配置網域名稱掃描
2023年12月13日
ID 189886
建議啟用網域名稱掃描以確保正確操作流量處理規則和使用者隸屬工作區的條件的正確套用。如果您所在的組織在瀏覽器設定中用空白網域部分或以應用程式不支援的格式儲存了使用者的網域名稱,您可以停用網域名稱掃描。
網域名稱的不同格式取自以下使用者帳戶元素的組合:
- NETBIOS 名稱 – 由一個 16 位元組位址組成的唯一網域名稱,用於區域網路中的識別。
- DNS 名稱 – 網域名稱,包括所有被用點分開的 DNS 層級的父級網域的名稱。
- sAMAccountName – Windows 2000 格式之前的使用者帳戶名稱。
- UPN 名稱(使用者主名稱)– 使用者帳戶名稱,由用字元 @ 分開的 UPN 首碼(輸入名稱)和 UPN 尾碼(網域名稱)組成。
DNS 名稱被預設用作 UPN 尾碼。您可以指定其它 UPN 尾碼,並在帳戶內容而不是 DNS 名稱中進行選擇。
在 Active Directory 管理元件中,這些元素對應以下示例中呈現的欄位,其中:
name
– UPN 首碼test.local
– DNS 名稱TEST
– NETBIOS 名稱lastname
– sAMAccountNametest.com
– 另外的 UPN 尾碼Active Directory 管理單元中的網域和使用者帳戶內容
如果網域名稱掃描被停用,使用者身分驗證將根據下表執行。
網域名稱掃描被停用時的身分驗證
網域名稱格式 | 示例 | 身分驗證 |
---|---|---|
DNS-Name\sAMAccountName | test.local\lastname | 已執行 |
NETBIOS-Name\sAMAccountName | test\lastname | 已執行 |
UPN-Suffix\sAMAccountName | test.com\lastname | 已執行 |
<任何值>\sAMAccountName | <any value>\lastname | 已執行 |
DNS-Name\UPN-Prefix | test.local\name | 未執行。 |
NETBIOS-Name\UPN-Prefix | test\name | 未執行。 |
UPN-Suffix\UPN-Prefix | test.com\name | 未執行。 |
UPN-Prefix@DNS-Name | name@test.local | 已執行,如果網域的 DNS 名稱被用作使用者 UPN 首碼。 |
UPN-Prefix@NETBIOS-Name | name@test | 未執行。 |
UPN-Prefix@UPN-Suffix | name@test.com | 已執行,如果指定的 UPN 尾碼被用作使用者的 UPN 尾碼。 |
sAMAccountName@DNS-Name | lastname@test.local | 已執行 |
sAMAccountName@NETBIOS-Name | lastname@test | 已執行 |
sAMAccountName@UPN-Suffix | lastname@test.com | 未執行。 |
如果啟用了網域名稱掃描,只有當網域名稱是用受支援的格式指定時,應用程式才會允許使用者身分驗證。在此情況下,應用程式將可以正確識別使用者並應用所定義的流量處理規則和工作區設定。
受目前版本和 6.0 版本應用程式支援的網域名稱格式請參見下表。
網域名稱支援的格式
格式 | 示例 | Support in version 6.0 |
---|---|---|
NETBIOS\sAMAccountName | TEST\lastname | 是(Y) |
sAMAccountName@NETBIOS | lastname@TEST | 否 |
sAMAccountName@DNS-Name | lastname@test.local | 是(Y) |
DNS-Name\sAMAccountName | test.local\lastname | 否 |
UPN-Prefix@UPN-Suffix | name@test.com | 否 |
要配置網域名稱掃描:
- 在應用程式網頁介面中,選擇設定 → 內建代理伺服器 → 身分驗證區域。
- 在NTLM欄位,點擊設定連結。
NTLM 身分驗證設定視窗將開啟。
- 設定檢查網域名稱轉換開關到已啟用。
- 在允許的 DNS/NETBIOS 網域名稱欄位中,指定被允許的網域名稱。
- 如果您想要新增多個名稱,請點擊 圖示並在出現的輸入欄位中指定名稱。
- 點擊儲存。
代理伺服器將被重新啟動。重新啟動完成前流量處理將被暫停。
將配置網域名稱掃描。如果嘗試用未被指定為允許網域名稱的網域名稱進行身分驗證,代理伺服器將不會把身分驗證中繼到 Active Directory 伺服器。使用者必須重新輸入帳戶憑證。