Como “segregar” clientes DHCP sem domínio com o Windows 2012 R2?

1

Pesquisei uma maneira de impedir o acesso da rede a dispositivos que não pertencem ao nosso domínio corporativo do Active Directory.

Algumas pessoas conectam seus laptops pessoais à nossa rede corporativa, e alguns deles causam problemas involuntários.

Eu já uso uma política de DHCP para fornecer um nome DNS separado (aliens.contoso.com), permitindo que eu veja rapidamente se esse dispositivo está conectado (basta dar uma olhada no console DNS). Esta política é ativada quando o cliente não pertence ao nosso domínio contoso.com.
O problema com este método é: o laptop indesejado corrige perfeitamente as configurações de IP, para que o usuário possa usá-lo.
Isso só permite ter um nome DNS separado. Não consigo especificar um roteador diferente ou um endereço IP inutilizável.

Gostaríamos de atribuir configurações de IP inutilizáveis a esses laptops. Assim, os usuários não vão usá-lo nem nos telefonar. Isso nos permitirá garantir que o laptop esteja limpo e forneça instruções para os usuários.

É claro que eles podem inserir manualmente as configurações corretas, mas poucos de nossos usuários podem fazer isso, e isso reduzirá consideravelmente os problemas.
Eu não pretendo reforçar o acesso à rede com o 802.1X. Eu sei que o método DHCP é mais fraco.

Acho que podemos fazer isso com o Network Protection Server (usamos o Windows 2012 R2 para nosso servidor), mas não entendi como.

    
por Gregory MOUSSAT 12.01.2015 / 01:20

2 respostas

2

Resumindo: você não pode

Para que o servidor DHCP saiba se um dispositivo está dentro do domínio, ele precisa se comunicar com um controlador de domínio, portanto, primeiro ele tem um endereço IP. É por isso que as configurações desejadas estão esmaecidas.

Um truque pode ser nomear seu computador com um prefixo especial. Em seguida, o servidor DHCP pode detectá-lo quando o computador negociar a concessão de DHCP. Assim, a opção desejada estará disponível (não esmaecida).

    
por 26.06.2015 / 12:17
1

A maneira usual de fazer isso é com a autenticação 802.1X, mas você disse que não deseja fazer isso. O NPS é usado com o 802.1X, portanto, se você não for usá-lo, não terá muito uso para o NPS.

A única outra maneira que posso pensar em fazer isso é usar VLANs baseadas em portas (não 802.1q) para mover todas as portas de rede não usadas (que poderiam ser portas "guest") para uma vlan diferente, adicionar um DHCP Auxiliar nessa VLAN e encaminhar as solicitações DHCP para seu servidor 2012 R2 e emiti-las diferentes sub-redes / gateway / etc. Ou você poderia direcioná-los para um portal cativo. Ou você pode simplesmente não emitir um endereço IP e não ter um gateway.

    
por 12.01.2015 / 01:43