Защита доступа к сети (NAP) является платформой, предоставляющей компоненты применения политики, которые помогают обеспечить соответствие компьютеров, подключающихся к сети или обменивающихся данными через сеть, определенным администратором требованиям к работоспособности системы. С помощью DHCP NAP можно запретить доступ к сети с ограниченным доступом для компьютеров, которые не соответствуют установленным требованиям. Сеть с ограниченным доступом содержит ресурсы, необходимые для обновления компьютеров с целью достичь соответствия требованиям к работоспособности, обеспечивающим неограниченный сетевой доступ и нормальную работу в сети.
При использовании DHCP для получения неограниченного доступа к конфигурации IP-адресов от DHCP-сервера компьютер должен соответствовать установленным требованиям. Для не соответствующих политике компьютеров доступ к сети ограничен конфигурацией IP-адресов, которая разрешает доступ только к сети с ограниченным доступом. При политике принудительного использования DHCP соответствие требованиям к обеспечению работоспособности проверяется каждый раз, когда DHCP-клиент предпринимает попытку получить или обновить конфигурацию IP-адресов. Кроме того, политика применения DHCP активно отслеживает работоспособность NAP-клиента и в случае утраты клиентом соответствия обновляет конфигурацию IPv4-адресов таким образом, что клиенту предоставляется доступ только к сети с ограниченным доступом.
Действие принудительного применения DHCP
В следующей процедуре рассматривается действие политики принудительного использования DHCP для NAP-клиента, который предпринимает попытку первоначальной конфигурации DHCP:
- NAP-клиент направляет DHCP-серверу сообщение запроса DHCP,
содержащее данные о его работоспособности.
- DHCP-сервер направляет серверу политики работоспособности NAP
сведения о работоспособности NAP-клиента.
- Сервер политики работоспособности NAP оценивает сведения о
работоспособности NAP-клиента, определяет, является ли данный
NAP-клиент совместимым, а затем направляет результаты оценки
NAP-клиенту и DHCP-серверу. Если NAP-клиент не соответствует
требованиям, в результаты включается конфигурация ограниченного
доступа для DHCP-сервера, а также инструкции по восстановлению
работоспособности NAP-клиента.
- Если работоспособность соответствует требованиям, DHCP-сервер
назначает для NAP-клиента конфигурацию IP-адресов для
неограниченного доступа и завершает обмен сообщениями DHCP.
- Если работоспособность не соответствует требованиям,
DHCP-сервер назначает для NAP-клиента конфигурацию IPv4-адресов для
ограниченного доступа к сети с ограниченным доступом и завершает
обмен сообщениями DHCP. Такой NAP-клиент может направлять трафик
только серверам обновления в сети с ограниченным доступом.
- NAP-клиент направляет этим серверам обновления запросы на
обновление.
- Серверы обновления предоставляют NAP-клиенту обновления,
необходимые для обеспечения соответствия политике
работоспособности. NAP-клиент обновляет свои сведения о
работоспособности.
- NAP-клиент направляет DHCP-серверу новое сообщение запроса
DHCP, содержащее обновленные данные о работоспособности.
- DHCP-сервер направляет серверу политики работоспособности NAP
обновленные сведения о работоспособности NAP-клиента.
- Если сделаны все требуемые обновления, сервер политики
работоспособности NAP определяет, что данный NAP-клиент
соответствует требованиям политики, на основании чего направляет
DHCP-серверу указание назначить конфигурацию IPv4-адресов,
предусматривающую неограниченный доступ к внутренней сети.
- DHCP-сервер назначает NAP-клиенту конфигурацию IP-адресов,
предусматривающую неограниченный доступ, а затем завершает обмен
сообщениями DHCP.
Дополнительные ресурсы
Список разделов справки, содержащих связанные с данным разделом сведения, см. в статье Рекомендованные задачи для роли DCHP-сервера.
Обновленные профессиональные сведения о DHCP см. в документации Windows Server® 2008 на веб-сайте Microsoft TechNet (на английском языке).