11/11/2023 07:42 Noms de domaine | Microsoft Learn

Noms de domaine
Article • 09/03/2023

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Consultez cette rubrique pour comprendre l’utilisation des noms de domaine dans le
cadre du traitement des demandes de connexion du serveur NPS
(Network Policy Server).

L’attribut RADIUS User-Name est une chaîne de caractères qui contient généralement
un emplacement de compte utilisateur et un nom de compte utilisateur. L’emplacement
du compte utilisateur est également appelé domaine ou nom de domaine, et est
semblable aux domaines DNS, aux domaines Active Directory® et aux domaines
Windows NT 4.0. Par exemple, si un compte utilisateur se trouve dans la base de
données des comptes utilisateur pour un domaine nommé example.com, example.com
constitue le nom de domaine.

Dans un autre exemple, si l’attribut RADIUS User-Name contient le nom d’utilisateur

user1@example.com, user1 est le nom du compte utilisateur et example.com est le nom
de domaine. Les noms de domaine peuvent être présentés dans le nom d’utilisateur
sous forme de préfixe ou de suffixe :

Example\user1. Dans cet exemple, le nom de domaine Example est un préfixe. Il

s’agit également du nom d’un domaine Active Directory® Domain Services
(AD DS).

user1@example.com. Dans cet exemple, le nom de domaine example.com est un

suffixe. Il s’agit d’un nom de domaine DNS ou du nom d’un domaine AD DS.

Vous pouvez utiliser des noms de domaine configurés dans les stratégies de demande
de connexion lors de la conception et du déploiement de votre infrastructure RADIUS,
et ce, afin de garantir le routage des demandes de connexion depuis les clients RADIUS,
également appelés serveurs d’accès réseau, vers les serveurs RADIUS qui peuvent
authentifier et autoriser la demande de connexion.

Lorsque le serveur NPS est configuré en tant que serveur RADIUS selon la stratégie de
demande de connexion par défaut, le serveur NPS traite les demandes de connexion
associées au domaine dont le serveur NPS est membre et aux domaines approuvés.

Pour configurer le serveur NPS en tant que proxy RADIUS et transférer les demandes de
connexion vers des domaines non approuvés, vous devez créer une nouvelle stratégie
de demande de connexion. Dans la nouvelle stratégie de demande de connexion, vous
https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-realm-names 1/4
11/11/2023 07:42 Noms de domaine | Microsoft Learn

devez configurer l’attribut Nom d’utilisateur avec le nom de domaine qui sera compris
dans l’attribut User-Name des demandes de connexion que vous souhaitez transférer.
Vous devez également configurer la stratégie de demande de connexion avec un
groupe de serveurs RADIUS distant. La stratégie de demande de connexion permet au
serveur NPS de calculer les demandes de connexion à transférer au groupe de
serveurs RADIUS distant en fonction de la partie de domaine de l’attribut User-Name.

Acquisition du nom de domaine

La partie du nom de domaine du nom d’utilisateur est fournie lorsque l’utilisateur tape
des informations d’identification basées sur un mot de passe lors d’une tentative de
connexion, ou lorsqu’un profil de gestionnaire de connexions (CM) sur l’ordinateur de
l’utilisateur est configuré pour fournir le nom de domaine automatiquement.

Vous pouvez indiquer que les utilisateurs de votre réseau fournissent leur nom de
domaine lorsqu’ils tapent leurs informations d’identification lors des tentatives de
connexion réseau.

Par exemple, vous pouvez demander aux utilisateurs de taper leur nom d’utilisateur,
notamment le nom du compte utilisateur et le nom de domaine, dans Nom
d’utilisateur, dans la boîte de dialogue Se connecter, lors d’un accès par ligne
commutée ou d’une connexion au réseau privé virtuel (VPN).

En outre, si vous créez un package de numérotation personnalisé à l’aide du kit

d’administration de gestionnaire de connexions (CMAK), vous pouvez aider les
utilisateurs en ajoutant automatiquement le nom de domaine au nom du compte
utilisateur dans les profils CM installés sur les ordinateurs des utilisateurs. Par exemple,
vous pouvez spécifier un nom de domaine et une syntaxe de nom d’utilisateur dans le
profil CM afin que l’utilisateur n’ait plus qu’à spécifier le nom du compte utilisateur
lorsqu’il tape ses informations d’identification. L’utilisateur n’a donc pas besoin de
connaître ou de mémoriser le domaine dans lequel son compte utilisateur se trouve.

Pendant le processus d’authentification, après que les utilisateurs ont tapé leurs
informations d’identification basées sur un mot de passe, le nom d’utilisateur est
transféré du client d’accès au serveur d’accès réseau. Le serveur d’accès réseau génère
une demande de connexion et inclut le nom de domaine dans l’attribut RADIUS User-
Name dans le message Access-Request envoyé au proxy ou au serveur RADIUS.

Si le serveur RADIUS est un serveur NPS, le message Access-Request est évalué et

comparé au jeu de stratégies de demande de connexion configurées. Les conditions de
la stratégie de demande de connexion peuvent inclure la spécification du contenu de
l’attribut User-Name.

https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-realm-names 2/4
11/11/2023 07:42 Noms de domaine | Microsoft Learn

Vous pouvez configurer un jeu de stratégies de demande de connexion spécifiques au

nom de domaine dans l’attribut User-Name des messages entrants. Cela vous permet
de créer des règles de routage qui transfèrent des messages RADIUS présentant un nom
de domaine spécifique à un jeu spécifique de serveurs RADIUS lorsque le serveur NPS
est utilisé en tant que proxy RADIUS.

Règles de manipulation d’attribut

Avant que le message RADIUS soit traité localement (lorsque le serveur NPS est utilisé
en tant que serveur RADIUS) ou transféré vers un autre serveur RADIUS (lorsque le
serveur NPS est utilisé en tant que proxy RADIUS), l’attribut User-Name dans le message
peut être modifié par des règles de manipulation d’attribut. Vous pouvez configurer des
règles de manipulation d’attribut propres à l’attribut User-Name en sélectionnant Nom
d’utilisateur sous l’onglet Conditions, dans les propriétés d’une stratégie de demande
de connexion. Les règles de manipulation d’attribut NPS utilisent la syntaxe d’expression
régulière.

７ Notes

La manipulation de domaine ne fonctionne pas avec le protocole PEAP.

Le comportement souhaité peut être obtenu en effectuant une commutation vers
EAP-TLS ou EAP-MSCHAPv2 aux fins de l’authentification, ou en ajoutant un
suffixe UPN au domaine pour chaque nom de domaine supplémentaire à
résoudre.

Vous pouvez configurer des règles de manipulation d’attribut propres à l’attribut User-
Name pour effectuer les opérations suivantes :

supprimer le nom de domaine du nom d’utilisateur (ce processus est également

appelé suppression de domaine). Par exemple, le nom d’utilisateur
user1@example.com est remplacé par user1 ;

modifier le nom de domaine, mais pas sa syntaxe. Par exemple, le nom d’utilisateur
user1@example.com est remplacé par user1@wcoast.example.com ;

modifier la syntaxe du nom de domaine. Par exemple, le nom d’utilisateur

example\user1 est remplacé par user1@example.com.

Lorsque l’attribut User-Name a été modifié en fonction des règles de manipulation

d’attribut configurées, des paramètres supplémentaires de la première stratégie de
demande de connexion correspondante sont utilisés pour déterminer si :

https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-realm-names 3/4
11/11/2023 07:42 Noms de domaine | Microsoft Learn

le serveur NPS traite le message Access-Request localement (lorsqu’il est utilisé en

tant que serveur RADIUS) ;

le serveur NPS transfère le message à un autre serveur RADIUS (lorsqu’il est utilisé
en tant que proxy RADIUS).

Configuration du nom de domaine fourni par le

serveur NPS
Lorsque le nom d’utilisateur ne contient pas de nom de domaine, le serveur NPS en
fournit un. Par défaut, le nom de domaine fourni par le serveur NPS est le domaine dont
ce dernier est membre. Vous pouvez spécifier le nom de domaine fourni par le
serveur NPS par le biais du paramètre de registre suivant :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProto
cols\BuiltIn\
Name: DefaultDomain
Type: REG_SZ
Value: the FQDN for the domain, like test.contoso.com

Ｕ Attention

Une modification incorrecte du Registre peut sérieusement endommager votre

système. Avant toute modification du registre, il est conseillé de sauvegarder toutes
les données importantes de votre ordinateur.

Certains serveurs d’accès réseau non Microsoft suppriment ou modifient le nom de

domaine spécifié par l’utilisateur. Par conséquent, la demande d’accès réseau est
authentifiée auprès du domaine par défaut, qui n’est peut-être pas le domaine du
compte de l’utilisateur. Pour résoudre ce problème, configurez vos serveurs RADIUS
pour modifier le nom d’utilisateur selon le bon format et avec le nom de domaine
précis.

https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/nps/nps-crp-realm-names 4/4