Как “выделять” недоменных клиентов DHCP с Windows 2012 R2?
Я ищу способ предотвратить доступ к сети к устройствам, не принадлежащим нашему корпоративному домену Active Directory.
Некоторые люди подключают свои персональные ноутбуки к нашей корпоративной сети, и некоторые из них неумышленно вызывают проблемы.
Я, которого aleady используют политику DHCP дать им отдельное имя DNS (aliens.contoso.com), позволяя мне быстро видеть, подключено ли такое устройство (я просто взглянул на консоль DNS). Эта политика активируется, когда клиент не принадлежит нашему домену contoso.com.
Проблема с этим методом: нежелательный ноутбук имеет, отлично исправляет настройки IP, таким образом, пользователь может использовать его.
Это только позволяет иметь отдельное имя DNS. Я не могу указать другой маршрутизатор или неприменимый IP-адрес.
Мы хотели бы присвоить неприменимые настройки IP тем ноутбукам. Таким образом, пользователи не будут использовать его или звонить нам. Это позволит нам удостоверяться, что ноутбук является чистым, и дать направления пользователям.
Конечно, они могут вручную ввести корректные настройки, но немногие наши пользователи могут сделать это, и это значительно уменьшит проблемы.
Я не планирую осуществить доступ к сети с 802.1X. Я знаю, что метод DHCP более слаб.
Я думаю, что мы можем сделать это с Сетевым Сервером Защиты (мы используем Windows 2012 R2 для нашего сервера), но я не сделал понятый как.
Вкратце: вы не можете
Чтобы DHCP-сервер узнал, находится ли устройство внутри домена, он должен связаться с контроллером домена, поэтому сначала у него есть IP-адрес.
Вот почему нужные вам настройки выделены серым цветом.
Уловка может заключаться в том, чтобы присвоить вашему компьютеру специальный префикс. Затем сервер DHCP может обнаружить это, когда компьютер откажется от аренды DHCP. Таким образом, желаемый вариант будет доступен (не выделен серым цветом).
Обычно это делается с помощью 802.1X аутентификации, но вы сказали, что не хотите этого делать. NPS используется с 802.1X, так что если вы не собираетесь его использовать, то NPS вам не пригодится.
Единственный другой способ, о котором я могу подумать, это использовать VLAN на базе портов (а не 802.1q), чтобы переместить все неиспользуемые сетевые порты (которые могут быть "гостевыми") на другой vlan, добавить DHCP Helper в эту VLAN, переадресовать DHCP-запросы на ваш 2012 R2-сервер и выдать им другую подсеть/шлюз/и т.д. Или вы можете направить их на портал для захваченных пользователей. Или вы можете просто не выдавать им IP-адрес вообще и не иметь шлюза.
.