none
關於ad的dhcp與非法使用者.. RRS feed

  • 問題

  • 各位前輩:

          目前敝公司指派IP的方式是透過AD 的DHCP來派送IP,但由於種種因素,會有許多未知的使用者拿各種裝置(NB、無線AP等)接上網路便可上網了,這對我們造成莫大的困擾。

          請問有沒有任何方法或機制或設備可以做到這方面的管控,例如必須經過AD認證方可從DHCP拿到IP之類的?或是透過某種設備可以做到類似的效果?

          這個問題應該許多IT都有遇過,不曉得是否之前有人回答過,若在此造成大家困擾請見諒,也請大家多多提供意見,謝謝!

    2008年1月25日 上午 10:02

解答

    1. 以微軟的解決方案來說. DHCP 必須是 Windows 2008, NAP 是 Windows 2008 的一個 role; 因此 OS 端必須是 Windows 2008; 用戶端可以是 XP 或是 Vista. 但 XP 必須安裝 SP3 或是 NAP client 才可以搭配整個運作機制.
    2. 可以達的功能很多, 但您所提的非網域內的電腦可以取的 DHCP 的 IP 嗎? 這部分需要搭配 third party 才可以.
      Windows 2008 DHCP, NAP 可以做到:
      1. 檢查用戶端電腦的健康狀態, 例如有無安裝防毒軟體, 防火牆是否有開啟, 等?
      2. 如果搭配 SCCM, 可以使用 remediation 的功能, 首先檢查用戶端電腦是否未更新 Patch, 或未安裝公司 OA 的特定軟體. 如果未符合 NPS 中 SCCM 的 system health validator 所訂的 policy 時, 可將用戶端電腦放置在一個隔離區. 待扮演 Remediation 的伺服器將必要的 patch 或是軟體安裝完成後, 才可以拿到一個可使用的 IP 以及 full access.
    3. 802.1x + AD certificate + 硬體設備可以達到您的需求
    2008年1月28日 上午 10:36

所有回覆

  • DHCP靜態對應、managed L2 switch鎖MAC address。

    2008年1月26日 下午 05:12
  • Windows 2008 的 DHCP & NAP, 搭配 certificate 以及 802.1x 可達到您的需求. 但僅能做到用戶端的控管, 無法管理使用者私接無線 AP 或是 Hub 等.

    2008年1月28日 上午 03:50
  • 感謝各位的回覆!以下是我的認知,請確認是否有誤...

    1. 未經過認證的電腦無法取得IP,反之有經過認證的電腦只要有接到網路(有線or無線)均能取得IP。

    2. 無法控管到接到公司網路上的其他網路設備,但能控管到網路上各設備及最末端的電腦設備的IP取得。

     

    但小弟仍有一些疑問想請教:

    1. OS 必須為Server 2008 方能支援嗎?

    2. 能做到用戶端哪方面的控管?若非網域內的電腦可取得DHCP發出的IP嗎?

    3. 無法管理私有Hub 或 無線AP的意思是指,透過連接至公司網路的Hub或 無線AP仍可取得DHCP所發出的IP嗎?

     

    其實我最主要的目的就是希望未經過認證的電腦無法透過公司網路取得IP,反之只要經過認證的電腦(有加入網域的電腦)無論是透過Hub、無線AP等裝置或直接接在公司網路上均可取得IP。

     

    以上再向各位高手請教!

    2008年1月28日 上午 10:22
    1. 以微軟的解決方案來說. DHCP 必須是 Windows 2008, NAP 是 Windows 2008 的一個 role; 因此 OS 端必須是 Windows 2008; 用戶端可以是 XP 或是 Vista. 但 XP 必須安裝 SP3 或是 NAP client 才可以搭配整個運作機制.
    2. 可以達的功能很多, 但您所提的非網域內的電腦可以取的 DHCP 的 IP 嗎? 這部分需要搭配 third party 才可以.
      Windows 2008 DHCP, NAP 可以做到:
      1. 檢查用戶端電腦的健康狀態, 例如有無安裝防毒軟體, 防火牆是否有開啟, 等?
      2. 如果搭配 SCCM, 可以使用 remediation 的功能, 首先檢查用戶端電腦是否未更新 Patch, 或未安裝公司 OA 的特定軟體. 如果未符合 NPS 中 SCCM 的 system health validator 所訂的 policy 時, 可將用戶端電腦放置在一個隔離區. 待扮演 Remediation 的伺服器將必要的 patch 或是軟體安裝完成後, 才可以拿到一個可使用的 IP 以及 full access.
    3. 802.1x + AD certificate + 硬體設備可以達到您的需求
    2008年1月28日 上午 10:36