stronzo75 10 Geschrieben 4. Januar 2009 Melden Teilen Geschrieben 4. Januar 2009 Hallo, ich habe einen Windows 2008 DC mit NAP und DHCP installiert. Es funktioniert eigentlich alles ganz gut. Jetzt hätte ich aber eine Frage. Wenn ein Client keine aktuelle Virendefinitation hat möchte ich, dass der Client mittels NAP einem extra DHCP Bereich zugewiesen wird und dort nur Zugriff auf seine Wartungsserver hat. Wenn der Client dann alle Updates bekommen hat, soll er nach einem neustart dem "richtigen" DHCP Scope zugewiesen werden, damit er dann den normalen vollen Zugriff auf die Domäne hat. Geht das? Ich habe im Internet nichts gefunden. Ich glaube nur mit einem Scope Bereich und mit angegeben Wartungsservern geht das nicht. Dann hat der nicht konforme Client ja auch Zugriff auf die anderen Server im Netz. Hat jemand schon Erfahrung damit bzw. geht das ganze nur mit 802.1x? Danke stronzo Zitieren Link zu diesem Kommentar
frr 11 Geschrieben 4. Januar 2009 Melden Teilen Geschrieben 4. Januar 2009 Hallo, Du benötigst dafür keinen zweiten Bereich. Mit einem zweiten Bereich würde das auch nicht funtionieren. Wenn die Wartungsserver im gleichen Netz stehen, dann wird automatisch zu dem Wartungsserver eine Route auf dem Client konfiguriert. Da der Client in einem 32er Subnetz steht, kann er nur mit den Servern kommunizieren, die er als Route hinterlegt hat. Du kannst das auch noch aufweichen, indem Du in den Bereichsoptionen auf "Erweitert" klickst. Dort kannst Du unter "benutzerklassen" die Option "Standardmäßige Netzwerkzugriffschutz Klasse" auswählen. Wenn Du das ausgewählt hast, dann kannst Du über die Option 121 weitere Routen hinterlegen. Grüße Frank Zitieren Link zu diesem Kommentar
stronzo75 10 Geschrieben 4. Januar 2009 Autor Melden Teilen Geschrieben 4. Januar 2009 Hallo, danke für Deine Antwort aber ich komme noch nicht ganz mit. Was meinst Du mit einem 32er Subnetz? Wenn ich z.B. ein Klasse C Netz habe und der Client (es ist z.B. ein Laptop von meiner Domäne) meldet sich in der Domäne an, dann kann er einen ping zum DC oder Fileserver machen oder der User kann auch auf die Freigaben zugreifen. Meinst Du, dass ich im DHCP in der Option 121 nur die Server (bzw Route) angeben kann mit denen der Client kommunizieren darf? Funktioniert das auch in einem Klasse C Netz? Danke Stronzo Zitieren Link zu diesem Kommentar
frr 11 Geschrieben 5. Januar 2009 Melden Teilen Geschrieben 5. Januar 2009 Hallo, poste doch mal bitte ein ipconfig /all von einem Client mit "nicht eingeschränkt" und von einem Client "eingeschränk". Vor dem Posten siehst Du Dir von beiden Rechnern die SM an. Da siehst Du, dass der eine Rechner eine IP 192.168.1.x / 24 hat und der eingeschränkte hat 192.168.1.x /32. Dadurch kann er nur mit sich selbst kommunizieren. Für die Wartungsserver kommt der eingeschränkte Client explizite Routen konfiguriert. Zusätzliche Routen kannst Du über die Option 121 über DHCP festlegen. Grüße Frank Zitieren Link zu diesem Kommentar
stronzo75 10 Geschrieben 5. Januar 2009 Autor Melden Teilen Geschrieben 5. Januar 2009 Hallo Frank, danke für die Antwort. Da habe ich geschlafen, Du hast recht, wenn er eingeschränkt ist hat er 4 mal 255 und darum meintest Du das 32er Netz. Danke gruß Stronzo Zitieren Link zu diesem Kommentar
frr 11 Geschrieben 5. Januar 2009 Melden Teilen Geschrieben 5. Januar 2009 Hallo, was ich aber noch nicht ganz verstehe ist, dass Du die anderen Server anpingen kannst. Das sollte so nicht möglich sein. Grüße Frank Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.