企业员工经常将属于个人的笔记本电脑带到公司的网络环境(网络部署DHCP服务器)中,拔下原来电脑网线,接上个人笔记本电脑后通过自动获得网络参数,然后访问公司的网络资源或者直接上网玩游戏。因此,管理者做出以下决定。

    ·管理规定:个人计算机不能接入到公司网络环境。

    ·技术要求:即使个人计算机带到公司也不能正常使用。

    本章将以此为目标,探讨在网络环境中不在三层交换机层面,而在域环境管理方面解决该问题的方法。最常见的做法是将计算机的MAC地址和交换机端口绑定。


应用环境以及解决方法

    案例环境:服务器端全部使用Windows Server 2012操作系统,部署两台域控制器,在一台域控制器中部署AD DS域服务、集成区域DNS以及DHCP服务,客户端使用Windows XP操作系统并升级到SP3,客户端计算机以域用户身份登录,域用户添加到“Power Users”中。


应用网络环境

    每个VLAN通过DHCP服务器分配不同的网络参数。核心交换机启用DHCP中继,并打开对应的端口。每个VLAN的默认网关指向对应的端口。如果客户端计算机得不到正确的网关,将不能访问网络中的资源以及访问互联网。


解决思路

    ·解决此访问的方法如下。

    ·最佳方法:客户端计算机MAC地址和交换机端口绑定,但是公司员工经常进行调整,客户端计算机需要网络工程师根据需要随时调整交换机策略,十分繁琐。

    ·其次:通过DHCP服务器部署网络参数调整策略。公司网络中部署DHCP服务器进行网络参数管理,DHCP服务器将“默认用户类别”作为管理基准,该类别默认没有设置(没有设置不是空值)。默认状态下,每台运行Windows操作系统的计算机启用“DHCP”工作模式后,用户类别标识项也没有设置。当DHCP服务器和客户端计算机握手成功后,DHCP默认用户类别分配的值和客户端计算机分配的“DHCP Class ID(用户类别标识项)”相同,为客户端计算机分配指定的网络参数。因此决定采用该方法完成计算机接入方面的管控。

    根据以上机制,DHCP服务器部署2套网络参数分配方式。

    ·默认用户类别网络参数分配方式。为该类指定错误网关、错误DNS信息以及错误WINS信息,客户端计算机得到此类网络参数后,虽然得到网络参数,但不能正常连接网关,造成的错觉是计算机中了“ARP”病毒。

    ·设置特殊用户类。创建特殊用户类别,设置正常使用的网关、DNS信息、WINS信息,客户端计算机得到此类网络参数后,可以正常接入网络。


管理策略

    如果网络中已经部署DHCP服务器,并且加入到域中,部署新的DHCP策略前,通过组策略模式统一更改客户端计算机的用户类别标识项,然后更改DHCP策略。策略分为两部分:禁止修改网络参数和执行计算机开机启动脚本。


默认用户类

    DHCP服务器部署两套配置策略。

    ·默认用户分配策略。

    ·指定的用户类别分配策略

    两个策略属于同一作用域,前者分配效果目标是客户端计算机不能正常接入网络,后者目标是客户端计算机可以正常接入并能加域。

    该作用域为用户分配的网络参数:

    ·路由器(192.168.100.100)

    ·DNS域名(book.com.local)。

    ·DNS服务器(192.168.100.100)


重新配置DHCP服务器

    如果DHCP服务器是首次创建,则不需要执行“清理已经分配的地址”操作,否则首先执行该操作,然后设置DHCP专属用户类。

    1.清理已经分配的地址

    以管理员身份登录DHCP服务器,选择已经分配DHCP作用域下的“地址租用”选项,右侧列表中显示为客户端计算机已经分配的IP地址,选择所有目标计算机,删除选择的目标地址。

    2.新建用户类

    新建用户名称为“YtdailyLTD”的用户类,该类作为策略检测标识,为符合该策略的用户分配正确的网络参数。

    第1步,右击“IPv4”,在弹出的快捷菜单中选择“定义用户类”命令。

    第2步,命令执行后,打开“DHCP用户类”对话框。显示已经创建的用户类。

    第3步,单击“添加”按钮,打开“新建类”对话框。在“显示名称”文本框和“ID”文本框中,键入用户类别标识项名称,注意客户端计算机和DHCP服务器中定义的名称必须完全相同。“描述”字段键入新建用户类别的描述信息。单击“确定”按钮,完成DHCP类别定义。

    3.部署DHCP策略

    DHCP服务器为符合条件的计算机分配网络参数:路由器(192.168.0.1)、DNS域名(book.com)以及DNS服务器(192.168.0.1)

    第1步,右击“策略”,在弹出的快捷菜单中选择“新建策略”

    第2步,命令执行后,启动“DHCP策略配置向导”,显示“基于策略的IP地址和选项分配”对话框。

    第3步,单击“下一步”,显示“为策略配置条件”对话框。部署符合策略条件的计算机集合。

    第4步,单击“添加”按钮,打开“添加/编辑条件”对话框。“条件”列表中设置为“用户类”,“运算符”列表中设置为“等于”,“值”列表设置为“YtdailyLTD”的用户类别(新建的用户类)。  

    单击“确定”按钮,返回到“为策略配置条件”对话框。

    第5步,单击“下一步”按钮,显示“为策略配置设置”对话框。设置满足用户类别为“YtdailyLTD”的计算机。

    第6步,单击“下一步”按钮,显示“摘要”对话框。显示策略配置信息。单击“完成”按钮,创建新的策略。


客户端计算机验证

    1.新计算机接入

    用户自带笔记本电脑接入网络后,DHCP服务器为其分配网络参数,执行“ipconfig /renew”命令,查看新计算机得到的网络参数。得到的参数是DHCP服务器为默认用户类别指定的参数。

    新键入网络的计算机使用默认用户类别执行加域操作,显示不能正常加域。

    2.手动设置DHCP用户类别

    客户端计算机重新安装操作系统,以本地管理员身份登录,在命令行窗口中执行以下命令后,为新设备设置用户类别标识项并重新分配网络参数,然后将客户端计算机加入到Acitve Directory中。命令内容:

    ipconfig /setclassid * "YtdailyLTD"

    ipconfig /renew

    ipconfig /all

    命令执行后,计算机得到指定用户类别的网络参数。

    成功更改用户类别后重新加域,新计算机可以加入到域中。


建议

    通过以上策略部署,可以实现预定目标。不足之处在于,重新安装操作系统或者安装新计算机时,首选需要为客户端计算机设置用户类别,并启动DHCP服务(Windows XPishang操作系统默认已经启动该服务)。为了防止客户端计算机更改本机的IP地址,建议域用户以“Users”身份登录客户端计算机,这也是部署AD DS域服务后建议的登录方法。