Как "отделить" не доменных клиентов DHCP с Windows 2012 R2?
Я ищу способ запретить сетевой доступ к устройствам, не принадлежащим к нашему корпоративному домену Active Directory.
Некоторые люди подключают свои личные ноутбуки к нашей корпоративной сети, а некоторые непреднамеренно вызывают проблемы.
Я просто использую политику DHCP, чтобы дать им отдельное DNS-имя (aliens.contoso.com), что позволяет мне быстро увидеть, подключено ли такое устройство (я просто смотрю на консоль DNS). Эта политика активируется, когда клиент не принадлежит нашему домену contoso.com.
Проблема этого метода в том, что нежелательный ноутбук отлично корректирует настройки IP, поэтому пользователь может его использовать.
Это позволяет только иметь отдельное DNS-имя. Я не могу указать другой маршрутизатор или непригодный IP-адрес.
Мы хотели бы назначить непригодные настройки IP для этих ноутбуков. Таким образом, пользователи не будут использовать его или позвонить нам. Это позволит нам обеспечить чистоту ноутбука и дать указания пользователям.
Конечно, они могут вручную ввести правильные настройки, но мало кто из наших пользователей может сделать это, и это значительно уменьшит проблемы.
Я не планирую обеспечивать доступ к сети с помощью 802.1X. Я знаю, что метод DHCP слабее.
Я думаю, что мы можем сделать это с Network Protection Server (мы используем Windows 2012 R2 для нашего сервера), но я не понял, как.
2 ответа
Короче говоря, вы не можете
Чтобы сервер DHCP знал, находится ли устройство в домене, ему необходимо связаться с контроллером домена, поэтому сначала он должен иметь IP-адрес.
Вот почему нужные вам настройки неактивны.
Уловка может состоять в том, чтобы назвать ваш компьютер специальным префиксом. Затем сервер DHCP может обнаружить его, когда компьютер назначит ему аренду DHCP. Таким образом, желаемый вариант будет доступен (не выделен серым цветом).
Обычный способ сделать это с аутентификацией 802.1X, но вы сказали, что не хотите этого делать. NPS используется вместе со стандартом 802.1X, поэтому, если вы не собираетесь его использовать, то вам вряд ли пригодится NPS.
Единственный другой способ сделать это - использовать VLAN на основе портов (не 802.1q), чтобы переместить все неиспользуемые сетевые порты (которые могут быть "гостевыми" портами) в другой vlan, добавить на них помощника DHCP. что VLAN и перенаправить запросы DHCP на сервер 2012 R2 и выдать им другую подсеть / шлюз / и т. д. Или вы могли бы направить их к пленному порталу. Или вы можете просто не выдавать им IP-адрес и не иметь шлюза.