none
Windows server 2012 r2 DHCP Server 如何限定網域內的主機Get IP就好? RRS feed

  • 問題

  • 請問各位先進

    Windows Server DHCP服務有辦法在限制網域內取得IP就好嗎?

    例如consto.com這個網域內的主機有IP即可,其他的都不要...

    謝謝

    2016年12月19日 上午 08:03

所有回覆

  • 有幾個辦法, 但首先有個東西要弄懂

    電腦只有連到DC上才知道是網域內的東西, 所以必須先連線, 而且能接觸到DC

    而且假如你有一台電腦需要加入網域也需要先連入網絡..但如果得不到IP那不是兩難局面了?

    所以要網域內的電腦才能得到IP這個要求是有某個矛盾點

    你應該讓他們進行需要驗證連線, 例如使用802.1x驗證方式去驗證使用者或電腦帳號,

    https://blogs.technet.microsoft.com/networking/2012/05/30/creating-a-secure-802-1x-wireless-infrastructure-using-microsoft-windows/

    或在DHCP上使用MAC Address filter, 只準許已記錄的單個或某一個MAC Address段落的電腦Mac address取得IP.

    適合每一台電腦都會先經過IT部門審核的公司

    https://technet.microsoft.com/en-us/library/ff521761.aspx

    或使用以往的NPS, Network Policy Server來阻擋未設定好NPS Agent的電腦, 但Windows 10已經不具備NPS Agent所以如果環境內有Windows 10這個方式行不通.



    邊幫助, 邊鍛鍊

    2016年12月19日 上午 09:14
  • 單純的 DHCP 服務沒辦法簡單做到

    但其實您的最終目的是否希望非網域的電腦不可以上網或限制存取對嗎?
    可以參考 iTHome 針對 Network Access Control (NAC) 產品的報導
    NAC 採購特輯

    要另外注意的是,該篇特輯已經是幾年前的報導,
    但技術本身的運作原理可以先參考瞭解,
    再去尋找近幾年更適合的產品與技術


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2016年12月19日 上午 09:43
    版主
  • 原本以為新版的DHCP Services可以做到只針對網域內的主機派發IP,原來還是無法,滿遺憾的呢!

    2016年12月19日 上午 09:53
  • 如果希望做到管控,就要用其他服務去搭配,
    像是 Justin Lan 提到的 802.1x 及 NPS,
    或者第三方的軟硬體設備去協助

    但 DHCP 服務本身,微軟有額外設計了高可用性,
    有興趣可以參考這篇文章
    Windows Server 2012 佈署 DHCP 容錯備援機制


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2016年12月19日 下午 01:57
    版主
  • 您好

    我這邊之前也是有這種想法,有把公司所有主機mac 記錄下來,在DHCP 上設定

    所以如果不是公司的電腦,就算插上網路~~也拿不到IP,只不過很費工 

    2016年12月26日 上午 07:32