Alles zum Thema Windows Server sowie Windows IT Pro Themen — Q & A zu den Windows Server Versionen NT / 2000 / 2003 / 2003 R2 / 2008 / 2008 R2: Rollen, Features, Konfiguration, Troubleshooting
NAP mit DHCP einsetzen mit einem Windows 2008 Server
Hallo,
ich habe einen Windows 2008 DC mit NAP und DHCP installiert.
Es funktioniert eigentlich alles ganz gut.
Jetzt hätte ich aber eine Frage. Wenn ein Client keine aktuelle
Virendefinitation hat möchte ich, dass der Client mittels NAP einem extra
DHCP Bereich zugewiesen wird und dort nur Zugriff auf seine Wartungsserver
hat. Wenn der Client dann alle Updates bekommen hat, soll er nach einem
neustart dem "richtigen" DHCP Scope zugewiesen werden, damit er dann den
normalen vollen Zugriff auf die Domäne hat. Geht das? Ich habe im Internet
nichts gefunden.
Ich glaube nur mit einem Scope Bereich und mit angegeben Wartungsservern
geht das nicht. Dann hat der nicht konforme Client ja auch Zugriff auf die
anderen Server im Netz.
Hat jemand schon Erfahrung damit bzw. geht das ganze nur mit 802.1x?
Danke
stronzo
Du benötigst dafür keinen zweiten Bereich. Mit einem zweiten Bereich würde das auch nicht funtionieren. Wenn die Wartungsserver im gleichen Netz stehen, dann wird automatisch zu dem Wartungsserver eine Route auf dem Client konfiguriert. Da der Client in einem 32er Subnetz steht, kann er nur mit den Servern kommunizieren, die er als Route hinterlegt hat. Du kannst das auch noch aufweichen, indem Du in den Bereichsoptionen auf "Erweitert" klickst. Dort kannst Du unter "benutzerklassen" die Option "Standardmäßige Netzwerkzugriffschutz Klasse" auswählen. Wenn Du das ausgewählt hast, dann kannst Du über die Option 121 weitere Routen hinterlegen.
danke für Deine Antwort aber ich komme noch nicht ganz mit.
Was meinst Du mit einem 32er Subnetz? Wenn ich z.B. ein Klasse C Netz habe und der Client (es ist z.B. ein Laptop von meiner Domäne) meldet sich in der Domäne an, dann kann er einen ping zum DC oder Fileserver machen oder der User kann auch auf die Freigaben zugreifen. Meinst Du, dass ich im DHCP in der Option 121 nur die Server (bzw Route) angeben kann mit denen der Client kommunizieren darf? Funktioniert das auch in einem Klasse C Netz?
Danke
Stronzo
poste doch mal bitte ein ipconfig /all von einem Client mit "nicht eingeschränkt" und von einem Client "eingeschränk". Vor dem Posten siehst Du Dir von beiden Rechnern die SM an. Da siehst Du, dass der eine Rechner eine IP 192.168.1.x / 24 hat und der eingeschränkte hat 192.168.1.x /32. Dadurch kann er nur mit sich selbst kommunizieren. Für die Wartungsserver kommt der eingeschränkte Client explizite Routen konfiguriert. Zusätzliche Routen kannst Du über die Option 121 über DHCP festlegen.
