영역 이름

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

본 토픽에서는 네트워크 정책 서버 연결 요청을 처리할 때 영역 이름을 사용하는 방법에 대한 개요를 제공합니다.

사용자 이름 RADIUS 속성은 일반적으로 사용자 계정의 위치와 사용자 계정 이름을 나타내는 문자열입니다. 사용자 계정 위치는 영역 또는 영역 이름으로도 불리며, DNS 도메인, Active Directory® 도메인 및 Windows NT 4.0 도메인 등의 도메인 개념과 동일한 의미를 가집니다. 예를 들어, 사용자가 example.com이라는 도메인의 사용자 계정 데이터베이스에 위치해 있다면, example.com이 영역 이름입니다.

또 다른 예제에서, 사용자 이름 RADIUS 특성에 사용자 이름이 포함된 경우 user1@example.com, user1은 사용자 계정 이름이고 example.com 영역 이름입니다. 영역 이름은 사용자 이름의 앞이나 뒤에 붙을 수 있습니다.

  • \사용자1 예. 본 예제에서 영역 이름 예제 는 접두사이며, 동시에 AD DS(Active Directory® Domain Services) 도메인의 이름을 나타냅니다.

  • user1@example.com. 본 예제에서, example.com 영역 이름은 접미사이며, 이는 DNS 도메인 이름 또는 AD DS 도메인의 이름입니다.

RADIUS 인프라를 디자인하고 배포할 때 연결 요청 정책에 구성된 영역 이름을 사용하여, 네트워크 액세스 서버라고도 하는 RADIUS 클라이언트에서 연결 요청을 인증 및 승인할 수 있는 RADIUS 서버로 라우팅되도록 할 수 있습니다.

NPS가 기본 연결 요청 정책을 사용하여 RADIUS 서버로 구성된 경우 NPS는 NPS가 멤버인 도메인 및 신뢰할 수 있는 도메인에 대한 연결 요청을 처리합니다.

NPS를 RADIUS 프록시로 구성하고 신뢰할 수 없는 도메인으로의 연결 요청을 전달하려면, 연결 요청 정책을 새로 만들어야 합니다. 연결 요청 전달을 위한 새로운 정책에서는 User-Name 속성에 영역 이름을 포함한 사용자 이름 속성을 설정해야 합니다. 또한 원격 RADIUS 서버 그룹을 사용하여 연결 요청 정책을 구성해야 합니다. 연결 요청 정책은 NPS가 User-Name 속성의 영역 부분을 기반으로 원격 RADIUS 서버 그룹으로 전달할 연결 요청을 계산할 수 있습니다.

영역 이름 획득

사용자 이름의 영역 이름 부분은 사용자가 연결 시도 중에 암호 기반 자격 증명을 입력하거나 사용자 컴퓨터의 연결 관리자 (CM) 프로필이 영역 이름을 자동으로 제공하도록 구성된 경우에 제공됩니다.

네트워크 접속 시, 사용자가 자격 증명 입력과 함께 도메인 정보를 제공하도록 설정 가능합니다.

예를 들어 사용자가 다이얼업 또는 가상 사설망 (VPN) 연결을 만들 때 사용자 계정 이름과 영역 이름을 포함하여 사용자 이름연결 대화 상자에 입력하도록 요구할 수 있습니다.

또한 연결 관리자 관리 키트 (CMAK)를 통해 사용자 정의 다이얼링 패키지를 만들면, 사용자 컴퓨터의 CM 프로필에서 사용자 계정 이름에 영역 이름을 자동으로 추가하여 사용자를 도울 수 있습니다. 예를 들어, CM 프로필에서 영역 이름 및 사용자 이름 구문을 설정함으로써, 사용자는 자격 증명 입력 시 사용자 계정 이름만을 기입하도록 할 수 있습니다. 이 경우, 사용자는 계정이 속한 도메인을 알거나 기억할 필요가 없습니다.

인증 과정 중 사용자가 비밀번호 기반 자격 증명을 입력하면, 액세스 클라이언트에 의해 사용자 이름이 네트워크 액세스 서버로 전달됩니다. 네트워크 액세스 서버는 연결 요청을 생성한 후, Access-Request 메시지의 User-NamE RADIUS 속성에 영역 이름을 포함하여 RADIUS 프록시 또는 서버로 전송합니다.

RADIUS 서버가 NPS로 구성된 경우, Access-Request 메시지는 설정된 연결 요청 정책 세트에 따라 평가를 거칩니다. 연결 요청 정책에는 User-Name 속성 값 지정 조건이 포함될 수 있습니다.

수신 메시지의 User-Name 속성에 있는 영역 이름에 대해 특정 연결 요청 정책 세트를 구성할 수 있습니다. 이를 통해 NPS를 RADIUS 프록시로 활용될 때, 특정 영역 이름이 명시된 RADIUS 메시지를 지정된 RADIUS 서버 그룹으로 전달하는 라우팅 규칙 설정이 가능합니다.

특성 조작 규칙

RADIUS 메시지가 로컬로 처리되기 전에 (NPS가 RADIUS 서버로 사용되는 경우) 또는 다른 RADIUS 서버(NPS가 RADIUS 프록시로 사용되는 경우)로 전달되기 전에, 메시지의 User-Name 속성을 조작 규칙에 의해 수정될 수 있습니다. 연결 요청 정책의 속성에서 조건 탭에서 사용자 이름 을 선택하여 사용자 이름 속성에 대한 속성 조작 규칙을 구성할 수 있습니다. NPS 속성 조작 규칙에는 정규 표현식 구문이 사용됩니다.

참고 항목

영역 조작은 PEAP에서 작동하지 않습니다.
원하는 동작은 인증을 위해 EAP-TLS 또는 EAP-MSCHAPv2로 전환하거나 해결해야 할 각 추가 도메인 이름에 UPN 접미사를 추가 하여 달성할 수 있습니다.

사용자 이름 속성은 속성 조작 규칙을 통해 변경할 수 있습니다.

  • 사용자 이름 (영역 스트리핑이라고도 합니다)에서 영역 이름을 제거합니다. 예를 들어, 사용자 이름은user1@example.com user1로 변경됩니다.

  • 영역 이름을 변경하지만 구문은 변경하지 않습니다. 예를 들어, 사용자 이름user1@example.com은 .user1@wcoast.example.com로 변경됩니다.

  • 영역 이름의 구문을 변경합니다. 예를 들어, 사용자 이름 example\user1 user1@example.com로 변경됩니다.

사용자 이름 속성이 구성된 속성 조작 규칙에 의해 수정된 후, 첫 번째로 일치하는 연결 요청 정책의 추가 설정을 기반으로 다음 중 하나를 결정합니다.

  • NPS가 Access-Request 메시지를 로컬에서 처리합니다(NPS가 RADIUS 서버로 사용되는 경우).

  • NPS가 메시지를 다른 RADIUS 서버로 전달합니다(NPS가 RADIUS 프록시로 사용되는 경우).

NPS 제공 도메인 이름 구성하기

사용자 이름에 도메인 이름이 없는 경우, NPS에서 도메인 이름을 제공합니다. NPS에서 제공하는 도메인 이름은 기본적으로 NPS 소속 도메인입니다. NPS가 제공하는 도메인 이름은 다음 레지스트리 설정을 통해 지정할 수 있습니다.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\
Name:  DefaultDomain
Type:  REG_SZ
Value: the FQDN for the domain, like test.contoso.com

주의

레지스트리를 올바르게 편집하지 않으면 시스템을 심각하게 손상시킬 수 있습니다. 따라서 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터를 백업해 두어야 합니다.

Microsoft 이외의 특정네트워크 액세스 서버는 사용자가 설정한 도메인 이름을 임의로 삭제하거나 변경할 수 있습니다. 결과적으로, 네트워크 액세스 요청은 사용자 계정의 도메인이 아닌 기본 도메인에서 인증될 수 있습니다. RADIUS 서버를 구성하여 사용자 이름을 정확한 도메인 이름과 함께 올바른 형식으로 변경하도록 설정하면 이 문제를 해결할 수 있습니다.