Фильтрация групповых политик для создания политики внедрения NAP DHCP в Windows Server 2008

ОГЛАВЛЕНИЕ

 

Настройка DHCP сервера

Теперь, когда наши политики NAP были настроены с помощью мастера NAP, мы можем сосредоточить свое внимание на настройке DHCP сервера. Помните, сервер DHCP является сервером сетевого доступа в сценарии DHCP NAP, поэтому нам нужно настроить DHCP сервер на взаимодействие с компонентами NAP, чтобы все работало.

Откройте консоль DHCP из меню Администрирование. В консоли DHCP разверните имя сервера, затем вкладку IPv4, а затем разверните вкладку Scope (границы видимости). Нажмите на вкладке Опции границ видимости. Правой клавишей нажмите в пустой области правой панели, как показано на рисунке ниже, и выберите команду Настроить опции.

В диалоговом окне Опции границ видимости нажмите на вкладке Дополнительно. Убедитесь, что в поле Класс поставщика (Vendor class) стоит Стандартные опции DHCP. В поле списка Класс пользователя (User class) обязательно выберите запись Стандартный класс защиты сетевого доступа (Default Network Access Protection Class). Опция DHCP, которую мы собираемся настроить здесь, будет применяться к клиентам для их идентификации в качестве NAP клиентов, которые не соответствуют политике.

В списке Доступных опций найдите запись 006 DNS серверы и введите IP адрес DNS сервера в текстовое поле IP адрес, а затем нажмите Добавить.

Найдите опцию 015 DNS имя домена и введите в текстовое поле Строка значения имя, которое будет использоваться для клиентов, несоответствующих NAP. Это поможет более просто определять несоответствующие политике компьютеры. Нажмите OK.

Теперь вы увидите записи для классов None и Default Network Access Protection Class. Опция последнего класса будет присваиваться несоответствующим политике компьютерам, когда внедрение DHCP используется с NAP.

Прежде чем NAP сможет использовать эти параметры, нам нужно настроить границы видимости для работы с NAP. Нажмите на вкладке Границы видимости во вкладке IPv4 в левой панели консоли, а затем нажмите на ней правой клавишей. В диалоговом окне Свойства границы перейдите по вкладке Network Access Protection. Выберите опцию Включить для этой границы, а затем выберите опцию Использовать стандартный профиль защиты сетевого доступа.

Опция Использовать пользовательский профиль довольно интересна, но в интернете, включая сайт компании Microsoft http://www.microsoft.com/ , отсутствует документация о том, как можно использовать эту опцию. Я размещу эту информацию на своем блоге, если выясню, как заставить ее работать.

Нажмите OK в диалоговом окне Свойства границы.