locked
Questions Restrictions NAP sur WIN2008 RRS feed

  • Discussion générale

  • Bonjour à tous,

    Donc j'ai une petite question qui me perturbe depuis un petit moment concernant le NAP. Ayant mis en place une simple vérification ( Anti -virus actif + MAJ OK) via DHCP . Tout ce passe bien les personnes ne répondant pas à ces critères sont automatiquement mis en quarantaine. J'ai laissé à ces mêmes personnes le droit de pouvoir voir et discuter avec mon serveur ayant le rôle WSUS installer. C ependant étant en quarantaine et leur passerelle à 0.0.0.0, ils ne peuvent pas sortir sur internet jusque la cela parait plutôt logique. J'ai donc été dans les configurations avancées du DHCP gérant le NAP pour lui attribuer une route statique 192.168.1.254 vers ma passerelle de plus j'ai mis cette même passerelle en que IP avec qui les personnes en quarantaine auraient le droit de discuter tout comme mon précédant serveur WSUS. Mon problème est ici même après ce changement les clients ne sont toujours pas apte à sortir vers le net, mais ils peuvent bien faire leurs mises à jour... Quelqu'un pourrait m'éclaircir? ? Merci d'avance

    jeudi 23 septembre 2010 09:03

Toutes les réponses

  • Bonjour

     

    Sur les pc's supposés etre en quarantaine, quand vous faites route print , est ce que la route statique est présente ?

    Destination réseau    Masque réseau  Adr. passerelle   Adr. interface
              0.0.0.0             0.0.0.0             IP passerelle               IP PC

    Merci de nous tenir au courant

    Khalil


    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]
    jeudi 23 septembre 2010 10:43
  • Merci de votre réponse, effectivement quand le pc est en quarantaine une route statique est présente:

     

    192.168.100.102 / 255.255.255.255 / On-Link / 192.168.100.102.

     

    Une idée de comment laisser les utilisateurs allez sur le net sans pour autant leurs donner accès au réseau quand que celui-ci ne les déclares pas apte à y rentrer??

     

    Merci

    jeudi 23 septembre 2010 11:58
  • Bonjour,

    à mon avis

    1. si un proxy est dispo dans le réseau , on peut autoriser seulement  l'accès au proxy en le rajoutant dans la liste des serveurs de remediation et configurer les client comme étant des clients proxy.
    2. un peu plus difficile , créer un réseau de quarantaine et rajoutter une route statique   pour chaque client quarantaine    route add 0.0.0.0 mask 0.0.0.0 IP-Routeur -p
    ça reste toujours un avis :)

    Merci

    Khalil


    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]
    jeudi 23 septembre 2010 13:28
  • Bonjour,

     

    Donc la solution 1 aurai pu être faisable cependant aucun proxy n'est actuellement en fonctionnement sur le réseau.

    Pour ce qu'il est de la solution 2 je ne suis pas sur de bien comprendre son fonctionnement....Un peu plus de détail svp...

     

    Merci

    vendredi 24 septembre 2010 08:25
  • Bonjour,

    après une vérification  la solution 2 n'est pas applicable sur le NAP DHCP ,

    voila ce que j'ai trouvé :

    Are computers using DHCP to obtain an IP address on your network?

    The second most fundamental question surrounds the IP addressing scheme your organization uses. If your organization uses Dynamic Host Configuration Protocol (DHCP) to distribute IP addresses to computers connecting to the network, consider using DHCP enforcement to provide network access protection.

    DHCP enforcement works by limiting network access for the DHCP client through its IP routing table. DHCP enforcement sets the DHCP Router option value to 0.0.0.0 so that the noncompliant computer is not configured to use a default gateway. DHCP enforcement also sets the subnet mask for the allocated IP address to 255.255.255.255 so that there is no route to the attached subnet.

    As with VPN enforcement, using DHCP enforcement can restrict the client to a logical network that can only access remediation servers.

    To allow noncompliant computers to access the remediation servers on the restricted network, the DHCP server assigns the Classless Static Routes DHCP option which contains a set of host routes to the computers on the restricted network, such as the DNS and remediation servers. The end result of DHCP limited network access is a configuration and routing table that allows connectivity only to specific destination addresses. Therefore, when an application attempts to send to a unicast IPv4 address other than those supplied via the Classless Static Routes option, the TCP/IP protocol returns a routing error.

    Note: At this time, DHCP enforcement is for IP version 4 (IPv4) and does not support IP version 6 (IPv6)-based DHCP clients. However, IPv6 support might come at a later date either for Microsoft DHCP for IPv6, or for a third-party DHCP provider. DHCP enforcement requires a NAP-enabled DHCP server, which at the present time is only supported by the Microsoft DHCP Server component that is included in the Windows Server 2008.

    Référence : http://blogs.technet.com/b/nap/archive/2007/07/28/network-access-protection-deployment-planning.aspx

    Donc le seul moyen , c'est d'ajouter un proxy , ou d'ajouter une route statique vers la passerelle Internet.

    A+

     

    Khalil


    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]
    vendredi 24 septembre 2010 09:11
  • Bonjour,

     

    Merci pour cette réponse cependant j'ai déja ajouter une route statique vers la passerelle, mais le NAP mettant automatiquement celle-ci a 0.0.0.0 ne fonctionne pas... Je vais essayer de mettre un proxy en place et de tester.Une autre idée?

    lundi 27 septembre 2010 09:33
  • Juste un autre petit point concernant la mise en place du proxy , celui-ci va être installer sous peu maintenant une autre question ce pose, si ce même proxy est en interne, que je déploie une GPO pour changer les paramètres de navigateur des utilisateurs, vu que le proxy a une adresse interne comment feront-ils une fois chez eux pour ce connecté correctement à internet?
    lundi 27 septembre 2010 14:57
  • Bonsoir,

     

    il y a les entrés WPAD qu'on peut utiliser, une piste à creuser.

     

    par ici  http://technet.microsoft.com/en-us/library/cc713344.aspx

     

    A+

     

    Khalil

     


    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]
    lundi 27 septembre 2010 17:06