企業のActiveDirectoryドメインに属していないデバイスへのネットワークアクセスを防ぐ方法を探しています。
個人のラップトップを当社の企業ネットワークに接続する人もいれば、意図せずに問題を引き起こす人もいます。
私はDHCPポリシーを使用して、それらに個別のDNS名(aliens.contoso.com)を付け、そのようなデバイスが接続されているかどうかをすばやく確認できるようにします(DNSコンソールを確認しただけです)。このポリシーは、クライアントがcontoso.comドメインに属していない場合にアクティブになります。
この方法の問題は、不要なラップトップがIP設定を完全に修正しているため、ユーザーがそれを使用できることです。
これにより、個別のDNS名のみを使用できます。別のルーターや使用できないIPアドレスを指定できません。
これらのラップトップに使用できないIP設定を割り当てたいと思います。そのため、ユーザーはそれを使用したり、電話をかけたりすることはありません。これにより、ラップトップがクリーンであることを確認し、ユーザーに指示を与えることができます。
もちろん、手動で正しい設定を入力することはできますが、それを実行できるユーザーはほとんどいないため、問題が大幅に軽減されます。
802.1Xでネットワークアクセスを強制する予定はありません。 DHCP方式の方が弱いことは知っています。
Network Protection Server(サーバーにはWindows 2012 R2を使用)でそれができると思いますが、その方法がわかりませんでした。
要するに:あなたはできません
DHCPサーバーがデバイスがドメイン内にあるかどうかを知るためには、デバイスがドメインコントローラーと通信する必要があるため、最初にIPアドレスが割り当てられます。
これが、必要な設定がグレー表示される理由です。
トリックは、特別なプレフィックスを使用してコンピュータに名前を付けることです。その後、DHCPサーバーは、コンピューターがDHCPリースをネゴシエートするときにそれを検出できます。したがって、必要なオプションが使用可能になります(グレー表示されません)。
これを行う通常の方法は802.1X認証を使用することですが、これを実行したくないと言っています。 NPSは802.1Xで使用されるため、それを使用しない場合は、NPSをあまり使用することはありません。
私が考えることができる他の唯一の方法は、ポートベースのVLAN(802.1qではない)を使用して、未使用のすべてのネットワークポート(「ゲスト」ポートである可能性があります)を別のVLANに移動し、DHCPヘルパーを追加することです。 that VLANそして、DHCP要求を2012 R2サーバーに転送し、異なるサブネット/ゲートウェイなどを発行します。または、キャプティブポータルに転送することもできます。または、IPを発行することもできません。アドレスはまったくなく、ゲートウェイはありません。