通过配置具有网络访问保护功能的 DHCP 来强制实施针对客户端运行状况的网络访问策略

应用到: Windows Server 2008 R2

网络访问保护 (NAP) 是一个平台,它提供策略强制组件,可帮助确保网络上的计算机连接或通信符合管理员定义的系统运行状况要求。使用 DHCP NAP,您可以选择限制不符合要求的计算机对受限网络的访问权限。受限网络包含更新计算机所需的资源,可使资源符合不受限网络访问和正常通信的运行状况要求。

使用 DHCP 强制时,计算机必须符合要求,才能从 DHCP 服务器获取不受限制的访问 IP 地址配置。对于不相容计算机,网络访问受 IP 地址配置的限制,只允许访问受限网络。DHCP 强制将在 DHCP 客户端每次尝试租用或续订 IP 地址配置时强制实施健康策略要求。DHCP 强制还将主动监视 NAP 客户端的健康状况,如果客户端不再符合要求,则会将 IPv4 地址配置续订为只访问受限网络。

DHCP 强制的工作方式

以下过程描述了对于一个尝试初始 DHCP 配置的 NAP 客户端,DHCP 强制将如何工作。

  1. NAP 客户端会将包含其健康状况信息的 DHCP 请求消息发送到 DHCP 服务器。

  2. DHCP 服务器会将 NAP 客户端的健康状况信息发送到 NAP 健康策略服务器。

  3. NAP 健康策略服务器评估 NAP 客户端的健康状况信息,确定 NAP 客户端是否符合要求,并将结果发送到 NAP 客户端和 DHCP 服务器。如果 NAP 客户端不符合要求,在给 DHCP 服务器的结果中将包含受限的访问配置,在给 NAP 客户端的结果中将包含健康补救说明。

  4. 如果健康状况符合要求,DHCP 服务器将为不受限制地访问 NAP 客户端分配一个 IP 地址配置,并完成 DHCP 消息交换。

  5. 如果健康状况不符合要求,DHCP 服务器将为 NAP 客户端分配一个 IPv4 地址配置以用于对受限网络的有限访问,并完成 DHCP 消息交换。NAP 客户端只能将通信发送到受限网络上的补救服务器。

  6. NAP 客户端向补救服务器发送更新请求。

  7. 补救服务器为 NAP 客户端提供符合健康策略的必需更新。NAP 客户端更新其健康状况信息。

  8. NAP 客户端会将包含其更新的健康状况信息的新 DHCP 请求消息发送到 DHCP 服务器。

  9. DHCP 服务器会将 NAP 客户端更新的健康状况信息发送到 NAP 健康策略服务器。

  10. 假定完成了所有的必需更新,NAP 健康策略服务器确定 NAP 客户端符合要求,并指示 DHCP 服务器分配一个 IPv4 地址配置,以用于对 Intranet 进行无限制的访问。

  11. DHCP 服务器将不受限制地访问 NAP 客户端分配一个 IP 地址配置,并完成 DHCP 消息交换。

其他资源

有关提供相关信息的帮助主题的列表,请参阅 DHCP 服务器角色的推荐任务

有关 DHCP 的更新详细 IT 专业人员信息,请参阅位于 Microsoft TechNet 网站(可能为英文网页)上的 Windows Server(R) 2008 文档。

社区附加资源

添加
显示: