Защита доступа к сети (NAP) является платформой, предоставляющей компоненты применения политики, которые помогают обеспечить соответствие компьютеров, подключающихся к сети или обменивающихся данными через сеть, определенным администратором требованиям к работоспособности системы. С помощью DHCP NAP можно запретить доступ к сети с ограниченным доступом для компьютеров, которые не соответствуют установленным требованиям. Сеть с ограниченным доступом содержит ресурсы, необходимые для обновления компьютеров с целью достичь соответствия требованиям к работоспособности, обеспечивающим неограниченный сетевой доступ и нормальную работу в сети.

При использовании DHCP для получения неограниченного доступа к конфигурации IP-адресов от DHCP-сервера компьютер должен соответствовать установленным требованиям. Для не соответствующих политике компьютеров доступ к сети ограничен конфигурацией IP-адресов, которая разрешает доступ только к сети с ограниченным доступом. При политике принудительного использования DHCP соответствие требованиям к обеспечению работоспособности проверяется каждый раз, когда DHCP-клиент предпринимает попытку получить или обновить конфигурацию IP-адресов. Кроме того, политика применения DHCP активно отслеживает работоспособность NAP-клиента и в случае утраты клиентом соответствия обновляет конфигурацию IPv4-адресов таким образом, что клиенту предоставляется доступ только к сети с ограниченным доступом.

Действие принудительного применения DHCP

В следующей процедуре рассматривается действие политики принудительного использования DHCP для NAP-клиента, который предпринимает попытку первоначальной конфигурации DHCP:

  1. NAP-клиент направляет DHCP-серверу сообщение запроса DHCP, содержащее данные о его работоспособности.

  2. DHCP-сервер направляет серверу политики работоспособности NAP сведения о работоспособности NAP-клиента.

  3. Сервер политики работоспособности NAP оценивает сведения о работоспособности NAP-клиента, определяет, является ли данный NAP-клиент совместимым, а затем направляет результаты оценки NAP-клиенту и DHCP-серверу. Если NAP-клиент не соответствует требованиям, в результаты включается конфигурация ограниченного доступа для DHCP-сервера, а также инструкции по восстановлению работоспособности NAP-клиента.

  4. Если работоспособность соответствует требованиям, DHCP-сервер назначает для NAP-клиента конфигурацию IP-адресов для неограниченного доступа и завершает обмен сообщениями DHCP.

  5. Если работоспособность не соответствует требованиям, DHCP-сервер назначает для NAP-клиента конфигурацию IPv4-адресов для ограниченного доступа к сети с ограниченным доступом и завершает обмен сообщениями DHCP. Такой NAP-клиент может направлять трафик только серверам обновления в сети с ограниченным доступом.

  6. NAP-клиент направляет этим серверам обновления запросы на обновление.

  7. Серверы обновления предоставляют NAP-клиенту обновления, необходимые для обеспечения соответствия политике работоспособности. NAP-клиент обновляет свои сведения о работоспособности.

  8. NAP-клиент направляет DHCP-серверу новое сообщение запроса DHCP, содержащее обновленные данные о работоспособности.

  9. DHCP-сервер направляет серверу политики работоспособности NAP обновленные сведения о работоспособности NAP-клиента.

  10. Если сделаны все требуемые обновления, сервер политики работоспособности NAP определяет, что данный NAP-клиент соответствует требованиям политики, на основании чего направляет DHCP-серверу указание назначить конфигурацию IPv4-адресов, предусматривающую неограниченный доступ к внутренней сети.

  11. DHCP-сервер назначает NAP-клиенту конфигурацию IP-адресов, предусматривающую неограниченный доступ, а затем завершает обмен сообщениями DHCP.

Дополнительные ресурсы

Список разделов справки, содержащих связанные с данным разделом сведения, см. в статье Рекомендованные задачи для роли DCHP-сервера.

Обновленные профессиональные сведения о DHCP см. в документации Windows Server® 2008 на веб-сайте Microsoft TechNet (на английском языке).


Содержание