Защита доступа к сети (NAP) является платформой, предоставляющей компоненты применения политики, которые помогают обеспечить соответствие компьютеров, подключающихся к сети или обменивающихся данными через сеть, определенным администратором требованиям к работоспособности системы. С помощью DHCP NAP можно запретить доступ к сети с ограниченным доступом для компьютеров, которые не соответствуют установленным требованиям. Сеть с ограниченным доступом содержит ресурсы, необходимые для обновления компьютеров с целью достичь соответствия требованиям к работоспособности, обеспечивающим неограниченный сетевой доступ и нормальную работу в сети.
При использовании DHCP для получения неограниченного доступа к конфигурации IP-адресов от DHCP-сервера компьютер должен соответствовать установленным требованиям. Для не соответствующих политике компьютеров доступ к сети ограничен конфигурацией IP-адресов, которая разрешает доступ только к сети с ограниченным доступом. При политике принудительного использования DHCP соответствие требованиям к обеспечению работоспособности проверяется каждый раз, когда DHCP-клиент предпринимает попытку получить или обновить конфигурацию IP-адресов. Кроме того, политика применения DHCP активно отслеживает работоспособность NAP-клиента и в случае утраты клиентом соответствия обновляет конфигурацию IPv4-адресов таким образом, что клиенту предоставляется доступ только к сети с ограниченным доступом.
Действие принудительного применения DHCP
В следующей процедуре рассматривается действие политики принудительного использования DHCP для NAP-клиента, который предпринимает попытку первоначальной конфигурации DHCP:
-
NAP-клиент направляет DHCP-серверу сообщение запроса DHCP, содержащее данные о его работоспособности.
-
DHCP-сервер направляет серверу политики работоспособности NAP сведения о работоспособности NAP-клиента.
-
Сервер политики работоспособности NAP оценивает сведения о работоспособности NAP-клиента, определяет, является ли данный NAP-клиент совместимым, а затем направляет результаты оценки NAP-клиенту и DHCP-серверу. Если NAP-клиент не соответствует требованиям, в результаты включается конфигурация ограниченного доступа для DHCP-сервера, а также инструкции по восстановлению работоспособности NAP-клиента.
-
Если работоспособность соответствует требованиям, DHCP-сервер назначает для NAP-клиента конфигурацию IP-адресов для неограниченного доступа и завершает обмен сообщениями DHCP.
-
Если работоспособность не соответствует требованиям, DHCP-сервер назначает для NAP-клиента конфигурацию IPv4-адресов для ограниченного доступа к сети с ограниченным доступом и завершает обмен сообщениями DHCP. Такой NAP-клиент может направлять трафик только серверам обновления в сети с ограниченным доступом.
-
NAP-клиент направляет этим серверам обновления запросы на обновление.
-
Серверы обновления предоставляют NAP-клиенту обновления, необходимые для обеспечения соответствия политике работоспособности. NAP-клиент обновляет свои сведения о работоспособности.
-
NAP-клиент направляет DHCP-серверу новое сообщение запроса DHCP, содержащее обновленные данные о работоспособности.
-
DHCP-сервер направляет серверу политики работоспособности NAP обновленные сведения о работоспособности NAP-клиента.
-
Если сделаны все требуемые обновления, сервер политики работоспособности NAP определяет, что данный NAP-клиент соответствует требованиям политики, на основании чего направляет DHCP-серверу указание назначить конфигурацию IPv4-адресов, предусматривающую неограниченный доступ к внутренней сети.
-
DHCP-сервер назначает NAP-клиенту конфигурацию IP-адресов, предусматривающую неограниченный доступ, а затем завершает обмен сообщениями DHCP.
Дополнительные ресурсы
Список разделов справки, содержащих связанные с данным разделом сведения, см. в статье Рекомендованные задачи для роли DCHP-сервера.
Обновленные профессиональные сведения о DHCP см. в документации Windows Server® 2008 на веб-сайте