Je souhaitais consacrer un article sur l’utilisation des suffixes UPN dans Active Directory. Commençons par expliquer ce qu’est un UPN.
L’UPN ou User Principal Name est l’identifiant par défaut pour l’ouverture de session Active Directory. Son format ressemble à une adresse email avec la présence du caractère « @ ». Par exemple Paul sur le domaine « mondomaine.lan » possède un identifiant « paul@mondomaine.lan » :
Son UPN (Nom d’ouverture de session de l’utilisateur) est composé de 2 éléments, son nom de compte « Paul » et un suffixe UPN « mondomaine.lan ».
En ouvrant la liste déroulante vous constaterez que votre choix se limite au nom complet du domaine.
NOTE : le format « mondomaine\paul » largement utilisé aujourd’hui provient de l’ancien Windows NT qui n’utilisait DNS mais Wins et qui n’utilisait pas des noms complets mais des noms Netbios. Par défaut la partie précédant le « @ » dont l’UPN est identique à la partie suivant le « \ » des systèmes NT, néanmoins cela reste une valeur par défaut et il est possible de ne modifier qu’un des 2. Rien n’oblige à conserver des valeurs identiques.
Admettons que notre entreprise qui utilise le nom de domaine interne « mondomaine.lan », dispose d’un nom externe « monentreprise.fr ». Admettons que ce nom est également utilisé pour les adresses emails et que mon entreprise dispose d’un intranet. Je souhaite que Paul lorsqu’il veut s’authentifier sur l’intranet depuis l’extérieur utilise son adresse email plutôt que l’adresse interne ou le login format NT et donc je souhaite que son UPN soit « paul@monentreprise.fr ».
Ouvrons la console « domaine et approbation Active Directory », puis un clic droit sur « domaines et approbations Active Directory et sélectionnons propriétés :
Ajoutons « monentreprise.fr » dans les suffixes UPN :
En retournant dans la console « Utilisateurs et Ordinateurs Active Directory » nous constatons qu’il est possible d’ajouter « monentreprise.fr » dans le nom d’ouverture de session :
Mon entreprise étant en constante évolution, elle a acheté une autre société dont le nom de domaine est « dom1.local » et qui se trouve sur un site distant. Un tunnel VPN permanent a été configuré entre les 2 sites et ils existent une approbation de forêt bidirectionnelle entre les 2 domaines.
Paul va devoir maintenant se déplacer régulièrement sur l’autre site et utiliser des postes de l’autre entreprise. En essayant d’ouvrir sa session sur l’autre site avec son nom d’ouverture de session « paul@monentreprise.fr » il constate un problème. En effet les serveurs de l’autre site connaissent leur propre nom de domaine « dom1.local » ainsi que le nom du domaine du site approuvé « mondomaine.lan », mais pas « monentreprise.fr » et ne sait pas vers qu’elle contrôleur de domaine renvoyé la demande d’authentification. Il essaye d’utiliser « paul@mondomaine.lan » mais celui-ci ne fonctionne mieux.
Mais étrangement si Paul utilise son nom d’ouverture de session NT « mondomaine\Paul » cela fonctionne.
Allons dans la console « Domaine et Approbation Active Directory » du contrôleur de domaine de « dom1.local » du site distant :
Ouvrons les propriétés de l’approbation avec le domaine « mondomaine.lan » ou se trouve le compte de Paul. Dans la partie « routage des suffixes de noms » nous constatons que « monenetreprise.fr » est désactivé :
Il ne nous reste plus qu’à activer le routage du suffixe UPN :
Paul est maintenant en mesure d’ouvrir sa session sur le site distant en utilisant son compte « paul@monentreprise.fr ».
Commentaires
Merci
Problème identification Windows mail