none
关于NAP策略问题 RRS feed

  • 问题

  • 请教以下方案可以实现吗?为何?

    Your network contains an Active Directory domain named contoso.com. The domain
    contains three VLANs. The VLANs are configured as shown in the following table.

    All client computers run either Windows 7 or Windows 8.
    The corporate security policy states that all of the client computers must have the latest
    security updates installed.
    You need to implement a solution to ensure that only the client computers that have all of the
    required security updates installed can connect to VLAN 1. The solution must ensure that all
    other client computers connect to VLAN 3.
    Solution: You implement the DHCP Network Access Protection (NAP) enforcement method.
    Does this meet the goal?

    2018年8月1日 7:47

答案

  • Hi ,

    DHCP 的强制技术:DHCP 服务器为客户端提供来自受限池的 IP 租约。这些租约使用单独的 DNS 后缀和 IP 路由来控制受限客户端可以访问哪些资源。

    DHCP的强制技术主要是针对的是IP scope。题目中是路由到不同的vlan,而802.1支持使用vlan实现受限访问。

    >>The corporate security policy states that all of the client computers must have the latest
    security updates installed.

    很抱歉没有注意到题目中还提到了以上这句话,如果题目中只说到“You need to implement a solution to ensure that only the client computers that have all of the required security updates installed can connect to VLAN 1. The solution must ensure that all
    other client computers connect to VLAN 3.” 那么DHCP的DHCP Network Access Protection (NAP) enforcement是无法实现的,因为DHCP支持的是指向不同的subnet。这个时候应该是选择802.1x enforcement。

    但这题中还提到了所有的客户端计算机都要求安装最新的安全更新,这个是通过配置DHCP NAP来强制执行WSUS更新来实现的。而802.1x enforcement是无法实现强制更新的。

    可以参考以下的文章:

    Implementing DHCP NAP to Enforce WSUS Updates

    https://technet.microsoft.com/en-us/library/2009.05.goat.aspx?f=255&MSPPError=-2147217396

    因此,这道题目的答案应该是指能否部分实现以上的需求,那么DHCP NAP enforcement是可以通过WSUS来实现强制更新的。答案应该是YES

    如果是问802.1x NAP enforcement是否可以实现,答案也应该是YES。因为提到了关于路由到不同的VLAN。

    此致

    Candy




    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    • 已标记为答案 pjj1112 2018年8月2日 3:40
    2018年8月2日 2:47
    版主

全部回复

  • Hi ,

    >>Solution: You implement the DHCP Network Access Protection (NAP) enforcement method.
    Does this meet the goal?

    答案是无法实现。

    原因是DHCP enforcement 支持的是指向不同的子网,也就是subnet,而802.1x enforcement才支持配置不同的vlan.

    可以参考以下的文章:

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd125342(v=ws.10)#8021x-enforcement-with-vlans

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2018年8月1日 9:29
    版主
  • 您好,非常感谢您的解答。但是DHCP可以强制执行WSUS更新,间接实现来实现这个目的?
    2018年8月1日 13:01
  • Hi ,

    DHCP 的强制技术:DHCP 服务器为客户端提供来自受限池的 IP 租约。这些租约使用单独的 DNS 后缀和 IP 路由来控制受限客户端可以访问哪些资源。

    DHCP的强制技术主要是针对的是IP scope。题目中是路由到不同的vlan,而802.1支持使用vlan实现受限访问。

    >>The corporate security policy states that all of the client computers must have the latest
    security updates installed.

    很抱歉没有注意到题目中还提到了以上这句话,如果题目中只说到“You need to implement a solution to ensure that only the client computers that have all of the required security updates installed can connect to VLAN 1. The solution must ensure that all
    other client computers connect to VLAN 3.” 那么DHCP的DHCP Network Access Protection (NAP) enforcement是无法实现的,因为DHCP支持的是指向不同的subnet。这个时候应该是选择802.1x enforcement。

    但这题中还提到了所有的客户端计算机都要求安装最新的安全更新,这个是通过配置DHCP NAP来强制执行WSUS更新来实现的。而802.1x enforcement是无法实现强制更新的。

    可以参考以下的文章:

    Implementing DHCP NAP to Enforce WSUS Updates

    https://technet.microsoft.com/en-us/library/2009.05.goat.aspx?f=255&MSPPError=-2147217396

    因此,这道题目的答案应该是指能否部分实现以上的需求,那么DHCP NAP enforcement是可以通过WSUS来实现强制更新的。答案应该是YES

    如果是问802.1x NAP enforcement是否可以实现,答案也应该是YES。因为提到了关于路由到不同的VLAN。

    此致

    Candy




    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    • 已标记为答案 pjj1112 2018年8月2日 3:40
    2018年8月2日 2:47
    版主
  • 非常感谢您的详细解答
    2018年8月2日 3:41