我寻找一种方法来阻止不属于我们公司 Active Directory 域的设备进行网络访问。
有些人将他们的个人笔记本电脑连接到我们的公司网络,其中一些人无意中造成了问题。
我已经使用 DHCP 策略为他们提供单独的 DNS 名称(aliens.contoso.com),这样我就可以快速查看此类设备是否已连接(我只是查看了 DNS 控制台)。当客户端不属于我们的 contoso.com 域时,此策略将被激活。这种
方法的问题是:不需要的笔记本电脑已完全纠正 IP 设置,因此用户可以使用它。
这只允许拥有单独的 DNS 名称。我无法指定不同的路由器或不可用的 IP 地址。
我们希望为这些笔记本电脑分配不可用的 IP 设置。这样用户就不会使用它,也不会给我们打电话。这将使我们能够确保笔记本电脑是干净的,并向用户提供指导。
当然,他们可以手动输入正确的设置,但我们很少有用户能做到这一点,这将大大减少问题。
我不打算使用 802.1X 强制网络访问。我知道 DHCP 方法比较弱。
我认为我们可以使用网络保护服务器来实现这一点(我们的服务器使用 Windows 2012 R2),但我不明白如何做。
答案1
简而言之:你不能
为了让 DHCP 服务器知道设备是否在域内,它必须与域控制器通信,因此它首先有一个 IP 地址。
这就是您想要的设置显示为灰色的原因。
一个技巧是使用特殊前缀命名您的计算机。这样,当计算机协商 DHCP 租约时,DHCP 服务器就可以检测到它。因此所需的选项将可用(不会变灰)。
答案2
实现此目的的常用方法是使用 802.1X 身份验证,但您曾表示不想这样做。NPS 与 802.1X 一起使用,因此如果您不打算使用它,那么 NPS 就没什么用处。
我能想到的唯一其他方法是使用基于端口的 VLAN(不是 802.1q)将所有未使用的网络端口(可能是“来宾”端口)移到不同的 VLAN 上,在该 VLAN 上添加 DHCP 助手并将 DHCP 请求转发到您的 2012 R2 服务器并向它们发出不同的子网/网关/等。或者您可以将它们引导到强制门户。或者您可以根本不向它们发出 IP 地址并且没有网关。