、CM プロファイルに領域名とユーザー名構文を指定して、ユーザーが資格情報を入力するときにユーザー アカウント名のみを指定すれば済むようにすることができます。 この場合、ユーザーはユーザー アカウントがあるドメインを知る必要も、覚えておく必要もありません。

認証処理中に、ユーザーが各自のパスワード ベースの資格情報を入力すると、ユーザー名がアクセス クライアントからネットワーク アクセス サーバーに渡されます。 ネットワーク アクセス サーバーが接続要求を作成して、RADIUS プロキシまたは RADIUS サーバーに送信されるアクセス要求メッセージの RADIUS 属性、User-Name 内に領域名を追加します。

RADIUS サーバーが NPS である場合、アクセス要求メッセージは、構成されている接続要求ポリシーのセットに対して評価されます。 接続要求ポリシーの条件として、User-Name 属性の内容が指定されていることを含めることもできます。

着信メッセージの User-Name 属性内の領域名に固有の接続要求ポリシー セットを構成できます。 これにより、NPS を RADIUS プロキシとして使用している場合、特定の領域名が設定されている RADIUS メッセージが特定の RADIUS サーバーに転送されるようにするルーティング規則を作成できます。

属性の操作規則

RADIUS メッセージがローカルで処理される (NPS を RADIUS サーバーとして使用する場合) か、別の RADIUS サーバーに転送される (NPS を RADIUS プロキシとして使用する場合) 前に、メッセージ内の User-Name 属性を属性の操作規則によって変更できます。 接続要求ポリシーのプロパティで [条件] タブの [ユーザー名] を選択すると、User-Name 属性用の属性の操作規則を構成できます。 NPS 属性の操作規則では、正規表現構文を使用します。

注意

領域の操作は PEAP では機能しません。
必要な動作を実現するには、認証のために EAP-TLS または EAP-MSCHAPv2 に切り替えるか、または解決する必要がある追加のドメイン名ごとに UPN サフィックスをドメインに追加します。

User-Name 属性用の属性の操作規則を構成して、次の変更を行うことができます。

  • ユーザー名から領域名を削除する ("realm stripping" とも呼ばれます)。 たとえば、ユーザー名 user1@example.com を user1 に変更します。

  • 領域名を変更し、構文は維持する。 たとえば、ユーザー名 user1@example.com を user1@wcoast.example.com に変更します。

  • 領域名の構文を変更する。 たとえば、ユーザー名 example\user1 を user1@example.com に変更します。

User-Name 属性が構成した属性の操作規則に従って変更されると、最初に一致した接続要求ポリシーの追加の設定を使用して、次のことが確認されます。

  • NPS はアクセス要求メッセージをローカルで処理するか (NPS を RADIUS サーバーとして使用する場合)。

  • NPS は、別の RADIUS サーバーにメッセージを転送するか (NPS を RADIUS プロキシとして使用する場合)。

NPS が設定するドメイン名の構成

ユーザー名にドメイン名が含まれていない場合、NPS によりドメイン名が設定されます。 既定では、NPS が設定するドメイン名は、NPS が属しているドメインです。 NPS が設定するドメイン名は、次のレジストリ設定を使用して指定できます。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\
Name:  DefaultDomain
Type:  REG_SZ
Value: the FQDN for the domain, like test.contoso.com

注意事項

レジストリを誤って編集すると、システムに重大な障害が発生する場合があります。 レジストリを変更する前に、コンピューター上の重要なデータのバックアップを作成する必要があります。

Microsoft 以外のネットワーク アクセス サーバーの中には、ユーザーが指定したドメイン名を削除または変更するものもあります。 このため、ネットワーク アクセス要求は既定のドメインに対して認証されますが、これはユーザーのアカウントのドメインでない可能性があります。 この問題を解決するには、正しい形式で正確なドメイン名が設定されたユーザー名にユーザー名を変更するように RADIUS サーバーを構成します。