配置域名扫描
2023年12月13日
ID 189886
建议启用域名扫描以确保正确操作流量处理规则和用户隶属工作区的条件的正确应用。如果您所在的组织在浏览器设置中用空白域部分或以应用程序不支持的格式保存了用户的域名,您可以禁用域名扫描。
域名的不同格式取自以下用户账户元素的组合:
- NETBIOS 名称 – 由一个16字节地址组成的唯一域名,用于局域网中的识别。
- DNS 名称 – 域名,包括所有被用点分开的 DNS 层级的父级域的名称。
- sAMAccountName – Windows 2000格式之前的用户账户名称。
- UPN 名称(用户主名称) – 用户账户名称,由用字符 @ 分开的 UPN 前缀(输入名称)和 UPN 后缀(域名)组成。
DNS 名称被默认用作 UPN 后缀。您可以指定其它 UPN 后缀,并在账户属性而不是 DNS 名称中进行选择。
在 Active Directory 管理元件中,这些元素对应以下示例中呈现的字段,其中:
name– UPN 前缀test.local– DNS 名称TEST– NETBIOS 名称lastname– sAMAccountNametest.com– 另外的 UPN 后缀
Active Directory 管理单元中的域和用户账户属性
如果域名扫描被禁用,用户身份验证将根据下表执行。
域名扫描被禁用时的身份验证
域名格式 | 示例 | 身份验证 |
|---|---|---|
DNS-Name\sAMAccountName | test.local\lastname | 已执行 |
NETBIOS-Name\sAMAccountName | test\lastname | 已执行 |
UPN-Suffix\sAMAccountName | test.com\lastname | 已执行 |
<任何值>\sAMAccountName | <any value>\lastname | 已执行 |
DNS-Name\UPN-Prefix | test.local\name | 未执行。 |
NETBIOS-Name\UPN-Prefix | test\name | 未执行。 |
UPN-Suffix\UPN-Prefix | test.com\name | 未执行。 |
UPN-Prefix@DNS-Name | name@test.local | 已执行,如果域的 DNS 名称被用作用户 UPN 前缀。 |
UPN-Prefix@NETBIOS-Name | name@test | 未执行。 |
UPN-Prefix@UPN-Suffix | name@test.com | 已执行,如果指定的 UPN 后缀被用作用户的 UPN 后缀。 |
sAMAccountName@DNS-Name | lastname@test.local | 已执行 |
sAMAccountName@NETBIOS-Name | lastname@test | 已执行 |
sAMAccountName@UPN-Suffix | lastname@test.com | 未执行。 |
如果启用了域名扫描,只有当域名是用受支持的格式指定时,应用程序才会允许用户身份验证。在此情况下,应用程序将可以正确识别用户并应用所定义的流量处理规则和工作区设置。
受目前版本和6.0版本应用程序支持的域名格式请参见下表。
域名支持的格式
格式 | 示例 | Support in version 6.0 |
|---|---|---|
NETBIOS\sAMAccountName | TEST\lastname | 是(Y) |
sAMAccountName@NETBIOS | lastname@TEST | 否 |
sAMAccountName@DNS-Name | lastname@test.local | 是(Y) |
DNS-Name\sAMAccountName | test.local\lastname | 否 |
UPN-Prefix@UPN-Suffix | name@test.com | 否 |
要配置域名扫描:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → 身份验证 区域。
- 在 NTLM 字段,单击 设置 链接。
NTLM 身份验证设置 窗口将打开。
- 设置 检查域名 切换开关到 已启用。
- 在允许的 DNS/NETBIOS 域名字段中,指定被允许的域名。
- 如果您想要添加多个名称,请点击
图标并在出现的输入字段中指定名称。 - 单击 保存。
代理服务器将被重启。重启完成前流量处理将被暂停。
将配置域名扫描。如果尝试用未被指定为允许域名的域名进行身份验证,代理服务器将不会把身份验证中继到 Active Directory 服务器。用户必须重新输入账户凭证。