我寻找一种方法来防止网络访问不属于我们公司 Active Directory 域的设备。
有些人将他们的个人笔记本电脑连接到我们的公司网络,其中一些人无意中造成了问题。
我已经使用 DHCP 策略给他们一个单独的 DNS 名称 (aliens.contoso.com),让我可以快速查看是否连接了这样的设备(我只是看看 DNS 控制台)。当客户端不属于我们的 contoso.com 域时,将激活此策略。
这种方法的问题是:不需要的笔记本电脑已经完美地纠正了 IP 设置,因此用户可以使用它。
这只允许有一个单独的 DNS 名称。我无法指定其他路由器或不可用的 IP 地址。
我们想为这些笔记本电脑分配不可用的 IP 设置。所以用户不会使用它,也不会打电话给我们。这将使我们能够确保笔记本电脑是干净的,并为用户提供指导。
当然,他们可以手动输入正确的设置,但我们的用户很少能做到这一点,这将大大减少问题。
我不打算强制使用 802.1X 进行网络访问。我知道 DHCP 方法较弱。
我认为我们可以使用 Network Protection Server 来做到这一点(我们的服务器使用 Windows 2012 R2),但我不明白怎么做。
简而言之:你不能
为了让 DHCP 服务器知道设备是否在域内,它必须与域控制器通信,因此它首先具有 IP 地址。
这就是您想要的设置显示为灰色的原因。
一个技巧可以是使用特殊前缀命名您的计算机。然后 DHCP 服务器可以在计算机协商 DHCP 租约时检测到它。因此,所需的选项将可用(未显示为灰色)。
执行此操作的常用方法是使用 802.1X 身份验证,但您已经说过您不想这样做。NPS 与 802.1X 一起使用,所以如果你不打算使用它,那么你就不会对 NPS 有太多用处。
我能想到的唯一另一种方法是使用基于端口的 VLAN(不是 802.1q)将所有未使用的网络端口(可能是“访客”端口)移动到不同的 vlan,添加 DHCP Helper 到该 VLAN 并将 DHCP 请求转发到您的 2012 R2 服务器并向它们发出不同的子网/网关/等。或者,您可以将他们引导至强制门户。或者你可以根本不给他们一个IP地址并且没有网关。